本文介绍了云防火墙（原生版）的产品定义和产品架构。 云防火墙（原生版）（CTCFW，Cloud Firewall）是一款云原生的云上边界网络安全防护产品，可提供统一的互联网边界管控与安全防护，并提供业务整体情况可视化、日志审计和分析等功能，帮助您完成网络边界防护与等保合规。 产品功能 访问控制：可统一管理互联网访问控制策略（南北向），提供流量可视、访问控制、入侵防御等功能，全面保护用户的网络安全。 入侵防御：内置复合威胁检测引擎，支持对互联网上的恶意流量、DDoS攻击，漏洞利用等攻击行为进行入侵防护，并提供精准的漏洞虚拟补丁，智能阻断入侵风险。 流量可视：提供全面的用户业务流量可视化，实现网络访问可视，网络会话可视，网络行为可视，帮助用户全面感知网络情况。 日志审计：为用户全面记录入侵防御日志、访问控制日志、流量日志和操作日志，帮助用户完成等保合规要求。 产品架构 云防火墙（原生版）整体架构主要包括3个部分，分别为中央管理平台、南北向流量控制模块和日志平台。 中央管理平台：提供策略规则的编辑和下发能力，并展示安全整体情况，为您提供可视化平台。 南北向流量控制模块：主要用于实现互联网到主机间的访问控制，支持4~7层访问控制。 日志平台：存放入侵防御日志、访问控制日志、流量日志和操作日志，并提供查询分析能力。

天翼云专属云（存储独享型）服务等级协议

根据互联网业务的需要，需为每个业务云主机创建网络对象。本小节介绍安全专区云防火墙方位策略配置。 配置方法： 从【导航菜单】页面中，点击【对象】→【网络对象】→【新增】→【业务】，进行相关配置。 名称：按需命名； 服务器IP：业务云主机的IP地址。

SkyWalking支持的框架 skywalkingnodejs是SkyWalking的Node.js Agent官方库，可以通过接入skywalkingnodejs实现对Node.js应用的监控，skywalkingnodejs支持MySQL、Redis、RabbitMQ等多种第三方库的自动埋点。 框架 插件名 builtin http and https module http / https Express express Axios axios MySQL mysql MySQL mysql2 PostgreSQL pg pgcursor pgcursor MongoDB mongodb Mongoose mongoose RabbitMQ amqplib Redis ioredis AWS2DynamoDB awssdk AWS2Lambda awssdk AWS2SNS awssdk AWS2SQS awssdk 告警渠道使用限制 告警渠道 限额 说明 邮件 每个天翼云账号每天20封邮件通知，超出限额后停止发送 如有需求，请提交工单反馈。 短信 每个天翼云账号每天20条短信通知，超出限额后停止发送 如有需求，请提交工单反馈。

本文为您介绍登录云堡垒机。 开通堡垒机（原生版）后，用户在控制台 “云堡垒机实例”页面，在操作列点击“管理”操作，系统单点登录进入云堡垒机实例，通过控制台登录进入默认管理员用户。 登录的时候可选“外网地址登录”或“内网地址登录”。 说明 内网地址登录需要确保网络环境互通。 外网地址登录需要绑定弹性IP。 首次登录 在未设置初始密码时，需通过云堡垒机控制台单点登入跳转登入堡垒机，并进行初始化管理操作。 1. 在“云堡垒机实例”列表条目录中选择要管理的实例，单击“管理”。 2. 根据您自身的网络环境选择“内网地址登录”或“外网地址登录”。 3. 登入堡垒机后，通过个人信息进行初始密码设置。 非首次登录 非首次登入云堡垒机可通过云堡垒机控制台单点登入跳转登入堡垒机，或通过云堡垒机登录地址使用本地认证、AD认证等方式登录。 说明 云堡垒机实例登录地址为 前置条件 已登录过云堡垒机并完成密码初始化。 本地认证登录操作步骤 1. 启动浏览器，在浏览器Web地址栏中输入系统登录地址，进入到系统登录页面。 2. 选择认证方式为“本地认证 ”。 3. 输入系统用户账号和密码，输入图形验证码。 4. 在弹出的对话框中选择绑定的双因子认证方式，若未开启双因子认证则跳过该步骤。 说明 使用短信认证登录，请确保该云堡垒机已开启短信认证方式，具体开启操作请参考：认证设置章节。 使用手机令牌登录前，请先确保您已经为该账号绑定手机令牌，绑定手机令牌才做请参见：手机令牌章节。 5. 单击“确定”，成功登录到堡垒机系统。 注意 动态口令的获取需要使用天翼云APP虚拟MFA管理功能，若未安装天翼云APP，请进入手机应用商店搜索”天翼云“，下载安装天翼云手机APP。

本文中可查看天翼云关系型数据库服务等级协议。 自2021年11月11日起，新版关系型数据库服务等级协议生效。详情请参见[](

本文说明安全加速产品升级情况。 尊敬的天翼云客户： 因业务调整，从2024年12月1日起，天翼云安全加速产品将并入边缘安全加速平台，边缘安全加速平台安全与加速服务可提供提供动静态加速、DDoS防护、Web防护、Bot管理和API安全能力，相比于安全加速的应用场景更丰富。 新购客户：2024年12月1日起，将无法订购安全加速产品。如需订购，请订购其升级产品边缘安全加速平台安全与加速服务。 存量客户：安全产品将持续提供服务至您当前订单周期结束，但从2024年12月1日起，将无法进行续订和变更。如需续订，请订购其升级产品边缘安全加速平台安全与加速服务；如需变更，请先退订安全加速产品，再通过订购边缘安全加速平台的安全与加速服务服务来满足您的需求。 如有任何问题，请您随时通过在线客服或服务热线4008109889联系我们，我们将竭诚为您服务。 感谢您对天翼云的支持！ 天翼云服务团队

