本小节介绍Web应用防火墙网站基础防护最佳实践。 基础防护配置是基于中国电信多年Web安全防护经验的策略与规则集，全面覆盖OWASP TOP10攻击防护，包括SQL注入、XSS，应用漏洞攻击等常见的Web攻击。 您可以根据网站的实际情况对基础防护规则进行调整，包括但不限于开关网站的安全防护、调整防护模式为阻断或预警、调整防护等级、调整应用对象相关的安全策略、调整基于攻击类型的攻击特征的防护状态和防护模式。 Web应用防火墙为您提供724的技术支持服务，在基础防护配置调整的过程中产生任何问题或疑问都可以通过客户响应快速获得技术支撑。 防护模式： 为了更好的适配您的业务，基础防护模式分为阻断状态和预警，接入防护后默认为阻断状态 ，您可以在平台通过各项规则管理进行系统化定制。 阻断会直接拦截被判定为非法请求的相关数据包。 预警仅会记录非法请求，但是不会进行阻断。 配置建议： 如果用户对网站的相关配置或相关安全配置不尽了解，则推荐采用默认的中等防护等级和阻断模式。 如果用户对安全性需求较高则推荐采用高级防护等级，在采用高级防护等级时，推荐您先使用预警模式观察数周安全规则对网站产生的影响，并根据观察结果对安全规则进行微调，以免严格的安全策略导致产生大量误拦截对网站业务造成影响。

OpaPolicy配置说明 字段 类型 必选 说明 workloadSelector WorkloadSelector No 选择策略生效的工作负载。 policy string No Rego策略。 创建OPA策略 1. 进入服务网格控制台，选择 网格安全中心 > OPA策略菜单，选择要配置的命名空间。 2. 选择使用YAML创建。 修改OPA策略 1. 进入服务网格控制台，选择 网格安全中心 > OPA策略菜单，选择要配置的命名空间。 2. 列表页会展示当前命名空间下的OPA策略，找到要修改的策略，选择右侧操作栏的修改，编辑提交即可。 删除OPA策略 1. 进入服务网格控制台，选择 网格安全中心 > OPA策略菜单，选择要配置的命名空间。 2. 列表页会展示当前命名空间下的OPA策略，找到要修改的策略，选择右侧操作栏的删除即可。

数据库安全保障是指通过一系列安全措施加强对数据库安全进行防护。数据库安全配置核心在对数据库进行访问控制、数据加密、审计、数据脱敏和数据库备份与恢复等安全管理策略，确保数据的完整性、机密性、可用性、可控性和可审查性。 访问控制 TeleDB支持通过设有用户权限控制和强制访问控制，对不同对象有不同的访问来控制权限，确保数据安全。它主要包括自主访问权限控制和强制访问控制。 自主访问控制 ：TeleDB支持自主赋予不同用户角色操作控制权限和提供对数据库资源（实例、表、视图等）细粒度权限控制能力。 强制访问控制： 提供更细粒度的访问控制，即行级的访问控制。 自主访问控制具体实施方案请参考《TeleDB安全配置手册》中“自主访问控制”章节。 强制访问控制具体实施方案请参考《TeleDB安全配置手册》中“强制访问控制”章节。 数据加密 TeleDB支持通过数据加密来确保只有授权的用户才能访问敏感信息，防止个人信息泄露。数据加密是一种将原始数据转换成不可读格式的过程。通过数据加密可以确保只有授权的用户才能访问存储在设备或数据库中的敏感信息，防止个人信息泄露。TeleDB支持三种数据加密方式，分别为透明存储加密、通信加密和全密态加密。 透明存储加密方式（Transparent Data Encryption, TDE）是一种保护数据库中静态数据的加密技术，使数据在存储时自动加密，有助于防止未授权访问和数据泄露。透明存储加密的特点是数据在加密和解密过程对应用程序透明，该过程中应用程序无需进行任何修改，从而简化了实施流程。加密操作（函数调用）与业务侧解耦合，业务只负责传递原始数据到数据库内核，后续的加密计算在数据库内部完成，从而业务侧操作上无感知。具体实施方案请参考《TeleDB安全配置手册》中“透明存储加密”章节。 通信加密是指基于传输层SSL（Secure Sockets Layer）协议加密的加密方式。SSL加密是一种安全协议，用于在互联网上建立一个加密的链接，来确保数据传输的安全性。具体实施方案请参考《TeleDB安全配置手册》中“通信加密”章节。 全密态加密是一种数据加密技术，‌旨在确保数据在整个生命周期（‌包括传输、‌运算和存储）‌中始终保持加密状态，‌从而保护数据隐私。‌这种加密技术不仅涉及到数据的存储加密，‌还包括数据在处理过程中的加密，‌确保即使在数据传输和计算过程中，‌攻击者也无法获取有效的数据信息。‌全密态加密技术的实现依赖于特定的密钥管理机制，‌包括客户端主密钥（‌CMK）‌和数据加密密钥（‌CEK）‌的使用，‌其中CMK用于加密CEK，‌而CEK则用于加密用户数据，‌从而形成一个完整的数据加密体系。具体实施方案请参考《TeleDB安全配置手册》中“全密态加密”章节。

