本文介绍如何配置防火墙防护策略，包括配置入侵防御模式和配置访问控制策略。 云防火墙提供基础防御功能，可以针对访问流量进行检测与防护，覆盖多种常见的网络攻击，有效保护您的资产。 访问控制策略默认状态为放行，通过配置合适的策略调整防护能力，实现更有效的精细化管控，防止内部威胁扩散，增加安全战略纵深。 配置入侵防御模式操作步骤 在左侧导航栏中，选择“攻击防御 > 入侵防御” 。 功能名称 功能说明 :: 防护模式 观察模式：仅对攻击事件进行检测并记录到日志中。 拦截模式：在发生明确攻击类型的事件和检测到异常IP访问时，将实施自动拦截操作。 拦截模式宽松：防护粒度较粗。拦截可信度高且威胁程度高的攻击事件。 拦截模式中等：防护粒度中等。满足大多数场景下的防护需求。 拦截模式严格：防护粒度精细，全量拦截攻击请求。建议您等待业务运行一段时间后，根据防护效果配置误报屏蔽规则，再开启“严格”模式。 说明 选择防护模式后，可对基础防御规则库的单条防御规则进行修改。具体操作请参见修改基础防御规则动作。 基础防御 为您的资产提供基础的防护能力，默认为“开启”状态。防御功能包括： 检查威胁及漏洞扫描。 检测流量中是否含有网络钓鱼、特洛伊木马、蠕虫、黑客工具、间谍软件、密码攻击、漏洞攻击、SQL注入攻击、XSS跨站脚本攻击、Web攻击。 是否存在协议异常、缓冲区溢出、访问控制、可疑DNS活动及其他可疑行为。 虚拟补丁 在网络层级为IPS提供热补丁，实时拦截高危漏洞的远程攻击行为，同时避免修复漏洞时造成业务中断。 高级 敏感目录扫描防御 防御对用户主机敏感目录的扫描攻击。 “动作”： 观察模式：发现敏感目录扫描攻击后，CFW仅记录攻击日志，查看攻击日志请参见日志查询。 拦截Session：发现敏感目录扫描攻击后，拦截当次会话。 拦截IP：发现敏感目录扫描攻击后，CFW会阻断该攻击IP一段时间。 “持续时长”：“动作”选择“拦截IP”时，可设置阻断时间，范围为60~3600s。 “阈值”：对于单个敏感目录扫描频率达到设定的阈值后，CFW会采取相应“动作”。 高级 反弹Shell检测防御 防御网络上通过反弹shell方式进行的网络攻击。 “动作” ： 观察模式：发现反弹shell攻击后，仅记录攻击日志，查看攻击日志请参见日志查询。 拦截Session：发现反弹shell攻击后，拦截当次会话。 拦截IP：发现反弹shell攻击后，CFW会阻断该攻击IP一段时间。 “持续时长”：“动作”选择“拦截IP”时，可设置阻断时间，范围为60~3600s。 “模式 ”： 低误报：防护粒度较粗。观察或拦截频次较高的攻击，用于确保攻击处理没有误报。 高检测：防护粒度精细，确保攻击能够被发现并处理。

本节介绍云等保专区产品的Web应用防火墙。 Web应用防火墙v1.0具备专业的Web应用安全防护能力，可拦截针对网站的各类攻击行为，帮助用户应对网站运营中的安全风险，为Web应用提供全方位的防护，构建覆盖全生命周期的Web应用安全防护解决方案。 功能介绍 功能主要如下： 功能 描述 防护对象 多链路数据防护，网段数量不限。以域名和IP方式进行防护。IPv4/IPv6双协议栈。 攻击防护 注入类攻击：SQL注入、代码注入、命令注入、LDAP注入、文件注入、SSI注入等。 跨站脚本攻击：XSS。 通用攻击：HTTP请求走私、HTTP响应分割、SessionFixation等。 恶意软件：代码上传、Webshell后门、其他木马等。 信息泄露：目录信息泄露、服务器信息泄露、数据库信息泄露、源代码泄露、敏感文件信息泄漏、其他信息泄漏。 扫描工具：阻断Nikto、Paros proxy、WebScarab、WebInspect、Whisker、libwhisker、Burpsuite、Wikto、Pangolin、Watchfire AppScan、NStealth、Acunetix Web Vulnerability Scanner 等多种扫描器的扫描行为。 爬虫攻击：恶意网络爬虫，百度、Google、Yahoo等搜索引擎爬虫。 第三方组件漏洞：Web容器漏洞、开源CMS漏洞、Web服务器插件漏洞。 HTTP协议规范性：协议违规、报头缺失、HTTP方法限制、畸形请求、文件限制、头部长度限制。 其他：CC攻击、防敏感词发布、敏感信息隐藏、防盗链、Cookie防篡改/防劫持。 高级防护 智能语义分析：内置SQL注入、XSS语义分析安全规则。 机器学习：内置机器学习安全引擎，对用户Web业务系统建立安全的访问模型，学习内容包括URL、参数、参数类型、参数长度、匹配频率等。 地图区域访问控制：在地图上指定某一地理区域进行访问控制，阻断此区域IP的访问。 服务器隐藏：可删除服务器响应头信息。 自定义规则：对HTTP请求中URI、HOST、参数、参数名、请求头、Cookie、版本号、方法和请求体及HTTP响应的响应体等条件自定义正则，支持多种组合条件。 智能攻击者锁定：智能识别攻击者，对发起攻击的IP地址自动锁定禁止访问被攻击的网站。 威胁情报：云端威胁情报联动，主动发现僵尸IP、代理IP、扫描IP、黑产IP、C&C等恶意IP发起的访问行为，实时统计威胁情报攻击类型占比和攻击频率。 云端高防联动：一键开启防护，L3L7 DDoS安全防护，最高可提供1TB抗DDoS服务。 应用交付 HTML、TXT、JPG、DOC等静态文件缓存，响应内容gzip算法压缩，识别压缩的响应内容。 高可靠性 链路聚合提升网络带宽、增加容错性和链路负载均衡。VLAN子接口，业务口可承载多个VLAN通道。主主模式、主备模式。硬件BYPASS（即物理直通）。软件BYPASS（即过载BYPASS）。 SSL防护 支持第三方认证机构颁发的证书链，实现HTTPS应用系统的防御。 可选择SSL/TLS协议版本。 部署在SSL网关后可解析到真实的访问者IP，对真实的IP进行防护和阻断。 内置SSL加速卡提高设备HTTPS处理性能。 审计 记录攻击事件的HTTP请求头信息，含请求的URL、UserAgent、POST内容、Cookie等所有请求头内容。 记录服务器响应头信息、响应内容。 分析访问量最大的URL、IP地址、文件类型等。