本文带您了解天翼云加密相关产品 天翼云支持以下方式，助您对弹性云主机资源进行加密，从而提升数据的安全性。 云硬盘加密 天翼云云硬盘支持系统盘加密和数据盘加密。 云硬盘加密功能 ：创建云硬盘时，用户可以选择是否加密此云硬盘，云硬盘创建完成后加密属性无法更改。 云主机系统盘加密 ：创建云主机时，支持在创建时直接设置系统盘加密。 云主机数据盘加密 ：创建云主机时，支持在创建时直接设置数据盘加密。 云硬盘加密与快照 ：加密云硬盘生成的快照及通过这些快照创建的云硬盘将自动继承加密功能属性。 云硬盘加密与备份 ：加密云硬盘生成的备份及通过这些备份创建的云硬盘将自动继承加密功能属性。 密钥管理 天翼云使用行业标准的AES256 算法，利用数据密钥加密您的云硬盘数据，加密云硬盘使用的密钥由天翼云自研密钥管理（KMS，Key Management Service）功能提供，用户可轻松创建并管理密钥，满足数据加解密及数字签名验签等需求，安全便捷。 KMS通过使用硬件安全模块HSM（Hardware Security Module）保护密钥的安全，所有的用户密钥都由HSM中的根密钥保护，避免密钥泄露。KMS对密钥的所有操作都会进行访问控制及日志跟踪，并提供所有密钥的使用记录，满足审计和合规性要求。密钥管理可以轻松满足对小数据和大量数据的加解密。 工作原理 在了解云硬盘加密工作原理之前，首先需要了解两个概念： 默认密钥（Default CMK） ：用户第一次通过对应云服务使用KMS加密时，系统自动生成的并托管在用户账号下的服务密钥。 用户主密钥（Customer Master Key，CMK） ：用户主密钥包括对称密钥及非对称密钥，主要用于加密保护数据密钥并产生信封，也可直接用于加密少量的数据。用户可以调用KMS的API CreateKey创建一个用户主密钥。 第一次使用加密云硬盘时，系统会自动创建一个用户主密钥（CMK），该密钥有且仅有一个，且是在KMS中的相应地域所创建，并将其存储在受严格的物理和逻辑安全控制保护的密钥管理服务上。 每个地域的加密云硬盘，都需要通过256位数据密钥（DK）进行加密，此数据密钥（DK）具备地域唯一性，即每个地域都有且仅有一个。该密钥受 KMS 提供的密钥管理基础设施的保护，能有效防止未经授权的访问。云硬盘的数据密钥（DK）仅在实例所在的宿主机的内存中使用，不会以明文形式存储在任何持久化介质（即使是云硬盘本身）上。 在创建加密云硬盘并将其挂载到实例后，以下数据都将关联此密钥并进行加密： 云硬盘中的静态数据 云硬盘和实例间传输的数据（实例操作系统内的数据不加密） 通过加密云硬盘创建的快照

