CC攻击防护规则支持通过限制单个IP/Cookie/Referer访问者对防护网站上特定路径（URL）的访问频率，精准识别CC攻击以及有效缓解CC攻击。当您配置完CC攻击防护规则并开启CC攻击防护后，WAF才能根据您配置的CC攻击防护规则进行CC攻击防护。 CC攻击防护规则可以添加引用表，引用表防护规则对所有防护域名都生效，即所有防护域名都可以使用CC攻击防护规则的引用表。 前提条件 已添加防护网站。 约束条件 添加或修改防护规则后，规则生效需要等待几分钟。规则生效后，您可以在“防护事件”页面查看防护效果。 当“逻辑”关系选择“包含任意一个”、“不包含所有”、“等于任意一个”、“不等于所有”、“前缀为任意一个”、“前缀不为所有”、“后缀为任意一个”或者“后缀不为所有”时，需要选择引用表，创建引用表的详细操作请参见创建引用表。 操作步骤 步骤1 登录管理控制台。 步骤2 单击管理控制台右上角的，选择区域。 步骤3 单击页面左上方的，选择“安全 > Web应用防火墙（独享版）”。 步骤4 在左侧导航树中，选择“防护策略”，进入“防护策略”页面。 步骤5 单击目标策略名称，进入目标策略的防护配置页面。 步骤6 在“CC攻击防护”配置框中，用户可根据自己的需要更改“状态”，单击“自定义CC攻击防护规则”，进入CC防护规则配置页面。 步骤7 在“CC防护”规则配置页面左上角，单击“添加规则”。 步骤8 在弹出的对话框中，根据表配置CC防护规则。 CC防护规则参数说明 参数 参数说明 取值样例 规则描述 可选参数，设置该规则的备注信息。 限速模式 “IP限速”：根据IP区分单个Web访问者。 “用户限速”：根据Cookie键值或者Header区分单个Web访问者。 “其他”：根据Referer（自定义请求访问的来源）字段区分单个Web访问者。 说明 选择“其他”时，“Referer”对应的“内容”填写为包含域名的完整URL链接，仅支持前缀匹配和精准匹配的逻辑，“内容”里不能含有连续的多条斜线的配置，如“///admin”，WAF引擎会将“///”转为“/”。 例如：若用户不希望访问者从“www.test.com”访问网站，则“Referer”对应的“内容”设置为“ 用户标识 “限速模式”选择“用户限速”时，需要配置此参数： 选择Cookie时，设置Cookie字段名，即用户需要根据网站实际情况配置唯一可识别Web访问者的Cookie中的某属性变量名。用户标识的Cookie，不支持正则，必须完全匹配。 例如：如果网站使用Cookie中的某个字段name唯一标识用户，那么可以用name字段来区分Web访问者。 选择Header时，设置需要防护的自定义HTTP首部，即用户需要根据网站实际情况配置可识别Web访问者的HTTP首部。 name 限速条件 单击“添加”增加新的条件，至少配置一项条件，最多可添加30项条件，多个条件同时满足时，本条规则才生效。 字段 子字段：当“字段”选择IPv4、IPv6、Cookie、Header、Params时，请根据实际需求配置子字段。子字段的长度不能超过2048字节。 内容：输入或者选择条件匹配的内容。 逻辑：在“逻辑”下拉列表中选择需要的逻辑关系。 说明 当“逻辑”关系选择“包含任意一个”、“不包含所有”、“等于任意一个”、“不等于所有”、“前缀为任意一个”、“前缀不为所有”、“后缀为任意一个”或者“后缀不为所有”时，需要选择引用表，创建引用表的详细操作请参见创建引用表。 “路径”包含“/admin/” 限速频率 单个Web访问者在限速周期内可以正常访问的次数，如果超过该访问次数，Web应用防火墙服务将根据配置的“防护动作”来处理。 10次/60秒 防护动作 当访问的请求频率超过“限速频率”时，可设置以下防护动作： 人机验证：表示超过“限速频率”后弹出验证码，进行人机验证，完成验证后，请求将不受访问限制。人机验证目前支持英文。 阻断：表示超过“限速频率”将直接阻断。 动态阻断：上一个限速周期内，请求频率超过“限速频率”将被阻断，那么在下一个限速周期内，请求频率超过“放行频率”将被阻断。 仅记录：表示超过“限速频率”将只记录不阻断。可下载防护事件数据数据查看域名的防护日志。 阻断 放行频率 当“防护动作”选择“动态阻断”时，可配置放行频率。 如果在一个限速周期内，访问超过“限速频率”触发了拦截，那么，在下一个限速周期内，拦截阈值动态调整为“放行频率”。 “放行频率”小于等于“限速频率”。 说明 当“放行频率”设置为0时，表示如果上一个限速周期发生过拦截后，下一个限速周期所有的请求都不放行。 8次/60秒 阻断时长 当“防护动作”选择“阻断”时，可设置阻断后恢复正常访问页面的时间。 600秒 阻断页面 当“防护动作”选择“阻断”时，需要设置该参数，即当访问超过限速频率时，返回的错误页面。 当选择“默认设置”时，返回的错误页面为系统默认的阻断页面。 当选择“自定义”，返回错误信息由用户自定义。 自定义 页面类型 当“阻断页面”选择“自定义”时，可选择阻断页面的类型“application/json”、“text/html”或者“text/xml”。 text/html 页面内容 当“阻断页面”选择“自定义”时，可设置自定义返回的内容。 不同页面类型对应的页面内容样式： text/html：Forbidden application/json：{"msg": "Forbidden"} text/xml： Forbidden 步骤9 单击“确认”，添加的CC攻击防护规则展示在CC规则列表中。 规则添加成功后，默认的“规则状态”为“已开启”，若您暂时不想使该规则生效，可在目标规则所在行的“操作”列，单击“关闭”。 若需要修改添加的CC攻击防护规则时，可单击待修改的CC攻击防护规则所在行的“修改”，修改CC攻击防护规则。 若需要删除用户自行添加的CC攻击防护规则时，可单击待删除的CC攻击防护规则所在行的“删除”，删除CC攻击防护规则。

