云主机通过云下一代防火墙访问互联网,需要配置源路由进行转发。 操作方法 1.打开菜单栏【网络→路由→源路由】，新建。 2.新建源路由，保障后向业务主机正常访问互联网。

本文介绍了云防火墙提供审计与日志功能， 审计日志是记录云防火墙的用户活动、权限管理和数据访问等信息的日志，通过审计日志可以帮助用户完成对云防火墙可靠性、可用性监测，用户可以通过审计防火墙的日志观测防火墙的操作记录、防火墙的运行记录、防火墙的资源使用情况等，审计日志对于系统的合规性和安全性具有重要作用。天翼云云防火墙（原生版）已生成防火墙操作日志，记录操作发生时间、操作账号、危险等级、操作行为等信息为用户审计防火墙操作行为提供基础日志数据，可以帮助用户对防火墙使用情况，配置情况等进行审计与监测，以保证对防火墙的操作都能够被审查。 说明 审计日志存储与数据日志存储是分开存储在不同的地方，以保证审计日志不会因数据日志的循环而被删除，审计日志默认存储180天，以保证用户业务的可审计性。

本节介绍如何购买云安全中心实例。 云安全中心支持包年/包月计费方式，目前提供标准版的主资源，两种扩展资源：日志分析量、态势大屏。您可以根据业务规模选择云安全中心规格。 前提条件 已注册天翼云账号并完成实名认证。 规格限制 态势大屏只可购买一次。 日志分析量扩展资源的购买资源最小单位为50G，即购买时只能选择50G的整数倍。 约束条件 同一账号在同一个区域只能开通一个云安全中心实例，对应一个服务版本。 开通云安全中心实例，必须购买主资源，主资源生效期间，支持叠加购买扩展资源，扩展资源与主资源绑定，到期时间与主资源一致，不支持单独续订、退订。 适用场景 用户购买了天翼云上的安全服务“Web应用防火墙（原生版）、服务器安全卫士（原生版）、云等保专区、数据库审计、云堡垒机（原生版）企业版、云防火墙（原生版）”并部署在天翼云上。 操作步骤 1. 登录天翼云控制中心。 2. 在控制台列表页，选择“安全 > 云安全中心”，进入云安全中心控制台。 3. 单击“立即购买”，进入购买页面。 4. 选择版本信息、扩展资源、购买时长。 参数 说明 基本信息 版本选择 支持“标准版”。规格详情请参见产品规格。 基本信息 计费模式 支持“包年包月”。 扩展配置 购买态势大屏 默认为“现在购买”，也可以选择“暂不购买”。 说明 态势大屏只可购买一次。 扩展配置 购买日志分析量 默认为“现在购买”，也可以选择“暂不购买”。 说明 云安全中心标准版免费提供50G的日志分析额度，如果您需要额外的额度，请另外购买。 日志分析量扩展资源的购买资源最小单位为50G，即购买时只能选择50G的整数倍。 订购 购买时长 拖动时间轴设置购买时长。 订购 自动续订 开启“自动续订”后，当服务到期前，系统会自动按照默认的续费周期生成续费订单并进行续费，无须用户手动续费。 按月购买，自动续费周期默认为3个月。 按年购买，自动续费周期默认为1年。 如需要修改自动续费周期，可进入天翼云“费用中心 > 订单管理 > 续订管理”页面，找到对应的资源进行修改。 5. 确认配置参数和配置费用，阅读《云安全中心服务协议》并勾选“我已阅读，理解并接受《云安全中心服务协议》”，单击“立即购买”。 6. 进入“付款”页面，完成付款。

本小节介绍云下一代防火墙术语解释。 非信任网络（untrust） 处于防火墙之外的公共开放网络，一般指因特网。 信任网络（trust） 位于防火墙之内的可信网络，是防火墙要保护的目标。 DMZ DMZ（Demilitarized Zone）也称缓冲隔离区，可以位于防火墙之外也可以位于防火墙之内，安全敏感度和保护强度较低，DMZ用来提供公共网络服务的设备，这些设备由于必须被公共网络访问，所以无法提供与内部网主机相等的安全性。 可信主机 位于内部网的主机，且具有可信任的安全特性。 非可信主机 不具有可信特性的主机。 NAT 网络地址转换的缩略语，可以让多台没有实际IP地址的机器使用防火墙的地址连接到Internet。 并发连接数 是指防火墙或代理服务器对其业务信息流的处理能力，是防火墙能够同时处理的点对点连接的最大数目，它反映出防火墙设备对多个连接的访问控制能力和连接状态跟踪能力，这个参数的大小直接影响到防火墙所能支持的最大信息点数。 吞吐量 网络中的数据是由一个个数据包组成，防火墙对每个数据包的处理要耗费资源。吞吐量是指在不丢包的情况下单位时间内通过防火墙的数据包数量，吞吐量的大小主要由防火墙内网卡及程序算法的效率决定。