《天翼云账号注销条款》（“本条款”）系您与中国电信就您主动注销您的天翼云网门户账号（“天翼云账号”）相关事宜订立的有效协议。 特别提示： 《天翼云账号注销条款》（“本条款”）系您与中国电信就您主动注销您的天翼云网门户账号（“天翼云账号”）相关事宜订立的有效协议。 请您在提交账号注销申请前务必仔细阅读本条款及《注销提醒》，如有任何疑问，请您通过客服电话：400 810 9889联系咨询中国电信。 您勾选本条款并提交账号注销申请，即视为您已充分阅读、理解并同意本条款的全部内容。如果您不同意本条款的任何内容或者无法准确理解本条款任何内容，请不要提交账号注销申请。 自您提交账号注销申请时起，天翼云网门户将按照本条款对您的申请进行检查。对于不符合天翼云账号注销条件的，天翼云网门户将拒绝您的账号注销申请。 1. 账号注销条件 您申请注销天翼云账号应当满足下面全部条件： 1.1 拟注销的天翼云账号不存在下列任一情形，或者您已就相关事宜与天翼云达成一致： 欠费、欠票、待付费用，或者有可用余额； 尚未履行完毕的合同，生效中的订单、服务项目任何其他申请中的业务（包含但不限于正在申请新订单、正在申请退订/提现等）； 与任何天翼云代理商/服务商/分销商账号建立了关联关系； 与任何企业主账号、企业子账号建立了关联关系； 主用户账号下有关联子用户。 1.2 拟注销的天翼云账号不存在未缴纳的税款及其他依照法律法规要求应当履行而未履行的义务等情形； 1.3 您使用拟注销的天翼云账号以及通过该账号做出的一切行为和活动，不存在任何违反法律法规规定或违反您与中国电信约定的情形； 1.4 您拟注销的天翼云账号不存在被他人投诉，或被国家机关调查，或正处于诉讼、仲裁程序中的情形。 2. 注销方式 2.1 自助注销。为了保护您的天翼云账号安全，天翼云网门户仅向满足条件的用户提供自助注销服务。满足本条款第1条账号注销条件的用户可以通过本条款第3条列明的步骤自助注销天翼云账号。 2.2 其他方式注销。当您的天翼云账号不满足注销条件或因其他原因您无法自助注销天翼云账号的，而您又希望注销天翼云账号的，敬请联系天翼云网门户咨询和处理。 3. 自助账号注销步骤 3.1 您的自查 您提交账号注销申请前，请您自查是否满足本条款第1条的全部条件，否则您的账号注销申请可能因不满足注销条件而被拒绝。 3.2 账号注销应当由账号实名登记的用户本人提出。任何通过天翼云账号登录并提交的账号注销申请均被视为用户本人作出的行为。 3.3 您同意并确认，截至账号注销申请提交时，中国电信已按您与中国电信之间的《中国电信天翼云用户协议》及相关规则、具体产品/服务协议（含订单）的约定提供服务，不存在任何违约情形。 3.4 提出注销申请 在满足账号注销条件的前提下，您可以通过登录天翼云网门户，在 账号中心安全设置 页面点击“注销账号”、阅读并接受本条款，提交账号注销申请。 您应当保证，您注销天翼云账号并非为了规避、逃避正在或即将发生的纠纷，或主管部门的监管或执法机关的执法行动，或法律法规的相关规定等。 3.5 初次检查 （1）您提交账号注销申请后，天翼云网门户将实时、自动对您的申请是否满足注销条件进行系统内初次检查。 （2）初次检查结果将在天翼云网门户初次检查结果页面显示。 提示：天翼云网门户对申请仅进行初步、形式检查，您的账号注销申请通过天翼云网门户的初步检查，不代表中国电信放弃其依法或者根据相关合同约定而应享有的权利，也不意味着中国电信同意豁免、减轻或放弃追究账号注销前通过账号作出的所有行为而产生的责任，包括但不限于您因拟注销账号下存在的任何欠费、未缴纳税款而产生的责任。 （3）初次检查通过 对于通过初次检查的申请，经您在初次检查结果页面点击“确认”后，将进行身份验证，以确保是您本人操作。验证通过将进入下一步注销进程（见第4条）。但是，初次检查通过至注销完毕期间，如果您的天翼云账号出现不满足账号注销条件的任何情形，天翼云网门户有权拒绝您的账号注销申请、自行终止您账号注销进程而无需您同意。 （4）初步检查不通过 对于未通过初次检查的申请，初次检查结果页面将显示未通过检查的项目。账号注销申请未通过初次检查的，账号注销进程终止。如果您希望继续注销天翼云账号的，应当重新提起账号注销申请。 4. 关闭期 4.1 初次检查通过后并经您在初次检查结果页面点击“确认”和身份验证后，账号即进入48小时关闭期。 4.2 关闭期内，天翼云网门户将会对您的申请进行最终检查，再次检查您的申请是否满足注销条件。您可以在48小时关闭期届满后在天翼云网门户最终检查结果页面查看结果，并手动选择立即注销。 提示：天翼云网门户仅对您的申请进行形式检查，您的账号注销申请通过天翼云网门户的最终检查，不代表中国电信放弃其依法或者根据相关合同约定而应享有的权利，也不意味着中国电信同意豁免、减轻或放弃追究账号注销前通过账号作出的所有行为而产生的您的责任，包括但不限于您因拟注销账号下存在的任何欠费、未缴纳税款而产生的责任。 4.3 账号关闭期间，除以下服务外，您将无法使用天翼云网门户的服务（包括但不限于不可进行充值、订购、提现、下单、实名认证和变更等业务操作）： 登录天翼云网门户、查看账号信息和历史费用信息等； 浏览天翼云网门户内容，使用自助工具，如文档、智能客服。 4.4 关闭期内，您无法自助终止注销进程、恢复账号功能。您仅可以通过提交工单的方式联系天翼云网门户并经天翼云网门户同意后方可以终止注销进程、恢复账号功能。 5. 保留期 5.1 关闭期满账号即进入90天保留期。 5.2 账号保留期内，除以下服务外，您将无法使用天翼云网门户的服务（包括但不限于不可进行充值、订购、提现、下单、实名认证和变更等业务操作，云服务资源会被系统释放）： 登录天翼云网门户、查看账号信息和历史费用信息等； 浏览天翼云网门户内容，使用自助工具，如文档、智能客服。 5.3 保留期内，您可以通过点击“恢复账号”按钮自助终止注销进程、恢复账号功能。 5.4保留期内，您可以选择立即注销账号。您选择立即注销账号后，账号将被立即注销，账号注销的后果请见本条款第6条。 5.5 保留期届满，账号立即注销, 账号注销的法律后果请见本条款第6条。 5.6 注销后的账号关联信息（手机、邮箱等），在遵守《中国电信天翼云用户协议》及相关规则的前提下可以用于重新注册新账号。 6. 账号注销的后果 6.1 账号注销后（包括保留期满注销、您在保留期内选择立即注销以及通过其他方式注销账号的情形）的后果包括但不限于如下： 您将无法再次以此账号登录天翼云网门户、使用天翼云网门户的服务； 您将无法进行基于账号权限进行的其他操作； 您将无法找回该账号下的数据，包括但不限于用户信息、交易记录、业务数据、历史信息等； 天翼云网门户通过账号向您提供的服务终止。 6.2账号注销不代表您在业务注销前的所有相关行为和责任得到豁免或减轻。 6.3账号一旦注销即无法找回 。在提交账号注销申请前，您应当确保天翼云账号相关的所有数据（包括但不限于账号关联的用户信息、交易记录以及存储在天翼云网门户上的业务数据）均已迁出并妥善备份，或您同意完全放弃保留和找回该等数据的权利。您的账号注销后，天翼云网门户将根据《中国电信天翼云隐私政策》和法律法规要求，采取合理步骤以安全的方式销毁与您账号相关的数据或使其不可识别并不可被再次编辑、修改、使用，您将不能找回该等数据且无权要求天翼云网门户找回、恢复该等数据。因您未进行数据备份而造成数据或信息丢失的，天翼云网门户不承担任何责任。 7. 其他 7.1 本条款构成《中国电信天翼云用户协议》不可分割的一部分，本条款未约定的事项，应当以中国电信与您签订的《中国电信天翼云用户协议》或其他合同为准。 7.2本条款仅适用于您主动申请的情形，但不适用于天翼云网门户根据《中国电信天翼云用户协议》约定或法律法规要求注销账号的情形。