多集群架构的弹性扩展 随着业务的增长，CCR 支持将数据和查询负载分布到多个集群中，从而实现弹性扩展。通过部署多个从集群来分担查询压力，可以提升系统的整体性能，满足更高的用户需求和并发请求。 读写分离 在高性能场景下，CCR 支持读写分离。主集群专注于处理数据写入，而从集群则负责处理查询请求。这种架构优化了查询性能，尤其适合需要高频读写操作的大数据环境。 技术实现与应用 部署跨集群复制需要在集群之间建立信任关系，并配置索引的复制参数。搜索引擎提供了灵活的 API 和管理工具，方便用户管理和控制跨集群复制任务。通过这些工具，用户可以轻松启动或暂停复制、调整复制策略，以及根据业务需求灵活配置复制模式。 CCR 支持实时复制和按需复制，用户可以根据具体需求选择适合的复制方式。无论是对数据的一致性要求极高的场景，还是需要降低跨集群网络传输开销的场景，CCR 都能提供可靠的解决方案。 操作示例 在leader集群插入数据： PUT ccrtest {"settings": {"numberofshards": 1,"numberofreplicas": 0}} POST ccrtest/doc/ { "name": "robert", "age": 30, "gender": "male" } 在follower集群配置： PUT cluster/settings { "persistent": { "cluster": { "remote": { "leadercluster": { "seeds": ["ip:9300"] } } } } } 开始复制： PUT opendistro/replication/follower01/start { "remotecluster":"leadercluster", "remoteindex": "ccrtest" } 返回： { "acknowledged" : true } 在leader集群插入数据： POST ccrtest/doc/ { "name": "jane", "age": 25, "gender": "female" } 再插一条： POST ccrtest/doc/ { "name": "Jane", "age": 18, "gender": "female" } 在follower集群查询,数据会自动复制过去： GET follower01/search 返回结果： { "took" : 435, "timedout" : false, "shards" : { "total" : 1, "successful" : 1, "skipped" : 0, "failed" : 0 }, "hits" : { "total" : { "value" : 2, "relation" : "eq" }, "maxscore" : 1.0, "hits" : [ { "index" : "follower01", "type" : "doc", "id" : "WUQFo4BrTIYgmxo8ErH", "score" : 1.0, "source" : { "name" : "robert", "age" : 30, "gender" : "male" } }, { "index" : "follower01", "type" : "doc", "id" : "pGiQF44BZY5qpm7NPGR", "score" : 1.0, "source" : { "name" : "Jane", "age" : 18, "gender" : "female" } } ] } }

本章节介绍如何查看云原生API网关的实例详情 操作步骤 1. 登录云原生API网关控制台，并在顶部菜单栏选择地域。 2. 在左侧导航栏，选择实例，点击目标实例名称或实例id，进入实例详情。 3. 跳转至实例概览页，查看实例信息、接入点、可观测信息、策略配置等。 实例信息 基本信息 查看实例ID、名称、付费类型、创建时间、更新时间等信息 运行信息 查看实例的业务状态、运行状态、实例规格等信息 网络信息 查看实例的可访问端口、地区、可用区、VPC、子网、安全组等信息 实例节点 查看实例节点列表，包括vpc的ipv4、ipv6、http端口、https端口、分布可用区等信息 接入点 可查看当前实例绑定的弹性负载均衡ELB实例列表 可观测信息 查看实例的链路追踪、日志投递配置项 策略配置 查看实例的策略配置项，如限流、跨域等策略 消费者认证 查看实例授权的消费者列表 网关自定义响应 查看实例配置的响应类型详情

通过手动执行备份策略,可立即对该策略下的云主机进行备份。 说明 如果备份策略中的云主机正在执行备份任务，则无法手动执行备份策略。 如果周期性备份调度计划开始时，手动备份任务仍未完成，则系统自动取消当次周期性调度任务。建议手动执行备份策略的时间与周期性备份的备份策略执行时间间隔≥3小时。 前提条件 已创建至少1个备份策略，且备份策略中至少绑定了一个云主机。 操作步骤 1.登录天翼云控制中心； 2.在产品列表中选择“存储> 云主机备份”； 3.单击“管理备份策略”，进入“管理备份策略”页面； 4.在需要手动执行备份的云主机备份策略区域右上角，单击“执行”； 5.单击“确定”。

本指南主要为用户进行缓存实例间的数据迁移操作，提供建议与操作指导。 由于用户对Redis的使用环境和场景存在差异，具体的迁移细节需要根据用户的实际场景进行完善。 说明 数据迁移期间会占用实例主机资源，并且整体迁移耗时受到实例数据量和负载情况的影响。 数据迁移功能当前免费，如需收费将会另行通知。 DCS支持的迁移能力 说明 DCS Redis，指的是天翼云分布式缓存服务Redis版。 自建Redis，指的是在云上、其他云厂商、本地数据中心自行搭建的Redis。 其他云服务Redis，指的是非天翼云的其他云厂商的Redis服务。 √表示支持，×表示不支持。 DCS支持的迁移能力 源端 目标端：DCS Redis 自建Redis 其他云服务Redis 源端 单机/主备/读写分离 Proxy集群（自研） Cluster集群 / / DCS Redis：单机/主备/读写分离 √ √ √ √ √ DCS Redis：经典版集群 √ √ √ √ √ DCS Redis：Cluster集群 √ √ √ √ √ 自建Redis √ √ √ × × 其他云服务Redis √ √ √ × × 说明 以上迁移操作，均需要在网络互通的条件下进行。源Redis放通PSYNC命令后，可支持全量同步+增量同步，否则仅可进行全量同步。

计费项 包括1个计费项：云硬盘备份存储费用。 计费项 含义 适用的计费模式 云硬盘备份存储费 备份数据所占用的存储空间费用：根据备份数据实际占用的存储空间收费。 按需计费 变更配置 包年包月是预付费模式，按订单的购买周期计费，适用于可预估资源使用周期的场景，价格比按需计费模式更优惠。 按需计费是后付费模式，根据实际使用量进行计费，可以随时购买或删除。费用直接从账户余额中扣除。 暂不支持包年包月计费，故不涉及配置变更。 到期&续订 有关服务到期，保留期，冻结，解冻等详情请参考天翼云帮助中心费用中心。 暂不支持包年包月计费模式，故不涉及续订和到期。 账号欠费 如果账号欠费，您的备份数据仍会保留，您也可以继续查看备份数据，但因依赖的按需云硬盘资源冻结或受限，不可以进行创建备份恢复等操作。如超出期限仍未缴清欠款，您的数据将自动被系统销毁且无法恢复，请您及时充值。 有关欠费等详情请参考天翼云帮助中心— 费用中心。

