本文介绍IP访问限频功能适用场景和配置方法。 功能介绍 IP访问限频功能可以限制单个用户IP在天翼云CDN单台服务器上的请求频次，防御CC攻击，防止恶意用户盗刷。 适用场景 1. 网站存在用户使用同个IP频繁重复下载同一资源导致大量CDN流量浪费的场景。 2. 网站存在用户使用同个IP频繁发起恶意请求或尝试非法访问的场景。 注意事项 1. 当单IP单域名每秒访问单台服务器的次数达到设置的阈值，返回403状态码，阻断时间默认10分钟。 2. 设置阈值时需根据业务的实际情况进行评估，阈值过低可能导致正常用户的访问受限，影响用户体验；而阈值过高则可能无法有效限制非法访问或恶意行为。 3. 限频功能对非法访问防控效果有限，若存在大量IP对全网节点进行恶意访问或攻击，通过此功能无法有效控制，建议您购买边缘安全加速平台产品。 配置说明 1. 登录CDN控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，找到目标域名，单击【操作】列的【编辑】。 4. 单击右侧【访问控制】。 5. 在【IP访问限频】模块，单击【增加规则】。 6. 根据需求填写配置，单击【确定】。 7. 单击【保存】，完成配置。 参数名 配置值 说明 类型 后缀名/目录/首页/全部文件/全路径文件 需要配置的文件类型。 内容 指定类型的具体内容 类型选择后缀名、目录、全路径文件时，需配置具体内容；例如类型为后缀名时，需在内容处指明具体的文件后缀；如类型为目录时，需在内容处指明具体的目录内容。 访问阈值 每秒可访问次数 单位：次/秒，IP访问超过阈值后，拒绝访问10分钟。 优先级 数字 配置的优先级，存在多条设置时，相同文件类型及内容，执行优先级高的规则。数字越大，优先级越高。

接口描述：本接口用于提供用户查询域名维度的回源请求成功率 请求方式：post 请求路径：/statistics/querymissrequestsuccessratedata 使用说明： 单个用户一分钟限制调用10000次，并发不超过100 单次可查询的时间跨度不超过31天 请求参数说明 参数 类型 是否必传 名称 描述 producttype list 否 产品类型列表 默认全部产品，作为统计过滤项。支持：“001”(静态加速)，“003”(下载加速),“004”(视频点播加速),“008”(CDN加速),“014”(下载加速闲时),“007”(安全加速),“005”(直播加速),“006”(全站加速),“009”(应用加速),“010”(web应用防火墙（边缘云版）),“011”(高防DDoS（边缘云版）) domain list 否 域名列表 默认名下所有域名，可多个域名 starttime int 是 开始时间戳 单位秒 endtime int 是 结束时间戳 单位秒 interval string 否 时间粒度 目前仅支持5分钟 province list 否 省编码列表 省编码，不传默认所有省份，可多个省编码，作为统计筛选项，点击查看地区及省份列表。 isp list 否 运营商编码列表 运营商编码，不传默认所有运营商，可多个运营商编码，作为统计筛选项，点击查看运营商列表。 返回参数说明： 参数 类型 是否必传 名称及描述 code int 是 状态码 message string 是 描述信息 starttime int 否 开始时间戳 endtime int 否 结束时间戳 interval string 否 时间粒度 reqmissrequestsuccessratedatainterval list 否 每个时间间隔的回源请求成功率 reqmissrequestsuccessratedatainterval[].timestamp int 否 时间片开始时间戳 reqmissrequestsuccessratedatainterval[].domain string 否 域名 reqmissrequestsuccessratedatainterval[].missrequestsuccessrate float 否 回源请求成功率

ICP备案信息转移至其他天翼云账号 第一步：取消原账号关联请按照取消关联模板填写并加盖单位公章后回复至 beianctyun@chinatelecom.cn 邮箱，并致电 4008109889 转 3 号告知，便于帮您及时处理。 第二步：备案认领取消关联后您的备案将处于未与账号绑定的状态，请您登陆需绑定该备案信息的天翼云账号（该账号下需没有任何备案订单），点击备案中心——我的备案— —立即备案，按照系统提示的信息录入提交并匹配备案类型，系统识别到域名已 在天翼云备案，会生成一条备案认领的订单，请您选择在途备案订单管理，点击 详情进入订单，勾选中您需认领的域名，上传单位执照、主体负责人与网站负责 人身份证材料提交备案认领至天翼云审核，提交后烦请您致电 4008109889 转 3 号告知，我们将优先处理您的备案认领，认领成功后备案信息将出现在您的已备案信息管理中。

本节将为您介绍如何给智能网关实例添加设备。 操作场景 通过添加设备，您可以将自己已有的网关设备与智能网关实例进行绑定，绑定完成后可在智能网关管理控制台对您的设备进行配置管理。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成智能网关硬件实例的创建，且未购买设备。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本节我们选择华东1。 3. 依次选择“网络”，单击“天翼云SDWAN”，进入天翼云SDWAN总览页面。 4. 单击“智能网关”，在智能网关列表页面，单击目标智能网关“操作”列的“添加设备”。 5. 在“添加设备”界面，选择并填写您设备的设备型号、使用方式、SN、设备地址等信息。 6. 点击“确定”按钮。

