项目 说明 部署方式 独享引擎 使用场景 业务服务器部署在云上。 大型企业网站，具备较大的业务规模且基于业务特性具有定制化的安全需求。 防护对象 域名 IP 优势 部署灵活 独享引擎实例资源由用户独享 可以满足大规模流量攻击场景防护需求 独享引擎实例部署在VPC内，网络链路时延低

本小节介绍云下一代防火墙配置自动更新策略。 云下一代防火墙是智能下一代防火墙，具有安全防护功能，因此需要更新特征库，由于特征库更新需要占用带宽，建议非业务繁忙期进行升级更新，一般设置为深夜。

操作名称 资源类型 事件名称 创建集群/恢复集群 cluster createCluster 删除集群 cluster deleteCluster 扩容集群 cluster resizeCluster 重启集群 cluster restartCluster 创建快照 backup createBackup 删除快照 backup deleteBackup 设置安全参数 configurations updateConfigurations 创建MRS数据源 dataSource createExtDataSource 删除MRS数据源 dataSource deleteExtDataSource 更新MRS数据源 dataSource updateExtDataSource

自有接入服务号：天翼云官网备案中心我的备案左菜单栏接入服务号管理 他人接入服务号：没有自有接入服务号都需要使用他人接入服务号，需要联系客服获取4008109889转3/在线或工单（“官网ctyun.cn”—右上方“我的”—“工单管理”—“新建工单”创建工单）告知备案客服

自有接入服务号：天翼云官网备案中心我的备案左菜单栏接入服务号管理 他人接入服务号：没有自有接入服务号都需要使用他人接入服务号，需要联系客服获取4008109889转3/在线或工单（“官网ctyun.cn”—右上方“我的”—“工单管理”—“新建工单”创建工单）告知备案客服

参数 说明 跨域备份 是否开启跨域备份。 备份地域 存储备份数据的目标地域。 备份保留时长 目标地域保留备份数据的时间，取值：7365天。 跨地域日志备份 是否同步wal日志，默认关闭，用于跨域基于时间点恢复（跨域基于时间点恢复功能暂不支持）。

本页介绍了SSL证书产品的退订规则。 默认不支持退订，如有特殊情况，请联系客户经理。退订需要原路径退订：在甄选商城进行退订，或联系客户经理在BCP系统进行退订。经电信内部审核通过后方可退订成功，并且退订操作需在订购30天之内完成。

此小节介绍避免勒索 事前举措 由于勒索攻击高强度加密算法的难破解性和数字货币交易方式的隐蔽性， 解决勒索攻击的首要是构建“安全能力前置”，提升自身的“免疫力” 。 建议按照如下加固方式开展事前勒索防护： 收敛互联网暴露面： 定期扫描外部端口，保证公开范围最小化。 减少系统风险入口： 定期开展漏洞扫描及系统风险配置参数扫描，第一时间修复漏洞及风险项，减小系统风险等级。同时，应关注软件厂商发布的安全漏洞信息和补丁信息，及时做好漏洞管理和修复工作。 加强网络访问控制： 各企业应具有明确的网络安全区域划分、访问限制规则，最小化开放访问权限，及时更新访问控制规则。 关键数据备份： 加强重要数据备份工作，可靠的数据备份可以最小化勒索软件带来的损失。需要主动加密存储和定期备份关键业务数据，并合理设置备份保留策略，确保被勒索攻击后存在有效副本可以恢复数据。 加强帐号权限管控： 通过身份管理、细粒度权限控制等访问控制规则为企业不同角色分配帐号并授权，同时应提升特权账户的安全性。在另一方面，企业关键业务资产，需要妥善设置并保存帐号及口令信息。关键资产上，配置双因素认证鉴别登录人员身份，可有效防范系统爆破风险。 搭建高可靠业务架构： 采用集群模式的云服务部署模式。当某一个节点发生紧急问题，业务切换至备用节点，提升业务系统可靠性能力，也可防止数据丢失。在资源允许的条件下，企业或组织可以搭建同城或异地容灾备份系统，当主系统出现发生勒索事件后，可以快速切换到备份系统，从而保证业务的连续性。 制定安全事件应急预案： 建立应对勒索病毒攻击等网络安全突发事件的应急组织体系和管理机制，明确工作原则、职责分工、应急流程、关键措施等。一旦发生勒索病毒攻击事件，立即启动内部网络安全应急预案，标准化开展应急处置工作来减轻、消除勒索病毒攻击影响。 加强企业员工安全意识： 通过培训、演练等方式提高员工网络安全意识，明确国家网络安全法令及公司网络安全规范，能够识别网络钓鱼等常见的网络安全攻击，具备一定的事件处理能力，知晓安全事件带来的后果和影响。