本章节主要介绍修改admin密码。 该任务指导用户定期修改集群用户“admin”的密码，以提升系统运维安全性。 修改该密码会导致已经下载的用户凭证不可用，请修改该密码后重新下载认证凭据并替换旧凭据。 在集群节点修改admin密码 更新主管理节点客户端，具体请参看更新客户端（3.x之前版本）。 1. 登录主管理节点。 2. （可选）若想要使用omm用户修改密码，请执行以下命令切换用户。 sudo su omm 3. 执行以下命令切换到客户端目录，例如“/opt/client”。 cd /opt/client 4. 执行以下命令配置环境变量。 source bigdataenv 5. 执行以下命令，修改“admin”密码。此操作在整个集群中生效。 kpasswd admin 先输入旧密码，再输入两次新密码。 集群中，默认的密码复杂度要求： 密码字符长度至少8位。 至少需要包含大写字母、小写字母、数字、空格、特殊字符'~!@ $%^&()+[{}];:'", /?中的3种类型字符。 不能与用户名或倒序的用户名相同。 在MRS Manager页面修改admin密码 开启Kerberos认证的集群和开启弹性公网IP功能未开启Kerberos认证的集群支持通过MRS Manager界面修改admin密码。 用admin帐户登录MRS Manager页面。 1. 单击页面右上角用户名，选择“修改密码”。 2. 在修改密码页面，输入“旧密码”、“新密码”、“确认新密码”。 说明 默认的密码复杂度要求： 密码字符长度为8～32位。 至少需要包含大写字母、小写字母、数字、空格、特殊字符'~!@

查看虚拟私有云 1. 登录ECX控制台。 2. 单击左侧导航栏的【边缘网络>虚拟私有云>VPC和子网】，选择对应的地域，查看当前地域下已创建的虚拟私有云和对应子网的信息。 显示虚拟私有云参数说明： 参数 说明 名称/ID 名称：虚拟私有云的名称，创建虚拟私有云时用户自定义，可以单击修改按钮对名称进行修改。ID：创建完虚拟私有云后，系统自动生成的ID，其为虚拟私有云全局唯一的ID，可以单击复制按钮对ID进行复制。 IPV4网段/范围 虚拟私有云的网段，其为创建虚拟私有云时配置网段，该网段不可修改。 子网数量 该虚拟私有云下的子网数量。 状态 当虚拟私有云可用时其状态为“启用”。 用途 默认表示用于构建普通虚拟机私有网络。 类型 包括underlay和overlay，默认为overlay。 创建时间 显示该虚拟私有云创建的时间。 更新时间 虚拟私有云最新修改时间。 关联EEN状态 该VPC是否关联到对应边边网络EEN，默认为未加入，其状态显示为“无”，若已关联，其状态显示为“已关联”。 显示子网参数说明： 参数 说明 子网名称/ID 子网的名称，创建子网时用户自定义，可以单击修改按钮对名称进行修改。 子网类型 包括underlay和overlay，默认为overlay。 VLAN 子网类型为underlay时分配的VLAN ID。 IPv4网段/范围 在创建子网时配置的子网网段。 IPv4网关 子网的IPv4网关地址。 已用/可用IPv4数量 显示该子网下已用和可用的IPv4地址数量。 IPv6网段 若该子网开启了IPv6，则此处显示该子网的IPv6网段，若未开启，则此处显示为“启用”按钮，可以按需为该子网开启IPv6。 IPv6网关 子网的IPv6网关地址。 已用/可用IPv6数量 若该子网开启了IPv6，则此处显示该子网下已用和可用的IPv6地址数量。 IP使用情况 单击【查看】可以查看该子网下IP地址使用情况。 裸金属网关VLAN/地址 当子网开启裸金属网关后为裸金属网关分配的VLAN ID和地址，暂不支持自助开启，如需开启请联系业务运营人员。 状态 当子网可用时其状态为“启用”。 创建时间 创建该子网的时间。

本节介绍了Windows弹性云主机如何删除多余的网络连接的相关方法。 方法一 1. 按“Win+R”键打开运行对话框，输入regedit并按回车键，打开注册表编辑器。 2. 打开至以下注册表键值： “HKEYLOCALMACHINESOFTWAREMicrosoftWindows NTCurrentVersionNetworkListProfilesProfiles”中可能包含多个子项，且这些子项名称为数字与字母组成的序列。依次单击每个子项，检查右侧窗口中名为“ProfileName”这个键值所对应的“数据”列。 3. 双击“ProfileName”，将“数值数据”修改为待更改的网络名称。 4. 重启云主机，使修改生效。 方法二 1. 按“Win+R”键打开运行对话框，输入regedit并按回车键，打开注册表编辑器。 2. 打开至以下注册表键值。 HKEYLOCALMACHINESOFTWAREMicrosoftWindows NTCurrentVersionNetworkListProfiles HKEYLOCALMACHINESOFTWAREMicrosoftWindows NTCurrentVersionNetworkListSignaturesUnmanaged 3. 删除如下注册表删除键下的目录。 注册表目录

本节主要介绍如何对SFS Turbo进行性能测试。 场景介绍 客户购买弹性文件服务后，如何验证弹性文件服务的性能指标呢？可以使用fio工具对SFS进行吞吐量和IOPS的性能测试。fio是一个开源的I/O压力测试工具。 说明：测试性能依赖client和server之间的网络带宽及文件系统的容量大小。 前提条件 创建一台与SFS Turbo同VPC内的云主机CTECS 已购买SFS Turbo服务并挂载给主机ECS，挂载步骤见官网介绍。 已在云服务器上安装fio工具。fio可从官网或GitHub下载。 操作步骤 安装I/O压测工具fio 以Linux CentOS系统为例说明： 1. 在官网下载fio。 yum install fio 2. 安装libaio引擎。 yum install libaiodevel 3. 查看fio版本。 fio version 文件系统性能数据 SFS Turbo文件系统的性能主要有IOPS和吞吐量等指标，具体各指标数据参见下表。 参数 SFS Turbo标准型 SFS Turbo性能型 最大容量 32TB 32TB 最大IOPS 5000 20000 最大吞吐量 150 MB/s 350 MB/s IOPS性能计算公式 IOPS min (5000, 1200 + 6 × 容量) IOPS min (20000, 1500 + 20 × 容量) IOPS性能计算公式举例说明： 单个文件系统IOPS性能 “最大IOPS”与“基线IOPS + 每GB文件系统的IOPS × 文件系统容量”的最小值。 以SFS Turbo性能型文件系统为例，单个SFS Turbo性能型文件系统的最大IOPS为20000。 假如SFS Turbo性能型文件系统容量为500 GB，则该文件系统IOPS性能 min (20000, 1500 + 20 × 500 )，取20000与11500中的最小值，即该文件系统的IOPS性能为11500。 假如SFS Turbo性能型文件系统容量为1000 GB，则该文件系统IOPS性能 min (20000, 1500 + 20 × 1000 )，取20000与21500中的最小值，即该文件系统的IOPS性能为20000。 标准版增强版和性能型增强版的文件系统无性能计算公式。标准版增强版文件系统的IOPS性能为15K，性能型增强版文件系统的IOPS性能为100K。