本节为您介绍设置OSPF路由主备的操作场景、前提条件和操作步骤。 操作场景 用户建立两个智能网关的OSPF路由主备关系，以增强服务可用性。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 主备智能网关均为单机接入方式且在线。 主备智能网关均已启用OSPF路由。 主备智能网关接入同一个PoP且没有与其他设备建立主备关系。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本节我们选择华东1。 3. 依次选择“网络”，单击“天翼云SDWAN”，进入天翼云SDWAN总览页面。 4. 选择“OSPF路由备份”，单击“创建主备关系”。 5. 根据页面提示，添加需要建立主备关系的两个设备。主设备优先级默认为1，备设备优先级默认为2。 6. 单击“确定”，完成建立OSPF路由备份。

资源包类型 资源包规格 资源包有效期 资源包价格 举例说明 专业版资源包 7,200实例小时 1个月 270元 10个Agent，使用时间为30天，需要资源包的规格为10×24×307200 Agent小时。 专业版资源包 36,000实例小时 3个月 1250元 50个Agent，使用时间为30天，需要资源包的规格为50×24×3036000 Agent小时。 专业版资源包 144,000实例小时 6个月 4600元 200个Agent，使用时间为30天，需要资源包的规格为200×24×30144000 Agent小时。 专业版资源包 360,000实例小时 6个月 10500元 500个Agent，使用时间为30天，需要资源包的规格为500×24×30360000 Agent小时。 专业版资源包 876,000实例小时 12个月 22900元 100个Agent，使用时间为365天，需要资源包的规格为100×24×365876000 Agent小时。 专业版资源包 1,752,000实例小时 18个月 39900元 200个Agent，使用时间为365天，需要资源包的规格为200×24×3651752000 Agent小时。 专业版资源包 4,380,000实例小时 18个月 88000元 500个Agent，使用时间为365天，需要资源包的规格为500×24×3654380000 Agent小时。

名称 定义 密钥管理服务（Key Management Service, KMS） 密钥管理是一种安全、可靠、简单易用的密钥托管服务，帮助您轻松创建和管理密钥，保护密钥的安全。KMS通过使用硬件安全模块（Hardware Security Module，HSM）保护密钥安全，帮助用户轻松创建和管理密钥，所有的用户密钥都由HSM中的根密钥保护，避免密钥泄露。 专属加密（Dedicated Hardware Security Module，Dedicated HSM） 专属加密是一种云上数据加密的服务，可处理加解密、签名、验签、产生密钥和密钥安全存储等操作。Dedicated HSM为您提供经国家密码管理局检测认证的加密硬件，帮助您保护弹性云服务器上数据的安全性和完整性，满足监管合规要求。同时，用户能够对专属加密实例生成的密钥进行安全可靠的管理，也能使用多种加密算法来对数据进行可靠的加解密运算。

本文介绍了云防火墙（原生版）产品的应用场景。 外部访问控制 通过云防火墙（原生版）产品，对已开放公网访问的服务资产进行安全盘点，能够自动识别威胁暴露面，可对开放的公网IP一键开启入侵检测与防御，保护公网资产安全。 主动外联管控 对主动外联行为进行分析，评估主机失陷风险状态，并对恶意连接行为进行实时阻断，保护资产安全。 等保合规 云防火墙（原生版）产品能够满足等保2.0二级和三级中针对边界防护、访问控制、入侵防御、安全审计等特定的等保合规检查要求。

安全专区高级版支持进行网站漏洞扫描，分析网站安全问题。 功能说明 安全专区高级版支持进行网站漏洞扫描，分析网站安全问题。包括网站根域名、子域名漏洞扫描及其资产的风险状态和告警数量统计信息。 应用列表 1.进入【资产管理】→【域名】，通过域名对WEB资产进行安全状态管理。 2.可选择点击【根域名】和【子域名】进行分组查询和管理。 应用管理 新建应用域名 点击左上角【新建】，进行应用域名创建，填写域名、资产IP地址及选择域名类型。提交确定即可。 编辑应用域名 在域名操作栏，点击编辑及删除按钮，可对应用域名进行编辑或删除。 WEB漏洞扫描 在域名操作栏，点击【扫描】按钮，可对应用域名进行WEB漏洞扫描。选定多个域名，点击【快速扫描】按钮可进行批量扫描。 扫描任务完毕后，系统会自动更新域名漏洞数据及扫描时间。 点击任务的日志信息，可查看相关任务详情，例如具体终端IP地址、任务发生时间等。

本章节提供天翼云内容审核产品用户操作手册的下载。 参考《天翼云内容审核产品操作手册》，点击下方链接下载查看。 天翼云内容审核用户操作手册.pdf

该任务指导用户通过漏洞扫描服务编辑资产的监测任务。 操作场景 该任务指导用户通过漏洞扫描服务编辑资产的监测任务。 前提条件 已获取管理控制台的登录帐号与密码。 已创建监测任务。 操作步骤 1. 登录管理控制台。 2. 在左侧导航树中，单击，选择“安全 > 漏洞扫描（专业版）”。 3. 在左侧导航树中，选择“安全监测”，进入“安全监测”界面。 4. 在目标监测任务所在行的“操作”列中，单击“编辑任务”。 5. 根据需求，重新配置监控信息和扫描项设置。