云下一代防火墙可以进行日志查询,日志启用需登录云下一代防火墙web界面进行配置。 本页面仅列出常规使用配置，其他配置请参考运维人员操作指南下载查询。 操作方法 1.打开菜单栏，【监控→日志→日志管理】，开启对应功能日志记录功能。 2.可进行对应日志查询。

本节主要介绍如何使用API查询升级进度。 此操作用来查询升级进度。 请求语法 plaintext GET /rest/v1/system/upgrade HTTP/1.1 Date: date Host: ip:port Authorization: authorization 响应结果 名称 类型 描述 status String HBlock服务升级状态： NotUpgrated：未进行过升级。 Preparation：正在准备升级。 Processing：正在升级。 Succeeded：升级成功。 Failed：升级失败。 Interrupted：升级中断。 Unknown：未知。 progress String 升级进程详细信息。 targetVersion String 目标升级版本。 startTime Long 本次升级开始时间，unix时间戳（UTC），精确到毫秒。 lastEndTime Long 上次升级结束时间，unix时间戳（UTC），精确到毫秒。 请求示例 查看HBlock服务升级进度。 plaintext GET /rest/v1/system/upgrade HTTP/1.1 Date: Wed, 11 Mar 2026 06:07:50 GMT Host: 192.168.0.65:1443 Authorization: HBlock userName:signature 响应示例 plaintext HTTP/1.1 200 OK xhblockrequestid: 1f4eb8ed32764e08b8cbc00252385fa4 Date: Wed, 11 Mar 2026 06:07:50 GMT ContentType: application/json; charsetutf8 ContentLength: 1326 Connection:keepalive Server: HBlock { "data": { "status": "Processing", "progress": "Server info:nhblock1, 192.168.0.65, songt0004nhblock2, 192.168.0.64, k8smasternhblock3, 192.168.0.67, songt0006nn20260311 14:04:45 CST+0800 [Step 1/5] Checking for system status...n20260311 14:04:45 CST+0800 Checking system infon20260311 14:04:46 CST+0800 Checking data statusnn20260311 14:04:46 CST+0800 [Step 2/5] Uploading update files...nr20260311 14:04:49 CST+0800 Upload [100%] for hblock1

本小节介绍服务器安全卫士Agent安装 Linux 版本安装。 步骤 1：选择操作系统 选择 Linux 操作系统时，环境需求如下图所示： 支持主流 64 位 Linux 版本： Oracle：5、6、7 RHEL：5、6、7 CentOS：5、6、7、8 Ubuntu：1019 SUSE：915 Debian：6、7、8、9、10 OpenSUSE：1015 NeoKylin（中标麒麟）：6、7 YHKylin（银河麒麟）：4 Redflag（红旗）：9 Deepin（深之度）：15 iSoft（普华）：4 系统安装 Curl 程序，且版本不低于 7.10；（Curl 为下载器） 系统启动 Cron 定时任务服务 openssl 版本不低于 0.9.8o 直连主机的防火墙需确保可与青藤服务器通信通信要求 代理连接的主机需连通管理服务器的 sock5 代理服务 当系统不允许使用 Crontab 任务时，系统常见问题中给出了解决方法，见下图所示： 步骤 2：设置主机信息 通信协议：支持 IPv4 和IPv6 连接方式：支持直连和代理连接 主机所属业务组：可以选择安装 Agent 主机所属的业务组。可点击快捷链接主机管理，跳转到业务组界面进行业务组管理。 代理连接的主机必须确保与服务器安全卫士可通信。 代理地址填写时，可输入“域名:端口”或“IPv4 代理 IP:端口”。示例：

