本文介绍加速区域的配置规则。 功能介绍 由于境内外的监管要求存在差异，不同的加速区域需要遵守当地的法律要求，天翼云视频直播支持“中国内地”、“全球（不含中国内地）”、“全球”三类，对应不同的要求详情请见：使用限制中的“加速域名准入条件”。 注意事项 只有提前开通加速区域为全球的视频直播业务，才能根据实际业务需要，在控制台进行加速区域的切换。 不同加速区域对应不同资费标准，详情请见：按需计费和资源包介绍。 配置说明 1. 登录直播控制台。 2. 单击左侧导航栏【域名管理】中的【域名列表】。 3. 在【域名列表】页面，找到目标域名加速区域列。 4. 单击右侧【变更区域】。 5. 单击【加速区域】中的选项，可实现不同加速区域的切换，例如，从“中国内地”变更为“全球”。 参数名 说明 中国内地 选择中国内地，表示全球用户的访问，均会被调度至分布在中国内地的节点。 加速域名请先完成在中国大陆的ICP备案，同时完成公安网备案。 全球（不含中国内地） 选择全球（不含中国内地），表示全球用户的访问，均会被调度至分布在中国澳门、中国台湾、中国香港以及其他国家和地区的节点。 由于加速区域不包含中国内地，加速域名无需完成在中国大陆的ICP备案和公安网备案。 全球 选择全球，表示全球用户的访问，均会被择优调度至最近的节点进行加速服务。 由于加速区域包含中国内地，加速域名请先完成在中国大陆的ICP备案，同时完成公安网备案。

本文介绍在使用Web应用防火墙（边缘云版）可能出现的问题和排查方法。 上传文件的正常请求被Web应用防火墙（边缘云版）拦截了怎么办？ 正常的上传请求被Web应用防火墙（边缘云版）拦截一般分为以下两种情况 Web应用防火墙（边缘云版）防护节点最大支持300MB的文件上传，当上传大于300MB的文件时就可能会上传失败。建议使用未接入Web应用防火墙（边缘云版）防护的域名上传或者通过FTP攻击上传。 通过浏览器POST请求上传文件时，文件内容会被转码后放在POST请求的body中上传，当转码后的文件出现匹配Web应用防火墙（边缘云版）规则的关键字内容时就有可能被Web应用防火墙（边缘云版）认为有恶意代码触发拦截。遇到这种情况建议将该URL加入到访问控制白名单的放行规则中。 出现登录状态丢失的情况如何解决？ 当接入Web应用防火墙（边缘云版）的域名存在多个源站时，多个源站之间要做登录session同步，不然有可能出现同一个会话请求转发到不同的源站导致登录状态丢失的情况。另外，如果源站有基于访问IP做会话验证时要通过从请求头的xforwardedfor中获取到客户端请求的真实IP进行校验。 出现长连接请求超时如何处理？ 如果源站由于某种原因响应慢，超过边缘安全防护节点回源超时时间设置仍未向边缘节点返回内容，则会出现504报错。出现这种情况时，可先排查源站服务器是否有出现CPU或者带宽瓶颈，其次源站处理请求的逻辑入手看是否可以优化提升源站的处理速度，如果确认源站已经无法优化响应速度，可通过修改防护节点默认回源超时时长来缓解该问题，具体可提交工单联系天翼云客服进行配置。

本章节主要介绍集群绑定和解绑ELB。 用户使用客户端连接DWS集群时，如果用户仅连接一个CN节点地址，通过该CN节点内网IP或弹性公网IP连接时，只能连接到固定的CN节点上，存在CN单点问题。如果通过内网域名连接时，利用域名解析的轮询特点，可以解决此问题。但内网域名仅限内网使用，使用公网域名访问时，还是存在CN单点问题，同时当前也不能在CN故障时进行请求转发，因此引入了弹性负载均衡服务（Elastic Load Balance，下称ELB），解决集群访问的单点问题。 弹性负载均衡（ELB）是将访问流量根据转发策略分发到后端多台弹性云主机的流量分发控制服务，可以通过流量分发扩展应用系统对外的服务能力，提高应用程序的容错能力。了解更多，请参见：弹性负载均衡用户指南。 利用ELB健康检查机制可将集群的CN请求快速转发到正常工作的CN节点上，当有CN故障节点时，也能第一时间切换流量到健康节点上，最大化降低集群访问故障。 当前支持两种类型的ELB操作，如下： 绑定ELB 解绑ELB 说明 该特性仅8.1.1.200及以上集群版本支持。 为保证集群负载均衡和高可用，避免CN单点故障问题，客户生产业务下，要求集群创建后进行ELB绑定。