本章节主要介绍翼MapReduce服务配置服务自定义参数。 MRS各个组件支持开源的所有参数，在MRS Manager支持修改部分关键使用场景的参数，且部分组件的客户端可能不包含开源特性的所有参数。如果需要修改其他Manager未直接支持的组件参数，用户可以在Manager通过自定义配置项功能为组件添加新参数。添加的新参数最终将保存在组件的配置文件中并在重启后生效。 对系统的影响 配置服务属性后，需要重启此服务，重启期间无法访问服务。 配置HBase、HDFS、Hive、Spark、Yarn、Mapreduce服务属性后，需要重新下载并更新客户端配置文件。 前提条件 用户已充分了解需要新添加的参数意义、生效的配置文件以及对组件的影响。 操作步骤 在MRS Manager界面，单击“服务管理”。 1. 单击服务列表中指定的服务名称。 2. 单击“服务配置”。 3. 在“参数类别”选择“全部配置”。 4. 在左侧导航栏选择“自定义”，Manager将显示当前组件的自定义参数。 “参数文件”显示保存用户新添加的自定义参数的配置文件。每个配置文件中可能支持相同名称的开源参数，设置不同参数值后生效结果由组件加载配置文件的顺序决定。自定义参数支持服务级别与角色级别，请根据业务实际需要选择。不支持单个角色实例添加自定义参数。 5. 根据配置文件与参数作用，在对应参数项所在行“名称”列输入组件支持的参数名，在“值”列输入此参数的参数值。 支持单击和增加或删除一条自定义参数。第一次单击添加自定义参数后才支持删除操作。 修改某个参数的值后需要取消修改，可以单击恢复。 6. 单击“保存配置”，勾选“重新启动受影响的服务或实例。”并单击“确定”重启服务。 界面提示“操作成功。”，单击“完成”，服务成功启动。

当您使用浏览器登录邮箱发送邮件失败时,可以参考本文。 问题描述 在使用浏览器登录邮箱时直接使用 HTTP 协议，其端口号默认为 80，邮件主机之间还是使用邮件发送协议：SMTP 协议。通过浏览器发送邮件，则需要开放 TCP 出方向端口为 80。 处理方法 1. 在弹性云主机页面找到对应的安全组，单击安全组“ID”，进入“安全组”页面。 2. 在安全组界面，单击“添加规则”。 3. 在弹出的窗口，选择“出方向”，协议为“TCP”，设置端口为“80”单击“确定”完成添加。 在使用邮件客户端收发邮件时，邮件收发使用不同的协议： 发件协议一般使用 SMTP 协议，其端口号为 25； 收件协议使用 POP3 协议，其端口号为 110。 具体操作请参见 1～3。 说明 ：需要添加“入方向”：协议为“TCP”； 端口为“110”和“出方向”：协议为“TCP”，端口 为“25”的规则。

DCS在使用时与其他服务配合使用，本节简单介绍虚拟私有云、弹性云主机、统一身份认证服务、云监控服务、云审计服务以及对象存储服务。 DCS缓存服务与其他服务的关系 虚拟私有云 虚拟私有云（Virtual Private Cloud，简称VPC）是用户在云上申请的隔离的、私密的虚拟网络环境。用户可以自由配置VPC内的IP地址段、子网、安全组等子服务。 分布式缓存服务运行于虚拟私有云，由虚拟私有云协助管理IP和带宽。虚拟私有云还具备安全组访问控制功能，通过绑定安全组并设置访问规则，可以增强访问分布式缓存服务的安全性。 弹性云主机 弹性云主机（Elastic Cloud Server，简称ECS）是一种可随时自助获取、可弹性伸缩的云服务器，帮助用户打造可靠、安全、灵活、高效的应用环境。 成功申请分布式缓存服务后，您可以通过弹性云主机创建的弹性云主机，连接和使用分布式缓存实例。 统一身份认证服务 统一身份认证（Identity and Access Management，简称IAM）是系统的身份管理服务，包括用户身份认证、权限分配、访问控制等功能。 通过统一身份认证服务，实现对分布式缓存服务的访问控制。 云监控服务 云监控服务（Cloud Eye）是云上提供的安全、可扩展的统一监控方案，通过云监控服务集中监控DCS的各种指标，基于云监控服务实现告警和事件通知。

限制 说明 VPC对等连接使用范围 同地域下两个VPC之间的内网互通，不支持跨地域，对应VPC可属于同账号或者不同账号。 网段重叠限制 对等连接下的两个VPC网段建议不要重叠。 安全组网段放通 需要在本端关联的安全组放通对端网段，在对端关联的安全组放通本端网段。

背景说明 随着生成式AI工具的普及，员工为提升效率普遍绕过IT监管私自使用AI工具，导致企业面临数据泄露与知识产权流失、漏洞与攻击面扩大等安全风险。AI 应用漏洞检测功能 通过自动化扫描、多维度风险分析、全流程漏洞管理 ，帮助企业精准识别 AI 组件漏洞，构建从 “发现 响应 标记” 的闭环管理体系，解决传统安全工具对 AI 资产 “看不见、管不住” 的核心痛点。 功能说明 支持超过 30+ 种 AI 应用组件漏洞检测，通过多视图查看及标记能力实现漏洞高效管理，帮助用户掌握 AI 应用漏洞风险状况。 ⚠️注意：1、已订购终端管理企业版套餐用户。 操作步骤 1. 登录边缘安全加速控制台，选择【终端管理】。 2. 在左侧导航栏点击【AI 安全检测】【AI应用漏洞检测】，查看 AI 应用漏洞检测功能。 3. 可根据业务需求进行相关扫描和漏洞标记。 AI 漏洞扫描 1. 在 “AI 风险概况” 模块，点击【下发扫描】按钮，可针对组织、用户组、用户、设备主动触发对终端 AI 应用的漏洞扫描，获取最新漏洞数据。 2. 扫描完成后，“最新扫描时间” 将更新为本次扫描时间。

本小节介绍镜像漏洞。 本章节指导用户查看私有镜像上存在的漏洞，并判断是否需要“忽略”漏洞。 前提条件 已开启容器节点防护。 检测方式 用户开启容器节点防护后，容器安全服务自动执行对Linux镜像的安全扫描。 约束限制 仅支持查看Linux镜像存在的漏洞。 查看私有镜像仓库漏洞 1、登录管理控制台，进入企业主机安全页面。 2、在左侧导航树中，选择“风险预防 > 容器镜像安全”，选择“容器镜像漏洞 > 私有镜像仓库漏洞”页签，查看私有镜像窗口漏洞。 说明 单击风险镜像名称，可查看该风险镜像的漏洞概况，包括漏洞名称、修复紧急度、受影响镜像个数、漏洞描述等信息。 漏洞参数说明 参数名称 说明 操作 漏洞名称 单击，查看漏洞详情，包括漏洞ID、漏洞分值、漏洞披露时间和漏洞描述。 单击漏洞名称，查看该漏洞的基本信息以及受该漏洞影响的镜像列表，具体请参见步骤3。 修复紧急度 提示您是否需要立刻处理该漏洞。 受影响镜像数（个） 显示受该漏洞影响的镜像个数。 解决方案 针对该漏洞给出的解决方案。 单击“解决方案”列的链接，查看修复意见。 3、 单击漏洞名称，查看该漏洞的基本信息及受该漏洞影响的镜像列表。