主机标签设置 可以新建，编辑，删除标签。通过标签速过滤主机。 移动业务组 可以单击操作那一栏中的“移出”按钮，移动某个主机所属业务组；也可以勾选复选框，点击右上角“移出”，批量移动主机的所属业务组。 规则设置 通过规则设置，可自动将某类主机进行部分操作，包括移动业务组、打标签、编辑运维信息等。 点击界面上的 “规则设置”按钮，进入主机规则列表。 新建规则 点击新建规则，将进入“新建规则”界面： 条件列表：主机名中包含、主机 IP 在以下范围内。只有同时满足所有输入的条件时，才会执行所选操作。 执行操作：移动到业务组、标记标签、标记资产等级、修改主机负责人、修改主机负责人的邮箱、修改主机所在机房、修改主机的备注。 规则范围：选择该规则适用的主机范围，可选择全部主机，或通过业务组进行筛选。 描述：规则描述。 执行规则 点击执行规则，将依次执行当前列表中的所有规则。 说明 则根据当前列表中的排序执⾏，排在最上⾯的规则最后执⾏。 当两个规则的条件范围发⽣冲突时，后执⾏的规则将覆盖先执⾏的规则。 规则默认按照创建时间降序排列，您也可以点击每⾏规则上的“移动”,可对规则进⾏上移、下移操作。该操作将会影响规则执⾏的先后顺序。

本节主要介绍如何使用API清空卷。 此操作用来清空卷。 注意 如果克隆卷执行清空所有卷数据及卷对应的快照，会变成独立卷。 卷处于Wiping、WipeFailed状态时，不支持读写。 清空卷前须先logout断开客户端连接，否则在卷状态恢复Normal前将无法断开客户端连接。 请求语法 plaintext PUT /rest/v1/block/lun/lunName/wipe HTTP/1.1 Date: date ContentType: application/json; charsetutf8 ContentLength: length Host: ip:port Authorization:authorization { "scope":scope } 请求参数 参数 类型 描述 是否必须 lunName String 指定需要清空的卷的名称。 取值：长度范围是1~16，只能由字母、数字和短横线（）组成，字母区分大小写，且仅支持以字母或数字开头。 是 scope String 指定清空卷的数据范围。 取值： All：清空所有卷数据及卷对应的快照。 注意 如果卷存在关联的克隆卷，不能执行清空所有卷数据及卷对应快照的操作。 NoSnapshot：清空卷数据，保留卷对应的快照。后续可以使用卷快照进行卷回滚、或者导出备份。 注意 克隆卷不能执行仅清空卷数据保留对应快照的操作。 默认值为All。 否 请求示例1 清空卷lun01，包括卷数据及对应的快照。 plaintext PUT /rest/v1/block/lun/lun01/wipe HTTP/1.1 Date: Fri, 12 Dec 2025 03:31:37 GMT ContentType: application/json; charsetutf8 ContentLength: 25 Authorization: HBlock userName:signature Host: 192.168.0.64:1443 { "scope": "All" }

本节主要介绍如何使用API批量查询软件许可证信息。 批量查询软件许可证信息，信息包括软件许可证的record信息以及usage信息： record信息：购买记录的信息。 usage信息：软件许可证在不同时间段内的对应的容量和状态信息。 请求语法 plaintext GET /rest/v1/system/license?filterfilter&rangeij&showshow HTTP/1.1 Date: date ContentType: application/json; charsetutf8 ContentLength: length Host: ip:port Authorization:authorization 请求参数 名称 类型 描述 是否必须 filter String 设置查询的过滤条件。 过滤条件由查询属性和属性值组成，其中属性和属性值之间用单个冒号分隔（key:value）表示模糊匹配，用两个冒号分隔（key::value）表示精确匹配。可以选择多个查询，如果是或的关系，使用“or”将查询条件分隔开；如果是与的关系，使用“and”将查询条件分隔开。 支持的查询类型包括： licenseId：软件许可证ID。 status：软件许可证的状态： Effective：已生效。 Expired：已过期。 Invalid：无效。 type：软件许可证的购买类型： Subscription：订阅模式。 Perpetual：永久许可模式。 否 range String 查询范围，格式：ij，其中i,j是正整数，i小于j，ji<1000。按照license的购买时间由新到旧降序排列，返回第i个到第j个软件许可证。 如果输入的查询范围超过软件许可证的总个数，那么返回空结果集。 如果不输入range参数，那么返回所有软件许可证。 否 show String 查询的输出结果，支持的输出结果包括record, usage。 如果不填写，就是默认两个信息都输出。 否