本文为您介绍批量新增非天翼云云主机的具体操作。 使用条件 进行批量新增非天翼云云主机操作前，需创建命名空间。 新增非天翼云云主机时，需选择分区类型存在三方数据中心的命名空间。 操作步骤 1. 登录天翼云，进入控制中心。 2. 单击管理控制台左上角的，选择区域。 3. 在服务列表选择“计算”“多活容灾服务”，进入多活容灾服务控制台。 4. 点击左侧菜单栏“资源管理”“云主机”，进入云主机列表页。 5. 在列表上方下拉菜单中选择需要进行新增非天翼云云主机操作的命名空间。 6. 点击“新增非天翼云云主机”按钮，选择“新增批量”。 7. 在批量新增非天翼云云主机弹窗中，点击“下载模板”，在模板上填写非天翼云云主机相关信息。 8. 将模板中说明行删除后，保存文件，点击弹窗内“上传”按钮，完成批量非天翼云云主机信息上传。 9. 上传后，可查看可导入和无法导入的非天翼云云主机。 10. 确认信息后，点击“确定”按钮，完成可导入非天翼云云主机批量导入。

同步天翼云云主机 使用条件 单次同步天翼云云主机实例上限为10个。 进行同步天翼云云主机等相关资源同步操作前，需创建命名空间。 操作步骤 1. 登录天翼云，进入控制中心。 2. 单击管理控制台左上角的，选择区域。 3. 在服务列表选择“计算”“多活容灾服务”，进入多活容灾服务控制台。 4. 点击左侧菜单栏“资源管理”“云主机”，进入天翼云云主机列表页。 5. 在列表上方下拉菜单中选择需要进行同步云主机操作的命名空间。 6. 点击页面右上角“同步天翼云云主机”按钮，弹出同步天翼云云主机弹窗。 7. 选择资源所属地域，选中同步的云主机实例。若存在选中云主机IP与系统中云主机实例IP相同，在远程连接信息相同的情况下，通过脚本远程连接执行命令时可能会误操作，用户需对警告提示确认。 8. 点击“确定”按钮，完成天翼云云主机实例同步操作。 删除天翼云云主机

测试非天翼云云主机 使用条件 远程连接开启且连接状态为非“测试中”可进行测试操作。 操作步骤 1. 登录天翼云，进入控制中心。 2. 单击管理控制台左上角的，选择区域。 3. 在服务列表选择“计算”“多活容灾服务”，进入多活容灾服务控制台。 4. 点击左侧菜单栏“资源管理”“云主机”，进入云主机列表页。 5. 点击列表上方标签页中“非天翼云云主机”栏，进入非天翼云云主机列表页。 6. 点击列表操作栏“测试”按钮，测试后状态会同步至列表栏的连接状态中。 编辑非天翼云云主机 操作步骤 1. 登录天翼云，进入控制中心。 2. 单击管理控制台左上角的，选择区域。 3. 在服务列表选择“计算”“多活容灾服务”，进入多活容灾服务控制台。 4. 点击左侧菜单栏“资源管理”“云主机”，进入云主机列表页。 5. 点击列表上方标签页中“非天翼云云主机”栏，进入非天翼云云主机列表页。 6. 点击列表操作栏“编辑”按钮，弹出编辑非天翼云云主机弹窗。 7. 填写云主机相关信息，当前云主机实例已被容灾管理中心关联，不支持修改“所属分区”和“操作系统类型”，可在解除关联后对其修改。各配置项说明如下： 参数 是否必填 配置说明 云主机实例名 √ 填写云主机实例名，同命名空间下非天翼云云主机实例名称需唯一。 长度为263字符。 所属分区 √ 选择当前命名空间下云主机所属分区，当前云主机实例已被容灾管理中心关联时不支持修改。 操作系统类型 √ 选择操作系统类型，可选Linux/Windows，当前云主机实例已被容灾管理中心关联时不支持修改。 操作系统版本 √ 填写操作系统版本。 长度为263字符。 IP地址 √ 输入云主机IP地址，该地址需为多活容灾服务平台能与其连通的IP地址。 每个字段的数据范围为0255，不可填0.0.0.0或255.255.255.255。 若IP与系统中已有天翼云云主机或非天翼云云的公网IP重复，需用户确认相关警告。 配置 × 填写或选择当前云主机的配置。 CPU数值范围为1512，内存数值范围为12048。 描述 × 填写描述。 长度为0100个字符。 8. 点击“确定”按钮，完成修改非天翼云云主机实例操作。