参数名称 是否必填 参数说明 沙箱类型 是 智能体引擎支持基础沙箱、代码沙箱、浏览器沙箱、AIO沙箱和自定义沙箱5种沙箱类型。 模板名称 是 沙箱模板名称用户內唯一。 模板名称规则 ： 以字母开头，可包含字母、数字、下划线和连字符，且长度不超过32个字符。 描述 否 沙箱模板的描述。 镜像来源 是 镜像来源有2种，默认镜像和自定义镜像。默认镜像为智能体引擎服务提供的内置镜像；自定义镜像需要您依次选择 容器镜像实例 、 容器镜像仓库 和 容器镜像版本 。 规格方案 是 沙箱CPU和内存规格，目前支持多种规格。 临时磁盘大小 是 沙箱使用的临时磁盘大小，目前只支持512MB规格。 环境变量 否 沙箱中的环境变量以键值对的方式存储。 环境变量名规则 ：以字母开头，只能包含字母、数字和下划线，长度3256个字符，且不能以AGE开头。 执行超时时间 是 沙箱实例在创建后可运行的最长时间，超时将自动销毁。规格有多种，最短1分钟，最长为6小时，也可以创建永久常驻的沙箱实例。 访问凭证 否 访问沙箱实例入站凭证，目前支持API Key、Basic Auth和JWT3种类型。 执行角色 否 沙箱中需要访问天翼云资源，该角色生成的临时AK和临时SK会设置到环境变量中。 AGECTYUNACCESSKEY：如果沙箱模板中配置了执行角色，选择的角色的临时AK会放在该环境变量。 AGECTYUNSECRETKEY：如果沙箱模板配置了执行角色，选择的角色的临时SK会放在该环境变量。 网络配置 是 沙箱中访问公网和VPC。 访问公网 ：允许沙箱访问公网服务。 访问VPC ：允许沙箱访问您VPC下的天翼云资源。访问VPC需要选择VPC和子网，并且支持配置黑白名单。 ZOS挂载 否 沙箱中挂载天翼云对象存储ZOS，最多支持5个挂载点。 ZOS挂载点 ：对象存储Bucket名称。 Bucket子目录 ：设置Bucket中的子目录，必须为绝对路径。设置为/表示挂载Bucket的根目录。 沙箱本地目录 ：设置沙箱运行环境中的本地目录。 沙箱本地目录权限 ：选择Bucket挂载到沙箱运行环境中的本地目录后，该目录的访问权限。支持设置为只读或读写权限。 NAS挂载 否 沙箱中挂载天翼云弹性文件服务SFS，最多支持5个挂载点，必须开启网络配置中的VPC访问，且弹性文件服务SFS和网络配置同VPC。 弹性文件服务 ：选择已创建的SFS文件系统实例。 VPCE挂载地址 ：选择SFS文件系统实例下的VPCE挂载地址。 远端目录 ：远端SFS中的目录是指位于SFS文件系统中的绝对目录，以/开头。 沙箱本地目录 ：设置沙箱运行环境中的本地目录。