本节主要介绍如何使用API设置卷的扩展属性。 此操作用来设置指定卷的扩展属性（Extended Attributes，简称xattr）。 注意 卷状态为Deleting、DeleteFailed状态时，不允许修改卷的xattr。 卷无Active IQN时，不允许修改卷的xattr。 请求语法 plaintext PUT /rest/v1/block/lun/lunName/xattr HTTP/1.1 Date: date ContentType: application/json; charsetutf8 ContentLength: length Host: ip:port Authorization:authorization { "action": "update", "xattrKey":xattrKey, "xattrValue": { xattrInnerKey1: xattrInnerKeyValue1, xattrInnerKey2: xattrInnerKeyValue2, …… } } 请求参数 参数 类型 描述 是否必须 lunName String 指定要设置扩展属性的卷名称。 取值：长度范围是1~16，只能由字母、数字和短横线（）组成，字母区分大小写，且仅支持以字母或数字开头。 是 action String 操作类型。 取值：update：修改单个卷的扩展属性。即更新xattrValue中的KV对（innerKey 和innerValue），不存在的KV对按照入参执行新增，存在的KV对按照入参执行更新。 是 xattrKey String 指定卷的扩展属性的key值。 取值： OPENSTACKMETA：定义卷的Openstack扩展属性。 CUSTOM：用户自定义卷的扩展属性。 是 xattrValue Object 卷的扩展属性的Value，为json对象格式，长度不超过262144 bytes，详见“表1 请求参数xattrValue说明”。 是 表1 请求参数xattrValue说明 参数 类型 描述 是否必须 xattrInnerKey String xattrValue中的Key值。 取值：长度范围是1~500，只能由字母、数字、汉字和特殊字符(~ ! @ $ ( ) + ; . :)组成，特殊符号需转义。 是 xattrInnerKeyValue String xattrValue中Key的Value值。 取值：长度不超过255 bytes的字符串。 是

本文介绍OpenClaw(原 Clawdbot)安装Skill 技能操作指南。 前置说明 1.该文档为介绍通过应用托管应用市场体验OpenClaw 安装Skill技能操作指南内容。 2.本产品中的应用由第三方主体提供，尽管天翼云已尽最大努力进行识别和维护，但仍无法保证应用的可用性。请客户按照该产品的服务协议使用该产品，做好甄别工作，并对自行选择的服务承担相应责任。 概述 OpenClaw 的 Skill 技能是平台拓展专属能力的模块，通过安装 Skill 可实现定制化的业务需求与功能拓展。天翼云应用托管环境下的 OpenClaw 支持三种 Skill 安装方式，可分别实现技能商店技能快速安装、控制台手动安装及自定义开发 Skill 部署，以下为详细操作步骤。 重要：OpenClaw 为开源 AI 助手，请在使用前充分评估其安全性与稳定性并严格遵循许可协议，以切实保障您的系统环境与数据安全。 1. 请避免在 OpenClaw 中绑定生产级敏感账号。如需使用 API 服务，建议使用受限的 API Key 或临时 Token，并建立定期轮换机制，以降低密钥泄露带来的风险。 2. 建议优先使用天翼云官方提供的skills与插件，避免安装来源不明的第三方技能，防止恶意代码注入。 3. 请通过密码或 Token 对 OpenClaw 服务进行访问授权，严格限制访问 IP 范围，避免公网暴露，拦截非授权访问请求。 4. 建议启用详细的日志记录与行为监控，对操作行为和数据处理过程进行持续审计，及时发现并处置异常行为。

本小节介绍证书管理服务证书审核类常见问题。 证书签发失败有哪些常见原因？ 1.当前域名存在 CAA 解析记录 问题现象： 域名管理员设置了CAA解析记录来授权指定的CA机构为其颁发SSL证书，CA机构在颁发SSL证书时会检测域名CAA记录，如果发现未获得授权，将拒绝为该域名颁发SSL证书。 解决办法： 域名管理员前往域名解析平台将CAA解析记录删除或将证书CA机构名称加入CAA解析记录，操作完成后等待CA重新验证。 2.文件验证，域名站点未支持境外访问 问题现象： 申请证书对应的域名的网站限制海外访问，由于国际证书的CA审核机构基本是海外机构，CA机构无法进行文件验证扫描审核，导致证书签发失败。 解决办法： 请确保Web网站端口号设置为80或443，所有地区均能匹配到验证值。如应用服务器限制境外访问，需要将CA机构的IP加入访问白名单，证书颁发完成或域名信息审核通过后，即可还原访问策略以及删除验证文件。 3.证书申请涉及高风险，已进行人工复核 问题现象： 您申请的证书未通过证书的签发机构风控系统检测，可能原因：绑定的域名疑似涉及行业品牌、行业商标、违禁词等风控敏感词。所以该证书进入人工复审阶段。 解决办法： 耐心等待人工复审结果，如未审核通过，可更换域名重新申请。如无法更换域名可选购企业型（OV）、增强型（EV）证书，OV/EV证书会进行企业信息审核，审核通过后即可正常签发证书。

本节主要介绍如何使用API删除向智维平台推送告警的配置。 此操作用来删除向智维平台推送告警的配置。 请求语法 plaintext DELETE /rest/v1/system/config/ctyuncms HTTP/1.1 Date: date ContentType: application/json; charsetutf8 ContentLength: length Host: ip:port Authorization: authorization { "url":url, "labels": [ "key1", "key2", "key3", ... ] } 请求参数 参数 类型 描述 是否必须 url String 智维平台第三方告警的推送地址。 是 labels Array of string 指定要删除的标签信息。 注意 idc和mid不能删除。 说明 如果未指定，说明删除指定智维平台的所有推送告警配置信息。 取值："key"。 否 请求示例1 删除智维平台 plaintext DELETE /rest/v1/system/config/ctyuncms HTTP/1.1 Date: Mon, 27 May 2024 01:50:30 GMT ContentType: application/json; charsetutf8 Authorization: HBlock userName:signature ContentLength: 122 Host: 192.168.0.110:1443 { "url": " "labels": [ "oos", "ctyun" ] } 响应示例1 plaintext HTTP/1.1 200 OK xhblockrequestid: 7751e86299ef429494747eaad551b2ed Connection: keepalive Date: Mon, 27 May 2024 01:50:30 GMT Server: HBlock 请求示例2 删除智维平台 plaintext DELETE /rest/v1/system/config/ctyuncms HTTP/1.1 Date: Mon, 27 May 2024 01:58:10 GMT ContentType: application/json; charsetutf8 Authorization: HBlock userName:signature ContentLength: 63 Host: 192.168.0.110:1443 { "url": " }