解析日志查询 在云日志服务控制台可进行日志查询。 1. 登录云日志服务控制台。 2. 在日志管理页面的日志项目列表中，点击已创建的日志单元名称，进入日志单元详情页面。 3. 在日志单元详情页面中，即可查看当前日志单元中的日志数据，日志字段说明见解析日志格式表格。详细的查询介绍见 日志查询。 解析日志格式 请求日志 字段名称 字段描述 举例 topic 标识此条日志为内网dns解析日志 IDNSresolvelog version 日志格式版本，当前为V1 V1 timeiso8601 事件时间 20250822 16:59:27.985413 dnsmsgflags DNS信息Flags： QR：0表示客户端请求包，1表示服务端响应包； RD：0表示不期望进行递归查询，1表示期望进行递归查询； AA：0表示应答服务器不是该域名的权威服务器，1表示是权威服务器； TC：0表示报文未截断，1表示报文过长被截断； AD：0表示应答服务器验证查询域名DNSSEC数字签名未通过，1表示已验证DNSSEC数字签名；请求报文携带此字段表示希望递归DNS能够对DNSSEC应答验证。 CD：0表示需要进行DNSSEC数字签名的验证，若验证不通过则不响应，1表示应答服务器需应答，不管DNSSEC验证是否通过； RD dnsmsgid DNS信息ID，表示本次DNS查询的唯一识别码 30914 dstaddr 目的IP地址 100.100.2.136 dstport 目的端口 53 queryname 查询域名名称 www.example.com. querytype 查询记录类型，例如A，AAAA，CNAME，TXT，MX等 A regionid 地域 200000001781 srcaddr 源IP地址 192.168.0.1 srcport 源端口 42071 transport 传输协议 UDP userid 用户账号ID xxx@ctyun.cn edns DNS扩展协议，查询/应答日志可能包含 "flags: DO udp: 1408 CLIENTSUBNET: 1.1.XX.XX/32/24" 应答日志 字段名称 字段描述 举例 topic 标识此条日志为内网dns解析日志 IDNSresolvelog version 日志格式版本，当前为V1 V1 timeiso8601 日志时间 20250822 16:59:27.985413 answerrrset 回答资源记录集 Json array: ["www.example.com. 600 A 192.168.1.1", "www.example.com 600 A 192.168.1.2", ] authorityrrset 权威资源记录集 Json array: ["example.com. 600 SOA ns1.example.com. hostmaster.example.com. 2023010101 3600 1200 3600 360" ] additionalrrset 其他资源记录集 Json array: ["ns1.example.com. 600 A 100.100.2.136"] dnsmsgid DNS信息ID，表示本次DNS查询的唯一识别码 30914 dstaddr 目的IP地址 100.100.2.136 dstport 目的端口 53 moduletype 模块日志类型： PRIVATZONE：内网权威域名 FORWARD：转发模块 CACHE：缓存模块 RECURSE：递归模块 CACHE queryname 查询域名名称 www.example.com. querytype 查询记录类型，例如A，AAAA，CNAME，TXT，MX等 A rcode 响应状态码： 0: NOERROR，没有错误查询域名成功 1: FORMERR，格式错误，DNS 无法解析该请求 2: SERVFAIL，DNS 服务器遇到内部错误或者超时引起的解析失败 3: NXDOMAIN，域名未找到 4: NOTIMP，服务器不支持指定的操作代码 5: REFUSED，DNS服务器因为策略或者安全原因拒绝应答 0 regionid 地域 200000001781 rt 响应时延： 全局应答rt表示整个查询到应答的时延； 模块日志rt表示在模块内部消耗的时延 1 srcaddr 源IP地址 192.168.0.1 srcport 源端口 42071 transport 传输协议 UDP edns DNS扩展协议，查询/应答日志可能包含 "flags: DO udp: 1408 CLIENTSUBNET: 1.1.XX.XX/32/24"

WAF支持配置泛域名吗？ 在WAF中添加防护的域名时，您可以根据业务需求配置单域名或泛域名。配置泛域名可以使泛域名下的多级域名经过WAF防护。 如果各子域名对应的服务器IP地址相同：配置防护的泛域名。例如：子域名a.ctyun.cn，b.ctyun.cn和c.ctyun.cn对应的服务器IP地址相同，可以直接添加泛域名.ctyun.cn。 注意 使用泛域名后，WAF将自动匹配该泛域名对应的所有子域名，例如，.ctyun.cn能够匹配www.ctyun.cn、a.ctyun.cn等。 泛域名不支持匹配对应的主域名，例如.ctyun.cn不能匹配ctyun.cn。 如果同时存在单域名和泛域名，则单域名的转发规则和防护策略优先生效。 添加的域名必须通过工信部ICP备案，若未备案则无法添加。 域名添加到WAF后，是否可以修改？ 防护域名添加到Web应用防火墙后，用户可以针对所防护的域名配置对应的安全防护策略，同时当对应域名产生请求数据和安全防护数据时，Web应用防火墙也会存储对应的日志数据，考虑用户所做的安全配置、对应的安全数据都与所防护的域名强相关，为了保证用户能够准确地对域名进行防护，故已经配置的域名不能修改。 如果需要增加新的防护域名但所购买的授权不足时： 您可以通过购买域名扩展包的方式增加防护域名的授权，一个域名扩展包包含10个域名，详情请参见升级扩容。 也可以删除原域名后再重新添加待防护的域名。

客户在客户天翼云账户中没有费用并欠款的情况下，通知客户充值，并将关停客户的网站安全监测服务。 客户也可以根据需求，进入客户控制台（ 域名管理页面

本文介绍如何停用域名和删除域名。 背景说明 如果客户的网站因业务变更需要停止防火墙服务，客户可以通过控制台对域名进行停用或者删除操作。 停用域名和删除域名的区别： 操作 说明 停用域名 对域名进行停用操作后，控制台上域名状态将变更为“已停止”。天翼云CDN会将加速域名的CNAME立即解析至不可用地址。 注意：对域名进行停用操作后，边缘节点会立即删除配置，但仍会在系统数据库中保留原来的配置记录，可再次对域名进行"启用"操作 删除域名 对域名进行删除操作后，天翼云边缘节点会直接删除加速域名在边缘节点的配置，域名对应CNAME入口地址失效，此时域名请求如果仍访问至边缘节点，则会响应403。 注意事项 域名需先停用后才能进行删除操作，域名删除后将无法再启用。

导航拓展功能模块下【封禁管理】仅在您同域名同时开通Web应用防火墙（边缘云版）时可以使用。 从风险日志中操作封禁成功后，会在封禁管理生成对应封禁记录，同时会进行联动Web应用防火墙（边缘云版）威胁管控下发封禁任务。您可以在封禁管理内操作解封和重新封禁。 封禁管理页面： 封禁管理列表详情：

本文介绍HTTPS访问失败的可能原因并提供对应解决方案。 如果您的域名已经配置了视频直播加速和HTTPS证书，但仍然无法正常访问，可能有以下几个原因： 配置问题：请确保您的域名已在天翼云视频直播中进行配置。如何操作请参见：添加加速域名和配置CNAME。 HTTPS证书问题：请确认您的HTTPS证书是否有效且正确安装。检查证书是否与您的域名匹配，并确保证书链完整。您可以使用在线工具或浏览器插件来验证证书的有效性。 域名解析问题：检查您的域名解析是否正确。确保域名解析到了正确的加速地址（CNAME地址）。 防火墙或安全策略：某些防火墙或安全策略可能会阻止HTTPS的正常访问。请检查您的服务器防火墙设置、安全策略和访问控制列表，确保它们不会阻止访问。 配置生效延迟：如果您最近更改了视频直播相关配置或HTTPS证书，可能需要等待一段时间，确认对应工单已完结，以使更改生效。 如果问题依然无法解决，建议您提交工单联系天翼云客服，他们可以帮助您进一步诊断和解决问题。