参数名称 是否必填 参数说明 沙箱类型 是 智能体引擎支持基础沙箱、代码沙箱、浏览器沙箱、AIO沙箱和自定义沙箱5种沙箱类型。 模板名称 是 沙箱模板名称用户內唯一。 模板名称规则 ： 以字母开头，可包含字母、数字、下划线和连字符，且长度不超过32个字符。 描述 否 沙箱模板的描述。 镜像来源 是 镜像来源有2种，默认镜像和自定义镜像。默认镜像为智能体引擎服务提供的内置镜像；自定义镜像需要您依次选择 容器镜像实例 、 容器镜像仓库 和 容器镜像版本 。 规格方案 是 沙箱CPU和内存规格，目前支持多种规格。 临时磁盘大小 是 沙箱使用的临时磁盘大小，目前只支持512MB规格。 环境变量 否 沙箱中的环境变量以键值对的方式存储。 环境变量名规则 ：以字母开头，只能包含字母、数字和下划线，长度3256个字符，且不能以AGE开头。 执行超时时间 是 沙箱实例在创建后可运行的最长时间，超时将自动销毁。规格有多种，最短1分钟，最长为6小时，也可以创建永久常驻的沙箱实例。 访问凭证 否 访问沙箱实例入站凭证，目前支持API Key、Basic Auth和JWT3种类型。 执行角色 否 沙箱中需要访问天翼云资源，该角色生成的临时AK和临时SK会设置到环境变量中。 AGECTYUNACCESSKEY：如果沙箱模板中配置了执行角色，选择的角色的临时AK会放在该环境变量。 AGECTYUNSECRETKEY：如果沙箱模板配置了执行角色，选择的角色的临时SK会放在该环境变量。 网络配置 是 沙箱中访问公网和VPC。 访问公网 ：允许沙箱访问公网服务。 访问VPC ：允许沙箱访问您VPC下的天翼云资源。访问VPC需要选择VPC和子网，并且支持配置黑白名单。 ZOS挂载 否 沙箱中挂载天翼云对象存储ZOS，最多支持5个挂载点。 ZOS挂载点 ：对象存储Bucket名称。 Bucket子目录 ：设置Bucket中的子目录，必须为绝对路径。设置为/表示挂载Bucket的根目录。 沙箱本地目录 ：设置沙箱运行环境中的本地目录。 沙箱本地目录权限 ：选择Bucket挂载到沙箱运行环境中的本地目录后，该目录的访问权限。支持设置为只读或读写权限。 NAS挂载 否 沙箱中挂载天翼云弹性文件服务SFS，最多支持5个挂载点，必须开启网络配置中的VPC访问，且弹性文件服务SFS和网络配置同VPC。 弹性文件服务 ：选择已创建的SFS文件系统实例。 VPCE挂载地址 ：选择SFS文件系统实例下的VPCE挂载地址。 远端目录 ：远端SFS中的目录是指位于SFS文件系统中的绝对目录，以/开头。 沙箱本地目录 ：设置沙箱运行环境中的本地目录。

检查其他设置 服务器开启了系统自动更新补丁功能。在确认服务器已更新该漏洞后，建议您在漏洞管理界面中忽略该漏洞。 服务器安装了更新的补丁将旧补丁覆盖（如，2016及以上系统，最新的月度补丁会覆盖以前的所有补丁）。在确认无误后，建议您在漏洞管理界面中忽略该漏洞。 其他安全软件对补丁安装进行了拦截（如“360安全卫士服务器版”），您可以先暂停使用安全软件，待漏洞修复后，在开启安全软件。 说明 微软已于2020年1月14日停止对Windows Server 2008 R2系统的更新和维护，如果需要继续使用该系统，则需要购买相应的ESU （扩展安全更新） 密钥并进行激活或更换Windows操作系统版本。 Linux系统服务器操作 无yum源配置 您的服务器可能未配置yum源，请根据您的Linux系统选择yum源进行配置。配置完成后，重新执行漏洞修复操作。 yum源没有相应软件的最新升级包 切换到有相应软件包的yum源，配置完成后，重新执行漏洞修复操作。 内网环境连接不上公网 在线修复漏洞时，需要连接Internet，通过外部yum源提供漏洞修复服务。 内核老版本存留 由于内核升级比较特殊，一般都会有老版本存留的问题。您可通过执行验证修复命令查看当前使用的内核版本是否已符合漏洞要求的版本。确认无误后，对于该漏洞告警，您可以在企业主机安全管理控制台的“漏洞管理 > Linux软件漏洞管理”页面进行忽略 。同时，不建议您删除老版本内核。 验证修复命令： 操作系统 修复命令 :: CentOS/Fedora /Euler/Redhat/Oracle rpm qa Debian/Ubuntu dpkg l Gentoo emerge search软件名称 SUSE zypper search dC matchwords软件名称