产品优势 资源独享：独享宿主机的所有资源，包括CPU、内存等，保证性能的绝对稳定和实例间互访的稳定性。 灵活扩展：根据行业特点和业务要求灵活定制所需专属云资源，也可以按需使用公共资源池资源。 安全可信赖的云生态：天翼云始终将安全与数据合规融入到云平台框架体系及云产品服务功能之中，为用户打造安全可信赖的云生态。 VIP服务：以用户为中心，724VIP用户运维服务。 场景架构 场景三：对安全有高要求的行业 场景说明 对于安全、性能及可靠性有高要求的应用场景，如金融、政府行业等。可通过计算资源物理隔离，网络及存储资源逻辑隔离来充分保障业务安全运行，为用户打造一个立体的安全防护环境。 产品优势 安全隔离：专属云通过物理手段将系统、设备或资源与公有云资源隔离开，有效防止未经授权的访问或干扰，并可减少用户之间的资源相互影响。 灵活扩展：根据行业特点和业务要求灵活定制所需专属云资源，也可以按需使用公共资源池资源。 安全可信赖的云生态：天翼云始终将安全与数据合规融入到云平台框架体系及云产品服务功能之中，为用户打造安全可信赖的云生态。 VIP服务：以用户为中心，724VIP用户运维服务。

本章节主要介绍翼MapReduce服务的性能优化类常见问题。 翼MapReduce集群是否支持重装系统？ 翼MR集群不支持重装系统。另外，不建议客户通过远程连接登录CTECS，尝试自行执行重装系统等高危操作，由此造成翼MR集群故障，从而导致业务不可用。 翼MapReduce集群是否支持切换操作系统？ 翼MR集群节点不支持切换操作系统。建议客户在使用翼MR集群过程中，有相关使用问题，可以优先提交天翼云工单，向天翼云专业客服进行咨询和沟通，感谢理解。 如何提高集群Core节点的资源使用率？ 1. 进入翼MR Manager管控平台的YARN服务的详情页，切换到“集群大屏”页面，通过查看YARN集群的历史资源使用趋势图，确认是否需要提高资源使用率。 2. 搜索并修改“yarn.nodemanager.resource.memorymb”或者“yarn.nodemanager.resource.cpuvcores”的值，请根据集群的节点内存和CPU核数的实际情况调大该值。 3. 保存配置并重启受影响的服务或实例。 如何关闭防火墙服务？ 1. 以root用户登录集群的各个节点。 2. 检查防火墙服务是否启动。 在ECS节点中，执行systemctl status firewalld.service命令。 3. 关闭防火墙服务。 在ECS节点中，执行systemctl stop firewalld.service命令。

本小节整体介绍 云下一代防火墙入门所需各项操作步骤。 操作步骤 操作步骤 概述 订购云主机 按需订购加载云墙镜像云主机，并为云主机绑定空闲可用弹性IP 查询序列号 登录云墙查看云墙序列号 订购云墙实例 按需订购云墙，单节点/主备、规格、功能等 云墙业务部署 按需进行初始化配置及安全防护策略配置 云墙上线风险 预知云墙上线操作及上线风险 说明 本表格仅输出当前平台侧操作，梳理工作需线下进行。 操作流程说明

基于cstorcsi插件，支持使用云硬盘、弹性文件和对象存储等天翼云云存储服务。本文介绍云存储类型和如何使用云存储。 云存储介绍 天翼云提供针对各种存储资源（块、文件和对象）的低成本、高可靠、高可用的存储服务，您可以根据业务负载的存储需求，考虑数据量、数据访问频率、IOPS和吞吐量等因素，来选择合适的云存储服务。常用的云存储服务如下： 云硬盘 天翼云硬盘（CTEVS，Elastic Volume Service）是一种可弹性扩展的块存储设备，可以提供高性能、高可靠的块存储服务。天翼云硬盘规格丰富，满足不同场景的业务需求，适用于文件系统、数据库、开发测试等场景。 弹性文件 天翼云弹性文件服务（CTSFS，Scalable File Service）提供按需扩展的高性能文件存储，可以提供共享访问，具备高可用性和高数据持久性，为海量的小文件、低延迟高IOPS型应用提供有力支持。 对象存储 天翼云对象存储（CTZOS，Zettabyte Object Storage）是天翼云为客户提供的一种海量、弹性、高可靠、高性价比的存储产品，是专门针对云计算、大数据和非结构化数据的海量存储形态，提供非结构化数据（图片、音视频、文本等格式文件）的无限存储服务。 挂载云存储 云存储 说明 云容器引擎集群 云硬盘 云硬盘为非共享存储，一块云硬盘只能挂载到一个Pod上。 挂载时，支持静态数据卷 云硬盘存储 弹性文件 弹性文件为共享存储，一个文件系统可以挂载到多个Pod上。 挂载时，支持静态数据卷 弹性文件存储 对象存储 对象存储为共享存储，一个对象桶可以挂载到多个Pod上。 挂载时，支持静态数据卷 对象存储