查看内网域名详情 1. 登录管理控制台，并选择目标区域。 2. 选择“网络 > 内网DNS”。进入内网DNS页面。 3. 在“总览”页签，选择“我的资源”下的“内网域名”。 4. 在内网域名列表页面，查看内网域名详情。 修改内网域名 在使用内网域名的过程中，如果发现内网域名的配置信息不符合您的业务需求，可以通过修改内网域名功能，重新配置邮箱、描述信息。 1. 登录管理控制台，并选择目标区域。 2. 选择“网络 > 内网DNS服务”。进入内网DNS页面。 3. 在左侧树状导航栏，选择“内网域名”。进入“内网域名”页面。 4. 选择待修改的内网域名，单击“操作”列下的“修改”。系统进入“修改内网域名”页面。 5. 根据实际需要，修改邮箱或描述信息。 6. 单击“确定”，保存修改后的内网域名。 删除内网域名 当用户无需使用内网DNS服务托管该内网域名时，可以使用删除内网域名功能。删除内网域名后，该内网域名包含的域名将无法再被解析。 注意 执行删除内网域名操作前，请确认已备份该内网域名下所有用户创建的记录集。 1. 登录管理控制台，并选择目标区域。 2. 选择“网络 > 内网DNS”。进入内网DNS服务页面。 3. 在左侧树状导航栏，选择“内网域名”。进入“内网域名”页面。 4. 选择待删除的内网域名，单击“操作”列下的“删除”。 5. 单击“确定”，确认删除该内网域名。 批量导出内网域名 内网DNS支持批量导出内网域名信息，导出方式分为“导出全部数据到XLSX“ 和“导出已选中数据到XLSX”。 1. 进入内网域名列表页面。 2. 在内网域名列表上方，单击“导出”。 3. 根据界面提示选择导出方式，完成域名导出。 导出全部数据到XLSX：批量导出域名列表中所有域名信息。 导出已选中数据到XLSX：批量导出域名列表中已勾选的域名信息。

本章介绍常见故障案例如何处理。 背景说明 客户端在安装时可能会出现安装失败，或安装成功后会出现异常的情况。本章节将通过一些问题现象说明，帮助用户快速定位问题，解决客户端的使用问题。 客户端状态显示异常 问题现象： 安装客户端后，界面上客户端列表里客户端状态为“异常”。 可能原因： 客户端状态异常 解决方案： 1. 查看客户端进程是否正常运行；如果进程已退出，重新运行客户端进程。Windows系统下可以双击agentstart.bat文件，Linux系统下执行命令 。 2. 重新安装文件备份客户端。 3. 检查客户端时间和时区，如果发现客户端与服务器的时间相差大于15分钟，请根据本地UTC时间调整本地时间以避免此问题。如果调整完成后，客户端状态仍然异常，则是由于系统查询客户端状态不是实时的，需要等待半小时左右可恢复正常。 安装失败，提示“BackupService.7403，非法客户端” 问题现象： 安装客户端时失败，提示“BackupService.7403，非法客户端”。 可能原因： 安装客户端前没有购买存储库。 解决方案： 1. 在云服务备份控制台上，购买混合云备份存储库。 2. 重新安装客户端。 安装失败，提示“Could not resolve host” 问题现象： 安装客户端时失败，提示“Could not resolve host”。 可能原因： 本地的DNS服务器不能解析公有云公网域名。 解决方案： 1. 编辑本地主机的resolv.conf文件，查看是否配置域名服务器；如果是公网访问天翼云，可以将域名服务器配置为“8.8.8.8”。 2. 重新安装客户端。

本文介绍IPv6外链改造功能。 功能介绍 提供网站外链改造能力，通过代理访问外链源站，在边缘云节点进行外链地址改写，为您解决网站外链不支持IPv6访问的问题，并解决“天窗问题”。 注意 目前控制台尚未开放IPv6外链改造功能，如有防护需求请通过 前提条件 您已经完成添加服务域名，如果您未添加，请参考添加服务域名。 开通Web应用防火墙（边缘云版）基础版以及以上套餐版本。 配置项说明 配置项 说明 IPv6外链改造开关 支持开启或关闭IPv6外链改造功能 外链改造层数 支持配置0~5层，默认配置0，代表无限改写链接层数 网站首页IPv6标识 支持开启或关闭网站首页IPv6标识 IPv6标识内容 即网站首页提示的IPv6标识信息，默认展示“您正在使用IPv6协议访问本网站” IPv6标识显示时长 标识显示时长，默认显示10s IPv6外链改造例外 若网站中有部分url是您不希望进行外链改造的，可配置例外

本文解释在天翼云CDN使用泛域名加速的规则及注意事项。 天翼云CDN支持泛域名加速。本文将介绍泛域名的概念以及泛域名配置相关操作与注意事项。 什么是泛域名加速？ 泛域名加速是指通过配置泛域名规则，实现在一个CDN加速域名下，进行多个子域名的加速。这样可以统一管理多个子域名的加速行为，一次性实现网站多个子域名加速，提高访问速度和用户体验。 假如您在天翼云CDN控制台上配置了一个泛域名 .ctyun.cn，那么该泛域名包含的子域名，例如assets.ctyun.cn与a.images.ctyun.cn等，都将实现CDN加速。 注意 泛域名证书不支持次级域名再往下级域名匹配。 如您有https加速的需求，新增的泛域名需要按照泛域名证书可匹配的方式进行配置，否则将导致https访问异常。 例如您购买泛域名证书.ctyun.cn，则在平台配置的域名为.ctyun.cn，购买泛域名证书.images.ctyun.cn，则在平台配置的域名为.images.ctyun.cn。 使用泛域名有哪些注意事项？ 添加泛域名的格式为 .ctyun.cn，不支持.ctyun.cn的格式。 在提交刷新预取任务时，必须提交泛域名下面的具体域名的URL。 统计分析数据查询时，所有归属泛域名的子域名都统计到泛域名下，即把泛域名当成一个域名来处理。