配置完成后，防火墙默认为“未开启”状态，此时流量只经过企业路由器，未转发到防火墙。您可选择手动开启或关闭VPC间防火墙功能。 开启VPC边界防火墙 1. 登录管理控制台。 2. 在左侧导航栏中，单击左上方的，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在左侧导航栏中，选择“资产管理> VPC边界防火墙管理”，进入“VPC边界防火墙管理”页面。 5. 在“防火墙状态”侧，单击“开启防护”。 6. 单击“确认”，完成开启VPC边界防火墙。 关闭VPC边界防火墙 1. 登录管理控制台。 2. 在左侧导航栏中，单击左上方的，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在左侧导航栏中，选择“资产管理> VPC边界防火墙管理”，进入“VPC边界防火墙管理”页面。 5. 在“防火墙状态”侧，单击“关闭防护”。 6. 单击“确认”，完成关闭VPC边界防火墙。关闭后，您VPC边界的流量将不会被防火墙防护。

本小节介绍容器安全告警事件概述。 开启节点防护后，部署在每个容器宿主机上的Agent会对容器运行状态进行实时监控，支持逃逸检测、高危系统调用、异常进程检测、文件异常检测、容器环境等检测。用户可通过容器安全告警全面了解告警事件类型，及时发现资产中的安全威胁、实时掌握资产的安全状态。 告警事件列表说明 事件类型 告警事件 原理说明 恶意软件 未分类恶意软件 通过程序特征、行为检测，结合AI图像指纹算法以及云查杀，有效识别后门、木马、挖矿软件、蠕虫和病毒等恶意程序，也可检测出容器中未知的恶意程序和病毒变种。 恶意软件 勒索软件 检测来自网页、软件、邮件、存储介质等介质捆绑、植入的勒索软件。 勒索软件用于锁定、控制您的文档、邮件、数据库、源代码、图片、压缩文件等多种数据资产，并以此作为向您勒索钱财的筹码。 恶意软件 Webshell 检测容器中Web目录中的文件，判断是否为Webshell木马文件，支持检测常见的PHP、JSP等后门文件类型。 恶意软件 黑客工具 检测利用漏洞或者黑客工具的恶意行为，一旦发现进行告警上报。 漏洞利用 漏洞逃逸攻击 HSS监控到容器内进程行为符合已知漏洞的行为特征时（例如：“脏牛”、“bruteforce”、“runc”、“shocker”等），触发逃逸漏洞攻击告警。 漏洞利用 文件逃逸攻击 HSS监控发现容器进程访问了宿主机系统的关键文件目录（例如：“/etc/shadow”、“/etc/crontab”），则认为容器内发生了逃逸文件访问，触发告警。即使该目录符合容器配置的目录映射规则，HSS仍然会触发告警。 系统异常行为 反弹Shell 支持对TCP、UDP、ICMP等协议的检测。 您可以在“策略管理”的“恶意文件检测”策略中配置反弹Shell检测，HSS会实时检测执行的可疑指令、主机被远程控制执行任意命令等。 系统异常行为 文件提权 检测利用SUID、SGID程序漏洞进行root提权的行为，一旦发现进行告警上报。 系统异常行为 进程提权 当黑客成功入侵容器后，会尝试利用漏洞进行root提权或者文件提权，从而达到非法创建和修改系统账号的权限或者篡改文件的目的。 HSS支持检测以下异常提权操作： 利用SUID程序漏洞进行root提权。 利用内核漏洞进行root提权。 对文件的提权。 系统异常行为 关键文件变更 实时监控系统关键文件（例如：ls、ps、login、top等），对修改文件内容的操作进行告警，提醒用户关键文件可能被篡改。 对于关键文件变更，HSS只检测文件内容是否被修改，不关注是人为还是进程进行的修改。 系统异常行为 进程异常行为 检测各个主机的进程信息，包括进程ID、命令行、进程路径、行为等。 对于进程的非法行为、黑客入侵过程进行告警。 进程异常行为可以监控以下异常行为： 监控进程CPU使用异常。 检测进程对恶意IP的访问。 检测进程并发连接数异常等。 系统异常行为 高危系统调用 Linux系统调用是用户进程进入内核执行任务的请求通道。CGS监控容器进程，如果发现进程使用了危险系统调用（例如：“openbyhandleat”、“ptrace”、“setns”、“reboot”等），触发高危系统调用告警。 系统异常行为 高危命令执行 实时检测容器系统中执行的高危命令，当发生高危命令执行时触发告警。 系统异常行为 容器进程异常 容器恶意程序 HSS监控容器内启动的容器进程的行为特征和进程文件指纹，如果特征与已定义的恶意程序吻合则触发容器恶意程序告警。 容器异常进程 容器业务通常比较单一。如果您能够确定容器内只会运行某些特定进程，可以在“策略管理”设置“容器进程白名单”并将策略关联容器镜像。 对于已关联的容器镜像启动的容器，HSS只允许白名单进程启动，如果容器内存在非白名单进程，触发容器异常程序告警。 系统异常行为 敏感文件访问 HSS监控容器内已配置文件保护策略的容器镜像文件状态。