本文档提供了安全加速 API 的描述、语法、参数说明及示例等内容。 本文档提供了安全加速 API 的描述、语法、参数说明及示例等内容。

参数 说明 是否支持修改 IKE策略 版本 IKE密钥交换协议版本，支持的版本：v2。 × IKE策略 认证算法 认证哈希算法，支持的算法： SHA2256 SHA2384 SHA2512 默认配置为：SHA2256。 √ IKE策略 加密算法 加密算法，支持的算法： AES256GCM16 AES128（此算法安全性较低，请慎用） AES192（此算法安全性较低，请慎用） AES256（此算法安全性较低，请慎用） 默认配置为：AES128 √ IKE策略 DH算法 支持的算法： Group 14（此算法安全性较低，请慎用） Group 15 Group 16 Group 19 Group 20 Group 21 默认配置为：Group 15。 √ IKE策略 生命周期（秒） 安全联盟（Security Association，SA）的生存时间。 在超过生存时间后，安全联盟将被重新协商。 单位：秒。 取值范围：60~604800 默认配置为：86400。 √ IKE策略 本端标识 IPsec连接协商时，VPN网关的鉴权标识。在对端网关配置的VPN网关标识需要和此处配置的本端标识保持一致，否则协商失败。 默认配置为：VPN网关的EIP。 × IPsec策略 认证算法 认证哈希算法，支持的算法： SHA2256 SHA2384 SHA2512 默认配置为：SHA2256。 √ IPsec策略 加密算法 加密算法，支持的算法： AES256GCM16 AES128（此算法安全性较低，请慎用） AES192（此算法安全性较低，请慎用） AES256（此算法安全性较低，请慎用） 默认配置为：AES128 √ IPsec策略 PFS PFS（Perfect Forward Secrecy）即完美前向安全功能，配置IPsec隧道协商时使用。 PFS组支持的算法： DH group 14（此算法安全性较低，请慎用） DH group 15 DH group 16 DH group 19 DH group 20 DH group 21 Disable 默认配置为：DH group 15。 √ IPsec策略 传输协议 IPsec传输和封装用户数据时使用的安全协议。 目前支持的协议：ESP。 × IPsec策略 生命周期（秒） 安全联盟（Security Association，SA）的生存时间。 在超过生存时间后，安全联盟将被重新协商。 单位：秒。 取值范围：30~604800 默认配置：3600。 √

本章节主要介绍安装客户端（3.x之前版本）。 操作场景 用户需要使用MRS客户端。MRS集群客户端可以安装在集群内的Master节点或者Core节点，也可以安装在集群外节点上。 MRS 3.x之前版本集群在集群创建后，在主Master节点默认安装有客户端，可以直接使用，安装目录为“/opt/client”。 MRS 3.x及之后版本客户端的安装请参考安装客户端（3.x及之后版本）。 说明 如果集群外的节点已安装客户端且只需要更新客户端，请使用安装客户端的用户例如“root”。 在集群外节点安装客户端前提条件 已准备一个弹性云主机，主机操作系统及版本请参见参考列表。 操作系统 支持的版本号 Euler 可用：Euler OS 2.2 可用：Euler OS 2.3 可用：Euler OS 2.5 例如，用户可以选择操作系统为Euler的弹性云主机准备操作。 同时为弹性云服务分配足够的磁盘空间，例如“40GB”。 弹性云主机的VPC需要与MRS集群在同一个VPC中。 弹性云主机的安全组需要和MRS集群Master节点的安全组相同。 如果不同，请修改弹性云主机安全组或配置弹性云主机安全组的出入规则允许MRS集群所有安全组的访问。 需要允许用户使用密码方式登录Linux弹性云主机（SSH方式），请参见弹性云主机《用户指南》中“实例> 登录Linux弹性云主机 >SSH密码方式登录”。