本小节介绍域名无忧域名监控。 查看域名监控列表 域名监控域名备案申请成功后，可以对已备案的域名进行监控操作。 1. 登录域名无忧控制台。 2. 在左侧导航栏，选择“域名监控 > 域名监控”，进入域名监控页面。 3. 域名监控列表参数说明如下。 参数 说明 监控域名 监控的域名。 解析协议 CNAME记录和A记录。 如果是A记录，输入IP。 如果是CNAME，输入指向的代理域名。 支持输入单条或多条记录，多条记录可用逗号进行分隔。 解析结果范围 域名和IP。 任务状态 进行中、已关闭、关闭失败、开启失败。 域名状态 域名正常和域名异常。 任务开始时间 监控开始时间。 任务结束时间 监控结束时间。 操作 点击域名刷新，对该域名进行一次刷新操作。 点击关闭监控任务，对正在进行监控的域名中断监控操作。 点击开启监控任务，开启域名监控操作。 新增监控任务 1. 登录域名无忧控制台。 2. 在左侧导航栏，选择“域名监控 > 域名监控”，进入域名监控页面。 3. 单击“新增监控任务”，弹出新增监控任务窗口。 4. 选择实例ID、从已备案的域名中选择域名、选择解析类型（A记录、CNAME），输入解析结果范围 （如果是A记录，输入IP，支持输入单个和多个IP、CNAME，输入指向的代理域名）、选择截止时间（截止时间默认为实例到期时间，可以选择从当前时间至实例到期任一时间） 5. 点击“确定”，完成域名监控任务的配置。

本文介绍基础配置所涉及的配置，包括：验证域名归属权、选定加速类型、选定加速区域、IPv6开关。 概述 添加加速域名、验证域名归属权、选定合适的加速类型、选定正确的加速区域，是您使用天翼云全站加速服务最基础且关键的一步。 功能简介 功能 说明 对应说明文档 域名名称 1.即加速域名，为需要使用加速服务的域名，支持泛域名。 2.在添加加速域名环节，需您先通过域名归属权验证，证明您拥有该域名的使用权，才能完成域名添加。 添加加速域名 验证域名归属权 CNAME 完成加速域名添加后，系统会为您分配一个天翼云的CNAME域名， 您需要在您的DNS解析服务商添加CNAME记录，将自己的加速域名指向CNAME域名，这样该域名所有的请求才会转向天翼云的节点，实现加速的目的。 配置CNAME 域名状态 状态分类：已启用、配置中、已停用。 1.当域名状态为【已启用】时，可以在【域名管理>域名列表】对域名配置进行【查看】、【编辑】、【更多】【停用】操作。 2.当域名状态为【配置中】时，可以在【域名管理>域名列表】对域名配置进行【查看】操作。 3.当域名状态为【已停止】时，可以在【域名管理>域名列表】对域名配置进行【查看】、【启用】操作。 —— 加速类型 依据业务特性，选取合适的加速类型。 加速类型 加速区域 切换加速区域，变更全站加速的服务范围。 加速区域 域名类型 天翼云全站加速产品提供三种业务类型的加速：全站加速、上传加速、websocket加速，您可以在添加域名时选择不同的域名类型来对不同的业务进行加速。 域名类型 创建时间 显示该域名在平台首次创建成功的时间。 —— IPv6配置 开启IPv6功能后，您可以在客户端通过IPv6协议访问全站加速节点。 IPv6配置

本文向您介绍如何查看并导出CC攻击事件详情。 简介 天翼云WAF默认提供CC攻击事件，详细记录CC攻击事件攻击产生的时间、攻击时长和攻击详情，并且支持导出攻击事件。 前提条件 已开通Web应用防火墙（边缘云版） 已新增域名并成功接入WAF，具体操作请见快速接入WAF 开通标准版及以上版本支持开启CC防护，识别CC攻击将自动拦截并生成攻击日志 操作步骤 1. 登录web应用防火墙（边缘云版）控制台，在左侧导航栏中选择【日志管理】—【CC攻击事件】页面 2. 通过域名、时间周期进行组合查询攻击日志 字段说明： 峰值QPS：CC攻击峰值QPS 攻击开始时间：CC攻击开始的时间 攻击结束时间：CC攻击结束的时间 攻击时长：CC攻击持续的时间 攻击详情：CC攻击QPS变化趋势、攻击请求数最高的前10个客户端IP、被攻击请求数最高的前10个URL

本文介绍全站加速产品欠费说明、关停服务、恢复服务及预警说明等。 客户天翼云账户中没有余额并欠款的情况下，天翼云会关停客户的全站加速服务，并通过短信通知客户充值。 关停服务 关停客户的全站加速服务，天翼云会立即将加速域名的CNAME入口解析至客户源站地址，控制台上域名状态变更为“已停止”，1天后将加速域名的CNAME解析至不可用地址。 恢复服务 对域名进行停用操作后，节点会立即删除配置，但仍会在系统数据库中保留原来的配置记录，可再次对域名进行【启用】操作，全站加速产品即可恢复服务。操作步骤如下： 1. 登录客户控制台。 2. 单击【域名列表】，找到【已停止】的域名，单击【启用】。 3. 对弹出的【启用确认】框，单击【确认启用】。 预警设置 为避免欠费情况的产生，可通过对客户在天翼云官网账户的可用额度进行预警设置，当用户的余额低于阈值，系统会发送短信提醒。 操作步骤： 1. 登录天翼云账户。 2. 单击右上角。 3. 单击【费用中心】。 4. 打开【可用额度预警】开关，修改预警阈值，当用户的余额低于阈值，系统会发送短信提醒。

本文介绍基础配置所涉及的配置，包括：验证域名归属权、选定加速类型、选定加速区域、IPv6开关。 概述 添加加速域名、验证域名归属权、选定合适的加速类型、选定正确的加速区域，是您使用天翼云CDN服务最基础且关键的一步。 功能简介 功能 说明 对应说明文档 域名名称 1.即加速域名，为需要使用加速服务的域名，支持泛域名。 2.在添加加速域名环节，需您先通过域名归属权验证，证明您拥有该域名的使用权，才能完成域名添加。 1.添加加速域名 2.验证域名归属权 CNAME 完成加速域名添加后，系统会为您分配一个天翼云CDN的CNAME域名， 您需要在您的DNS解析服务商添加CNAME记录，将自己的加速域名指向CNAME域名，这样该域名所有的请求才会转向天翼云CDN的节点，实现加速的目的。 配置CNAME 域名状态 状态分类：已启用、配置中、已停用。 1.当域名状态为【已启用】时，可以在【域名管理>域名列表】对域名配置进行【查看】、【编辑】、【停用】操作。 2.当域名状态为【配置中】时，可以在【域名管理>域名列表】对域名配置进行【查看】操作。 3.当域名状态为【已停用】时，可以在【域名管理>域名列表】对域名配置进行【查看】、【启用】操作。 —— 加速类型 依据业务特性，选取合适的加速类型。 加速类型 加速区域 切换加速区域，变更CDN的服务范围。 加速区域 创建时间 显示该域名在平台首次创建成功的时间。 —— IPv6开关 开启IPv6功能后，您可以在客户端通过IPv6协议访问CDN节点。 IPv6配置