建议购买数据库的同时，购买对应的数据库安全服务。 数据库安全服务（Database Security Service，DBSS）是一个智能的数据库安全服务，基于机器学习机制和大数据分析技术，提供数据库审计，SQL注入攻击检测，风险操作识别等功能，保障云上数据库的安全。 建议使用DBSS来提供扩展的数据安全能力，详情请参考数据库安全服务。 优势 助力企业满足等保合规要求。 满足等保测评数据库审计需求。 满足国内外安全法案合规需求，提供满足数据安全标准（例如SarbanesOxley）的合规报告。 支持备份和恢复数据库审计日志，满足审计数据保存期限要求。 支持风险分布、会话统计、会话分布、SQL分布的实时监控能力。 提供风险行为和攻击行为实时告警能力，及时响应数据库攻击。 帮助您对内部违规和不正当操作进行定位追责，保障数据资产安全。 数据库安全审计采用数据库旁路部署方式，在不影响用户业务的提前下，可以对数据库进行灵活的审计。 基于数据库风险操作，监视数据库登录、操作类型（数据定义、数据操作和数据控制）和操作对象，有效对数据库进行审计。 从风险、会话、SQL注入等多个维度进行分析，帮助您及时了解数据库状况。 提供审计报表模板库，可以生成日报、周报或月报审计报表（可设置报表生成频率）。同时，支持发送报表生成的实时告警通知，帮助您及时获取审计报表。

本节介绍等级保护测评合规最佳实践。 等级保护测评背景 网络安全等级保护测评是按照GB/T 222392019网络安全等级保护要求对各行业单位网络信息系统进行等级测评，以满足相关等级安全要求。云服务器需满足等级保护测评中安全计算环境要求，服务器安全卫士（原生版）提供相关安全能力，满足客户合规需求。 安全计算环境要求 服务器安全卫士（原生版）在等级保护测评（三级）“安全计算环境”中可满足项： 等保测评项 满足情况 对应能力说明 身份鉴别 应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换。 满足 服务器安全卫士（原生版）通过基线检测功能帮助用户检测密码策略相关满足情况，协助用户完成策略配置；通过弱口令检测功能保障口令复杂度满足管理情况。 身份鉴别 应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施。 满足 服务器安全卫士（原生版）通过基线检测功能帮助检测实现账户锁定策略相关满足情况，协助用户完成策略配置。 入侵防范 应能发现可能存在的已知漏洞，并在经过充分测试评估后，及时修补漏洞。 满足 服务器安全卫士（原生版）通过扫描功能能够发现可能存在的已知漏洞，且能够出具修补建议帮助用户修补漏洞。 入侵防范 应能够检测到对重要节点进行入侵的行为，并在发生严重入侵事件时提供报警。 满足 服务器安全卫士（原生版）通过异常登录、暴力破解、后门检测、可疑操作、反弹Shell等功能对主机进行实时监控，发现入侵行为进行告警。 恶意代码防范 应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为，并将其有效阻断。 满足 服务器安全卫士（原生版）通过病毒查杀功能可对恶意代码进行查杀，满足该项要求。 说明 其余测评项需用户通过云主机操作系统本身的策略设置满足，服务器安全卫士（原生版）可通过基线检测功能协助客户进行策略检测。

本节介绍IP地址组的创建、查看、编辑、删除、关联使用等全流程操作步骤,帮助用户快速掌握批量 IP 管理与安全组规则配置能力,提升运维效率。 创建 IP 地址组 1. 登录ECX控制台。 2. 进入边缘网络 >访问控制> IP 地址组页面。 3. 单击【+ 创建 IP 地址组 】。 4. 配置参数： IP 地址组名称：自定义名称。 IP 类型：支持 IPv4和IPv6。 IP 地址条目：填写 IP / 掩码，可添加描述、备注，支持添加多个IP或IP段，换行输入。 描述：补充说明信息。 5. 确认无误后单击提交，完成创建。 查看 IP 地址组列表和详情 1. 登录ECX控制台。 2. 进入边缘网络 >访问控制> IP 地址组页面可查看已创建的IP地址组列表。 3. 在列表页可以查看IP地址条目数、关联资源等信息，也可修改IP地址组的名称。 4. 在列表页单击目标IP 地址组名称，可查看IP地址组的详细信息，包括创建信息以及添加的IP地址条目。 编辑 IP 地址组 1. 进入 IP 地址组详情页。 2. 在IP 地址条目 区域单击编辑。 3. 支持操作： 添加：新增 IP 地址 / 网段。 编辑：修改已有条目描述、备注。 上方插入：在指定条目前方插入新 IP。 删除：移除指定 IP 条目。 4. 修改完成后单击提交保存，修改后关联的安全组会立即生效。 使用方法（关联安全组规则） IP 地址组主要用于安全组规则批量配置，步骤如下： 1. 进入边缘网络 >访问控制> 安全组，选择目标安全组。 2. 进入入方向规则 / 出方向规则 ，单击添加规则。 3. 来源类型选择IP 地址组。 4. 选择已创建的 IP 地址组。 5. 配置协议端口、策略（允许 / 拒绝）、备注。 6. 单击确定完成规则配置。