备案说明FAQ 域名必须要进行ICP备案吗？ 当域名解析指向中国内地的服务器并开通Web服务时，需进行ICP备案。若解析指向境外服务器（如中国香港），则无需ICP备案。 ICP备案收费吗？ ICP备案不收取费用，但ICP备案需要购买支持备案的云服务器，您在购买云服务器时会产生费用。 ICP备案需要有域名、中国内地且符合备案要求的服务器，您需要在服务器提供商处提交ICP备案申请。如果您的域名要通过天翼云备案，请先购买云服务器，再通过PC端登录天翼云ICP代备案管理系统提交ICP备案申请。 ICP备案服务器的购买时长需不少于3个月。 只购买云服务器不使用域名，需要进行ICP备案吗？ 不需要。当域名解析指向中国内地服务器且开通Web服务时才需进行ICP备案。 子域名需要进行ICP备案吗？ 如果主域名在天翼云已有ICP备案，则对应的子域名无需再进行ICP备案。 如果主域名有ICP备案号，但不是在天翼云申请的ICP备案，您需将主域名的ICP备案信息接入天翼云（主域名可以存在多家接入商）。详细信息请参见备案操作手册。 如果主域名没有ICP备案号，根据工信部规定，未进行ICP备案域名不能开通网站访问，您需先将主域名提交备案，待备案成功后子域名便可正常使用。详细信息请参见备案操作手册。 在天翼云进行ICP备案是否一定要购买天翼云服务器？ 如果您需要在天翼云做ICP备案，则必须购买符合ICP备案要求的天翼云服务器。 域名持有者是个人，备案主体可以是公司吗？ ICP备案要求域名持有者信息与ICP备案主体信息需保持一致，但存在如下特殊情况，单位性质备案时，域名持有者为个人，允许备案主体为公司。 域名持有者为公司的法定代表人，部分省份允许ICP备案主体为法定代表人的公司，备案主体负责人需填写公司法人信息。 什么情况下需要进行新增备案？ 主体（个人或企业）和域名从未办理过ICP备案，在开通网站的访问服务之前，需要通过天翼云备案系统完成新增备案，详细信息请参见备案操作手册。 什么情况下需要进行接入备案？ 主体和域名均已通过其他服务商成功进行ICP备案，现需要将服务商变更成天翼云或将天翼云添加为该网站的新增服务商，需要在天翼云接入备案，详细信息请参见备案操作手册。 什么情况下需要进行新增网站备案？ 如果您的ICP备案主体已通过其他服务商成功进行ICP备案，现购买天翼云服务器，并且需要在天翼云备案一个新的网站域名，您需要在天翼云进行新增网站，详细信息请参见详细信息请参见备案操作手册。 如果您的ICP备案主体已在天翼云成功备案，现有新的网站托管到天翼云服务器上，您需要在天翼云进行新增网站，详细信息请参见备案操作手册。 什么情况下需要进行变更备案？ 如果您的网站已经在天翼云取得备案号，后续备案主体或网站信息发生变更，您需要及时在天翼云备案系统变更主体或变更网站，更新您的ICP备案信息，详细信息请参见备案操作手册。

本小节介绍服务器安全卫士的产品功能。 资产清点 资产清点致力于帮助用户从安全角度自动化构建细粒度资产信息，支持对业务层资产进行精准识别和动态感知，让保护对象清晰可见。资产清点功能提供12余类主机关键资产清点，800余类业务应用自动识别，并拥有良好的扩展能力。 风险发现 风险发现致力于帮助用户精准发现内部风险，帮助安全团队快速定位问题并有效解决安全风险，并提供详细的资产信息、风险信息以供分析和响应。 入侵检测 主机入侵检测系统，将视角从了解黑客的攻击方式，转化成对内在指标的持续监控和分析，无论多么高级的黑客其攻击行为都会触发内部指标的异常变化，从而被迅速发现并处理。 合规基线 合规基线构建了由国内信息安全等级保护要求和CIS（Center for Internet Security）组成的基准要求，涵盖多个版本的主流操作系统、Web应用、数据库等。结合这些基线内容，一方面，用户可快速进行企业内部风险自测，发现问题并及时修复，以满足监管部门要求的安全条件；另一方面，企业可自行定义基线标准，作为企业内部管理的安全基准。 病毒查杀 结合多个病毒检测引擎，能够实时、准确地发现主机上的病毒进程，并提供多角度的分析结果，和相应的病毒处理能力，对病毒能够快速、准确、高效地实现从检测分析到处理修复的安全工作闭环。

日志审计(原生版)(LAS Log Audit Service)是一款全方位保障云上安全的审计产品。通过接入用户网络、主机、安全、数据库以及应用系统设备产生的海量日志信息,为用户提供日志的安全存储、检索、监测、告警等能力,帮助用户满足等保合规要求。

本文提供了边缘安全加速服务平台服务协议查看地址。 边缘安全加速服务平台服务协议，详情请参见这里。

资源 配额 提升额度 单个资源池可创建的VPC 10 提交工单 单个VPC可创建的子网 5 提交工单 单资源池可以创建的安全组数量 100 提交工单 单个网卡支持绑定的安全组数量限制 10 不支持 单安全组下安全组规则数量（不分出入） 1000 不支持 单安全组下能够添加的远端安全组规则数量（不分出入） 100 提交工单 单VPC下的安全组数量（仅适用于可用区资源池） 100 不支持 单资源池可以创建的ACL数量 100 提交工单 单VPC下可创建的ACL数量 100 不支持 单个ACL下ACL规则数量 500（出/入各250） 不支持 单个VPC下的虚拟IP数量 100 不支持 单资源池虚拟IP数量 550 不支持 单个云服务器可以绑定的虚拟IP数量 10 不支持 单个网卡可以绑定的虚拟IP数量 10 不支持 单个虚拟IP可绑定的网卡数量 10 不支持 单个虚拟IP可绑定的云服务器数量 10 不支持 一个前缀列表的关联资源数量上限 100 提交工单 单资源池支持的前缀列表数量上限 100 提交工单 单资源池镜像会话数量上限 10 提交工单 单个筛选条件被会话引用最大数量 10 提交工单 单个筛选条件下最大规则（入） 10 提交工单 单个筛选条件下最大规则（出） 10 提交工单 单资源池路由表数量 100 提交工单 单个路由表下的路由条目数量 50 提交工单