本小节为云防火墙功能类常见问题。 通过日志审计功能可查看哪些信息？ 在“日志审计”页面，可以详细查看每一条用户攻击信息，包括攻击发生时间、攻击类型、危险等级、源端口、源IP、目的IP、目的端口等信息。 云防火墙支持哪些维度的访问控制？ 云防火墙当前支持基于五元组、IP地址组、服务组、域名、黑名单、白名单设置ACL访问控制策略；也支持基于IPS（intrusion prevention system，入侵防御系统）设置访问控制。 IPS支持观察模式和阻断模式，当您选择阻断模式时，云防火墙根据IPS规则检测出符合攻击特征的流量进行阻断。具体配置步骤请参考配置访问控制策略。 云防火墙攻击日志，为什么显示还未纳入防护的EIP？ 云防火墙会将所有受到攻击的EIP信息做收集，以便您更好的配置防御策略。

本章节主要介绍增强型跨源连接概述。 什么是增强型跨源连接？ DLI跨源分析场景连接外部数据源时，由于数据源的VPC与DLI VPC不同，网络无法连通，导致DLI无法读取数据源数据。DLI提供的增强型跨源连接功能可以实现DLI与数据源的网络连通。 本节操作为您介绍跨VPC的数据源网络连通方案： 创建增强型跨源连接：采用对等连接的方式打通DLI与数据源的VPC网络。 测试网络连通性：验证队列与数据源网络连通性。 目前DLI支持跨源访问的数据源请参考跨源分析开发方式。 注意 在跨源开发场景中直接配置跨源认证信息存在密码泄露的风险，优先推荐您使用DLI提供的跨源认证方式。请参考 约束和限制 DLI提供的default队列不支持创建跨源连接。 Flink作业访问DIS，OBS和SMN数据源，无需创建跨源连接，可以直接访问。 强型跨源连接需要使用VPC、子网、路由、对等连接功能，因此需要获得VPC（虚拟私有云）的VPC Administrator权限。 使用DLI增强型跨源时，弹性资源池/队列的网段与数据源网段不能重合。 访问跨源表需要使用已经创建跨源连接的队列。 跨源表不支持Preview预览功能。 检测跨源连接的连通性时对IP约束限制如下： −IP必须为合法的IP地址，用“.”分隔的4个十进制数，范围是0255。 −测试时IP地址后可选择添加端口，用":"隔开，端口最大限制5位，端口范围：0~65535。 例如192.168.xx.xx或者192.168.xx.xx:8181。 检测跨源连接的连通性时对域名约束限制如下： −域名的限制长度为1到255的字符串，并且组成必须是字母、数字、下划线或者短横线。 −域名的顶级域名至少包含两个及以上的字母，例如.com，.net，.cn等。 −测试时域名后可选择添加端口，用":"隔开，端口最大限制为5位，端口范围：0~65535。 例如example.com:8080。

弱口令检测 通过弱口令字典，检测用户SSH、RDP等服务是否使用了弱密码，及时更改弱口令有效防备暴力破解入侵。 配置脆弱性检测 配置脆弱性检测也就是基线检查，指针对IT设备的安全特性，选择合适的安全控制措施，定义不同IT设备的最低安全配置要求，则该最低安全配置要求就称为安全基线，天翼云漏洞扫描服务平台整合操作系统、数据库等系统环境基线规范，通过基线规范逐项比对主机安全配置项的配置情况，发现配置薄弱点，反馈检查参数，针对加固，避免因配置薄弱导致的入侵风险。 专业的漏洞分析 漏洞扫描结束后扫描器将自动输出扫描结果，描述漏洞风险、漏洞数量以及整改建议，电信云安全专家对扫描器结果结合应用环境、最新业界安全形势、大数据分析、威胁情报分析等整理输出一份有深度、有广度的专业漏洞扫描评估报告，并提出切实可行的安全整改建议，帮助客户全面掌握漏洞风险态势，合理高效安排加固工作。

本文简述域名类型的选定规则及配置说明。 功能介绍 天翼云全站加速产品提供三种业务类型的加速：全站加速、上传加速、websocket加速，您可以在添加域名时选择不同的域名类型来对不同的业务进行加速。 1. 当您的域名以下行分发为主，且无websocket协议时，请选择【全站加速】域名类型。 2. 当您的域名有上传业务时，请选择【全站加速上传加速】域名类型。 3. 当您的域名有websocket协议时，请选择【全站加速websocket加速】域名类型。 配置说明 1. 登录客户控制台。 2. 在【域名管理】【域名列表】页面，点击【添加域名】。 3. 加速类型下拉框，选择【全站加速】，此时弹出【域名类型】。 4. 根据业务需要，选择合适的域名类型。 说明 当选择加速类型为【全站加速】之后，页面才会弹出【域名类型】的选择框。 配置界面 1.新增域名时选择域名类型 2.域名新增完成后，修改域名类型 在域名列表中找到对应域名，点击操作列的【编辑】进入域名编辑页面。 在基础信息栏找到域名类型，修改成其他域名类型。 注意 全站加速上传加速、全站加速websocket加速仅支持中国内地加速，因此仅加速区域为中国内地时，域名类型可修改为全站加速上传加速、全站加速websocket加速。

域名列表管理 在【域名管理】中查看域名列表，可以查看已添加的加速域名信息，包括域名、CNAME、IPv6开关、加速区域、状态、创建时间、操作。 其中操作中包含【查看】、【编辑】、【停用】、【启用】、【删除】： 【查看】可以查看当前加速域名的配置信息。 【编辑】可以修改当前加速域名的配置信息。 【停用】停止当前域名解析，停止域名加速服务。 【启用】恢复当前域名解析，启用域名加速服务。 【删除】可以删除已停用状态的域名。 当域名状态为【已启用】且无在途工单时，可以对域名配置进行【查看】、【编辑】、【停用】操作。 当域名状态为【配置中】时，仅可以对域名配置进行【查看】操作。 当域名状态为【已停用】且无在途工单时，可以对域名配置进行【查看】、【启用】、【删除】操作。 当域名有在途工单时，无论域名是什么状态，都只能对域名配置进行【查看】操作。 域名状态查看页： 工单列表管理 工单列表展示新增、更新、停用、启用、删除域名时产生的工单。支持按照域名、工单类型、工单状态（进行中、成功、失败）、时间区间进行搜索。 其中对于新增失败的域名支持重新发起操作。您先选中拟重新发起的域名，点击“重新发起”，再对弹窗进行二次确认，将可以按照上次的配置内容重新打开新增域名页面。