如果发生文件修改事件则触发文件异常告警。 系统异常行为 容器异常启动 HSS监控新启动的容器，对容器启动配置选项进行检测，当发现容器权限过高存在风险时触发告警。容器环境检测触发的告警只是提醒容器启动风险，并不是发生实际攻击。如果黑客利用容器配置风险执行了真实攻击，仍然会触发HSS容器安全的其他检测告警。 HSS支持以下容器环境检测： 禁止启动特权容器(privileged:true) 特权容器是指容器以最大权限启动，类似与操作系统的root权限，拥有最大能力。docker run启动容器时携带“–privilegedtrue”参数，或者kubernates POD配置中容器的“securityContext”配置了“privileged:true”，此时容器会以特权容器方式启动。 告警内容中提示：“privileged:true”，表示该容器以特权容器模式启动。 需要限制容器能力集（capabilities:[xxx]） Linux系统将系统权限做了分类，通过授予特定的权限集合，能控制容器进程的操作范围，避免出现严重问题。容器启动时默认开启了一些常用能力，通过修改启动配置可以放开所有系统权限。 告警内容中提示：“capabilities:[xxx]”，表示该容器启动时拥有所有能力集过大，存在风险。 建议启用seccomp（seccompunconfined） Seccomp(secure computing mode)是Linux的一种内核特性，用于限制进程能够调用的系统调用，减少内核的攻击面。如果容器启动时设置“seccompunconfined”，将不会对容器内的系统调用执行限制。 告警内容中提示：“seccompunconfined”，表示该容器启动时没有启动seccomp，存在风险。 说明 启用seccomp后，由于每次系统调用Linux内核都需要执行权限校验，如果容器业务场景会频繁使用系统调用，开启seccomp对性能会有一定影响。具体影响建议在实际业务场景测试分析。 限制容器获取新的权限(nonewprivileges:false) 进程可以通过程序的suid位或者sgid位获取附加权限，通过sudo提权执行更高权限的操作。容器默认配置限制不允许进行权限提升。 如果容器启动时指定了“–nonewprivilegesfalse”，则该容器拥有权限提升的能力。 告警内容中提示：“nonewprivileges:false”，表示该容器关闭了提权限制，存在风险。 危险目录映射(mounts:[...]) 容器启动时可以将宿主机目录映射到容器内，方便容器内业务直接读写宿主机上的资源。这是一种存在风险的使用方式，如果容器启动时映射了宿主机操作系统关键目录，容易造成从容器内破坏宿主机系统的事件。 HSS监控到容器启动时mount了宿主机危险路径时触发告警，定义的宿主机危险目录包括：“/boot”，“/dev”，“/etc”，“/sys”，“/var/run”等。 告警内容中提示：“mounts:[{"source":"xxx","destination":"yyy"...]”，表示该容器映射的文件路径存在风险。 说明 对于docker容器常用的需要访问的宿主文件如“/etc/hosts”、“/etc/resolv.conf”不会触发告警。 禁止启动命名空间为host的容器 容器的命名空间需要与主机隔离开，如果容器配置了与主机相同的命名空间，则该容器可以访问并修改主机上的内容，易造成容器逃逸的安全事件，存在安全风险。因此HSS会检测容器的pid，network，ipc命名空间是否为host。 告警名称为“容器命名空间”，告警内容中提示“容器pid命名空间模式”、“容器ipc命名空间模式”、“容器网络命名空间模式”，表示启动了命名空间为host的容器，需要按照告警中的提示排查容器的启动选项，如果存在业务需要，可以将该告警事件忽略。 容器镜像阻断 在Docker环境中容器启动前，HSS检测到中指定的不安全容器镜像运行时触发告警。 说明 需安装Docker插件。 用户异常行为 非法系统账号 黑客可能通过风险账号入侵容器，以达到控制容器的目的，需要您及时排查系统中的账户。 HSS检查系统中存在的可疑隐藏账号、克隆账号；如果存在可疑账号、克隆账号等，则触发告警。 用户异常行为 暴力破解 检测容器场景下“尝试暴力破解”和“暴力破解成功”等暴破异常行为，发现暴破行为时触发告警。 支持检测容器场景下SSH、Web和Enumdb暴破行为。 说明 目前暂仅支持Docker容器运行时的暴力破解检测告警。 用户异常行为 用户密码窃取 检测到通过非法手段获取用户密钥行为，一旦发现进行告警上报。 网络异常访问 异常外联行为 检测到服务器存在异常外联可疑IP的行为，一旦发现进行告警上报。 网络异常访问 端口转发检测 检测到利用可疑工具进行端口转发行为，一旦发现进行告警上报。