本节介绍云智助手的产品介绍。 产品介绍 云智助手（原AI应用中心）是天翼AI云电脑3.0推出全系统级AI应用，全面接入DeepSeek大模型，并基于星辰大模型和合作伙伴大模型能力，提供一系列场景化AI能力，升级全场景智能化体验。通过AI赋能，重塑AI云电脑使用体验，让AI云电脑更智能、更简单、更好用。 应用场景 云智助手通过打造了AI助手、AI空间两大功能模块，赋能办公、教育、创作、生活等场景，提升工作、生活效率。 使用说明 使用范围 （1）公有云：所有天翼AI云电脑（公众版）、天翼AI云电脑（政企版）均可使用云智助手； （2）私有云：可联系天翼云客服、大区、售前经理了解私有化部署要求。 获取方式 （1）已在AI云电脑镜像中预装，在桌面找到“云智助手”点击即可直接使用； （2）如未在桌面找到或已卸载，可前往AI云电脑应用市场，搜索“云智助手”下载。 使用条件 （1）云智助手当前支持Windows、UOS等各类操作系统； （2）天翼AI云电脑客户端建议升级至v2.4.3及以上版本； （3）移动端可以通过下载天翼云云电脑APP（3.1.1以上版本）使用云智助手。

本节介绍云智助手的产品介绍。 产品介绍 云智助手（原AI应用中心）是天翼AI云电脑3.0推出全系统级AI应用，全面接入DeepSeek大模型，并基于星辰大模型和合作伙伴大模型能力，提供一系列场景化AI能力，升级全场景智能化体验。通过AI赋能，重塑AI云电脑使用体验，让AI云电脑更智能、更简单、更好用。 应用场景 云智助手通过打造了AI助手、AI空间两大功能模块，赋能办公、教育、创作、生活等场景，提升工作、生活效率。 使用说明 使用范围 （1）公有云：所有天翼AI云电脑（公众版）、天翼AI云电脑（政企版）均可使用云智助手； （2）私有云：可联系天翼云客服、大区、售前经理了解私有化部署要求。 获取方式 （1）已在AI云电脑镜像中预装，在桌面找到“云智助手”点击即可直接使用； （2）如未在桌面找到或已卸载，可前往AI云电脑应用市场，搜索“云智助手”下载。 使用条件 （1）云智助手当前支持Windows、UOS等各类操作系统； （2）天翼AI云电脑客户端建议升级至v2.4.3及以上版本； （3）移动端可以通过下载天翼云云电脑APP（3.1.1以上版本）使用云智助手。

云下一代防火墙首次登录后,需强制修改密码,密码策略及修改账密操作。 修改密码 web界面右上角，点击修改密码。 按照要求，提供旧密码，并连续输入两次新密码，保存后即修改成功。 密码策略配置 打开菜单栏，【系统→设备管理→设置及操作→系统设置】，修改对应策略要求即可。

section84b7112f7f4d1fd3)。 购买时长 支持选择111个月、15年。 自动续订 根据您业务自身需求选择是否开启自动续订。 5.配置完成后，确认订单无误并阅读《天翼云数据安全专区服务协议》后，勾选“我已阅读并同意《天翼云数据安全专区服务协议》”，单击“立即购买”。 在一类节点购买云主机 购买云主机请参考：弹性云主机创建弹性云主机章节。 数据库安全网关资产 推荐云主机规格 4资产 CPU：8核 内存：16GB 系统盘：100GB 数据盘：500GB 8资产 CPU：8核 内存：16GB 系统盘：100GB 数据盘：1TB 16资产 CPU：16核 内存：32GB 系统盘：100GB 数据盘：1TB 32资产 CPU：32核 内存：64GB 系统盘：100GB 数据盘：2TB 说明 选择镜像时，需要在“云镜像市场”选择“数据安全专区数据库安全网关V1”镜像。 在二类节点购买云主机 购买云主机请参考：弹性云主机创建弹性云主机章节。 数据库安全网关资产 推荐云主机规格 4资产 CPU：8核 内存：16GB 系统盘：100GB 数据盘：500GB 8资产 CPU：8核 内存：16GB 系统盘：100GB 数据盘：1TB 16资产 CPU：16核 内存：32GB 系统盘：100GB 数据盘：1TB 32资产 CPU：32核 内存：64GB 系统盘：100GB 数据盘：2TB 说明 选择镜像时，需要在“公共镜像”选择“安全产品—数据安全专区数据库安全网关(100GB)”镜像。