本节为您介绍天翼云区域和可用区的概念及关系。 区域 区域（region）是指物理的数据中心的地理区域。区域从地理位置和网络时延维度划分，同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。 天翼云不同区域之间完全隔离，保证不同区域间最大程度的稳定性和容错性。为了降低访问时延、提高下载速度，建议您选择最靠近业务需求的区域。 相关特性 不同区域之间的网络完全隔离，不同区域的云产品默认不能通过内网通信。 如果不同区域之间的云产品之间有通信需求，可以通过公网 IP、VPN等方式进行通信。 如何选择区域 在天翼云中，资源创建或购买成功后不能更换区域，因此选择区域时，您需要慎重考虑以下几个因素： 1. 地理位置：用户和资源部署区域的距离越近，网络时延越低，访问速度越快。建议您基于业务场景对时延的要求选择区域。 中国内地：一般情况下建议选择和您目标用户所在区域最为接近的数据中心，可以进一步提升用户访问速度。如果使用天翼云承载您的全部业务，电信网络可以保证中国内地区域间的快速访问。 其他国家及地区：其他国家及地区提供的带宽主要面向非中国内地的用户。如果您在中国内地，使用这些区域会有较长的访问延迟，不建议您使用。 2. 资源价格及资源覆盖：不同区域的资源规格可能有差异，不同区域的产品覆盖可能有差异，请根据您的需求及预算选择合适的区域。 3. 产品之间的关系：如果多个天翼云产品一起搭配使用，需要注意：不同区域的云主机、对象存储、负载均衡等服务，内网不互通。 4. 经营性备案：如果您使用物理机作为Web服务器，您需要完成经营性备案，同时需要在指定的区域购买实例。（各省（或市）通信管理局对经营性备案的审批要求不同，请以当地管理局经营性备案网站公示内容为准。）

本文通过图文说明证书查看路径和证书详情。 功能介绍 客户完成证书新增后，可通过DDoS高防（边缘云版）控制台界面查看已添加的证书及其详细信息，包括：证书备注名、证书通用名称、创建时间、证书品牌、证书有效期、已绑定域名。 操作步骤 1、登录DDoS高防（边缘云版）控制台。 2、在【证书管理】页面，可以看到证书列表，含历史添加过的所有证书。 3、选定目标证书，在操作列单击【详情】，即可查看证书详情信息。

本节介绍域名记录被暂停、修改、删除后，对域名监控任务的影响。 域名暂停后，域名关联的所有监控任务暂停。域名启动后，用户可手动开启监控任务。 域名记录删除后，域名记录关联的监控任务自动删除。 域名记录修改（包括主机名、线路、记录值、TTL等修改），域名记录关联的监控任务自动删除。

本节介绍如何查看域名监控数据。 域名监控页面和监控详情页均展示最新的监控数据，若域名监控处于“未开启”状态，则监控详情页展示关闭前最后一次扫描结果。 查看监控列表 1. 登录证书管理服务控制台。 2. 在左侧导航栏选择“SSL证书管理 > 域名监控服务”。 3. 查看已经添加的域名监控列表。 参数 说明 绑定域名/IP 已添加至域名监控列表的域名或IP地址。 状态 域名监控状态： 扫描中：已成功添加域名，正在对域名进行扫描。 正常：域名监控状态正常。 失败：可能由于网络波动或域名填写有误，造成扫描失败。建议检查域名信息和网络连接后，尝试重新扫描。 未开启：未开启域名监控，单击“监控”列的开关可以随时开启域名监控。 证书品牌 域名绑定的证书的版本。例如：标准版、SecureSite、GeoTrust、GlobalSign、CFCA、TrustAsia等。 证书类型 域名绑定的证书的种类。包括DV、OV、EV。 证书到期时间 域名绑定的证书的到期时间。 安全等级 共支持如下9个等级，A+为最高级。 监控剩余天数 域名监控的剩余天数。 域名监控服务有效期为365天，从添加域名成功后开始计时，关闭域名监控功能，计时不会停止。 “监控剩余天数”不充足时，可单击“续期”延长使用时长，详细操作请参见延长监控剩余天数。 监控频率 域名监控频率，默认为30分钟，即每30分钟会自动扫描一次。 端口 监控域名的端口。 监控 可随时开启监控或关闭监控。详细操作请参见开启/关闭域名监控。

地域 云数据库 公网直连 华东1 33.2.1.0/24 117.89.250.178 上海36 33.2.2.0/24 117.89.250.178 西南1 33.2.0.0/24 117.89.250.178 长沙42 33.2.3.0/24 117.89.250.178 华北2 33.2.3.0/24 117.89.250.178 南昌5 33.2.2.0/24 117.89.250.178 华南2 33.2.0.0/24 117.89.250.178 青岛20 33.2.1.0/24 117.89.250.178 南宁23 33.2.0.0/24 117.89.250.178 郑州5 33.2.0.0/24 117.89.250.178 武汉41 33.2.0.0/24 117.89.250.178 太原4 33.2.0.0/24 117.89.250.178 苏州 33.2.0.0/24 117.89.250.178 广州4 33.2.0.0/16 117.89.250.178 ecx郑州4 198.17.5.0/24 117.89.250.178 ecx北碚1 198.17.5.0/24 117.89.250.178 杭州7 33.2.0.0/24 117.89.250.178 西南2贵州 33.2.0.0/24 117.89.250.178 庆阳2 33.2.0.0/24 117.89.250.178 西安7 33.2.2.0/24 117.89.250.178 北京行业云20 33.2.0.0/24 117.89.250.178 乌鲁木齐7 33.2.0.0/24 117.89.250.178 呼和浩特3 33.2.0.0/24 117.89.250.178 芜湖4 33.2.0.0/24 117.89.250.178 佛山7 33.2.0.0/24 117.89.250.178 香港2 33.2.0.0/24 117.89.250.178 河北张家口IT上云1 33.2.0.0/24 117.89.250.178 印尼1 10.203.3.0/24 117.89.250.178