删除微服务 步骤 1 登录ServiceStage控制台，选择“微服务引擎 CSE”。 步骤 2 单击微服务引擎的“查看控制台”。 未开启安全认证的微服务引擎专享版或微服务引擎专业版，请执行步骤4。 开启安全认证的微服务引擎专享版，请执行步骤3。 步骤 3 在弹出的“安全认证”对话框输入帐号名及密码，单击“确定”。 说明： 首次进入微服务控制台，请输入root帐号名及创建微服务引擎专享版时输入的密码。 创建帐号请参考新增帐号。 步骤 4 选择“服务目录”。 步骤 5 选择需要删除的微服务，单击“删除”，根据提示删除对应微服务。 说明： 当微服务实例个数为0时，可直接删除微服务。 当微服务实例个数不为0时，删除微服务后过一段时间微服务将会重新注册到服务中心。 查看微服务详情 步骤 1 登录ServiceStage控制台，选择“微服务引擎 CSE”。 步骤 2 单击微服务引擎的“查看控制台”。 未开启安全认证的微服务引擎专享版或微服务引擎专业版，请执行步骤4。 开启安全认证的微服务引擎专享版，请执行步骤3。 步骤 3 在弹出的“安全认证”对话框输入帐号名及密码，单击“确定”。 说明 首次进入微服务控制台，请输入root帐号名及创建微服务引擎专享版时输入的密码。 创建帐号请参考新增帐号。 步骤 4 选择“服务目录”。 步骤 5 单击微服务名称，进入微服务详情页。 在微服务详情页可以分别查看实例列表、被调用服务、调用服务、动态配置、灰度发布、服务契约等信息。

参数 参数类型 说明 示例 下级对象 securityGroupID String 安全组ID sgw3cn7d00a4 securityGroupName String 安全组名称 DefaultSecurityGr

本小节介绍云下一代防火墙SSL VPN远程拨入最佳实践。 背景信息 用户存在远程拨入运维请求，但未购买天翼云平台SSL VPN服务，可使用云下一代防火墙SSL VPN服务，该服务需单独配置。 前期准备 提供使用SSL VPN人员数量及人员账户信息。 配置流程说明 序号 子流程 配置内容 1 梳理VPN用户及登录密码 梳理内部登录权限 2 创建VPC地址池 【网络】→【VPN】→【SSL VPN】→新建 3 创建用户 【对象】→【用户】→【本地用户】→新建 4 创建隧道接口 【网络】→【接口】→【新建】，编辑安全域及对应地址和链接隧道 5 配置安全策略 确认需要进行过滤的访问对象，进行安全策略配置 【策略】→【安全策略】→【新建】，详细配置参考配置安全策略 配置内容 1.配置VPN地址池 打开【网络→VPN→SSL VPN】，进行新建。 新建基本配置起始IP、终止IP、掩码、DNS1。 注意 该地址池是用户拨入VPN后，用户可获取的VPN地址，必须与隧道接口中的地址在同网段，且不能覆盖。 2.VPN用户配置 登录云墙，打开【对象→用户→本地用户→新建→用户】，输入名称、密码、确认密码。 本次配置信息：名称：testuser；密码：123（此名称密码为示例）。 3.配置VPN安全域 打开【网络→安全域】，使用VPN安全域。 4.新建SSL VPN隧道接口。 打开【网络→接口】，新建→隧道接口。 配置接口名称：tunnel10； 安全域：VPNHub； IP地址配置：10.1.1.1/24。 注意 该IP地址是用于VPN登录时的网关地址，一般默认是XX.XX.XX.1/24的地址。 该地址网段涉及到下面SSL VPN地址池的配置，请根据自身网络进行规划。 逆向路由：关闭，防止出现环路。 5.配置出向策略。 SNAT配置：VPN地址池转换为防火墙接口地址。 安全策略访问：VPN安全域（被转换接口安全域）。

本文为您介绍如何将您的网站通过域名接入WAF实例进行防护。 开通云WAF SaaS版实例后，需要将您需要防护的网站域名接入WAF，使网站的访问流量全部流转到WAF进行检测并转发，实现恶意流量的拦截。 域名接入WAF后，WAF作为一个反向代理存在于客户端和服务器之间，服务器的真实IP被隐藏起来，Web访问者只能看到WAF的IP地址。 WAF SaaS版提供CNAME接入方式，可以防护通过域名访问的Web应用/网站，包括Web业务服务器部署在天翼云上、非天翼云或线下的域名。 CNAME接入流程 在WAF控制台添加需要防护的网站域名后，通过修改域名的DNS解析设置，将网站流量解析到WAF，使访问网站的流量经过WAF并受到WAF的防护。WAF将过滤和处理后的请求转发回该域名的源站服务器。接入流程如下： 1. 添加域名 ：配置域名、协议、源站等相关信息，详情请参见添加域名。 2. 放行WAF回源IP段 ：WAF使用特定的回源IP段将经过防护引擎检测后的正常流量转发回网站域名的源站服务器。网站接入WAF进行防护时，您需要设置源站服务器的安全软件或访问控制策略，放行WAF回源IP段的入方向流量，详情请参见放行WAF回源IP段。 3. 本地验证 ：添加域名后，在本地电脑上搭建简易的模拟环境，验证网站流量转发设置已经生效，避免转发设置未生效时修改域名的DNS解析设置，导致业务访问异常，详情请参见本地验证。 4. 修改域名DNS ：若域名在接入WAF前未使用代理，则需要到该域名的DNS服务商处，修改域名的DNS解析配置，将网站的流量解析到WAF；若域名在接入WAF前使用了代理（DDoS高防、CDN等），则需要将使用的代理类服务（DDoS高防、CDN等）的回源地址修改为的目标域名的“CNAME”值，详情请参见修改域名DNS。 说明 完成接入流程后，网站访问流量将经过WAF转发检测。WAF包含多种防护检测模块，帮助网站应对不同类型的安全威胁，其中Web基础防护模块默认开启，用于防御常见的Web应用攻击（例如SQL注入、XSS跨站、Webshell上传等），其他防护模块需要您手动开启并配置具体防护规则。