本文主要介绍分布式消息服务RabbitMQ的准备环境。 虚拟私有云 虚拟私有云（Virtual Private Cloud，以下简称VPC）为RabbitMQ专享版实例提供一个隔离的、用户自主配置和管理的虚拟网络环境。 1. 在创建RabbitMQ专享版实例前，确保已存在可用的虚拟私有云和子网。 创建方法，请参考创建虚拟私有云和子网。如果您已有虚拟私有云和子网，可重复使用，不需要多次创建。 在创建VPC和子网时应注意如下要求： 创建的VPC与使用的RabbitMQ服务应在相同的区域。 创建VPC和子网时，如无特殊需求，配置参数使用默认配置即可。 2. 在创建RabbitMQ专享版实例前，确保已存在可用的安全组。 创建方法，请参考创建安全组。如果您已有安全组，可重复使用，不需要多次创建。 使用RabbitMQ实例前，添加表1所示安全组规则，其他规则请根据实际需要添加。 表1 安全组规则 方向 协议 端口 源地址 说明 入方向 TCP 5672 0.0.0.0/0 访问RabbitMQ实例（关闭SSL加密） 入方向 TCP 5671 0.0.0.0/0 访问RabbitMQ实例（开启SSL加密） 入方向 TCP 15672 0.0.0.0/0 访问Web界面UI地址（关闭SSL加密） 入方向 TCP 15671 0.0.0.0/0 访问Web界面UI地址（开启SSL加密） 说明 创建安全组后，系统默认添加入方向“允许安全组内的弹性云主机彼此通信”规则和出方向“放通全部流量”规则，此时使用内网通过同一个VPC访问RabbitMQ实例，无需添加上表中的规则。

精细类别 数据粒度 数据保留时长 说明 精细 20秒 2小时 每20秒采集一次实时数据，生成1个数据点，每个数据点保留2小时。 精细 1分钟 6小时 基于20s粒度采集数据聚合1分钟粒度数据，保留时长6小时。 精细 5分钟 1天 基于20s粒度采集数据聚合5分钟粒度数据，保留时长1天。 精细 1小时 7天 基于20s粒度采集数据聚合1小时粒度数据，保留时长7天。 精细 1天 1年 基于20s粒度采集数据聚合1天粒度数据，保留时长1年。 粗糙 5分钟 2小时 基于20s粒度采集数据聚合5分钟粒度数据，保留时长2小时。 粗糙 1小时 1天 基于20s粒度采集数据聚合1小时粒度数据，保留时长1天。 粗糙 1天 1个月 基于20s粒度采集数据聚合1天粒度数据，保留时长1个月。 粗糙 1周 6个月 基于20s粒度采集数据聚合1周粒度数据，保留时长6个月。 粗糙 1个月 1年 基于20s粒度采集数据聚合1个月粒度数据，保留时长1年。

本文提供安全加速用户控制台使用指南。 安全加速用户控制台使用指南.pdf

步骤二：网络配置 网络配置 1. 设置“网络”：在下拉列表中选择可用的虚拟私有云、子网，并设置私有IP地址的分配方式。 弹性云主机网络使用虚拟私有云（VPC）提供的网络，包括子网、安全组等。 您可以选择使用已有的虚拟私有云网络，或者创建新的虚拟私有云。 更多关于虚拟私有云的信息，请参见《虚拟私有云用户指南》。 说明 弹性云主机使用的VPC网络DHCP不能禁用。 第一次使用公有云服务时，系统将自动为您创建一个虚拟私有云，包括安全组、网卡。 2. 添加“扩展网卡”：可选配置。您可以添加多张扩展网卡，并指定网卡（包括主网卡）的IP地址。 说明 指定IP地址时，如果是批量创建多台弹性云主机： 此时，该IP地址为起始IP地址。 请确保IP地址在子网范围内且连续可用。 其他子网不能与指定IP的子网相同。 − 系统默认分配IPv4地址，勾选“自动分配IPv6地址”后，网卡支持双栈类型，分配IPv4/IPv6双栈地址。在同一VPC内，弹性云主机通过IPv6地址在双栈ECS之间进行内网访问。如需访问外网，您需要开启“IPv6带宽”并选择共享带宽，此时弹性云主机可以通过IPv6地址与互联网上的IPv6网络进行访问。 弹性云主机创建成功后，需手动配置弹性云主机，动态获取IPv6地址，启用IPv6功能。具体操作请参见“动态获取IPv6地址”。 说明 当前仅支持在创建弹性云主机时开启IPv6功能，开启成功后，不能修改。 3. 设置“安全组”：在下拉列表中选择可用的安全组，或新建安全组使用。 安全组用来实现安全组内和安全组间弹性云主机的访问控制，加强弹性云主机的安全保护。用户可以在安全组中定义各种访问规则，当弹性云主机加入该安全组后，即受到这些访问规则的保护。 创建弹性云主机时，可支持选择多个安全组（建议不超过5个）。此时，弹性云主机的访问规则遵循几个安全组规则的并集。 安全组规则的配置会影响弹性云主机的正常访问与使用，常用端口与协议的用途如下，请按需开启： − 80端口：浏览网页的默认端口，主要用于HTTP服务。 − 443端口：网页浏览端口，主要用于HTTPS服务。 − ICMP协议：用于ping云主机之间的通信情况。 − 22端口：用于Linux云主机的SSH方式登录。 − 3389端口：用于Windows云主机的远程桌面登录。 说明 弹性云主机初始化需要确保安全组出方向规则满足如下要求： 协议：TCP 端口范围：80 远端地址：169.254.0.0/16 如果您使用的是默认安全组出方向规则，则已经包括了如上要求，可以正常初始化。默认安全组出方向规则为： 协议：ANY 端口范围：ANY 远端地址：0.0.0.0/16 4. 设置“弹性公网IP”。 弹性IP是指将公网IP地址和路由网络中关联的弹性云主机绑定，以实现虚拟私有云内的弹性云主机通过固定的公网IP地址对外提供访问服务。 您可以根据实际情况选择以下三种方式： − 不使用：弹性云主机不能与互联网互通，仅可作为私有网络中部署业务或者集群所需弹性云主机进行使用。 − 自动分配：自动为每台弹性云主机分配独享带宽的弹性IP，带宽值可以由您设定。 − 使用已有：为弹性云主机分配已有弹性IP。使用已有弹性IP时，不能批量创建弹性云主机。 5. 设置“公网带宽”。 “弹性公网IP”选择“现在购买”时，需配置该参数。其中“按带宽计费”和“按流量计费”均为独享带宽，一个带宽只能被一个弹性公网IP使用。 − 按带宽计费：按照购买的带宽大小计费。 − 按流量计费：按照实际使用的流量来计费。 说明 “包年/包月”方式购买的弹性云主机EIP，仅支持“按带宽计费”方式。 − 加入共享带宽：一个带宽中可以加入多个弹性公网IP，多个弹性公网IP共用一个带宽。 说明 一个共享带宽支持添加的弹性公网IP个数有限，如果配额不足，可以选择切换使用其他共享带宽，或者申请扩大共享带宽的EIP配额。 包年/包月方式购买的共享带宽，到期后系统自动删除，并给该共享带宽中添加的EIP创建按流量计费的独占带宽。 6. 设置“带宽大小”。根据业务需要，选择所需的带宽大小，单位Mbit/s。 7. 设置“释放行为”。（苏州、广州4资源池支持）对于勾选了“随实例释放”的弹性IP，将在删除云主机同时执行删除。