本小节介绍容器安全告警事件概述。 开启节点防护后，部署在每个容器宿主机上的Agent会对容器运行状态进行实时监控，支持逃逸检测、高危系统调用、异常进程检测、文件异常检测、容器环境等检测。用户可通过容器安全告警全面了解告警事件类型，及时发现资产中的安全威胁、实时掌握资产的安全状态。 告警事件列表说明 事件类型 告警事件 原理说明 恶意软件 未分类恶意软件 通过程序特征、行为检测，结合AI图像指纹算法以及云查杀，有效识别后门、木马、挖矿软件、蠕虫和病毒等恶意程序，也可检测出容器中未知的恶意程序和病毒变种。 恶意软件 勒索软件 检测来自网页、软件、邮件、存储介质等介质捆绑、植入的勒索软件。 勒索软件用于锁定、控制您的文档、邮件、数据库、源代码、图片、压缩文件等多种数据资产，并以此作为向您勒索钱财的筹码。 恶意软件 Webshell 检测容器中Web目录中的文件，判断是否为Webshell木马文件，支持检测常见的PHP、JSP等后门文件类型。 恶意软件 黑客工具 检测利用漏洞或者黑客工具的恶意行为，一旦发现进行告警上报。 漏洞利用 漏洞逃逸攻击 HSS监控到容器内进程行为符合已知漏洞的行为特征时（例如：“脏牛”、“bruteforce”、“runc”、“shocker”等），触发逃逸漏洞攻击告警。 漏洞利用 文件逃逸攻击 HSS监控发现容器进程访问了宿主机系统的关键文件目录（例如：“/etc/shadow”、“/etc/crontab”），则认为容器内发生了逃逸文件访问，触发告警。即使该目录符合容器配置的目录映射规则，HSS仍然会触发告警。 系统异常行为 反弹Shell 支持对TCP、UDP、ICMP等协议的检测。 您可以在“策略管理”的“恶意文件检测”策略中配置反弹Shell检测，HSS会实时检测执行的可疑指令、主机被远程控制执行任意命令等。 系统异常行为 文件提权 检测利用SUID、SGID程序漏洞进行root提权的行为，一旦发现进行告警上报。 系统异常行为 进程提权 当黑客成功入侵容器后，会尝试利用漏洞进行root提权或者文件提权，从而达到非法创建和修改系统账号的权限或者篡改文件的目的。 HSS支持检测以下异常提权操作： 利用SUID程序漏洞进行root提权。 利用内核漏洞进行root提权。 对文件的提权。 系统异常行为 关键文件变更 实时监控系统关键文件（例如：ls、ps、login、top等），对修改文件内容的操作进行告警，提醒用户关键文件可能被篡改。 对于关键文件变更，HSS只检测文件内容是否被修改，不关注是人为还是进程进行的修改。 系统异常行为 进程异常行为 检测各个主机的进程信息，包括进程ID、命令行、进程路径、行为等。 对于进程的非法行为、黑客入侵过程进行告警。 进程异常行为可以监控以下异常行为： 监控进程CPU使用异常。 检测进程对恶意IP的访问。 检测进程并发连接数异常等。 系统异常行为 高危系统调用 Linux系统调用是用户进程进入内核执行任务的请求通道。CGS监控容器进程，如果发现进程使用了危险系统调用（例如：“openbyhandleat”、“ptrace”、“setns”、“reboot”等），触发高危系统调用告警。 系统异常行为 高危命令执行 实时检测容器系统中执行的高危命令，当发生高危命令执行时触发告警。 