本小节介绍云防火墙（原生版）双向访问控制最佳实践。 背景信息 云防火墙（原生版）作为云计算环境的边界网络安全，符合等级保护要求条例中边界安全访问控制要求项，能够实现内外网访问控制隔离等要求。 前期准备 用户需按业务需求整理好业务内外访问控制需求，整理点包含但不限于以下内容： 访问互联网业务的云主机信息，内网IP地址。 访问互联网业务是否存在限制，是否需要记录上网行为审计。 对外发布业务云主机信息，内网IP及对应公网IP。 对外发布业务云主机的业务端口信息，使用协议，域名信息等。 对外业务或端口是否需要限制源地址访问，例如运维端口仅放行运维人员访问。 配置流程 云计算边界扩展针对云·边界安全有如下要求，要求边界安全能够实现访问控制、恶意代码防范、入侵防范等能力，以下配置流程可实现以上边界安全需求。 配置流程说明： 序号 子流程 配置内容 1 梳理业务映射关系 1. 访问互联网业务的云主机信息，内网IP地址，详情参考《云墙上线信息收集表》。 2. 访问互联网业务是否存在限制，是否需要记录上网行为审计。 3. 对外发布业务云主机信息，内网IP及对应公网IP。 4. 对外发布业务云主机的业务端口信息，使用协议，域名信息等。 5. 对外业务或端口是否需要限制源地址访问，例如运维端口仅放行运维人员访问。 6. 是否有WAF/CDN业务访问，提供源站白名单。 2 配置网络接口 按照平台已添加的网卡进行网卡接口配置，登录云墙【网络】→【接口】→【接口配置】。 3 配置基础准备环境 按需配置对象薄、地址薄等信息，登录云墙【对象】→【服务薄】/【地址薄】。 4 配置出向NAT策略 确认需要访问互联网的云主机，进行SNAT配置【策略】→【NAT】→【源NAT】。 5 配置入向NAT策略 确认需要访问互联网的云主机，进行SNAT配置【策略】→【NAT】→【目的NAT】。 6 配置安全策略 确认需要进行过滤的访问对象，进行安全策略配置【策略】→【安全策略】→【新建】。 7 配置出向路由和平台路由 确认内网访问互联网的出接口地址，配置出向路由【网络】→【路由】→【源路由】。 8 配置业务割接 将弹性IP从云主机上解绑至云墙网卡即可。

步骤一：添加防护网站 如果您的业务服务器部署在云上，您可以将网站的域名或IP添加到WAF，使网站流量切入WAF。 前提条件 已申请WAF独享引擎实例。 约束条件 接入Web应用防火墙的网站已使用公网ELB（Elastic Load Balance）代理用作负载均衡。 为了保证WAF的安全策略能够针对真实源IP生效，成功获取Web访问者请求的真实IP地址，如果WAF前没有使用CDN、云加速等七层代理服务器，且ELB使用的是四层负载均衡（NAT等方式），“是否已使用代理”务必选择“否”，其他情况，“是否已使用代理”选择“是”。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台右上角选择区域或项目。 步骤 3 单击页面左上方，选择“安全 >Web应用防火墙（独享版）”。 步骤 4 在左侧导航树中，选择“网站设置”，进入“网站设置”页面。 步骤 5 在网站列表左上角，单击“添加防护网站”。 步骤 6 配置“域名信息”。 “网站名称”：可选参数，自定义网站名称。 “防护对象”：防护的域名或IP，域名支持单域名和泛域名。 “网站备注”：可选参数，网站的备注信息。 说明 WAF不支持添加带有下划线（）的泛域名。 如果各子域名对应的服务器IP地址相同：输入防护的泛域名。例如：子域名a.example.com，b.example.com和c.example.com对应的服务器IP地址相同，可以直接添加泛域名.example.com。 如果各子域名对应的服务器IP地址不相同：请将子域名按“单域名”方式逐条添加。 步骤 7 源站配置，参数说明如表所示。 参数 参数说明 取值样例 防护对象端口 在下拉框中选择面要防护的端口。配置80/443端口，在下拉框中选择“标准端口”。 81 服务器配置 网站服务器地址的配置。包括对外协议、源站协议、VPC、源站地址和源站端口。 对外协议：客户端请求访问服务器的协议类型。包括“HTTP”、“HTTPS”两种协议类型。 源站协议：Web应用防火墙转发客户端请求的协议类型。包括“HTTP”、“HTTPS”两种协议类型。 VPC：选择独享引擎实例所在的VPC。 为了实现业务双活，避免业务单点故障，建议在同一VPC下申请两个WAF实例 源站地址：客户端（例如浏览器）访问的网站服务器的私网/内网IP地址。支持以下两种IP格式： IPv4，例如：XXX.XXX.1.1 IPv6，例如：fe80:0000:0000:0000:0000:0000:0000:000 源站端口：WAF独享引擎转发客户端请求到服务器的业务端口。 对外协议：HTTP 源站协议：HTTP 源站地址：XXX .XXX.1.1 源站端口：80 证书名称 “对外协议”设置为“HTTPS”时，需要选择证书。您可以选择已创建的证书或选择导入的新证书。 成功导入的新证书，将添加到“证书管理”页面的证书列表中。 说明 WAF当前仅支持PEM格式证书。如果证书为非PEM格式，请将证书转换为PEM格式，再上传。 如果您的证书即将到期，为了不影响网站的使用，建议您在到期前重新使用新的证书，并在WAF中同步更新网站绑定的证书。 域名和证书需要一一对应，泛域名只能使用泛域名证书。如果您没有泛域名证书，只有单域名对应的证书，则只能在WAF中按照单域名的方式逐条添加域名进行防护。 步骤 8 高级配置。 “是否已使用代理”：为了保证WAF的安全策略能够针对真实源IP生效，成功获取Web访问者请求的真实IP地址，如果WAF前已使用如CDN、云加速等提供七层Web代理的产品，请务必选择“是”。 选择“策略配置”：默认为“系统自动生成策略”，您也可以选择已创建的防护策略或在域名接入后根据防护需求配置防护规则。系统自动生成的策略说明如下： Web基础防护（“仅记录”模式、常规检测）：仅记录SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等攻击行为。 网站反爬虫（“仅记录”模式、扫描器）：仅记录漏洞扫描、病毒扫描等Web扫描任务，如OpenVAS、Nmap的爬虫行为。 说明 “仅记录”模式：发现攻击行为后WAF只记录攻击事件不阻断攻击。 步骤 9 单击“确认”，添加域名完成。