本章节主要介绍翼MapReduce服务Spark健康检查指标项说明 。 服务健康状态 指标项名称： 服务状态 指标项含义 ：检查Spark服务状态是否正常。如果状态不正常，则认为不健康。 恢复指导： 如果该指标项异常，建议参见告警ALM28001进行处理。 检查告警 指标项名称： 告警信息 指标项含义 ：检查服务是否存在未清除的告警。如果存在，则认为不健康。 恢复指导： 如果该指标项异常，建议参见告警进行处理。

本章节主要介绍翼MapReduce服务DBService健康检查指标项说明。 服务健康检查 指标项名称： 服务状态 指标项含义 ：检查DBService服务状态是否正常。如果状态不正常，则认为不健康。 恢复指导： 如果该指标项异常，建议参见告警ALM27001进行处理。 检查告警 指标项名称： 告警信息 指标项含义 ：检查主机是否存在未清除的告警。如果存在，则认为不健康。 恢复指导： 如果该指标项异常，建议参见告警进行处理。

本章主要介绍翼MapReduce的密码维护建议。 用户身份验证是应用系统的门户。用户的帐户和密码的复杂性、有效期等需根据客户的安全要求进行配置。 对密码的维护建议如下： 1. 专人保管操作系统密码。 2. 密码需要满足一定的强度要求，例如密码最少字符数、混合大小写等。 3. 密码传递时注意加密，尽量避免通过邮件传递密码。 4. 密码需要加密存储。 5. 系统移交时提醒企业用户更改密码。 6. 定期修改密码。

本章节主要介绍翼MapReduce的解锁用户操作。 操作场景 在用户输入错误密码次数大于允许输入错误次数，造成用户被锁定的场景下，管理员可以通过FusionInsight Manager为锁定的用户解锁。仅支持解锁使用FusionInsight Manager创建的用户。 操作步骤 1. 登录FusionInsight Manager。 2. 选择“系统 > 权限 > 用户”。 3. 在要解锁用户所在行，单击“解锁”。 4. 在弹出的窗口勾选“我已阅读此信息并了解其影响。”，单击“确定”完成解锁操作。

飞腾内存型 飞腾内存型搭载飞腾处理器，云主机实例独享CPU，提供更稳定的CPU性能、更大内存比以及更优秀的网络性能，对内存型应用的运行提供更好支持。 飞腾内存型适用于内存要求高，数据量大并且数据访问量大，同时要求快速的数据交换和处理的应用。 规格特点 规格名称 计算 磁盘类型 网络 飞腾内存型fm1 1.CPU/内存配比：1:8 2.vCPU数量范围：216 3.处理器：飞腾S2500 4.基频：2.1GHz 1.普通IO 2.高IO 3.通用型SSD 1.实例网络性能与计算规格对应，规格越高网络性能越强 2.最大网络收发包：200万PPS 3.最大内网带宽：18Gbps fm1弹性云主机的规格 注意 “央企北京1”提供的云主机规格的网络指标（最大带宽、基准带宽、最大收发包能力）与本文内容不一致，请以对应创建页面所展示的数值为准。 规格名称 vCPU 内存（GB） 最大带宽/基准带宽（Gbps） 最大收发包能力（万PPS） 网卡多队列数 fm1.large.8 2 16 5/1.5 30 1 fm1.xlarge.8 4 32 7/3 80 2 fm1.2xlarge.8 8 64 12/6 140 4 fm1.4xlarge.8 16 128 18/10 200 8

本章节主要介绍翼MapReduce服务Flume 健康检查指标项说明。 服务健康状态 指标项名称 ：服务状态 指标项含义 ：检查Flume服务状态是否正常。如果状态不正常，则认为不健康。 恢复指导 ：如果该指标项异常，建议参见告警ALM24000进行处理。 检查告警 指标项名称 ： 告警信息 指标项含义 ：检查主机是否存在未清除的告警。如果存在，则认为不健康。 恢复指导 ：如果该指标项异常，建议参见告警进行处理。

本章节主要介绍如何查看主机和组件日志。 操作步骤 1. 登录翼MR管理控制台。 2. 选择“我的集群”，选中一个运行中的集群并单击集群名称，进入集群信息页面。 3. 在“节点管理”页签中单击Master节点，选择要进入的Master节点。 4. 单击该节点右侧的“远程连接”。 5. 根据界面提示，输入Master节点的用户名和密码，用户名、密码分别为root和创建集群时设置的密码。 6. 进入对应组件的日志目录，查看相关日志。

本章节主要介绍翼MapReduce服务Yarn健康检查指标项说明。 服务健康状态 指标项名称： 服务状态 指标项含义 ：检查Yarn服务状态是否正常。如果当前无法获取NodeManager节点数时，则认为不健康。 恢复指导： 如果该指标项异常，建议参见告警进行处理并确认网络无异常。 检查告警 指标项名称： 告警信息 指标项含义 ：检查服务是否存在未清除的告警。如果存在，则认为不健康。 恢复指导： 如果该指标项异常，建议参见告警进行处理。