本小节介绍如何修改默认密码。 确认防火墙的版本 确认是R7及之前的版本还是R8及之后的版本。 1.R7及之前版本的登录页面。 2.R8及以后版本的登录页面。 R7及之前版本修改密码 当前版本较老，修改完成密码后建议确认好一个窗口时间（需要升级两次15分钟），然后在天翼云平台上提交升级需求单会有工程师联系进行升级。 1.登录防火墙进入系统→设备管理→管理员页面； 2.勾选需要修改密码的账号，再点击编辑； 3.在密码框里输入新的密码，点击确认。留存好新的密码。 R8及以后版本修改密码 1.登录防火墙后点击右上角的账号。 2.点击修改密码。 3.输入原始密码及修改后的密码点击确认，留存好更新后的密码。 密码安全提醒 为了您的业务安全，请不要使用默认密码，并定期对您的密码进行修改。建议密码长度不小于8个字符，包含大写字母、小写字母、数字和特殊符号中的至少3种，并且每3个月更换一次密码。如您需要技术人员协助修改密码，请通过官网工单系统或拨打4008109889热线电话与我们联系。

请参见天翼云运维安全中心（云堡垒机）服务等级协议。

本节介绍开通翼共享盘的订购、扩容、退订等操作说明。 开通翼共享服务 首次使用需要前往菜单“协同套件”“翼共享”开通服务。 1. 请进入“AI云电脑（政企版）”管理控制台； 2. 在菜单栏选择“协同套件”，进入协同套件页面； 3. 选择“翼共享”，点击“开通”，进入翼创建共享盘页面；。 4.具体配置订购可查看“订购网络共享盘”或“订购NAS共享盘”； 5.首次开通服务成功后，后续的开通和管理可直接通过选择“翼共享”“翼共享管理”菜单进行操作。 注意 目前网络共享盘仅向开通“AI应用中心““企业管理”“智库管理”的开通用户进行开放，未开通AI应中心用户无法看到网络盘开通入口。 订购网络共享盘 1. 进入“AI云电脑（政企版）”控制台； 2. 选择“翼共享”“翼共享管理”菜单，点击右上角“创建共享盘”； 3. 选择类型为“网络共享盘”； 4. 填写共享盘名称并选择资源包； 注意：目前翼共享盘仅支持通过资源包抵扣方式进行开通，详情可查看资源包订购 5. 选择企业所需的共享盘总容量，并配置分配给个人的容量； 注意：网络共享盘的个人容量仅用于共享个人盘空间； 6. 确认配置信息后，点击“立即开通”即可。

本文为您介绍GPU云主机的功能特性。 GPU云主机作为弹性云主机的一类实例规格，保持了部分与弹性云主机实例相同的功能特性，同时也新增了部分独有特性。 全面监控及告警机制，保障云主机正常运行 云资源池提供包括CPU、内存、磁盘和网络使用情况的几十项云主机性能监控指标，并支持查看一段时间内的云主机监控信息，帮助用户了解云主机实例的历史运行情况，还可根据用户预设规则提供及时的告警通知。 通过虚拟私有云（VPC）实现网络的灵活规划 VPC可为云服务器、云容器、云数据库等云上资源构建隔离、 私密的虚拟网络环境。通过VPC可灵活管理云上网络， 包括创建子网、设置安全组和网络ACL、管理路由表、申请弹性公网IP和带宽等。 多种存储类型随意选择，满足不同I/O性能要求 提供普通IO、高IO、通用型SSD和超高IO等多个类型的云硬盘，满足不同业务对IO性能的不同需求。购买方式分为两种，在购买云主机同时购买云硬盘或后期根据需要单独购买云硬盘挂载至云主机上。 可视化管理平台，操作便捷 通过天翼云控制中心对云主机进行管理，可对云主机进行开机、关机、重置密码、重装系统等操作。 规格丰富，满足不同应用场景需求 提供多种实例规格，满足视频解码、图形渲染、深度学习、科学计算等多种场景下不同用户对于GPU的性能需求。配备业界超强算力的GPU显卡，结合高性能CPU平台，单卡最高提供31.2 TFLOPS单精度和9.7 TFLOPS双精度计算，同时支持单机多卡，性能翻倍。

此章节为您介绍如何登录云堡垒机（原生版）。 开通堡垒机（原生版）后，用户在控制台 “云堡垒机实例”页面，在操作列点击“管理”操作，系统单点登录进入云堡垒机实例，通过控制台登录进入默认管理员用户。 登录的时候可选“外网地址登录”或“内网地址登录”。 说明 内网地址登录需要确保网络环境互通。 外网地址登录需要绑定弹性IP。 通过Html5登录堡垒机只支持进行简单的运维操作，复杂运维可能出现卡顿，显示异常等问题，建议您安装插件并且使用使用mstsc，vnc等方式进行运维。 首次登录 在未设置初始密码时，需通过云堡垒机控制台单点登入跳转登入堡垒机，并进行初始化管理操作。 操作步骤 1.在“云堡垒机实例”列表条目录中选择要管理的实例，单击“管理”。 2.根据您自身的网络环境选择“内网地址登录”或“外网地址登录”。 3.登入堡垒机后，通过个人信息进行初始密码设置。 非首次登录 非首次登入云堡垒机可通过云堡垒机控制台单点登入跳转登入堡垒机，或通过云堡垒机登录地址使用本地认证、AD认证等方式登录。 前置条件 已登录过云堡垒机并完成密码初始化。 本地认证登录操作步骤 1. 启动浏览器，在浏览器Web地址栏中输入系统登录地址，进入到系统登录页面。 2. 选择认证方式为“本地认证 ”。 3. 输入系统用户账号和密码，输入图形验证码。 4. 在弹出的对话框中选择绑定的双因子认证方式，若未开启双因子认证则跳过该步骤。 说明 使用短信认证登录，请确保该云堡垒机已开启短信认证方式，具体开启操作请参考：认证设置章节。 使用手机令牌登录前，请先确保您已经为该账号绑定手机令牌，绑定手机令牌才做请参见：手机令牌章节。 5. 单击“确定”，成功登录到堡垒机系统。 注意 动态口令的获取需要使用天翼云APP虚拟MFA管理功能，若未安装天翼云APP，请进入手机应用商店搜索”天翼云“，下载安装天翼云手机APP。