本文主要介绍WAF功能。 高级访问控制 可针对IP, IP段, URI, CI, METHOD, 请求地区，请求参数，请求头部，请求协议进行组合，设置白名单和黑名单，对请求进行拦截和放行，保证客户网站不受未知访问。 高级访问限速 通过配置IP, URL, ARGS, HEADER, COOKIE, UA, CI等粒度，进行访问次数限制，防止客户资源被过度消耗。 请求合规检测 请求方法检测：只允许指定请求方法访问网站。 请求协议检测：只允许指定协议版本访问网站。 请求头部缺失检测：请求缺少指定头部禁止访问网站。 数据重复检测：针对头部重复，参数重复进行拦截，禁止访问网站。 请求数据长度限制：针对请求URL,头部参数进行长度限制，禁止访问网站。 Web漏洞防护 针对请求数据进行漏洞检测，对异常数据进行拦截，防止攻击请求到达源站。 批量注册 通过对注册URL访问数量统计，进行阈值拦截，防止网站注册链接被恶意请求，造成正常客户无法使用。 暴力破解 对采用暴利破解的防护连接进行请求量统计，达到阈值数量后进行拦截，避免用户密码被破解，造成信息泄露。 Web挖矿 通过检测网页上的挖矿信息，进行清理，移除异常数据，保证客户机器安全。 广告防护 通过对页面插入js进行检测，并对检测到的广告进行清除或者记录告警日志处理，使展示给用户的界面没有广告，同时可以针对检测出来的广告进行离线分析。 支持对广告配置白名单功能，针对特定的广告不进行清除与告警处理，满足客户的定制需求。

本章主要介绍ALM12001 审计日志转储失败 。 告警解释 根据本地历史数据备份策略，集群的审计日志需要转储到第三方服务器上。系统每天零晨3点开始周期性检测转储服务器，如果转储服务器满足配置条件，审计日志可以成功转储。审计日志转储失败，系统产生此告警。如果第三方服务器的转储目录磁盘空间不足，或者用户修改了转储服务器的用户名、密码或转储目录，将会导致审计日志转储失败。 告警属性 告警ID 告警级别 是否自动清除 12001 次要 是 告警参数 参数名称 参数含义 来源 产生告警的集群或系统名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 对系统的影响 系统本地最多只能保存50个转储文件，如果该故障持续存在于转储服务器，本地审计日志可能丢失。 可能原因 网络连接异常。 转储服务器的用户名、密码或转储目录不满足配置条件。 转储目录的磁盘空间不足。 处理步骤 检查网络连接是否正常 1. 在FusionInsight Manager界面，选择“审计 > 配置”，进入审计日志转储配置页面。 2. 查看转储配置页面中当前的SFTP IP值是否合法有效。 以root 用户登录到任一管理节点，执行ping命令检查SFTP服务器和集群之间的网络连接是否正常。 是，执行步骤5。 否，执行步骤3。 3. 修复网络连接，然后重新配置SFTP服务端密码，单击“确定”，重新下发一次配置。 4. 2分钟后，查看告警列表中，该告警是否已清除。 是，处理完毕。 否，执行步骤5。

接口描述：调用本接口查询所有的运营商信息。 请求方式：get 请求路径：/auxiliarytools/queryisplist 使用说明： 单个用户一分钟限制调用10000次，并发不超过100 请求参数说明（json）： 无 返回参数说明： 参数 类型 是否必传 名称及描述 code int 是 状态码 message string 是 描述信息 result list 是 返回结果数组 result[].ispid int 是 运营商ID result[].ispcode int 是 运营商编码 result[].ispcnname string 是 运营商中文名称 result[].ispenname string 是 运营商英文名称 result[].ispaddr string 是 运营商缩写 示例： 请求路径： 示例1： 请求参数： 无 返回结果： { "code": 100000, "message": "success", "result": { "ispid": 10000, "ispabbr": "CTC", "ispcode": 1, "ispenname": "DianXin", "ispcnname": "中国电信" }, { "ispid": 10001, "ispabbr": "CUC", "ispcode": 2, "ispenname": "LianTong", "ispcnname": "中国联通" }, { "ispid": 10002, "ispabbr": "CMC", "ispcode": 3, "ispenname": "YiDong", "ispcnname": "中国移动" }, { "ispid": 10003, "ispabbr": "CRC", "ispcode": 4, "ispenname": "TieTong", "ispcnname": "中国铁通" }, { "ispid": 10004, "ispabbr": "EDU", "ispcode": 5, "ispenname": "JiaoYuWang", "ispcnname": "教育网" 错误码请参考：[API返回参数code和message含义