本文主要介绍X实例详细内容。 概述 X实例弹性云主机搭载英特尔® 至强® 可扩展处理器，配套25GE智能高速网卡，提供较高网络带宽和PPS收发包能力，提供更高性价比。技术上采用非绑定CPU共享调度模式，vCPU会根据系统负载被随机分配到空闲的CPU超线程上。在主机负载较轻时，可以提供较高的计算能力，但是在主机负载较重时，可能由于不同实例vCPU争抢物理CPU资源而导致计算性能波动不稳定。 规格名称 计算 磁盘类型 网络 X实例 CPU/内存配比：1:1/1:2/1:4 vCPU数量范围：116 处理器：第二代英特尔® 至强® 可扩展处理器 基频/睿频：2.6GHz/3.5GHz 高IO 超高IO 通用型SSD 极速型SSD 支持IPv6 实例网络性能与计算规格对应，规格越高网络性能越强 最大网络收发包：100万PPS 最大内网带宽：12Gbps 类型 CPU基频/睿频 CPU型号 X实例 2.6GHz/3.5GHz 6278C(104HT) 使用场景 对网络收发包性能有较高要求的网站和Web应用 轻量级数据库及缓存服务器 中轻载企业应用 规格 表 X实例弹性云主机规格 规格名称 vCPU 内存（GiB） 基准带宽/最大带宽（Gbps） 最大收发包能力（万PPS） 网卡多队列数 网卡个数上限 虚拟化类型 x1.2u.2g 2 2 0.2/2 30 2 2 KVM x1.2u.4g 2 4 0.2/2 30 2 2 KVM x1.2u.8g 2 8 0.2/2 30 2 2 KVM x1.4u.4g 4 4 0.4/3 50 2 2 KVM x1.4u.8g 4 8 0.4/3 50 2 2 KVM x1.4u.16g 4 16 0.4/3 50 2 2 KVM x1.8u.8g 8 8 0.8/6 80 2 2 KVM x1.8u.16g 8 16 0.8/6 80 2 2 KVM x1.8u.32g 8 32 0.8/6 80 2 2 KVM x1.12u.12g 12 12 1.2/8 90 4 3 KVM x1.12u.24g 12 24 1.2/8 90 4 3 KVM x1.12u.48g 12 48 1.2/8 90 4 3 KVM x1.16u.16g 16 16 1.6/12 100 4 3 KVM x1.16u.32g 16 32 1.6/12 100 4 3 KVM x1.16u.64g 16 64 1.6/12 100 4 3 KVM

本节介绍了DDoS高防（边缘云版）的主要应用场景。 天翼云DDoS高防（边缘云版）适用于网站类业务、游戏类业务、UDP服务类业务、App应用类业务的DDoS攻击防护场景，以及业务遭竞争对手恶意攻击、勒索，移动业务遭恶意注册、刷单、刷流量等安全防护场景；如果已经遇到DDoS攻击导致业务不可用需要紧急恢复，或者频繁遭受DDoS攻击需要持续防护DDoS攻击来保护业务的稳定性，推荐您使用DDoS高防。DDoS高防（边缘云版）也广泛应用于政府门户、金融、证券、电子商务、游戏等行业。 应用场景 场景概述 业务需求 产品价值 产品优势 政企门户 政企行业的门户网站作为政府、企业的互联网信息服务的重要渠道，有着重要作用，保障网站的稳定运行是服务提供的关键。 大型会议、特殊时期，需要对关键敏感门户进行重点保障。 防止DDoS攻击、CC攻击等安全事件发生，避免形象受损，保障业务连续性、高可用性及高可靠性。 天翼云DDoS高防（边缘云版）为各行企业、政府网站等提供针对性的DDoS防护解决方案，保障业务连续性、高可用性及高可靠性，减少安全投入和运维成本。规避恶意攻击导致的企业形象受损、网站无法访问等问题。 分布式的资源覆盖，满足全国各地访问需求，不影响访问速度。 国内拥有丰富的节点覆盖承载能力，智能调度，实现动态扩容。 接入对用户端、源站无限制，服务接入快速便捷。 提供可视化管理界面和安全报表服务。 金融、证券网站 业务系统对业务可用性要求非常高，同时需要保障用户个人数据和资金安全，一旦发生安全问题，也可能会引发投资人恐慌，对公司造成很大的影响。 官网、信用卡中心等业务稳定加速运行，确保用户的访问质量。 纪念币发行等重要市场活动时突发流量应对。 防护恶意DDoS攻击、CC攻击。 天翼云DDoS高防（边缘云版）领先的DDoS 攻击防护能力，有效防御因DDoS攻击导致网页无法访问或访问速度变慢等安全问题，保障网站永久在线，稳定运行。避免用户流失、营销活动期间网站瘫痪、在线交易失败等直接或间接造成的经济损失。 分布式的资源覆盖，满足全国各地访问需求，不影响访问速度。 国内拥有丰富的节点覆盖承载能力，智能调度，实现动态扩容。 三网防护节点覆盖，提供T级流量清洗防护储备。 可靠的安全防护，支持四层和七层防护。 电子商务网站 电子商务业务对用户体验实时性要求较高，并且存在用户个人账号信息被盗、敏感信息泄露等问题，若存在可用性或者安全问题会造成交易问题，流失客户。 支撑营销活动期间业务突增。 保障业务可用性稳定性。 防护恶意DDoS攻击、CC攻击。 天翼云DDoS高防（边缘云版）领先的DDoS 攻击防护能力，有效防御因DDoS攻击导致网页无法访问或访问速度变慢等安全问题，保障网站永久在线，稳定运行。避免用户流失、营销活动期间网站瘫痪、在线交易失败等直接或间接造成的经济损失。 分布式的资源覆盖，满足全国各地访问需求，不影响访问速度。 国内拥有丰富的节点覆盖承载能力，智能调度，实现动态扩容。 三网防护节点覆盖，提供T级流量清洗防护储备。 游戏行业 游戏行业历来就处于DDoS攻击重灾区，业务对用户体验实时性、可用性要求较高，若遭受攻击会导致登录不可用、服务离线等问题，影响客户体验而进一步导致客户流失。 保障业务服务正常且不影响访问速度。 防护恶意DDoS攻击、CC攻击。 天翼云DDoS高防（边缘云版）领先的DDoS 攻击防护能力，为处于DDoS攻击重灾区的游戏行业，有效解决因频繁的黑客攻击而导致的宽带堵塞、登录端口不可用、服务离线等致命问题。 分布式的资源覆盖，满足全国各地访问需求，不影响访问速度。 国内拥有丰富的节点覆盖承载能力，智能调度，实现动态扩容。 三网防护节点覆盖，提供T级流量清洗防护储备。 支持域名和端口接入，实现100%网络层流量清洗。