本章节主要介绍数据目录的数据安全简介。 应用背景 数据安全为数据湖提供数据生命周期内统一的数据使用保护能力。通过敏感数据识别、分级分类、隐私保护、资源权限控制、数据加密传输、加密存储、数据风险识别以及合规审计等措施，帮助用户建立安全预警机制，增强整体安全防护能力，让数据可用不可得和安全合规。 说明 在已上线数据安全组件的区域，数据安全功能已由数据安全组件提供，不再作为数据目录组件能力。 功能模块 数据安全包括： 数据密级 对数据进行等级划分，方便数据的管理。 数据分类 基于数据密级，可以进行数据分类，来有效识别数据库内的敏感数据。 脱敏策略 基于数据分类，可以通过创建脱敏策略，实现数据资产的脱敏和隐私保护。

此小节介绍企业主机安全策略管理。 企业主机安全旗舰版提供灵活的策略管理能力，用户可以根据需要自定义安全检测规则，并可以为不同的主机组或主机应用不同的策略，以满足不同应用场景的主机安全需求。 约束限制 需开启高级版、企业版、旗舰版、网页防篡改版、容器版中任一版本。 操作须知 开启企业版主机防护时，默认绑定“租户侧企业版策略组”（包含“弱口令检测”和“网站后门检测”策略），应用于全部的云服务器，不需要单独部署策略。 购买“旗舰版”或者“网页防篡改赠送旗舰版”后，开启旗舰版/网页防篡改版防护时，默认绑定了“租户侧旗舰版策略组”。 用户也可以通过复制“租户侧旗舰版策略组”的方式，创建自定义策略组，将“租户侧旗舰版策略组”替换为用户的自定义策略组，更加灵活的应用于不同的云服务器或者云服务器组。 策略列表 策略名称 策略说明 支持的操作系统 企业版 旗舰版 网页防篡改版 容器安全 资产发现 检测系统中的软件信息，包含软件名称、软件路径、主要应用等，帮助用户识别异常资产。 Linux × √ √ √ 弱口令检测 检测系统帐户口令是否属于常用的弱口令，针对弱口令提示用户修改。 Linux √ （只支持自定义弱口令） √ √ √ 配置检测 对常见的Tomcat配置、Nginx配置、SSH登录配置进行检查，帮助用户识别不安全的配置项。 Linux × √ √ √ containerescape 对容器到宿主机的逃逸进行检测，避免出现漏洞风险。 Linux × × × √ Webshell检测 检测云服务器上Web目录中的文件，判断是否为Webshell木马文件。 Linux √ （只支持配置检测路径） √ √ √ 容器文件监控 检测违反安全策略的文件异常访问，安全运维人员可用于判断是否有黑客入侵并篡改敏感文件。 Linux × × × √ 容器进程白名单 检测违反安全策略的进程启动。 Linux × × × √ 文件保护 检测操作系统、应用程序软件和其他组件的文件，确定文件是否发生了可能遭受攻击的更改。 Linux × √ √ √ 登录安全检测 检测SSH、FTP、MySQL等帐户遭受的口令破解攻击。 如果30秒内，帐户暴力破解次数（连续输入错误密码）达到5次及以上，HSS就会拦截该源IP，禁止其再次登录，防止主机因帐户破解被入侵。 SSH类型攻击默认拦截12小时，其他类型攻击默认拦截24小时。根据帐户暴力破解告警详情，如“攻击源IP”、“攻击类型”和“拦截次数”，您能够快速识别出该源IP是否为可信IP，如果为可信IP，您可以通过手动解除拦截的方式，解除拦截的可信IP。 Linux × √ √ √ 恶意文件检测 反弹shell：实时监控用户的进程行为，及时发现进程的非法Shell连接操作产生的反弹Shell行为。 异常shell：检测系统中异常Shell的获取行为，包括对Shell文件的修改、删除、移动、复制、硬链接、访问权限变化。 Linux × √ √ √ 进程异常行为 通过对运行进程的管控，全局检测各个主机的运行信息，保障云主机的安全性。您可以建立自己的进程白名单，对于进程的非法行为、黑客入侵过程进行告警。 Linux × √ √ √ root提权 检测当前系统文件路径的root提权行为。 Linux × √ √ √ 实时进程 检测进程中高危命令的执行行为，发生高危命令执行时，触发告警。 