本小节介绍Web应用防火墙网站基础防护最佳实践。 基础防护配置是基于中国电信多年Web安全防护经验的策略与规则集，全面覆盖OWASP TOP10攻击防护，包括SQL注入、XSS，应用漏洞攻击等常见的Web攻击。 您可以根据网站的实际情况对基础防护规则进行调整，包括但不限于开关网站的安全防护、调整防护模式为阻断或预警、调整防护等级、调整应用对象相关的安全策略、调整基于攻击类型的攻击特征的防护状态和防护模式。 Web应用防火墙为您提供724的技术支持服务，在基础防护配置调整的过程中产生任何问题或疑问都可以通过客户响应快速获得技术支撑。 防护模式： 为了更好的适配您的业务，基础防护模式分为阻断状态和预警，接入防护后默认为阻断状态 ，您可以在平台通过各项规则管理进行系统化定制。 阻断会直接拦截被判定为非法请求的相关数据包。 预警仅会记录非法请求，但是不会进行阻断。 配置建议： 如果用户对网站的相关配置或相关安全配置不尽了解，则推荐采用默认的中等防护等级和阻断模式。 如果用户对安全性需求较高则推荐采用高级防护等级，在采用高级防护等级时，推荐您先使用预警模式观察数周安全规则对网站产生的影响，并根据观察结果对安全规则进行微调，以免严格的安全策略导致产生大量误拦截对网站业务造成影响。

本文介绍准入管控的功能和配置方法。 功能说明 针对企业管理要求，通过不同维度设置准入条件，仅满足准入条件的用户才可通过认证登录成功，进入内网访问，保障其企业安全性。 配置说明 主要常用策略条件如下： 是否开启指定软件：如内置防火墙是否开启、是否运行指定的杀毒软件等。 访问行为是否异常：根据用户平时行为进行记录分析，判断是否存在异常，如是否在异常时间登录、异常地点、异常的访问IP地址等。 终端环境是否符合企业要求：根据设定的终端环境条件进行判断，如mac地址、IP地址、访问地点、访问时间等。 支持配置对应的策略生效范围，可选按用户范围，按组织范围，按用户组范围三种模式进行范围圈选。 支持配置对应的策略处置动作，若检测到策略范围内的账号匹配到对应的准入管控策略，将实时下发处置动作到对应账号设备。 该功能暂不支持客户自助配置，如需使用，请通过提交工单给天翼云客服进行处理。

本章节主要介绍云搜索服务如何进行日志管理。 为了方便用户使用日志定位问题，云搜索服务提供了日志备份和日志查询功能。用户可以将集群的日志备份在OBS桶中，然后通过OBS可以直接下载需要的日志文件，进行问题分析定位。 开启日志管理 1.登录云搜索服务管理控制台。 2.在“集群管理”页面，单击需要配置日志备份的集群名称，进入集群基本信息页面。 3.选择“日志管理”，在“日志管理开关”右侧单击开关，打开集群的日志管理功能。 表示关闭日志管理功能，表示打开日志管理功能。 4.（可选）打开日志管理功能后，云搜索服务会自动为客户创建OBS桶、备份路径和IAM委托，用于日志备份。自动创建的OBS桶、备份路径和IAM委托将直接展示在界面中。如果您不希望使用自动创建的OBS桶、备份路径和IAM委托，您可以在“日志备份配置”右侧单击进行配置。 在修改基础配置弹出框中，您可以在下拉框中选择您账户下已有的OBS桶和IAM委托，或者通过“创建桶”和“创建委托”链接重新创建。 参数说明 参数 说明 注意事项 “OBS桶” 日志存储的OBS桶的名称。 创建或者已存在的OBS桶需满足“区域”必须跟创建集群的区域保持一致。 “备份路径” 日志在OBS桶中的存放路径。 备份路径配置规则： 备份路径不能包括下列符号：:?"<>l。 备份路径不能以“/”开头。 备份路径不能以“.”开头或结尾。 备份路径的总长度不能超过 1023 个字符。 “IAM委托” 指当前账户授权云搜索服务访问或维护存储在OBS中数据。 创建或者已存在的IAM需满足如下条件： “委托类型”选择“云服务” “云服务”选择“Elasticsearch”。 设置当前委托具备“全局服务”中“对象存储服务”项目的“OBS Administrator”权限。 说明 如果是子账户，需要同时设置GetBucketStoragePolicy、GetBucketLocation、ListBucket权限，才能看到OBS桶。 5.日志备份。 a. 自动备份日志。 在“自动备份开关”右侧，单击开关，开启自动备份日志功能。 表示打开自动备份日志功能，表示关闭自动备份日志功能。 开启“自动备份开关”后，在“修改日志备份策略”页面修改“备份开始时间”。设置成功后，系统会按照设置的时间进行自动备份。 b. 手动备份日志。 单击“日志备份”下面的“开始备份”，在弹出的确认提示框中，单击“确定”，开始备份日志。 日志备份列表中的“任务状态”为“SUCCESS”时，表示日志备份成功。 说明 云搜索服务会把集群中当前的所有日志全部复制到指定的OBS路径中，用户可以在自己的OBS桶对应的路径中直接查看或者下载日志文件。 6.日志查询。 用户可以根据集群的节点，日志类型，日志级别信息查询集群各个节点的日志信息。可查询的日志类型包括：运行日志、慢索引日志、慢查询日志、废弃操作日志。查询日志时，是从最近时刻的1万条日志中进行匹配，查询结果最多显示100条。 在“日志查询”页面，选择需要查询的节点，日志类型，日志级别信息后，单击，显示查询结果。