事件类型 告警名称 告警说明 企业版 旗舰版 网页防篡改版 加入告警白名单 隔离查杀 恶意软件 恶意程序 恶意程序可能是黑客入侵成功之后植入的木马、后门等，用于窃取数据或攫取不当利益。 例如：黑客入侵之后植入木马，将受害主机作为挖矿、DDoS肉鸡使用，这类程序会大量占用主机的CPU资源或者网络资源，破坏用户业务的稳定性。 通过程序特征、行为检测，结合AI图像指纹算法以及云查杀，有效识别后门、木马、挖矿软件、蠕虫和病毒等恶意程序，也可检测出主机中未知的恶意程序和病毒变种，并提供一键隔离查杀能力。 √ √ √ √ √ 恶意软件 勒索软件 检测来自网页、软件、邮件、存储介质等介质捆绑、植入的勒索软件。 勒索软件用于锁定、控制您的文档、邮件、数据库、源代码、图片、压缩文件等多种数据资产，并以此作为向您勒索钱财的筹码。 × √ √ √ ×（部分支持） 恶意软件 Webshell 检测云服务器上web目录中的文件，判断是否为Webshell木马文件，支持检测常见的PHP、JSP等后门文件类型。 您可以在“策略管理”的“Webshell检测”中配置Webshell检测，HSS会实时检测执行的可疑指令，主机被远程控制执行任意命令等。 × √ √ √ × 恶意软件 反弹Shell 实时监控用户的进程行为，及时发现进程的非法Shell连接操作产生的反弹Shell行为。 支持对TCP、UDP、ICMP等协议的检测。 您可以在“策略管理”的“恶意文件检测”中配置反弹Shell检测，HSS会实时检测执行的可疑指令，主机被远程控制执行任意命令等。 × √ √ √ × 漏洞利用 一般漏洞利用 实时检测利用漏洞入侵主机的行为，对发现的入侵行为进行告警上报。 √ √ √ √ × 系统异常行为 文件提权 当黑客成功入侵主机后，会尝试利用漏洞进行root提权或者文件提权，从而达到非法创建和修改系统帐号的权限或者篡改文件的目的。 HSS检测当前系统的“进程提权”和“文件提权”操作。 检测以下异常提权操作： 利用SUID程序漏洞进行root提权。 利用内核漏洞进行root提权。 对文件的提权。 √ √ √ √ × 系统异常行为 进程提权 检测以下进程提权操作并进行告警： 利用SUID程序漏洞进行root提权。 利用内核漏洞进行root提权。 √ √ √ √ × 系统异常行为 关键文件变更 篡改系统关键文件，通常是黑客入侵成功后进行身份隐藏或者发起下一步攻击的准备工作。 对系统关键文件（例如：ls、ps、login、top等）及目录进行监控，一旦文件被修改就进行告警，提醒用户关键文件存在被篡改的可能。监控的关键文件的路径请参见关键文件变更监控路径。 关键文件变更信息包括“被更改的关键文件路径”、“文件最后修改时间”以及配置文件所在的“服务器名称”。 文件/目录变更信息包括“文件别名”、“被更改的关键文件路径”以及配置文件所在的“服务器名称”。 添加关键文件指纹库，收集关键文件信息，便于清点合法文件信息，检测异常文件。 对于关键文件变更，HSS只检测目录或文件是否被修改，不关注是人为或者某个进程修改的。 √ √ √ √ × 系统异常行为 文件/目录变更 实时监控系统文件/目录，对创建、删除、移动、修改属性或修改内容的操作进行告警，提醒用户文件/目录可能被篡改。 √ √ √ √ × 系统异常行为 进程异常行为 检测各个主机的进程信息，包括进程ID、命令行、进程路径、行为等。 对于进程的非法行为、黑客入侵过程进行告警。 进程异常行为可以监控以下异常行为： 监控进程CPU使用异常。 检测进程对恶意IP的访问。 检测进程并发连接数异常等。 √ √ √ √（部分支持） × 系统异常行为 高危命令执行 您可以在“策略管理”的“高危命令检测”中预置高危命令。 HSS实时检测当前系统中执行的高危命令，当发生高危命令执行时，及时触发告警。 √ √ √ √ × 系统异常行为 异常Shell 检测系统中异常Shell的获取行为，包括对Shell文件的修改、删除、移动、复制、硬链接、访问权限变化。 您可以在“策略管理”的“恶意文件检测”中配置异常Shell检测，HSS会实时检测执行的可疑指令，主机被远程控制执行任意命令等。 √ √ √ √ × 系统异常行为 Crontab可疑任务 检测并列出当前所有主机系统中自启动服务、定时任务、预加载动态库、Run注册表键或者开机启动文件夹的汇总信息。 帮助用户通过自启动变更情况，及时发现异常自启动项，快速定位木马程序的问题。 × × √ √ × 用户异常行为 暴力破解 黑客通过帐户暴力破解成功登录主机后，便可获得主机的控制权限，进而窃取用户数据、植入挖矿程序，DDoS木马攻击等恶意操作，严重危害主机的安全。 检测SSH、RDP、FTP、SQL Server、MySQL等帐户遭受的口令破解攻击。 如果30秒内，帐户暴力破解次数（连续输入错误密码）达到5次及以上，HSS就会拦截该源IP，禁止其再次登录，防止主机因帐户破解被入侵。 SSH类型攻击默认拦截12小时，其他类型攻击默认拦截24小时。 根据帐户暴力破解告警详情，如“攻击源IP”、“攻击类型”和“拦截次数”，您能够快速识别出该源IP是否为可信IP，如果为可信IP，您可以通过手动解除拦截的方式，解除拦截的可信IP。 √ √ √ √ × 用户异常行为 异常登录 检测“异地登录”和“帐户暴力破解成功”等异常登录。若发生异常登录，则说明您的主机可能被黑客入侵成功。 检测主机异地登录行为并进行告警，用户可根据实际情况采取相应措施（例如：忽略、修改密码等）。 异地登录检测信息包括被拦截的“登录源IP”、“登录时间”，攻击者尝试登录主机时使用的“用户名”和“云服务器名称”。 若在非常用登录地登录，则触发安全事件告警。 若帐户暴力破解成功，登录到云主机，则触发安全事件告警。 √ √ √ √ × 用户异常行为 非法系统帐号 黑客可能通过风险帐号入侵主机，以达到控制主机的目的，需要您及时排查系统中的帐户。 HSS检查系统中存在的可疑隐藏帐号、克隆帐号；若存在可疑帐号、克隆帐号等，则触发告警。 √ √ √ √ ×

备份恢复 业务高峰时执行备份可能会备份失败，建议手动备份选择在业务低峰期间，自动备份建议根据业务需要自定义备份时间段（默认自动备份时间段为01:0002:00 (GMT+08:00)）。 实例写入业务较多时，建议备份策略设置成每天做一次自动备份。 建议根据业务需要设置备份保留天数（默认保留7天）。 建议根据业务需要设置Binlog本地保留时长（默认为0，表示Binlog备份完成后本地日志会被删除）。 使用表级时间点恢复功能时，建议提前确认所选时间点之前是否有对无主键大表的删除操作，如果有该操作，恢复完成时间不易评估。 删除实例后，自动备份的全量备份和Binlog备份也会删除，对数据有需要时，建议删除前进行手动全量备份。 SQL审计 需要定期做业务审计时，建议开启审计日志。 日常运维 建议定期关注慢日志和错误日志，提前识别业务问题。 建议定期关注数据库的资源使用情况，资源不足时，及时扩容。 建议关注实例监控，发现监控指标异常时，及时处理。 删除和修改记录时，需要先执行SELECT，确认无误才能提交执行。 安全 尽量避免数据库被公网访问，公网连接时必须绑定弹性公网IP。 尽量使用SSL连接，保证连接的安全性。