依据业务端口信息,配置端口开放策略薄,便于后期策略调用。本小节介绍云下一代防火墙配置服务对象薄。 操作方法 1.打开【对象→服务薄→服务】，新建自定义端口策略。 2.自定义端口策略及名称，可放行单个端口或端口组。 3.配置完成后，端口策略如下：

客户本地网络安全融入广域云网 通过云间高速产品，可以实现与云专线、SDWAN等产品的多种类、多数量网络互连，配置灵活，实现客户全部站点的网络互通，安全访问所有业务资源。 依托中国电信天翼云“2+4+31+X”的资源池发展战略，充分体现中国电信优质的“云+网”综合资源优势，形成面向客户的一点入云、云间互联的新型服务形态。

节点分布 计费区域 节点分布 中国大陆 东北地区：黑龙江、吉林、辽宁。 华北地区：北京、天津、河北、河南、山东、山西、内蒙古。 华东地区：上海、浙江、江苏、江西、安徽。 华中地区：湖北、湖南。 华南地区：广东、广西、海南、福建。 西南地区：四川、云南、贵州、西藏、重庆。 西北地区：甘肃、宁夏、陕西、青海、新疆。 工作原理 未接入DDoS高防（边缘云版） 1. 客户端请求业务域名。 2. DNS服务器响应业务源站IP地址。 3. 客户端请求流量直接转发至源站IP地址。 接入DDoS高防（边缘云版） 1. 客户端请求业务域名。 2. DNS服务器响应天翼云代理IP地址。 3. 客户端请求流量转发至天翼云代理IP地址（流量流向天翼云边缘节点）。 4. 客户端请求流量经过天翼云边缘节点的DDoS清洗过滤，再由天翼云将干净流量转发到客户源站。 接入DDoS高防（边缘云版）价值 1. 隐藏源站IP地址，缩小业务暴露面。 2. 避免攻击流量堵塞源站链路， 消耗源站服务器，使得无法正常提供服务。 3. 可通过代理IP对外提供IPv6业务，即使尚未支持IPv6。

天翼云微隔离防火墙服务协议（新） 自2021年11月11日起，新版微隔离防火墙产品用户协议生效。 天翼云微隔离防火墙产品用户协议（旧）

本文介绍在源站IP暴露的情况下，如何设置保护源站。 为什么需要设置回源白名单 通过CNAME接入方式将域名接入Web应用防火墙（边缘云版）（简称WAF）防护后，为了防止攻击者获取您的源站IP并绕过WAF直接攻击源站，您可以设置源站服务器的访问控制策略，只放行WAF回源IP段的入方向流量。 前提条件 已开通Web应用防火墙（边缘云版）。 已经完成域名接入。 如何获取回源白名单 如果您需要回源白名单，请提交工单联系天翼云技术支持，天翼云技术支持将会讲边缘云节点中回源IP/IP段发送到您的邮箱。

本文介绍弹性文件服务的功能特性。 多客户端共享访问 支持多个计算实例挂载同一文件系统，实现共享访问，适用于多种应用场景。 支持云主机、物理机、容器等多种计算服务挂载访问。 多协议配置 天翼云弹性文件系统支持NFSv3/v4.1、CIFS(SMB2.1/SMB3.0)协议，用户能够在创建文件系统时指定协议类型。 通过标准POSIX接口访问数据，无缝适配主流应用程序进行数据读写。 基础管理 支持在控制台进行创建、搜索、查看、扩容、删除、续订等基本文件系统管理操作。 分钟级别快速扩容，用户可根据实际需要对文件系统进行在线扩容，扩容过程不影响业务使用。 同地域跨VPC、跨AZ访问 通过给文件系统添加多个VPC，可将文件系统挂载至不同VPC的计算实例上，实现同地域跨VPC访问。 通过给文件系统和其它AZ的计算实例添加到同一VPC中，实现同地域跨AZ挂载。 权限管理 权限组是一种白名单机制，通过创建权限组和权限组规则，授予不同网段或IP的客户端不同的访问权限。 支持统一身份认证（Identity and Access Management，简称IAM）服务，帮助您安全的控制云服务和资源的访问及操作权限。 监控告警 依托天翼云云监控服务，提供基础性能指标监控和容量指标监控，了解文件系统运行情况。 支持对重要指标设置自定义告警规则，可及时知晓数据异常并处理。 支持一键告警，对容量使用率默认阈值一键开启告警通知，保证业务正常进行。