参数 描述 名称 规则名称，长度为164字符，以大小写字母或中文开头，可包含数字、"."、""、""。 添加规则 可以自定义创建规则，也可以从已有访问控制导入。 企业项目 企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。

本章节介绍如何开启云原生API网关的ipv6访问 概述 云原生API网关支持通过ipv6地址访问。 前提条件 网关实例所在的vpc子网需要开启ipv6配置 操作步骤 1. 登录云原生API网关控制台，并在顶部菜单栏选择地域。 2. 在左侧导航栏，选择实例，在实例列表目标实例的更多操作中点击开启IPv6访问。 3. 阅读弹窗提示（确认开启IPV6访问：testinstance，升级过程需要35分钟，请刷新实例列表获取实例的最新状态），点击确认。 4. 提交操作后，会进行变更检查，如果所在VPC子网未开启IPv6配置，则提示当前实例所属VPC未开启ipv6子网，此实例不支持启用ipv6，请先在此VPC上开启ipv6！

安全中心重置系统密码 忘记Windows系统密码时，安全中心点击"系统密码"进行重置系统密码。（适用于Windows桌面的Administrators账户） 悬浮球 控制中心点击“悬浮球”，快速开启悬浮球，开启后悬浮球将展示在桌面内。 音频设置 提示：仅Ubuntu客户端、安卓瘦终端支持音频设置。 控制中心点击“音频设置”，调出音频设置功能。 音频设置页面（Ubuntu客户端）。 AI云电脑配置 控制中心点击“AI云电脑配置”，查看AI云电脑的配置信息。 最小化 工具栏最小化功能仅支持Windows系统客户端、Mac客户端、国产化客户端。Ubuntu瘦终端，安卓瘦终端或安卓一体机显示为全屏模式，不支持最小化功能。

计费项 计费项说明 使用的计费模式 计费公式 实例费用 计费因子：代理规格和代理数量 包年/包月、按需计费 实例规格单价 代理数量 购买时长 存储空间费用 计费因子：云硬盘类型、容量大小 包年/包月、按需计费 云硬盘规格单价 单个代理存储大小 代理数量 购买时长

计费项 计费项说明 使用的计费模式 计费公式 实例费用 计费因子：代理规格和代理数量 包年/包月、按需计费 实例规格单价 代理数量 购买时长 存储空间费用 计费因子：云硬盘类型、容量大小 包年/包月、按需计费 云硬盘规格单价 单个代理存储大小 代理数量 购买时长

本文为您介绍当云硬盘配额不足时,如何申请扩大云硬盘资源配额。 操作场景 若当前云资源的配额无法满足您的实际业务需求，您可以申请扩大资源配额。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择地域，此处我们选择华东1。 3. 在此地域的资源页面右上角，点击“我的配额”图标，进入资源的服务配额页面。 4. 在服务配额页面的右上角，点击“申请扩大配额”，页面将跳转至“支持中心>新建工单>选择问题所属产品”页面。 5. 用户可在此页面中，点击“配额类”按钮，进入“选择问题类型”页面，在此页面，用户点击“配额申请>新建工单>去新建”按钮，出现“创建工单”页面。 6. 在此页面，用户根据界面提示，填写问题描述、机密信息、反馈邮件、反馈电话等真实信息，阐述清楚“扩大资源配额”的诉求，并说明申请扩大配额的原因，点击“确定提交”按钮。 7. 提交成功后，请您耐心等待天翼云工作人员回复与处理。

本文主要介绍云日志服务中如何管理数据加工任务。 本文介绍如何在云日志服务控制台上管理数据加工任务，包括查看任务详情与状态，修改、启动、停止和删除任务，设置告警等操作。 查看任务详情 1. 登录云日志服务控制台。 2. 左侧点击【日志加工】菜单，进入日志加工列表页面。 3. 在加工任务列表中，点击目标加工任务名称进入加工任务概览页面，即可查看加工任务各详情状态。 停止任务 对于状态为运行中的任务，您可在数据加工概览页面，单击停止，即可停止当前加工任务。 启动任务 对于状态为已终止的任务，您可在数据加工概览页面，单击启动，即可启动当前加工任务。 重新执行 任何状态的任务都支持重新执行。您可在在数据加工概览页面，点击重新执行按钮，数据加工任务将会重新执行。 修改加工规则 1. 在数据加工概览页面，点击修改规则按钮。 2. 在修改页面，您可根据需求修改数据加工规则，步骤请参考创建数据加工任务。 删除任务 在数据加工概览页面，点击删除，即可删除当前数据加工任务。