查看数据库拖库检测结果 数据库拖库检测开启后，您可以在“总览 > 语句”中，查看原始审计日志疑似拖库的SQL语句。 1. 登录管理控制台。 2. 在页面上方选择“区域”后，单击，选择“安全与合规 > 数据库安全服务”。 3. 在左侧导航树中，选择“总览”，进入“总览”界面。 4. 在“选择实例”下拉列表框中，选择需要查看数据库拖库检测语句信息的实例。 5. 选择“语句”页签。 6. 您可以按照以下方法，查询指定的SQL语句。选择“时间”（“全部”、“近30分钟”、“近1小时”、“近24小时”、“近7天”或“近30天”），或者单击，选择开始时间和结束时间，单击“提交”，列表显示该时间段的SQL语句。选择“风险等级”（“高”，数据库拖库检测规则默认为高），单击“提交”，列表显示该级别的SQL语句。单击“高级选项”后的，输入相关信息，如图所示，单击“搜索”，列表显示该选项的SQL语句。 说明 一次查询最多可查询10,000条记录。 7. 在需要查看数据库拖库检测详情的SQL语句所在行的“操作”列，单击“详情”，如图所示。 8. 在详情提示框中，查看数据库拖库SQL语句的详细信息，如图所示，相关参数说明如表所示。 SQL语句详情参数说明 参数名称 说明 会话ID SQL语句的ID，由系统自动生成。 数据库实例 SQL语句所在的数据库实例。 数据库类型 执行SQL语句所在的数据库的类型。 数据库用户 执行SQL语句的数据库用户。 客户端MAC地址 执行SQL语句所在客户端MAC地址。 数据库MAC地址 执行SQL语句所在数据库MAC地址。 客户端IP 执行SQL语句所在客户端的IP地址。 数据库IP 执行SQL语句所在的数据库的IP地址。 客户端端口 执行SQL语句所在的客户端的端口。 数据库端口 执行SQL语句所在的数据库的端口。 客户端名称 执行SQL语句所在客户端名称。 操作类型 SQL语句的操作类型。 操作对象类型 SQL语句的操作对象的类型。 响应结果 执行SQL语句的响应结果。 影响行数 执行SQL语句的影响行数。 开始时间 SQL语句开始执行的时间。 应结束时间 SQL语句结束的时间。 SQL请求语句 SQL语句的名称。 请求结果 SQL语句请求执行的结果。

资源 子网所有者的权限 子网使用者的权限 VPC 全部权限 仅支持查看共享子网所属的VPC，不支持操作 子网 全部权限 仅支持查看共享子网，不支持操作 路由表 全部权限 不支持查看共享子网所关联的路由表 ACL 全部权限 不支持查看共享子网所关联的ACL 安全组 只可查看和管理自身创建的安全组，无法查看其他账号的安全组 只可查看和管理自身创建的安全组，无法查看其他账号的安全组 网卡 只可查看和管理自身创建的弹性网卡，无法查看其他账号的弹性网卡 只可查看和管理自身创建的弹性网卡，无法查看其他账号的弹性网卡 虚拟IP 只可查看和管理自身创建的虚拟IP，无法查看其他账号的虚拟IP 只可查看和管理自身创建的虚拟IP，无法查看其他账号的虚拟IP 云资源（例如弹性云主机） 只可查看和管理自身创建的云资源，无法查看其他账号的云资源 只可查看和管理自身创建的云资源，无法查看其他账号的云资源

资源 子网所有者的权限 子网使用者的权限 VPC 全部权限 仅支持查看共享子网所属的VPC，不支持操作 子网 全部权限 仅支持查看共享子网，不支持操作 路由表 全部权限 不支持查看共享子网所关联的路由表 ACL 全部权限 不支持查看共享子网所关联的ACL 安全组 只可查看和管理自身创建的安全组，无法查看其他账号的安全组 只可查看和管理自身创建的安全组，无法查看其他账号的安全组 网卡 只可查看和管理自身创建的弹性网卡，无法查看其他账号的弹性网卡 只可查看和管理自身创建的弹性网卡，无法查看其他账号的弹性网卡 虚拟IP 只可查看和管理自身创建的虚拟IP，无法查看其他账号的虚拟IP 只可查看和管理自身创建的虚拟IP，无法查看其他账号的虚拟IP 云资源（例如弹性云主机） 只可查看和管理自身创建的云资源，无法查看其他账号的云资源 只可查看和管理自身创建的云资源，无法查看其他账号的云资源

窗口切换 如AI云电脑账号下有多个AI云电脑，工具栏点击“窗口切换”功能，支持多个AI云电脑同时运行。 安全中心登录设备管理 前往控制面板的“安全中心”，可管理AI云电脑的登录安全情况. 登录设备：可查看账号名称，登录设备，IP地址，登录时间以及下线时间。 设备管理：可查看AI云电脑登录的设备或移除设备。 安全中心设置系统密码 若忘记Windows系统密码时，可点击“安全中心管理系统密码重置系统密码"进行重置。（适用于Windows桌面的Administrators账户） 报障 使用AI云电脑过程中，如遇到问题，可点击“报障”，填写故障信息或者拨打服务热线：4008109889。 投屏 客户端内置双向投屏能力，可发起或接收投屏，多设备无缝共享。 点击工具的“投屏”，设备间通过输入投屏码或扫码即可体验。

本节介绍如何查看集群安全检查结果。 查看统计信息 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“集群安全 > 安全检查”，进入安全检查页面。 3. 点击数据统计切换按钮，可分别查看个检查项的数据统计图和环形图占比。 查看检查结果 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“集群安全 > 安全检查”，进入安全检查页面。 3. 在安全检查页面下方，可查看各项检查项的检查结果。 安全检查信息参数说明： 参数 解释说明 检查项 检查项的名称。 分类 检查项所属类型，包括信息泄露、危险访问、远程代码执行、特权升级、拒绝服务等多种类型。 描述 检查项的描述信息。 危害级别 危害级别分为高危、中危、低危。 影响节点数量 受该安全漏洞影响的节点数量。 点击数量，可查看受影响的节点名称。 检查是否通过 集群在该项安全检查中是否通过。