系统异常行为 容器进程异常 容器恶意程序 HSS监控容器内启动的容器进程的行为特征和进程文件指纹，如果特征与已定义的恶意程序吻合则触发容器恶意程序告警。 容器异常进程 容器业务通常比较单一。如果您能够确定容器内只会运行某些特定进程，可以在“策略管理”设置“容器进程白名单”并将策略关联容器镜像。 对于已关联的容器镜像启动的容器，HSS只允许白名单进程启动，如果容器内存在非白名单进程，触发容器异常程序告警。 系统异常行为 敏感文件访问 HSS监控容器内已配置文件保护策略的容器镜像文件状态。如果发生文件修改事件则触发文件异常告警。 系统异常行为 容器异常启动 HSS监控新启动的容器，对容器启动配置选项进行检测，当发现容器权限过高存在风险时触发告警。容器环境检测触发的告警只是提醒容器启动风险，并不是发生实际攻击。如果黑客利用容器配置风险执行了真实攻击，仍然会触发HSS容器安全的其他检测告警。 HSS支持以下容器环境检测： 禁止启动特权容器(privileged:true) 特权容器是指容器以最大权限启动，类似与操作系统的root权限，拥有最大能力。docker run启动容器时携带“–privilegedtrue”参数，或者kubernates POD配置中容器的“securityContext”配置了“privileged:true”，此时容器会以特权容器方式启动。 告警内容中提示：“privileged:true”，表示该容器以特权容器模式启动。 需要限制容器能力集（capabilities:[xxx]） Linux系统将系统权限做了分类，通过授予特定的权限集合，能控制容器进程的操作范围，避免出现严重问题。容器启动时默认开启了一些常用能力，通过修改启动配置可以放开所有系统权限。 告警内容中提示：“capabilities:[xxx]”，表示该容器启动时拥有所有能力集过大，存在风险。 建议启用seccomp（seccompunconfined） Seccomp(secure computing mode)是Linux的一种内核特性，用于限制进程能够调用的系统调用，减少内核的攻击面。如果容器启动时设置“seccompunconfined”，将不会对容器内的系统调用执行限制。 告警内容中提示：“seccompunconfined”，表示该容器启动时没有启动seccomp，存在风险。 说明 启用seccomp后，由于每次系统调用Linux内核都需要执行权限校验，如果容器业务场景会频繁使用系统调用，开启seccomp对性能会有一定影响。具体影响建议在实际业务场景测试分析。 限制容器获取新的权限(nonewprivileges:false) 进程可以通过程序的suid位或者sgid位获取附加权限，通过sudo提权执行更高权限的操作。容器默认配置限制不允许进行权限提升。 如果容器启动时指定了“–nonewprivilegesfalse”，则该容器拥有权限提升的能力。 告警内容中提示：“nonewprivileges:false”，表示该容器关闭了提权限制，存在风险。 危险目录映射(mounts:[...]) 容器启动时可以将宿主机目录映射到容器内，方便容器内业务直接读写宿主机上的资源。这是一种存在风险的使用方式，如果容器启动时映射了宿主机操作系统关键目录，容易造成从容器内破坏宿主机系统的事件。 