本文汇总了使用虚拟私有云产品时常见的使用通用类问题。 什么是配额？ 为防止资源滥用，平台限定了各服务资源的配额，对用户的资源数量和容量做了限制。如您最多可以创建多少个虚拟私有云。 如果当前资源配额限制无法满足使用需要，您可以申请扩大配额。 怎样查看我的配额？ 1. 登录管理控制台。 2. 单击页面右上角的“My Quota”图标。 系统进入“服务配额”页面。 3. 您可以在“服务配额”页面，查看各项资源的总配额及使用情况。 如果当前配额不能满足业务要求，请参考后续操作，申请扩大配额。 如何申请扩大配额？ 目前系统暂不支持在线调整配额大小。如您需要调整配额，请拨打热线或发送邮件至客服，客服会及时为您处理配额调整的需求，并以电话或邮件的形式告知您实时进展。 在拨打热线或发送邮件之前，请您准备好以下信息： 帐号名，获取方式如下： 登录云帐户管理控制台，在右上角单击帐户名，选择“我的凭证”，在“我的凭证”页面获取“帐号名”。 配额信息，包括：服务名、配额类别、需要的配额值。

资源包抵扣说明 您在使用资源包时，每个按需计费项所抵扣资源包额度（CU）的比例，与该计费项的按量付费的单价完全一致。如读写日志流量的按量付费价格为0.18元/GB，则每GB写日志流量，抵扣0.18CU的资源包额度。每个计费项的抵扣因子如下所示： 计费项 抵扣额度 日志存储量 0.0004792 CU/GB 日志读写流量 0.18 CU/GB 索引流量 0.35 CU/GB 如何购买 登录云日志服务控制台，在日志管理页面的右上角点击【资源包订购】，按照页面指引购买即可。 资源包续订 如您需要对资源包进行续订，可登录云日志服务控制台，点击右上角【资源包管理】进行续订操作。 资源包退订 如您需要对资源包进行续订，可登录云日志服务控制台，点击右上角【资源包管理】进行退订操作。退订相关规则请查看天翼云产品退订规则。

本文主要介绍保护Failover Cluster模式下的SQL Server。 当前云主机备份只支持单个虚拟机的一致性备份，对于集群数据库暂不支持，完整支持将在后续版本中推出。 在Failover Cluster模式下，SQL Server服务只在主节点上是启动的，故在创建云主机备份时，只需要将主节点加入策略进行备份。在主备发生切换后，及时调整策略，确保始终对主节点进行备份。在恢复时，请先停止所有备节点，然后还原主节点。

删除安全报告 1. 登录管理控制台。 2. 在左侧导航栏中，单击左上方的，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在左侧导航栏中，选择“系统管理> 安全报告”，进入“安全报告”页面。 5. 单击目标报告右下角的“删除”，删除报告信息。

本章节主要介绍云搜索服务如何删除集群。 当用户已完成数据搜索业务，无需继续使用某一集群时，可删除集群。删除集群时，集群创建的快照将保存在OBS桶中，不会被删除。 说明 由于集群删除后，数据无法恢复，请您谨慎操作。 操作步骤 1.登录云搜索服务管理控制台。 2.单击“集群管理”进入集群列表界面，在对应集群的“操作”列中单击“更多>删除”。 3.在弹出的确认提示框中，单击“确定”完成集群删除。

云主机放通互联网访问，首先设置应用控制策略。本小节介绍安全专区访问策略配置方法。 配置方法： 在【策略】→【访问控制】→【应用控制策略】→【策略汇总】→【新增】： 源 区域：选择“L3untrustA”。 地址：选择网络对象，勾选需要访问互联网的业务云主机对象。 目的 区域：选择“L3untrustA”。 地址：勾选网络对象，选择全部。 服务/应用：勾选服务，需访问的互联网服务端口可选择any全端口。

云审计服务记录了AntiDDoS相关的操作事件，方便用户日后的查询、审计和回溯。 云审计服务支持的AntiDDoS操作列表如下： 操作名称 事件名称 开启AntiDDoS防护 OPENANTIDDOS 修改AntiDDoS防护配置 UPDATEANTIDDOS 设置LTS全量日志配置 UPDATELTSCONFIG 更新租户的告警提醒配置情况 UPDATEALERTCONFIG 修改流量清洗阈值默认档位 UPDATEDEFAULTCONFIG 删除流量清洗阈值默认档位 DELETEDEFAULTCONFIG

工作负载高级设置 设置容器生命周期Yaml样例 任务管理 使用kubectl创建Job 使用kubectl创建CronJob 配置中心 使用kubectl创建配置项 使用kubectl创建密钥 存储管理 使用kubectl自动创建云硬盘 使用kubectl部署带云硬盘存储卷的工作负载