系统角色/策略名称 描述 类别 依赖关系 HSS Administrator 主机安全（HSS）管理员，拥有该服务下的所有权限。 系统角色 依赖Tenant Guest角色。 Tenant Guest：全局级角色，在全局项目中勾选。 购买HSS防护配额需要同时具有ECS ReadOnlyAccess和BSS Administrator角色。 ECS ReadOnlyAccess：系统策略，弹性云服务器的只读访问权限。 BSS Administrator：系统角色，费用中心（BSS）管理员，拥有该服务下的所有权限。 HSS FullAccess 主机安全所有权限。 系统策略 购买HSS防护配额需要具有BSS Administrator角色。 BSS Administrator：系统角色，费用中心（BSS）管理员，拥有该服务下的所有权限。 HSS ReadOnlyAccess 主机安全服务的只读访问权限。 系统策略 无

本页面介绍云数据库ClickHouse的产品优势。 强大的性能、便捷的运维、安全可靠性和灵活的架构是云数据库ClickHouse的关键优势。 高性能 分布式大规模并行处理（MPP）架构，支持大规模数据的高速处理，应用延时更低；SIMD 高效指令集、向量化执行引擎、列式存储和索引优化，充分利用硬件资源，单个查询的处理性能可达每秒TB级别；数据秒级入仓，数据极速加载。 便捷运维 可视化的集群监控和运维能力，便于运维人员快速发现和处理问题；集群最佳实践配置，一键交付上线 安全可靠 提供多租户资源隔离，企业级安全防护及网络隔离，以及针对人为错误的故障安全机制，访问使用更加安全；多副本、集群高可用能力，提供自动容灾服务，确保业务连续性 架构灵活 单副本、多副本架构，支持在线扩展节点，提升计算和存储能力；支持存储按需扩容，有效应对业务增长 综上所述，云数据库ClickHouse以其卓越的性能、便捷的运维、安全可靠性和灵活的架构为用户提供了强大的数据分析解决方案。无论是大规模数据处理还是复杂分析查询，云数据库ClickHouse都能够满足用户的要求并提供卓越的性能和可靠性。

帮助您了解基础版/企业版服务接入流程，包括购买阶段、启动阶段、首次接入、持续运营及验收。 服务阶段 实施任务 服务内容 交付物 购买阶段 选购服务 跟随购买指引，进入MDR购买界面，根据需求选择对应的服务内容并完成支付。服务团队将在24h内与用户进行对接，项目进入启动阶段。 购买指引请参见：购买基础版、购买企业版 启动阶段 启动会 通过启动会，就项目的交付内容、范围、计划、以及项目预期达成的目标与客户充分完成讲解，并达成一致 1. 充分讲解《项目启动会PPT》，明确服务内容、服务范围、项目成员、《交付计划表》、验收标准、沟通计划、注意事项等，和客户充分的讲解，就客户痛点需求、项目预期目标达成一致。 2. 同客户签署《保密协议》、《风险告知函》，并输出《会议纪要》；并完善《客户信息表》 3. 会议达成一致后输出《项目启动会会议纪要》并邮件发送 4. 建立客户专属服务群，默认为企业微信群，为客户提供专属服务 《项目启动会PPT》 首次接入 资产梳理及确认 1. 针对本次安全托管服务所购买的资产数，对服务资产进行二次确认并录入平台 2. 进行资产指纹梳理，输出资产指纹信息表，在平台完善资产指纹信息录入 首次接入 组件接入 1. 梳理客户侧已有的关键安全设备及版本，配置相关的安全组件连接平台 2. 确认相关安全组件能正常从平台登录，数据能够正常上报平台 首次接入 上线检查 1. 针对本次对接上MDR平台的组件开展策略检查并记录检查结果至上线检查表中，风险策略与客户确认授权后进行策略调优工作 2. 对客户网络环境的拓扑图，组件信息及DNS，其他代理地址进行初步梳理确认 3. 对服务资产进行确认并填写 首次接入 首次威胁分析 1. 安全组件的策略检查结果和结合首次安全组件安全日志接入分析结果输出首次威胁分析报告 《威胁分析报告》 持续运营阶段 资产管理 1. 根据收集的客户资产信息表，将资产信息录入到平台 2. 对客户资产进行管理，包括资产上下线、资产变更、指纹收集等 《资产信息确认表》 持续运营阶段 脆弱性管理 1. 通过现有安全设备采集的日志信息进行漏洞分析，优先级排序，输出漏洞管理目录 2. 负责整理和输出漏洞可落地修复方案及处置建议，并通告给客户进行处置 3. 跟踪客户漏洞处置情况，处置漏洞修复过程中客户出现的问题 《漏洞清单》 持续运营阶段 威胁管理 1. 通过对安全日志的监测分析，识别内外部威胁，对真实威胁制定处置计划，通告给客户处置或由客户授权进行远程处置 2. 根据客户的业务情况进行策略调优和其他加固措施的执行工作 3. 对于公共的威胁情报根据用户业务情况判断是否存在威胁，及时推送给客户，若存在则协助进行处置 4. 对跟踪的内外部威胁持续跟踪直至闭环 《威胁情报》 持续运营阶段 事件管理 1. 对客户反馈和MDR平台生成事件，通告给用户处置或由用户授权进行远程处置 2. 对于无法处理的事件，进行有效上升处置，及时协调资源进行处置 3. 对未解决的事件跟踪直至闭环 《事件处置报告》 《应急响应报告》 持续运营阶段 沟通汇报 1. 每周每月由服务经理针对客户时间段内所存在的安全工作情况形成报告推送给客户 2. 由服务经理梳理客户半年度服务记录，输出服务总结报告，包括半年度汇报安全托管服务的交付进展及问题处置情况进行远程汇报 《安全运营周报》 《安全运营月报》 《半年度总结汇报》 验收阶段 项目验收 1. 输出年度总结汇报PPT并进行汇报 2. 根据前期沟通的项目验收标准，输出《验收报告》，对MDR托管检测与响应服务交付整体验收 《年度总结汇报》 《项目验收报告》