本文介绍弹性文件服务的功能特性。 多客户端共享访问 支持多个计算实例挂载同一文件系统，实现共享访问，适用于多种应用场景。 支持云主机、物理机、容器等多种计算服务挂载访问。 多协议配置 天翼云弹性文件系统支持NFSv3/v4.1、CIFS(SMB2.1/SMB3.0)协议，用户能够在创建文件系统时指定协议类型。 通过标准POSIX接口访问数据，无缝适配主流应用程序进行数据读写。 基础管理 支持在控制台进行创建、搜索、查看、扩容、删除、续订等基本文件系统管理操作。 分钟级别快速扩容，用户可根据实际需要对文件系统进行在线扩容，扩容过程不影响业务使用。 同地域跨VPC、跨AZ访问 通过给文件系统添加多个VPC，可将文件系统挂载至不同VPC的计算实例上，实现同地域跨VPC访问。 通过给文件系统和其它AZ的计算实例添加到同一VPC中，实现同地域跨AZ挂载。 权限管理 权限组是一种白名单机制，通过创建权限组和权限组规则，授予不同网段或IP的客户端不同的访问权限。 支持统一身份认证（Identity and Access Management，简称IAM）服务，帮助您安全的控制云服务和资源的访问及操作权限。 监控告警 依托天翼云云监控服务，提供基础性能指标监控和容量指标监控，了解文件系统运行情况。 支持对重要指标设置自定义告警规则，可及时知晓数据异常并处理。 支持一键告警，对容量使用率默认阈值一键开启告警通知，保证业务正常进行。

本文介绍如何续订N100实例。 续订云防火墙（原生版）N100型实例时，还需要同时续订实例所依赖的基础资源（包括弹性云主机、弹性IP等），基础资源与实例一起计费，统一下单。 续订步骤 1. 购买N100实例后，默认进入云防火墙（原生版）N100实例监控页面。 2. 单击实例列表操作列的“续订”，进入续订页面。 3. 选择“续订时长”。 4. 阅读《天翼云云防火墙（原生版）服务协议》并勾选“我已阅读，理解并同意《天翼云云防火墙（原生版）服务协议》”，单击“立即购买”。 5. 进入付款页面，完成付款。

本小节介绍云下一代防火墙SSL VPN远程拨入最佳实践。 背景信息 用户存在远程拨入运维请求，但未购买天翼云平台SSL VPN服务，可使用云下一代防火墙SSL VPN服务，该服务需单独配置。 前期准备 提供使用SSL VPN人员数量及人员账户信息。 配置流程说明 序号 子流程 配置内容 1 梳理VPN用户及登录密码 梳理内部登录权限 2 创建VPC地址池 【网络】→【VPN】→【SSL VPN】→新建 3 创建用户 【对象】→【用户】→【本地用户】→新建 4 创建隧道接口 【网络】→【接口】→【新建】，编辑安全域及对应地址和链接隧道 5 配置安全策略 确认需要进行过滤的访问对象，进行安全策略配置 【策略】→【安全策略】→【新建】，详细配置参考配置安全策略 配置内容 1.配置VPN地址池 打开【网络→VPN→SSL VPN】，进行新建。 新建基本配置起始IP、终止IP、掩码、DNS1。 注意 该地址池是用户拨入VPN后，用户可获取的VPN地址，必须与隧道接口中的地址在同网段，且不能覆盖。 2.VPN用户配置 登录云墙，打开【对象→用户→本地用户→新建→用户】，输入名称、密码、确认密码。 本次配置信息：名称：testuser；密码：123（此名称密码为示例）。 3.配置VPN安全域 打开【网络→安全域】，使用VPN安全域。 4.新建SSL VPN隧道接口。 打开【网络→接口】，新建→隧道接口。 配置接口名称：tunnel10； 安全域：VPNHub； IP地址配置：10.1.1.1/24。 注意 该IP地址是用于VPN登录时的网关地址，一般默认是XX.XX.XX.1/24的地址。 该地址网段涉及到下面SSL VPN地址池的配置，请根据自身网络进行规划。 逆向路由：关闭，防止出现环路。 5.配置出向策略。 SNAT配置：VPN地址池转换为防火墙接口地址。 安全策略访问：VPN安全域（被转换接口安全域）。