工作原理 目前，天翼云全站加速产品开放使用的是七层协议的QUIC，其工作原理如下图所示，主要应用在客户端与全站加速平台边缘节点的交互，主要适用于弱网环境下的传输优化。 适用场景 如果您希望在弱网环境下拥有更高的性能，如更快的首屏、首包，更快的传输效率，可以使用QUIC接入全站加速平台。 全站加速产品支持的QUIC类型 目前，天翼云全站加速产品同时支持IETF QUIC和GOOGLE QUIC，以方便不同的客户接入。 GOOGLE QUIC支持的版本号为Q043、Q046、Q050。 IETF QUIC支持的版本号为h329和h3v1，IETF QUIC是互联网标准版本，强烈建议您使用IETF QUIC。 注意事项 如果您使用浏览器接入，请使用支持QUIC协议的浏览器，如Chrome、Microsoft Edge等。 如果您使用自研App接入，则App需要自行实现QUIC协议栈或者集成支持QUIC协议的网络库，例如：quicgo、ngtcp2、quiche、quant、kwik、aioquic、picoquic等。 配置说明 如您需要配置使用QUIC协议，请提交工单给天翼云客服，由其帮您配置。 提交工单时，请您提供如下信息： 参数名 说明 QUIC版本号 配置需开启的QUIC版本，例如：H3v1。

用户使用手册 天翼云安全专区终端安全EDR用户使用指南.pdf 天翼云安全专区云防火墙用户使用指南.pdf 天翼云安全专区云堡垒机用户手册使用指南.pdf 天翼云安全专区云数据库审计用户使用指南.pdf 天翼云安全专区云日志审计用户使用指南.pdf 天翼云安全专区安全管理中心用户使用指南.pdf

本文从订购边缘接入、进入客户控制台、添加加速域名/实例、模拟访问验收、配置CNAME介绍如何启用边缘接入服务。 前提条件 已注册天翼云官网账号。如未注册，请参见：注册天翼云账号进行注册。 未实名认证的用户完成实名认证后才能开通全站加速服务。确认账号是否已实名认证，详情请参见：实名认证。 订购边缘接入服务 首先完成天翼云官网注册和实名制认证后，即可开通IP应用加速服务。步骤如下： 1. 进入边缘安全加速平台产品详情页，单击【立即开通】，进入订购页面。 2. 选择边缘接入服务页面。选择加速区域、计费方式、套餐版本、扩展服务、购买时长。点击【立即购买】后，进入订单确认页面 。阅读并同意服务协议后，点击【提交订单】。 3. 完成支付，即可开通成功。边缘接入服务开通后，就可以通过客户控制台来进行创建域名。

本节介绍公共算力服务的产品相关问题。 公共算力服务适用哪些场景？ 场景一：企业、个人的通用计算应用场景，平台实现了算力标准化、普惠化。 场景二：社会闲余算力接入，基于算力并网实现对社会算力并网，算力云化。 如何开通公共算力服务？ 请您提前准备天翼云账号，完成实名认证，登录公共算力服务控制台，即可使用公共算力的服务。 如何申请更多资源池权限？ 请您提前准备好您的业务场景、资源需求规模、资源分布等信息，联系您的客户经理，或者提交客服工单，或者直接拨打客服热线将您的需求告知相关人员。审核通过，权限开放后会有运营人员联系您。 公共算力服务支持哪些资源类型？ 公共算力服务提供包含计算、存储和网络在内的多类资源，如裸金属、VPC、弹性IP、子网ACL、NAT网关、通用文件存储、并行文件存储等资源类型（不同资源池的可用资源类型有差异）。资源按需开放，如需购买请联系您的客户经理，或者提交客服工单，亦或直接拨打客服热线。

本节主要介绍智能视图服务的产品定义。 智能视图服务是天翼云面向视图设备上云场景提供视图接入、视图存储、视图分发及视图分析的一体化产品。依托天翼云遍布全国的资源节点，可实现设备上云全链路的就近接入、就近存储、就近分发及就近分析，通过开放OpenAPI易于被智慧城市、智慧能源、智慧连锁、智慧社区、智慧工地等行业场景应用集成。 产品能力 天翼云智能视图服务支持IPC、NVR和第三方监控平台等监控设备接入，支持GB28181/GB35114/GA1400/RTMP/RTSP/EHOME等多种接入协议，为用户提供就近的边缘节点接入设备，提供多种AI算法满足不同应用场景的AI检测需求（人脸识别/人体识别/场景识别等）。在播放端，智能视图服务支持RTMP/FLV/HLS/WebRTC多协议实时播放和低延迟播放，用户可便捷地通过Web端、APP和PC客户端实时观看视频。 产品架构图 使用方式 天翼云智能视图服务的使用如下： 通过天翼云官网购买并开通产品。 通过进入控制台管理和访问您的监控设备和监控流。 通过配置AI应用实现对视频流的智能AI分析。 通过消息推送可以开启短信推送告警信息。 详细使用方法可查看【快速入门使用流程】和【用户指南】。