Linux，Windows × √ √ √ 查看策略组列表 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、在左侧导航栏，选择“安全运营 > 策略管理”，进入“策略管理”界面，查看显示的策略组，字段说明如表所示。 说明 tenantlinuxcontainerdefaultpolicygroup：容器版linux系统预置策略，仅可被查看，不可复制和删除。 tenantlinuxenterprisedefaultpolicygroup：企业版linux系统预置策略，仅可被查看，不可被复制和删除。 tenantwindowsenterprisedefaultpolicygroup：企业版windows系统预置策略，仅可被查看，不可被复制和删除。 tenantlinuxpremiumdefaultpolicygroup：旗舰版linux系统预置策略，可通过复制该策略组来创建新的策略组。 tenantwindowspremiumdefaultpolicygroup：旗舰版windows系统预置策略，可通过复制该策略组来创建新的策略组。 可在列表右上角单击 ，手动刷新当前列表。 可单击关联服务器数的数量，查看策略组关联的服务器。 策略组列表字段说明 字段 说明 策略组名称 策略组的名称。 ID 策略组的ID号，对策略组的唯一标识。 描述 对策略组的描述。 支持的版本 策略组支持的主机安全的版本。 5、单击策略组名称，进入查看策略组详情界面，可以查看该策略组的策略列表，包括策略名称、状态、功能类别和支持的操作系统。 “租户侧企业版策略组”和“租户侧旗舰版策略组”中的所有策略默均为“已启用”状态。 若您不需要执行其中一项策略的检测，您可以在策略所在行的“操作”列单击“关闭”，关闭该策略项的检测。请根据您的需要“开启”或者“关闭”策略的检测。 Linux策略组详情 6、单击策略名称，可以查看策略的详情。 若需要修改或配置策略，请参见编辑策略内容。 示例弱口令策略详情

本文提供了边缘安全加速平台服务等级协议查看地址。 边缘安全加速平台服务等级协议，详情请参见这里。

介绍网页防篡改常见问题 为什么要添加防护目录？ 网页防篡改是对目录中的文件进行防篡改防护，所以，开启网页防篡改后，需要添加防护目录才能起到防护作用。 如何修改防护目录？ 1、登录管理控制台。 2、在页面左上角单击，选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。在弹窗界面单击“体验新版”，切换至主机安全服务页面。切换至新版后，在总览页左上角单击“返回旧版”，可切换至主机安全（旧版）。 3、在左侧导航栏中，选择“主动防御 > 网页防篡改”，进入“网页防篡改”界面。 4、选择所需开启“网页防篡改”防护的主机，在主机列表右侧的“操作”列中，单击“防护设置”，进入防护设置页面。 5、单击“设置”，在右侧的“防护目录设置”页面中，选择所需修改的防护目录，在防护目录列表右侧操作列中，单击“编辑”修改。 说明 若您需要修改防护目录中的文件，请先暂停对防护目录的防护，再修改文件，以避免误报。 文件修改完成后请及时恢复防护功能。 6、“编辑防护目录”弹框中进行修改，单击“确认”完成修改。 无法开启网页防篡改怎么办？ 可能的原因及解决方法如下： 配额不足 现象：所选区域内网页防篡改配额不足。 解决方法：请在所选区域内购买网页防篡改配额。 Agent状态异常 现象：网页防篡改页面防护列表中“Agent状态”为“离线”或者“未安装”。 解决方法：请参见Agent状态异常进行处理，确保主机列表中“Agent状态”为“在线”。 开启了基础版/企业版/旗舰版防护 现象：主机安全页面主机列表中“防护状态”为“开启”。 解决方法：请先关闭主机防护，再开启网页防篡改。 说明 主机防护包含基础版、企业版、旗舰版以及网页防篡改版防护。如果已开启基础版、企业版或者旗舰版防护，需要先关闭主机防护，才能开启网页防篡改。 位置选择错误 请在“网页防篡改 > 防护列表”页面开启防护。 说明 购买主机安全服务“网页防篡改版”后，您可以使用“旗舰版”中的所有功能，此时您只能通过“网页防篡改”页面开启防护，当开启网页防篡改防护时会同步开启旗舰版防护。