云日志服务可以采集哪类日志?支持采集哪些文件类型? 云日志服务可以采集的日志类型 天翼云主机应用日志：可通过采集器进行采集。 天翼云云容器引擎日志，标准输出与文件日志。 通过API、SDK上报日志。 云日志服务支持采集的文件类型（文件扩展名） 在采集配置中，如果日志采集路径配置的是目录（如：/var/logs/），则只采集目录下后缀为“.log”、“.trace”和“.out”的文件；如果配置的是文件名，则直接采集对应文件，只支持文本类型的文件。

本文介绍OpenClaw(原Clawdbot)持久化存储配置的内容。 前置说明 1.该文档为介绍通过应用托管应用市场体验OpenClaw 支持持久化存储配置的内容。 2.本产品中的应用由第三方主体提供，尽管天翼云已尽最大努力进行识别和维护，但仍无法保证应用的可用性。请客户按照该产品的服务协议使用该产品，做好甄别工作，并对自行选择的服务承担相应责任。 概述 OpenClaw持久化存储，用户完成配置后，相关配置信息将持久化保存至存储中，实例重启后配置可完整保留不会丢失。以下为详细操作步骤。 重要：OpenClaw 为开源 AI 助手，请在使用前充分评估其安全性与稳定性并严格遵循许可协议，以切实保障您的系统环境与数据安全。 1. 请避免在 OpenClaw 中绑定生产级敏感账号。如需使用 API 服务，建议使用受限的 API Key 或临时 Token，并建立定期轮换机制，以降低密钥泄露带来的风险。 2. 建议优先使用天翼云官方提供的skills与插件，避免安装来源不明的第三方技能，防止恶意代码注入。 3. 请通过密码或 Token 对 OpenClaw 服务进行访问授权，严格限制访问 IP 范围，避免公网暴露，拦截非授权访问请求。 4. 建议启用详细的日志记录与行为监控，对操作行为和数据处理过程进行持续审计，及时发现并处置异常行为。

云主机备份在支持崩溃一致性备份的基础上，同时支持数据库备份。文件/磁盘数据在同一时间点，通过数据库备份内存数据，能够保证应用系统一致性，如包含MySQL或SAP HANA数据库的弹性云服务器。 约束与限制 暂不支持集群的应用一致性，如MySQL Cluster，只支持单个服务器上应用的一致性。 建议在业务量较小的时间段执行数据库备份。 操作步骤 步骤1、登录云服务备份管理控制台。 1.登录管理控制台。 2.单击管理控制台右上角的，选择区域和项目。 3.选择“存储 > 云服务备份”。选择对应备份的页签。 步骤2、根据创建数据库备份规格的存储库。在数据库备份选项，需要勾选启用。 步骤3、将已安装Agent的云服务器，绑定至数据库备份类型的存储库上。根据创建云主机备份。 步骤4、若数据库服务器备份创建成功，则在备份列表中的备份名称可以旁边看到一个蓝色的“A”字样。 步骤5、若数据库服务器备份创建失败，则系统会自动创建服务器备份，同时存放于该数据库备份存储库中。在备份列表中的备份名称旁边可以看到一个灰色的“A”字样。可以在备份详情页中“管理信息”一栏查看数据库服务器备份失败的原因。 根据页面提示，返回云主机备份页面。若备份执行失败，可以根据任务页面的失败详情进行处理。

本文主要介绍 连接问题。 选择和配置安全组 Kafka实例支持使用内网通过同一个VPC访问、通过DNAT访问和公网访问，访问实例前，需要配置安全组。 使用内网通过同一个VPC访问实例 步骤 1 客户端和实例是否使用相同的安全组？ 是，如果保留了创建安全组后，系统默认添加的入方向“允许安全组内的弹性云主机彼此通信”规则和出方向“放通全部流量”规则，则无需添加其他规则。否则，请添加下表所示规则。 表 安全组规则 方向 协议 端口 源地址 说明 入方向 TCP 9092 0.0.0.0/0 使用内网通过同一个VPC访问Kafka实例（关闭SSL加密）。 入方向 TCP 9093 0.0.0.0/0 使用内网通过同一个VPC访问Kafka实例（开启SSL加密）。 否，执行步骤2。 步骤 2 参考如下配置安全组规则。 假设客户端和Kafka实例的安全组分别为：sg53d4、DefaultAll。以下规则，远端可使用安全组，也可以使用具体的IP地址，本章节以安全组为例介绍。 客户端所在安全组需要增加如下规则，以保证客户端能正常访问Kafka实例。 表 安全组规则 方向 策略 协议端口 目的地址 出方向 允许 全部 DefaultAll 图配置客户端安全组 Kafka实例所在安全组需要增加如下规则，以保证能被客户端访问。 表安全组规则 方向 策略 协议端口 源地址 入方向 允许 全部 sg53d4 图 配置Kafka实例安全组

场景说明 针对安全性要求较高的业务或核心业务，通过天翼云的专属云进行部署，而有互联网访问要求的业务，可以采用公有云进行部署。通过在专属云和公有云的VPC之间建立对等连接，从而实现两个VPC之间的内网互通。在保障安全性的情况下，最大限度降低企业成本投入。 场景特点 核心关键业务部署在专属云，有互联网访问需求的业务部署在公有云，业务上需要专属云和公有云进行互访。 产品优势 通过对等连接打通专属云、公有云，实现不同形态云环境的互联互通。 配置简单、灵活，可以设置互访的网段，将有安全需求的业务，不提供对外访问。 通过对等连接实现两个VPC资源的内网互通，扩展了资源和网络架构。 场景示意图如下：