天翼云专属云（存储独享型）服务协议

本小节介绍云防火墙（原生版）双向访问控制最佳实践。 背景信息 云防火墙（原生版）作为云计算环境的边界网络安全，符合等级保护要求条例中边界安全访问控制要求项，能够实现内外网访问控制隔离等要求。 前期准备 用户需按业务需求整理好业务内外访问控制需求，整理点包含但不限于以下内容： 访问互联网业务的云主机信息，内网IP地址。 访问互联网业务是否存在限制，是否需要记录上网行为审计。 对外发布业务云主机信息，内网IP及对应公网IP。 对外发布业务云主机的业务端口信息，使用协议，域名信息等。 对外业务或端口是否需要限制源地址访问，例如运维端口仅放行运维人员访问。 配置流程 云计算边界扩展针对云·边界安全有如下要求，要求边界安全能够实现访问控制、恶意代码防范、入侵防范等能力，以下配置流程可实现以上边界安全需求。 配置流程说明： 序号 子流程 配置内容 1 梳理业务映射关系 1. 访问互联网业务的云主机信息，内网IP地址，详情参考《云墙上线信息收集表》。 2. 访问互联网业务是否存在限制，是否需要记录上网行为审计。 3. 对外发布业务云主机信息，内网IP及对应公网IP。 4. 对外发布业务云主机的业务端口信息，使用协议，域名信息等。 5. 对外业务或端口是否需要限制源地址访问，例如运维端口仅放行运维人员访问。 6. 是否有WAF/CDN业务访问，提供源站白名单。 2 配置网络接口 按照平台已添加的网卡进行网卡接口配置，登录云墙【网络】→【接口】→【接口配置】。 3 配置基础准备环境 按需配置对象薄、地址薄等信息，登录云墙【对象】→【服务薄】/【地址薄】。 4 配置出向NAT策略 确认需要访问互联网的云主机，进行SNAT配置【策略】→【NAT】→【源NAT】。 5 配置入向NAT策略 确认需要访问互联网的云主机，进行SNAT配置【策略】→【NAT】→【目的NAT】。 6 配置安全策略 确认需要进行过滤的访问对象，进行安全策略配置【策略】→【安全策略】→【新建】。 7 配置出向路由和平台路由 确认内网访问互联网的出接口地址，配置出向路由【网络】→【路由】→【源路由】。 8 配置业务割接 将弹性IP从云主机上解绑至云墙网卡即可。

服务名称 总体介绍 典型应用场景 存储容量 云硬盘 云硬盘可以为云主机提供高可靠、高性能、规格丰富并且可弹性扩展的块存储服务。 企业日常办公应用 开发测试 企业应用，例如：SAP、Microsoft Exchange 和 Microsoft SharePoint等 分布式文件系统 各类数据库，例如：MongoDB、Oracle、SQL Server、MySQL 和PostgreSQL等 云硬盘支持按需扩容，最小扩容步长为1 GiB，单个云硬盘可由10 GiB扩展至32 TiB。 弹性文件服务 弹性文件服务可以为您的云主机提供一个完全托管的共享文件存储，它提供标准文件协议，能够弹性伸缩至PiB规模，具备可扩展的性能，为海量数据、高带宽型应用提供有力支持。 高性能计算中的基因测序、动画渲染、CAD/CAE等场景 文件共享 媒体处理 内容管理和Web服务 线下文件备份 弹性文件服务可随业务动态扩展或缩小，容量最高可达2 PiB。 对象存储服务 对象存储是一种可存储文档、图片、影音视频等非结构化数据的云存储服务。支持多种上云方式，为海量的云端数据提供低成本、高可靠访问存储。 企业备份/归档 大数据分析 企业网盘 静态网站归档 原生云应用程序 对象存储服务没有容量限制，存储资源可无限扩展。

本认主要对资金管理字段进行简要说明，帮助客户理解资金管理功能。 资金管理常见字段有充值、充值金额、账户余额、现金余额、可提现金额等等。 字段 说明 充值 客户通过在线支付、转账汇款方式向天翼云账户增加可消费金额的过程 充值金额 客户通过充值的方式向天翼云账户增加的可消费金额 账户余额 天翼云账户现有的可消费金额 欠费金额 天翼云账户预支消费金额超过账户金额的部分 在线充值 客户通过线上支付渠道（支付宝、微信支付、翼支付）进行余额充值 转账汇款 客户通过银行将款项从银行帐户转到天翼云账户的过程 专属汇款账号 客户申请专属汇款账号后，通过专属汇款账号进行转账汇款时，系统会自动充值到客户的天翼云账户 现金余额 天翼云账户的现金余额 提现 客户将天翼云账户的余额提取至银行账户或支付平台的过程 可提现金额 当前客户账户中可提现的金额。可提现金额现金余额欠票金额

本文介绍边缘接入服务IP应用加速全网带宽控制功能。 功能介绍 天翼云边缘接入服务IP应用加速全网带宽控制功能可通过设置单个域名或多个域名的总带宽值来控制带宽总用量，避免因带宽突发带来更多的带宽费用。 带宽控制功能支持全网边缘总带宽限制，支持分时段控制，您可以根据自身带宽需求选择对应的限制策略。带宽超出设置值后，可选择对请求进行限速或者拒绝操作。 适用场景 存在带宽突发场景，希望突发情况下应用加速带宽费用可以进行有效控制。 对带宽成本有严格把控，同时又不希望影响客户感知情况下可选择适用带宽控制功能，超过设置带宽后，对用户设置合理限速。 注意事项 可以针对多个域名合并进行总带宽控制，但是一个域名同时只能配置在一个控制任务中。 不支持对泛域名配置带宽控制功能。 由于域名带宽的监控数据存在一定延迟（大约10分钟），实际带宽达到阈值大约10分钟后生效。 配置说明 如需开启带宽控制功能，您需要提供以下信息： 参数 说明 限制带宽值 提供需要限制的总带宽大小。 限速时段 可选择全天生效或者固定时段生效。 限制策略 带宽超过限速值后处理方式，可选择限速/拒绝。 限制策略配置 限制策略选择限速，则提供对应的限制值。 限制策略选择拒绝，默认拒绝响应SESSIONDENIED状态码。 如您需要配置边缘接入服务IP应用加速全网带宽控制功能，请提交工单申请。