尊敬的天翼云用户： 您好！ 天翼云于2025年1月4日更新《天翼云Web应用防火墙（边缘云版）服务等级协议》，新版协议将于2026年1月19日正式生效。请您尽快阅读更新后的协议内容：《天翼云Web应用防火墙（边缘云版）服务等级协议》，此次更新内容主要包括：第二条服务承诺2.2.3，您可以点击协议链接访问最新协议。 您在本次更新生效后继续使用服务将被视为您接受修改后的条款。如您不同意遵守新服务等级协议，您可在2026年1月19日前退订并停止使用天翼云产品及服务。 感谢您对天翼云一直以来的支持，如有任何问题可随时通过服务热线（4008109889）与我们联系，给您带来不便，敬请谅解。 天翼云服务团队

二、安装dto 1）自动安装dto a）天翼云云主机 使用条件 1. 天翼云云主机支持一键安装客户端。 2. 需完成天翼云云主机同步。 操作步骤 1. 登录天翼云，进入控制中心。 2. 单击管理控制台左上角的，选择区域。 3. 在服务列表选择“计算”“多活容灾服务”，进入多活容灾服务控制台。 4. 点击左侧菜单栏“资源同步管理”“数据源”“客户端管理”，进入客户端管理列表页。 5. 在列表上方下拉菜单中选择需要进行操作的命名空间。 6. 客户端类型选择“dto客户端”，TAB栏选择天翼云云主机，点击操作列“安装dto客户端”按钮，确认安装须知后，点击“确定”按钮，进行dto客户端安装。 非天翼云云主机 使用条件 1. 非天翼云云主机提供dto客户端安装脚本供用户手动执行。 2. 需完成非天翼云云主机同步。 操作步骤 1. 登录天翼云，进入控制中心。 2. 单击管理控制台左上角的，选择区域。 3. 在服务列表选择“计算”“多活容灾服务”，进入多活容灾服务控制台。 4. 点击左侧菜单栏资源同步管理”“数据源”“客户端管理”，进入非天翼云云主机列表页。 5. 在列表上方下拉菜单中选择需要进行操作的命名空间。 6. 点击操作列“安装客户端”按钮，目前提供“公网”和“专线”的网络类型，根据当前网络情况并选择相关属性后，可复制安装命令，到三方主机中执行脚本，完成dto安装。

尊敬的天翼云客户： 您好！ 因业务调整，天翼云计划终端杀毒产品自2025年4月30日00:00起将停止服务，您将无法订购、续订、扩容终端杀毒产品，您可通过订购服务器安全卫士（原生版）产品（ 停止服务影响范围： 新增客户：2025年4月30日00:00起，您将无法订购终端杀毒产品。 存量客户：2025年4月30日00:00起，您将无法续订、扩容终端杀毒产品，但将持续提供产品服务至您当前订单周期结束。 同时天翼云可免费为存量客户退订终端杀毒产品替换为服务器安全卫士（原生版）产品，如需要迁移技术支持，可随时通过在线工单、客服热线（4008109889）联系我们，也可联系您的客户经理获取帮助，天翼云服务团队将全程配合您完成迁移工作，为您的业务顺利迁移保驾护航。 感谢您对天翼云一如既往的支持与理解！ 天翼云服务团队

本章节向您主要介绍什么是VPN连接、VPN连接的组成部分以及如何访问VPN连接服务。 产品概述 虚拟专用网络（Virtual Private Network，以下简称VPN），用于在企业用户本地网络、数据中心与天翼云云上网络之间搭建安全、可靠、高性价比的加密连接通道。 VPN由VPN网关、对端网关和VPN连接组成。 VPN网关提供了VPC的公网出口，与用户数据中心的对端网关对应。 VPN连接通过加密技术，将VPN网关与对端网关相关联，使数据中心与VPC通信，更快速、更安全地构建混合云环境。 组成部分 VPN网关 ：虚拟专用网络在天翼云上的虚拟网关，与用户本地网络、数据中心的对端网关建立安全私有连接。 对端网关 ：用户数据中心的VPN设备或软件应用程序。控制台上创建的对端网关是云上虚拟对象，用于记录用户数据中心实体设备的配置信息。 VPN连接 ：VPN网关和对端网关之间的安全通道，使用IPsec协议对传输数据进行加密。 访问方式 VPN服务提供了Web化的服务管理平台，即管理控制台。用户可以登录管理控制台访问VPN服务。 如果用户已注册帐户，可直接登录管理控制台，在主页选择“网络 > VPN”。 如果未注册，可先注册天翼云账号后，再使用VPN服务。 约束与限制 VPN服务仅支持VPN网关与对端网关间通过IPSec协议建立安全通道，从而进行点对点通信，不支持SSL VPN能力。 VPN仅支持建立非跨境连接，不支持建立跨境连接。