功能介绍 敏感词防护功能支持对网站返回的内容进行脱敏展示，过滤内容包括敏感信息（如身份证、手机号、银行卡、邮箱等）。您可以根据实际需要设置敏感词防护规则，满足数据安全保护和等保合规需求。 注意 防护敏感信息泄露功能目前只支持识别中华人民共和国境内（中国香港特别行政区、中国澳门特别行政区、中国台湾暂不支持）的身份证号、手机号、银行卡号、邮箱。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 开通套餐为基础版及以上版本，支持防护敏感信息泄露相关功能。 背景信息 个人敏感信息是指一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。根据《GBT 352732017信息安全技术个人信息安全规范》解读：个人敏感信息包括：身份证号码，个人生物识别信息，银行账号，通信记录和内容，财产信息，征信信息，行踪轨迹，住宿信息，健康信息，交易信息，14岁以下（含）儿童的个人信息等。防护敏感信息泄露功能对网站的敏感内容脱敏处理，避免重要数据泄露带来的风险。 说明 默认脱敏显示您的联系方式等敏感信息，点击明文显示时，请您注意保护数据安全！

本节介绍了专属云（存储独享型）的到期规则。 天翼云将会在您的专属云到期前 7 天、3 天、1 天向您发送提醒短信和邮件，如果您希望继续使用专属云资源，及时与您的专属客户经理沟通续订。如您未及时续订，您在专属云开通的云主机将自动关机。到期后您的资源将保留15天，15天内您可进行续费，15天后专属云资源将完全销毁，无法恢复。

本文介绍函数运行时的Web标准API。 运行时提供了以下标准化API，供边缘运行的用户函数使用。 JavaScript标准内置对象 JavaScript内置对象都可使用。但下面这些例外： 注意 eval()出于安全原因，不允许使用。 uneval() 出于安全原因，不允许使用。 new Function 出于安全原因，不允许使用。 值属性 这些全局属性返回一个简单值，这些值没有自己的属性和方法。 globalThis Infinity NaN undefined 函数属性 全局函数可以直接调用，不需要在调用时指定所属对象，执行结束后会将结果直接返回给调用者。 eval()出于安全原因，不允许使用。 uneval()出于安全原因，不允许使用。 isFinite() isNaN() parseFloat() parseInt() decodeURI() decodeURIComponent() encodeURI() encodeURIComponent() 基本对象 顾名思义，基本对象是定义或使用其他对象的基础。基本对象包括一般对象、函数对象和错误对象。 Object Function （new Function出于安全原因，不允许使用。） Boolean Symbol 错误对象 错误对象是一种特殊的基本对象。它们拥有基本的Error类型，同时也有多种具体的错误类型。 Error RangeError ReferenceError SyntaxError TypeError URIError AggregateError InternalError 数字和日期对象 用来表示数字、日期和执行数学计算的对象。 Number BigInt Math Date 字符串 用来表示和操作字符串的对象。 String RegExp 可索引的集合对象 这些对象表示按照索引值来排序的数据集合，包括数组和类型数组，以及类数组结构的对象。 Array Int8Array Uint8Array Uint8ClampedArray Int16Array Uint16Array Int32Array Uint32Array Float32Array Float64Array BigInt64Array BigUint64Array

本文为您介绍弹性云主机的常用端口,请您务必仔细阅读后使用。 场景说明 安全组端口的作用是限制云主机/物理机的网络访问，添加安全组规则时，您必须指定通信端口或端口范围，当存在外部请求时，安全组会根据您设置的端口限制进行匹配，允许或拒绝该访问的请求，这样可以增加云主机/物理机的安全性，防止未经授权的访问。 弹性云主机常用端口 您可以通过配置安全组规则放通弹性云主机对应的端口，配置规则方法请参见“添加安全组规则”页面，配置场景请参考“安全组配置示例”页面。具体弹性云主机常用端口如下表： 协议 端口 说明 FTP 21 FTP服务上传和下载文件。 SSH 22 远程连接Linux弹性云主机。 Telnet 23 使用Telnet协议远程登录弹性云主机。 HTTP 80 使用HTTP协议访问网站。 POP3 110 使用POP3协议接收邮件。 IMAP 143 使用IMAP协议接收邮件。 HTTPS 443 使用HTTPS服务访问网站。 SQL Server 1433 SQL Server的TCP端口，用于供SQL Server对外提供服务。 SQL Server 1434 SQL Server的UDP端口，用于返回SQL Server使用了哪个TCP/IP端口。 Oracle 1521 Oracle通信端口，弹性云主机上部署了 Oracle SQL需要放行的端口。 MySQL 3306 MySQL数据库对外提供服务的端口。 Windows Server Remote Desktop Services 3389 Windows远程桌面服务端口，通过这个端口可以连接Windows弹性云主机。 代理 8080 8080 端口常用于WWW代理服务，实现网页浏览。如果您使用了8080端口，访问网站或使用代理服务器时，需要在IP地址后面加上：8080。安装 Apache Tomcat 服务后，默认服务端口为8080。 NetBIOS 137、138、139 NetBIOS协议常被用于 Windows 文件、打印机共享和Samba。137、138：UDP端口，通过网上邻居传输文件时使用的端口。139：通过这个端口进入的连接试图获得 NetBIOS/SMB服务。 注意 部分运营商判断25、135、139、444、445、5800、5900等端口为高危端口，默认被屏蔽，建议您在使用过程中不要设置高危端口来承载业务，以防造成您的业务不通或部分资源损失。