应用防护 为运行时的应用提供安全防御。您无需修改应用程序文件，只需将探针注入到应用程序，即可为应用提供强大的安全防护能力。当前只支持操作系统为Linux的服务器，且仅支持Java应用接入。 表19 应用防护功能介绍 功能名称 功能概述 基础版 专业版 企业版 旗舰版 网页防篡改版 容器版 支持的操作系统 检测周期 SQL注入 检测防御SQL注入（SQL Injection）攻击，检测web应用是否存在对应漏洞。 × × × √ √ √ Linux 实时检测 OS命令注入 检测防御远程OS命令注入（OS Command Injection）攻击，同时检测web应用是否存在对应漏洞。 × × × √ √ √ Linux 实时检测 XSS 检测防御存储型跨站脚本(CrossSite Scripting，XSS)注入攻击。 × × × √ √ √ Linux 实时检测 Log4jRCE漏洞检测 检测防御远程代码执行的控制攻击。 × × × √ √ √ Linux 实时检测 上传Webshell 检测防御上传危险文件的攻击或将已有文件改名为危险文件扩展名的攻击，同时检测web应用是否存在对应漏洞。 × × × √ √ √ Linux 实时检测 XML External Entity Injection 检测防御XXE注入（XML External Entity Injection）攻击，检测web应用是否存在对应漏洞。 × × × √ √ √ Linux 实时检测 反序列化输入 检测使用了危险类的反序列化攻击。 × × × √ √ √ Linux 实时检测 文件目录遍历 获取访问文件的路径或目录，匹配是否在敏感目录或敏感文件下。 × × × √ √ √ Linux 实时检测 Struts2 OGNL OGNL代码执行检测。 × × × √ √ √ Linux 实时检测 JSP执行操作系统命令 检测可疑行为——通过JSP请求执行操作系统命令。 × × × √ √ √ Linux 实时检测 JSP删除文件 检测可疑行为——通过JSP请求删除文件失败。 × × × √ √ √ Linux 实时检测 数据库连接异常 检测可疑异常——数据库连接抛出的认证和通讯异常。 × × × √ √ √ Linux 实时检测 0 day漏洞检测 检测执行命令的堆栈哈希是否在Web应用的白名单堆栈哈希表里。 × × × √ √ √ Linux 实时检测 SecurityManager权限检测异常 检测可疑异常——SecurityManager抛出的异常。 × × × √ √ √ Linux 实时检测

应用授权（可选） 未授权应用则默认不引流，按原有路径进行访问，建议可添加到已授权策略，避免策略过多。若暂未明确授权范围，可先跳过配置，后续再进行统一授权。 具体配置模式参考应用授权。 编辑应用 编辑时可针对应用进行相关配置。 WEB应用：http，https，ws，wss协议类型应用。 网络应用：除WEB应用协议外的其他协议，例如tcp，udp，ssh。 注意 对于不同的应用类型（WEB应用、网络应用），应用地址的添加字段和处理存在差异，请根据具体应用类型进行选择，若类型选择错误，可能会导致访问异常。 如果您想了解更多关于单点登录（SSO）、无端访问，详细配置见单点登录（SSO）是什么，什么是无端访问。 标签列表 标签是作为应用的分类分组标识，通过标签可以对应用进行分组管理，根据不同的应用类型和标签分类，实现对应用的快速筛选和授权选择。 可针对应用标签进行添加、编辑、删除。

本节介绍天翼云电脑Web客户端的使用操作。 快捷键操作 进入云电脑后，您可以通过云电脑上方的工具栏，点击“快捷键”模块，可以看到： Win+D：用作把所有打开的窗口最小化，显示桌面。 Ctrl+Alt+Del：用作调出安全窗口，或打开任务管理器用的。 Printscreen：用作截取全屏幕画面。 工具栏自动隐藏 进入云电脑后，在桌面顶部看到工具栏，鼠标移入点击可左右移动。在其他设置设置工具栏自动隐藏。 显示设置 如需设置云电脑分辨率，选择“工具”，进入偏好设置选择显示设置：分辨率和缩放设置默认与终端本地保持一致。 画面设置 如需设置云电脑画面，选择“工具”，可选择“默认设置”，“清晰优先”，“流畅优先”，“自定义设置”。 系统重装 如需系统重装，选择“工具”，进入偏好设置，点击“系统重装“，选择“系统盘重装至初始状态”，进行系统重装，系统重装会将系统还原至初始状态，系统盘的程序或数据会被清除，如非特殊情况，否则不建议使用。