本节介绍云下一代防火墙到到期与欠费。 到期 云下一代防火墙到期后，请在3个工作日内完成续订，否则无法正常使用。 注意 所有在云下一代防火墙后挂载运行的业务均会有业务中断的风险，业务中断的风险及影响还请用户根据自身业务自行评估；云墙到期1天后会锁定配置，无法进行配置变更和运维处理。 欠费 另外当使用时长超出购买时长时，即属于欠费状态。 欠费后，系统会回收云下一代防火墙安全产品，上述产品中的所有配置和信息均无法恢复。 建议 请到期后立刻申请续订，按照官网流程提供续订申请； 如遇紧急业务故障，请将弹性IP解绑回业务主机进行业务恢复。

Web应用防火墙的防护准确性如何？ 天翼云Web应用防火墙采用智能语义分析、机器学习、云端威胁情报联动、行为分析、云端高防等五大引擎联动的方式进行攻击防护，防护准确率高、误报率低。 天翼云语义分析相比传统规则库方式的优势是什么？ 传统规则库采用正则规则库的形式对攻击特征进行匹配，存在检出率低、误报率高、性能消耗过多、规则库维护成本高、无法防御未知攻击等劣势，而天翼云语义分析结合词法分析、语法分析、语义分析三个处理逻辑进行攻击检测，能在不占用过多系统性能的同时，相比传统方式提高检出率、降低误报率。 Web应用防火墙是否支持IPv6？ 支持。 本身天翼云Web应用防火墙中的保护站点可填写IPv6， 也可转发IPv6流量，同时Web应用防火墙自身管理口地址可填写IPv6。 Web应用防火墙是否支持长连接？ 支持。保护站点中可以设置开启长连接。 Client请求包的源端口，经过Web应用防火墙，是否被改变？ 会被改变。 Web应用防火墙的透明代理及反向代理属于7层代理机制，当Client的源端口请求包送达后，Web应用防火墙从后端链路接口转发给Server， 此时Server收到的请求包源端口是Web应用防火墙的源端口。

本文介绍了云防火墙（原生版）的系统类常见问题。 云防火墙（原生版）在天翼云网络中的位置是什么？ 如下图所示，云防火墙一般和DDoS防护系统、Web应用防火墙、数据中心网络、日志服务、SOC等一起组合使用，但也可以独立部署。DDoS防护系统、Web应用防火墙和云防火墙组成从外到内的三道屏障，云防火墙重点防护用户VPC的网络边界。云防火墙产生的日志通过日志服务来收集和对外展示，通过SOC整合汇聚（包括云防火墙在内的）各安全设备的日志和安全告警等，并结合外部威胁情报，可以提高安全数据利用率并挖掘潜在威胁，对抗愈发复杂的攻击手段与高级可持续威胁。 云防火墙（原生版）是否可以防护非天翼云上的资产？ 防火墙仅能防护天翼云账号下的 IP 资产，不支持非天翼云的资产。 云防火墙（原生版）支持防护哪些资产类型？ 目前只支持VPC内云主机资产所绑定公网IP的防护。 云防火墙互联网边界带宽会限制流量吗？ 云防火墙不会限制流量。 业务带宽超峰值带宽限制，会对我有业务影响么？ 如果公网流量大于购买的云防火墙边界带宽，则云防火墙不承诺对超出带宽的流量进行防护。对超出部分的流量，我们会做放行处理。

二、安装客户端 1）自动安装客户端 a）天翼云云主机 使用条件 1. 天翼云云主机支持一键安装客户端。 2. 需完成天翼云云主机同步。 操作步骤 1. 登录天翼云，进入控制中心。 2. 单击管理控制台左上角的，选择区域。 3. 在服务列表选择“计算”“多活容灾服务”，进入多活容灾服务控制台。 4. 点击左侧菜单栏“资源同步管理”“数据源”“客户端管理”，进入客户端管理列表页。 5. 在列表上方下拉菜单中选择需要进行操作的命名空间。 6. 点击操作列“安装客户端”按钮，确认安装须知后，点击“确定"按钮，进行drnode客户端安装。 b）非天翼云云主机 使用条件 1. 非天翼云云主机提供drnode客户端安装脚本供用户手动执行。 2. 需完成非天翼云云主机同步。 操作步骤 1. 登录天翼云，进入控制中心。 2. 单击管理控制台左上角的，选择区域。 3. 在服务列表选择“计算”“多活容灾服务”，进入多活容灾服务控制台。 4. 点击左侧菜单栏资源同步管理”“数据源”“客户端管理”，进入非天翼云云主机列表页。 5. 在列表上方下拉菜单中选择需要进行操作的命名空间。 6. 点击操作列“安装客户端”按钮，目前提供“公网”和“专线”的网络类型，根据当前网络情况并选择相关属性后，可复制安装命令，到三方主机中执行脚本，完成drnode安装。