本节介绍云等保专区产品的功能特性。 云安全中心 云安全中心系统主要包含安全态势、资产中心、风险管理、威胁管理、分析中心、告警管理、编排响应、报表中心、集成配置以及数据源监控等功能。 主机安全 为云服务器提供基于客户端的防护，提供主机系统防护与加固、主机网络防护与加固等功能，具备业界领先的勒索专防专杀、网页防篡改、网络隔离与防护、补丁修复、外设管控、文件审计、违规外联检测与阻断等主机安全能力，帮您快速发现网站潜在安全隐患。 Web应用防火墙 精准覆盖各类Web应用攻击，为客户识别恶意请求，防御未知威胁，分钟级接入实现防入侵、防扫描、防攻击、防数据泄露、防CC攻击等防护，等保必备。 下一代防火墙 提供云上互联网边界和VPC边界的防护，包括：实时入侵检测与防御、全局统一访问控制、全流量分析可视化、日志审计与溯源分析。 堡垒机 4A统一安全管控平台，为企业提供集单点登录、统一资产管理、多终端访问协议、文件传输、会话协同等功能于一体的运维管理服务。 漏洞扫描 能够对Web应用的资产进行识别分类以及对Web应用进行深度弱点探测。通过漏洞产生的原理和渗透测试的方法，快速分析出被测目标所开放的端口服务和对应的协议信息，发现资产暴露面。漏洞库覆盖国内外常见CMS、中间件、操作系统等严重漏洞，帮助用户全面分析Web应用网络环境中存在的安全弱点。

扩容过程中涉及数据迁移吗？ 扩容过程不涉及数据迁移。 选择和配置安全组 安全组是一种网络安全配置，用于控制云计算平台中虚拟机实例的网络访问。它是一种虚拟防火墙，可以定义入站和出站的网络流量规则，以保护虚拟机实例的安全。Kafka在购买实例页面用户可选择安全组。 是否支持跨Region访问？ 可购买弹性IP，通过公网IP绑定功能实现外网访问，也可通过购买云间高速产品服务进行访问。 Kafka实例是否支持不同的子网？ 支持。相同VPC内可以跨子网段访问。同一个VPC内的子网默认可以进行通信。 Kafka实例的内网连接地址可以修改吗？ 不支持修改，也不支持指定IP地址。 开启公网访问后，在哪查看公网IP地址？ Kafka管理控制台。在实例列表页在操作列，目标实例行点击“设置公网ip”，查看具体地址。 Kafka支持服务端认证客户端吗？ 分布式消息服务Kafka不支持服务端认证客户端。 不同实例中，使用的SSL证书是否一样？ 在Kafka中，每个实例使用的SSL证书通常是不同的。SSL证书是用于加密和验证Kafka实例之间的通信的一种安全机制。每个Kafka实例都需要有自己的证书来确保通信的安全性和身份验证。 SSL证书包括公钥和私钥。公钥用于加密通信，私钥用于解密通信。为了确保安全性，私钥应该是保密的，并且只有Kafka实例才能访问。 在Kafka集群中，每个实例都应该有自己的证书和私钥对。这样可以确保每个实例都有独立的加密和身份验证机制。如果多个实例共享相同的证书和私钥，那么一个实例的私钥可能会被其他实例访问，从而降低了通信的安全性。 因此，为了确保每个Kafka实例之间的通信安全，建议为每个实例生成独立的SSL证书和私钥。这样可以确保每个实例都有独立的加密和身份验证机制，提高整个Kafka集群的安全性。

CSRF防护的方式 验证码 CSRF攻击的过程，往往是在用户不知情的情况下构造了网络请求，验证码则强制用户必须与应用进行交互才能完成最终请求。但基于使用体验，网站不会给所有的操作都加上验证码。 验证HTTP Referrer字段 根据 HTTP 协议，HTTP 头部中Referrer字段记录了该 HTTP 请求的来源地址。 比如一个论坛发帖的操作，在正常境况下需要先访问有发帖功能的页面，在提交发帖的表单时，Referrer值必然是发帖表单所在的页面。如果Referrer的值不是这个页面，甚至不是发帖网站的域，则极有可能是CSRF攻击。 请求中添加token并验证 在请求中放入黑客所不能伪造的信息，并且该信息不存在于Cookie 之中。可以在HTTP 请求中以参数的形式加入一个随机产生的token，并在服务器端建立一个拦截器来验证这个token，如果请求中没有token 或者token 内容不正确，则认为可能是CSRF 攻击而拒绝该请求。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 开通套餐为高级版及以上版本，支持CSRF防护功能。 操作步骤 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【安全能力】，进入【Web应用防火墙】菜单，并在左侧域名列表选择您要防护的域名。 3. 进入防护能力高级安全防护【CSRF防护】详细设置页。

本节主要介绍编辑登录规则和清除登录规则。 点击“访问控制”>“安全设置”，进入“安全设置”页面，在“登录安全设置”处可以进行编辑登录规则和清除登录规则。 登录策略是一组规则，定义IAM用户可以设置的登录类型，该规则将应用于IAM用户设置登录规则。 编辑登录规则 在“登录安全设置处”点击“编辑登录规则”，可以对IAM用户登录规则进行重新设置。 项目 描述 :: 限定登录时长 登录失败次数的限定时间。如果在限定登录时长内IAM用户达到登录失败次数后，会被锁定一段时间，锁定时间结束后，才能重新登录。 取值：整数形式，[15, 60]，单位是分钟。 登录失败次数 IAM用户在限定时间内允许连续登录失败的次数。 取值：整数形式，[5, 10]。 锁定时间长度 IAM用户被锁定的时间。 取值：整数形式，[15, 60]，单位是分钟。 是否允许单用户同时多点登录 是否允许IAM用户同一时刻在多个客户端登录。当配置为不允许时，则IAM用户不能同时在多个客户端登录，即最后一次的登录会保持，之前的登录将被强制下线。系统默认配置为允许。 登录Session过期时间长度 IAM用户登录控制台后，在无任何操作时，保存会话的时间长度。 取值：整数形式，[10, 30]，单位是分钟。 清除登录规则 在“登录安全设置”处点击“清除登录规则”，改为默认登录规则。默认登录规则为： 限定时间长度：15分钟。 登录失败次数：5。 锁定时间长度：15分钟。 是否允许单用户同时单点登录：允许。 登录Session过期时间长度：30分钟。