本章节介绍如何使用云容器引擎快速接入云原生网关 概述 云原生网关体验流程如下： 创建网关实例 > 绑定ELB > 添加服务来源 > 添加服务 > 配置路由规则 > 测试验证 > 查看监控 前置条件 1. 已创建云原生网关实例； 2. 已创建ELB实例； 3. 已开通天翼云日志服务（LTS）和应用性能监控服务（APM），网关实例开启了指标监控、链路追踪和日志服务； 绑定ELB 实例开通成功后，需要绑定到ELB提供外部访问；当前支持私网ELB和公网ELB；可以到ELB开通页面在网关同VPC下创建ELB实例； 从网关列表页选择指定网关进入网关详情页，在基础信息页可以看到网关入口选项，选择绑定ELB，在下拉列表中选择已经开通的公网或者私网ELB实例及端口，绑定即可。 绑定完成后可以看到当前绑定的ELB列表及访问地址。 添加服务来源 通过网关列表页面选择网关实例进入对应实例的详情页，在服务来源子菜单下可以添加云原生网关的服务来源，当前支持将与网关同vpc下的nacos实例和云容器引擎集群作为服务来源 添加服务 在网关实例服务列表菜单下可以创建服务，当前支持从容器、Nacos服务来源创建服务，或者创建固定地址的服务； 选择从容器创建服务时需要指定： （1）服务所在的命名空间； （2）在服务列表栏可以看到选择的命名空间下的服务信息（K8s Service），每个服务可能有多个端口，在云原生网关中，每个端口都可以创建为一个服务； （3）根据需求可以配置后端服务的请求协议（HTTP、HTTPS、GRPC、GRPCS）、websocket选项、MTLS选项等；

本节带您了解如何将智能网关绑定天翼云SDWAN实例、专线。 操作场景 用户将智能网关绑定天翼云SDWAN实例或者专线，实现分支互联、访问云上资源。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成SDWAN实例、智能网关实例和云专线的创建。 操作步骤 绑定SDWAN 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本节我们选择华东1。 3. 依次选择“网络”，单击“天翼云SDWAN”；进入天翼云SDWAN总览页面。 4. 选择“智能网关”，单击目标智能网关“操作”列的“绑定网络实例”，进入绑定网络实例页面。 5. 网络类型选择“SDWAN”,根据页面提示，选择要加入的天翼云SDWAN实例。 6. 单击“确定”，完成智能网关绑定天翼云SDWAN实例。 绑定专线 1. 在天翼云SDWAN总览页面，选择“智能网关”，单击目标智能网关“操作”列的“绑定网络实例”，进入绑定网络实例页面。 2. 在绑定网络实例页面，网络类型选择“专线”。 3. 根据页面提示配置参数，具体参数配置如下： 参数 说明 网络类型 选择智能网关接入云资源池的方式，这里我们选择专线。 资源池 可以选择公有云资源池。 专线网关 选择该资源池下的专线网关。 物理专线 选择上述专线网关下的物理专线。 客户侧子网 可选当前专线网关下已经配置的客户侧IPv4子网，当前暂不支持客户侧子网变更，如需修改子网，请解绑专线网关后重新绑定。 4. 单击“确定”按钮，完成绑定。

本节介绍域名以IPv4接入防护后，如何升级到IPv6防护。 WAF支持IPv4和IPv6双栈防护，若已接入IPv4防护，可以在“更新WAF防护配置”页选择NAT66，再添加源站IP、协议类型、端口，即可直接升级IPv6。 注意事项 更新WAF防护配置前，需要先关闭防护。 操作步骤 1. 登录Web应用防火墙（企业版）控制台。 2. 在左侧导航栏，选择“WAF防护配置”，进入防护配置页面。 3. 单击防护域名操作列的“更多 > 关闭防护”。 4. 单击防护域名操作列的“更多 > 修改”，进入更新WAF防护配置页面。 5. 配置防护参数：IP代理选择“NAT66”，再添加源站IP（配置IPv6地址）、协议类型、端口。 6. 单击防护域名操作列的“更多 > 开启防护”。

智能网关实例如何停止计费？ 智能网关实例从业务实际开通之时开始计费：如果用户侧已具有设备，仅需购买SDWAN接入带宽，则在带宽开通成功时开始计费；如果用户同时从天翼云购买智能网关设备和接入带宽，则在智能网关设备首次激活成功后开始计费。 计费开始后，如果您的SDWAN服务没有到期，或者您没有进行退订相关的操作，那么智能网关实例无法停止计费。如果您不再使用天翼云SDWAN服务，请联系您的客户经理或者自行在天翼云控制台进行退订操作。

客户侧防火墙配置例子 客户侧私网网段：192.168.10.0/24 云侧私网网段：10.132.0.0/24，10.132.1.0/24，10.132.20.0/24，10.132.21.0/24 客户侧VPN设备为strongswan5.8.0 云侧是被动协商，不需要配置IKE与ESP算法，只需在客户侧防火墙配置云侧支持的算法（参考前两小节表格）即可。 云侧IPsec VPN实例信息如下： IPsec VPN名称：IPSecVPN 客户侧私网网段：192.168.10.0/24 客户侧公网地址：58.63.x.2 IKE版本：IKEv2 预共享密钥（自定义）： 标识符类型：FQDN 云端标识符：cloud.responder 客户侧标识符：customer.initiator 客户侧strongswan配置如下： （1）修改/etc/strongswan/ipsec.conf，参考配置如下： conn %default ikelifetime12h keylife4h rekeymargin3m keyingtries1 authbypsk keyexchangeikev2 mobikeno conn customertocloud left58.63.x.2 leftsubnet192.168.10.0/24 leftauthpsk leftid@customer.initiator right113.125.x.102 rightsubnet10.132.0.0/24,10.132.1.0/24,10.132.20.0/24,10.132.21.0/24 rightauthpsk rightid@cloud.responder ikeaes128gcm16prfsha256modp2048! espaes128gcm16esn! autostart dpddelay10s dpdtimeout90s dpdactionrestart （2）修改/etc/strongswan/ipsec.secrets配置预共享密钥为“”。 （3）修改/etc/strongswwan/strongswan.d/charon.conf，设置makebeforebreakno，默认是no。