本文描述如何批量添加和导出防护规则。 如果您需批量添加和导出防护规则，请参照本章节进行处理。 批量导入防护规则操作步骤 1. 登录管理控制台。 2. 在左侧导航树中，单击左上方的“服务列表”，选择“安全 > 云防火墙”，进入云防火墙的概览页面。 3. 在左侧导航栏中，选择“访问控制 > 访问策略管理”，进入“访问策略管理”页面。 4. 单击“下载模板”，下载导入规则模板到本地。 5. 请按表格要求填写您要添加的防护规则信息，防护规则参数说明如下表所示。 注意 目前最大支持导入300条规则，其中单个源地址组或服务组的成员不能超过64个。 请按照模板要求填写相应参数，确保导入文件的格式与模板一致，否则可能会导入失败。 参数名称 参数说明 取值样例 ::: 顺序 定义规则序号。 1 规则名称 自定义规则名称。 只能由中文、字母、数字、下划线、连接符或空格任意一种或多种字符类型组成，且名称长度不能超过255个字符。 test 方向 选择防护方向： 外到内：外网访问内部服务器。 内到外：客户服务器访问外网。 内到外 动作 选择“放行”或者“阻断”。设置相应流量是否通过云防火墙。 放行 规则地址类型 选择“IPv4”或者“IPv6”。设置防护的IP类型。 IPv4 启用状态 设置该策略是否立即启用。 启用：表示启用，规则生效。 禁用：表示关闭，规则不生效。 启用 描述 标识该规则的使用场景和用途，以便后续运维时快速区分不同规则的作用。 源地址类型 选择IP地址、IP地址组。 IP 地址 ：支持设置单个IP地址、连续多个IP地址、地址段。 IP 地址组 ：支持多个IP地址的集合。 IP地址 源IP地址 “源地址类型”选择“IP地址”时，需填写“源IP地址”。 源IP地址支持以下输入格式： 单个IP地址，如：192.168.10.5 多个连续地址，中间使用“”隔开，如：192.168.0.2192.168.0.10 地址段，使用"/"隔开掩码，如：192.168.2.0/24 192.168.10.5 源地址组名称 “源地址类型”选择“IP地址组”时，需填写“源地址组名称”。 支持以下输入格式： 可输入中文、字母、数字、下划线、连接符或空格。 名称长度不能超过255个字符。 stest 目的地址类型 选择IP地址、IP地址组或域名。 IP 地址 ：支持设置单个IP地址、连续多个IP地址、地址段。 IP 地址组 ：支持多个IP地址的集合。 域名：支持设置单个域名。 IP地址组 目的IP地址 “目的地址类型”选择“IP地址”时，需填写“目的IP地址”。 目的IP地址支持以下输入格式： 单个IP地址，如：192.168.10.5 多个连续地址，中间使用“”隔开，如：192.168.0.2192.168.0.10 地址段，使用"/"隔开掩码，如：192.168.2.0/24 192.168.10.6 目的地址组名称 “目的地址类型”选择“IP地址组”时，需填写“目的地址组名称”。 支持以下输入格式： 可输入中文、字母、数字、下划线、连接符或空格。 名称长度不能超过255个字符。 dtest 域名 “目的地址类型”选择“域名”时，需填写“域名”。 由一串用点分隔的英文字母组成（以字符串的形式来表示服务器IP），用户通过域名来访问网站。 www.example.com 服务类型 选择服务或服务组。 服务 ：支持设置单个服务。 服务组 ：支持多个服务的集合。 服务 协议/源端口/目的端口 设置需要限制的类型。 协议类型当前支持：TCP、UDP、ICMP、Any、ICMPV6。 设置需要开放或限制的源端口。支持设置单个端口，或者连续端口组，中间使用“”隔开，如：80443 设置需要开放或限制的目的端口。支持设置单个端口，或者连续端口组，中间使用“”隔开，如：80443 TCP/443/443 服务组名称 自定义服务组名称。 只能由中文、字母、数字、下划线、连接符或空格任意一种或多种字符类型组成，且名称长度不能超过255个字符。 servicetest 6. 表格填写完成后，单击“导入规则”按钮，导入防护规则表。 注意 导入规则操作将在数分钟内完成。 导入规则过程中访问策略、IP地址组、服务组均不支持添加、编辑、和删除操作。 7. 单击“下载中心”，查看导入规则任务状态，任务状态显示“导入成功”表示导入防护规则成功。 8. 返回防护规则列表查看导入的防护规则。

本文介绍如何关闭加速服务。 如果客户的网站因业务变更需要关闭全站加速服务，可以通过客户控制台对域名进行停用或者删除操作。 停用域名和删除域名的区别： 操作 说明 停用域名 对域名进行停用操作后，天翼云会将加速域名的CNAME入口解析至客户源站地址，控制台上域名状态变更为【已停止】。 对域名进行停用操作后，节点会立即删除配置，但仍会在系统数据库中保留原来的配置记录，可再次对域名进行【启用】操作。 删除域名 对域名进行删除操作后，天翼云会直接删除加速域名在节点的配置，域名对应CNAME入口地址失效，此时域名请求如果仍访问至节点，则会响应403。 注意事项 停用全站加速域名前，为了避免停用导致业务中断，客户需要确保已将域名DNS解析记录由原来CNAME至天翼云全站加速入口，调整为解析至其他CNAME或A记录。该调整完成后，可以通过客户控制台统计分析模块确认域名是否还有流量。如果域名已经没有流量，可以开始操作停用流程。 域名需先停用后才能进行删除操作，域名删除后将无法再启用。 操作步骤 停用全站加速域名 1. 登录客户控制台。 2. 左侧导航栏单击选择【域名管理】。 3. 单击【域名列表】，选择对应域名，操作列点击【更多】可看到【停用】按钮。 4.单击【停用】按钮，跳出【停用确认】框，点击【确认停用】后进入停用流程。 如您需要删除已停用域名，等待停用域名流程完成后继续按如下删除加速域名的流程进行操作。