迁移入云的免费优惠具体是什么？ 目前数据库复制服务执行价格优惠政策，后续入有调整将及时通知，相关优惠政策如下： 1. 实时迁移，入云场景， 商用链路实行7天免费，任务启动7天后收取费用，降低数据上云门槛。 2. 目前涉及的实时迁移入云的数据库引擎，包括MySQL、MongoDB。 3. 对于实时同步、备份迁移不涉及此7天优惠。 以MySQL全量+增量实时迁移为例进行说明。 场景一：免费期内入云迁移 客户A在20210701 8:00启动入云迁移，并于20210703 12:00结束任务，使用时间未超过一周，不收取费用。 场景二：超过免费期入云迁移 客户A在20210701 8:00启动入云迁移，并于20210716 12:00结束任务。则截止20210707 8：00为免费期，从20210707 8：00到结束任务期间按照配置费用每小时2.4元收费，同时，入云迁移的数据传输也会计费，传输费用为1.5元/GB。 数据库复制对于多任务迁移，如何收费？ 按迁移启动的任务，实际底层占用的迁移配置实例、数据传输（公网）来收费。 另外，对于多副本的的数据库实例，迁移时也将底层创建多个迁移实例，例如MongoDB、或者MySQL分库分表，请注意收费中计费项的叠加。 以下举例，多任务迁移 客户A使用公网网络在20210701 8:00启动入云迁移任务1，并于20210709 12:00结束任务，迁移入云数据100GB。 使用公网网络在20210701 8:00启动出云迁移任务2，并于20210705 8:00结束任务，迁移出云数据200GB。 则任务1截止20210707 8:00为免费期，从20210707 8:00到结束任务期间按照每小时2.4元收取配置费用，入云传输免费。任务1收取费用配置费用+传输费用（2天24小时+4小时）2.4元/小时124.8元。 则任务2从启动到结束按照每2.4元/小时收取配置费用，按照1.5元/GB收取传输费用。任务2收取费用配置费用+传输费用5天24小时2.4元/小时+200GB1.5元/GB588元。

1. 登录控制中心。 2. 单击控制中心顶部的，选择“地域”。 3. 单击左侧导航栏“产品服务列表”，选择“计算 >弹性云主机 > 专有宿主机”，进入专有宿主机列表页。您可以查看专有宿主机名称、状态、资源使用量等基本信息。 4. 在专有宿主机列表页，点击专有宿主机名称，即可跳转至该专有宿主机的详情页，可以进一步专有宿主机的详细信息以及当前专有宿主机上的实例列表。 5. 您可以对专有宿主机使用标签、名称或ID进行筛选，也可以对专有宿主机列表进行导出。

风险统计 说明 最近7日待处理风险 您可以查看入侵检测、病毒文件、漏洞风险、安全基线、网页防篡改及对应的风险主机情况。 防护状态 您可以查看用户资产情况，包括主机总数、企业版防护、基础版防护、防护中、已关闭、已离线、未安装客户端的云主机台数。 风险趋势 您可以查看近7天、14天、30天的风险趋势图。 实时动态 您可以查看当前最新发现的风险事件详情。

总览页面分为云服务全景图（资产地图）、数据采集安全、数据传输/存储安全、数据使用安全和数据交换/删除安全共五大板块，实时呈现了用户资产的具体情况。 前提要求 已完成资产访问的授权，参考云资产委托授权/停止授权进行操作。 已完成添加数据库资产，参考数据库资产清单进行操作。 操作步骤 1. 登录管理控制台。 2. 单击左上角的，选择区域或项目。 3. 在左侧导航树中，单击，选择“安全> 数据安全中心”，进入数据安全中心总览界面。 4. 查看数据安全中心服务的总览—云服务全景图。 提供数据资产地图，帮助客户建立数据资产的全景视图，可视化呈现数据资产分布、数据敏感程度、当前的风险级别。 梳理云上数据资产：自动扫描并梳理云上数据资产，地图化展示资产分布，帮助用户解决数据在哪里的问题。 敏感数据展示：基于DSC的三层数据识别引擎、预置合规规则、自然语义识别技术、文件相似度检测技术，对数据资产进行分类分级。 对数据资产按照“风险VPC数”、“风险安全组数”、“风险主机数”、“风险RDS数”、“风险OBS数”进行分类展示。 每类资产按照“高危”、“中危”、“低危”、“未识别风险”对敏感数据进行分级定位。 风险监控和预警：基于风险识别引擎，对数据资产进行风险监控，展示每类资产的风险分布，并预警。 说明 将鼠标移动到数据资产图标处，可查看资产相关信息。 单击数据资产图标，在界面的右侧弹框中可详细查看该资产的“基本信息”、“风险信息”或者“风险安全组规则”等信息。 5. 查看数据安全中心服务的总览—数据采集安全。 DSC根据敏感数据规则对敏感数据进行识别和敏感等级分类，您可以在总览页面查看您资产中不同风险等级的数据的分布情况。 基于敏感字段在文件中出现的累计次数和敏感字段关联组来判断文件的敏感性，并根据文件的敏感程度将其划分为四个等级：“未识别风险”、“低风险”、“中风险”和“高风险”。风险等级依次递增。具体风险等级情况说明： 未识别风险：0级 低风险：1~3级 中风险：4~7级 高风险：8~10级 在柱状图中，不同高度代表该风险等级的资产数量。将鼠标箭头放置在柱状图上，可查看该风险等级的资产数量。 6. 查看数据安全中心服务的总览—数据传输/存储安全。 数据传输安全：DSC统计了以下可能存在传输安全的项，您可以直接单击具体项的名称，查看详细情况。 VPN连接数：您的资产中存在已创建的虚拟专用网络，具体的请参考《VPN服务用户指南》。 云专线连接数：您的资产中存在已创建的云专线物理连接，具体的请参考《云专线用户指南》。 ELB未采用加密通信的监听器：添加监听器时，未使用加密通信HTTPS协议的监听器数量的统计，建议您采用HTTS协议进行加密通信，具体的操作请参见修改监听器。 SSL证书订阅：您的资产中存在已购买或者已上传的证书数量，了解SSL证书请参考《SSL证书管理用户指南》。 WAF未采用加密通信的域名：WAF中添加域名时，未使用加密传输HTTPS协议的域名数量的统计，建议您采用HTTPS协议进行加密通信，具体的操作请参见修改服务器信息。 数据存储安全：该模块为您罗列了存在未加密的对象桶，为了防止您的资产存在不必要的存储安全，建议您单击对象桶名称，前往OBS界面，对未加密的对象桶进行加密。 7. 查看数据安全中心服务的总览—数据使用安全。 该模块统计了“近30分钟”、“近3小时”、“近24小时”、“近7天”、“近30天”内的数据使用安全信息。 未处理异常事件：按“数据访问异常”、“数据操作异常”、“数据管理异常”所占比例进行展示。同时，展示了异常事件总数、违例确认总数和违例排除总数。 单击“未处理异常事件”中的其中一个颜色区域，可查看指定数据异常占比。 当不需要展示某种类型的异常事件时，单击事件分布图右侧攻击类型对应的颜色方块，取消在事件分布圆环中的展示。 Top5访问源IP：前5的访问源IP的统计。 Top5被访问高风险对象：被访问的对象中，排在前5的高风险对象。 Top5访问帐号：前5的访问帐号的统计。 8. 查看数据安全中心服务的总览—数据交换/删除安全。 数据交换安全：展示了已创建的“静态脱敏任务数”以及“水印API调用次数”，如何创建数据脱敏任务请参考创建数据脱敏任务。 数据删除安全：DSC为您统计了数据库、ECS、OBS资产的当日删除数和总删除数。