本章节为您介绍证书相关的内容。 API安全网关支持通过TLS扩展 SNI 实现加载特定的SSL证书以实现对https的支持，即添加证书后可通过证书配置的SNI域名发送请求。 新增证书 注意 为了安全考虑，API安全网关默认使用的加密套件不支持TLSv1.1以及更低的版本。 1.登录API安全网关。 2.在左侧导航栏选择“资源 > 证书”，进入证书列表页面。 3.单击页面的“新增”按钮，即可开始新增证书信息。 配置证书加密请求 以下为配置证书测试步骤以及证书使用场景： 1. 添加证书 ，进入“资源 > 证书”页面 ，单击 按钮 ，上传证书。 2. 创建服务 ，参考创建服务章节； 3. 创建 API ，参考创建 API章节； 4. 配置域名解析 ，使得该域名能正确解析到本机。 如编辑/etc/hosts ，添加如下内容：127.0.0.1 test.com 5. 配置完成，可对网关发起 https请求，如：curl

参数名 类型 是否必填 名称 说明 action int 是 域名操作动作 固定值1 domain string 是 域名列表 productcode string 是 产品类型 “007”（安全加速） wafenable int 否 是否开启安全WAF防护 1（启用）；2（关闭） ddosenable int 否 是否开启安全抗D防护 1（启用）；2（关闭）；wafenable和ddosenable至少启用一个,且调用本接口开启安全抗D服务后，仍需人工处理，请创建后联系专属售后运营人员处理。 areascope int 否 加速范围 1（国内）；不填默认为1 ipv6enable int 否 ipv6启用 1（启用）；2（关闭），不传默认关闭 origin list 是 源站信息 origin[].origin string 是 源站ip或域名 origin[].port int 是 源站端口 支持http自定义端口，http不支持下发443端口 origin[].weight int 是 权重 范围：1100 origin[].role string 是 源站角色 取值: master, slave

SSL VPN是否支持HTTP2.0？ 目前HTTP2.0对SSL来说只影响Web资源，TCP和L3VPN资源只要服务端支持即可，目前HTTP2.0还没有大规模应用，在大规模应用之前Web资源也会支持。 使用SSL VPN能够避免哪些攻击？哪些是HTTPS解决不了的？ SSL VPN： 能降低用户身份仿冒攻击，在业务系统本身的认证之外增加了认证环境，且VPN的认证具备密码策略管理，可以强制密码复杂度、试错次数、防爆破、防自动化脚本攻击等。 增加了端点安全策略，能降低黑客通过合法客户端作为跳板进行攻击。 传输上支持更为安全的国家商用密码算法（硬件加密卡）。 对外只开放VPN服务端口，不开放业务服务器端口，避免了对服务器的入侵攻击，黑客如果要入侵系统，只能够先攻击VPN，控制VPN的前提下，才有可能对业务系统攻击。 HTTPS+认证： 只是业务系统本身传输的加密和认证，对攻击者来说，直接攻击的还是服务器本身（可以对服务器账号密码进行爆破、撞库、SSL中间人攻击等）。 不具备端点安全能力，如果合法用户的电脑已经被控制，很容易在使用业务系统的时候被进行跳板攻击。 服务器端口直接暴露在互联网，黑客可以对服务器进行各种攻击探测。 VPN设备本身的安全性： 设备每一个版本在生产销售过程中都经过各种检测，并有国家权威机构的检测证明。 设备本身作为一个安全产品，产品业务逻辑相比业务系统本身更安全，安全成熟度高。 SSL VPN在大量金融、公检法单位使用，这些单位安全要求很高，VPN每年都会多次经历安全检查。

日志审计(原生版)(LAS Log Audit Service)是一款全方位保障云上安全的审计产品。通过接入用户网络、主机、安全、数据库以及应用系统设备产生的海量日志信息,为用户提供日志的安全存储、检索、监测、告警等能力,帮助用户满足等保合规要求。

本小节介绍安全专区资产管理服务器主机资产风险分析。 功能说明 资产风险分析页面把所筛选的资产相关的未处理的告警、漏洞、基线、补丁、病毒五类安全数据整合在一个页面展示，方便安全管理员分析。 配置方法 1.进入【资产管理】→【服务器】，点击【资产风险分析】，可查询分析指定服务器的各类安全漏洞、威胁、报警。 在左侧分组选定需要分析的指定服务器分组及服务器，进行资产信息筛选。页面右边栏实时同步更新所选择资产的展示，其中根据告警分析、安全告警、系统漏洞、基线合规、系统补丁及病毒感染等几大模块。 安全告警模块，实时更新服务器所出现问题，展示服务器IP地址、出现告警的问题、出现问题的服务设施以及告警的风险等级。 2.点击右上角【详情】，即进入【告警中心】，可查询更详细的告警信息。 3.系统漏洞展示具体IP地址所发生的具体漏洞信息，分类漏洞等级情况。点击【详情】，即进入【威胁分析】→【待办告警】进行详细处理。 4.基线合规、系统补丁及病毒感染等模块都展示了系统风险状态、漏洞所属类型、漏洞所属风险等级。 5.点击【基线合规】→【详情】，即页面跳转进入【风险分析】→【基线合规】进行分析、处理。 6.点击【系统补丁】→【详情】，即页面跳转进入【风险分析】→【补丁漏洞】进行分析、处理。 7.点击【系统补丁】→【详情】，即页面跳转进入【风险分析】→【主机漏洞】进行分析、处理。