HSS监控到容器启动时mount了宿主机危险路径时触发告警，定义的宿主机危险目录包括：“/boot”，“/dev”，“/etc”，“/sys”，“/var/run”等。 告警内容中提示：“mounts:[{"source":"xxx","destination":"yyy"...]”，表示该容器映射的文件路径存在风险。 说明 对于docker容器常用的需要访问的宿主文件如“/etc/hosts”、“/etc/resolv.conf”不会触发告警。 禁止启动命名空间为host的容器 容器的命名空间需要与主机隔离开，如果容器配置了与主机相同的命名空间，则该容器可以访问并修改主机上的内容，易造成容器逃逸的安全事件，存在安全风险。因此HSS会检测容器的pid，network，ipc命名空间是否为host。 告警名称为“容器命名空间”，告警内容中提示“容器pid命名空间模式”、“容器ipc命名空间模式”、“容器网络命名空间模式”，表示启动了命名空间为host的容器，需要按照告警中的提示排查容器的启动选项，如果存在业务需要，可以将该告警事件忽略。 容器镜像阻断 在Docker环境中容器启动前，HSS检测到中指定的不安全容器镜像运行时触发告警。 说明 需安装Docker插件。 用户异常行为 非法系统账号 黑客可能通过风险账号入侵容器，以达到控制容器的目的，需要您及时排查系统中的账户。 HSS检查系统中存在的可疑隐藏账号、克隆账号；如果存在可疑账号、克隆账号等，则触发告警。 用户异常行为 暴力破解 检测容器场景下“尝试暴力破解”和“暴力破解成功”等暴破异常行为，发现暴破行为时触发告警。 支持检测容器场景下SSH、Web和Enumdb暴破行为。 说明 目前暂仅支持Docker容器运行时的暴力破解检测告警。 用户异常行为 用户密码窃取 检测到通过非法手段获取用户密钥行为，一旦发现进行告警上报。 网络异常访问 异常外联行为 检测到服务器存在异常外联可疑IP的行为，一旦发现进行告警上报。 网络异常访问 端口转发检测 检测到利用可疑工具进行端口转发行为，一旦发现进行告警上报。

返回DeepSeek专题导航。

返回DeepSeek专题导航。

返回DeepSeek专题导航。

本章介绍天翼云关系型数据库在购买时的常见问题及解决办法。 RDS实例创建失败是为什么 数据库实例状态为创建失败的情况下，可能是由于底层资源不足的原因。可联系客服进行查验。

参数 是否必填 参数类型 说明 示例 下级对象 cmkUuid 是 String 计划删除密钥对应的密钥唯一标识id 474e569e8814474a948bdbcf6d853eff pendingWindowInDays 是 String 计划删除时间，取值范围：730天，传数字即可 7

DMS端云协同客户端可轻松接入OpenClaw,客户端核心能力封装为了AI可调用的Skill,结合DMS Skill,您可以在OpenClaw中通过对话方式轻松管理数据库实例、执行 SQL 查询、导出数据以及进行安全审计,无需记忆复杂的命令行语法。 前提条件 安装并已启动DMS端云协同客户端。 安装并已启动OpenClaw。 操作步骤 1、安装并启动DMS客户端 1. 下载并安装客户端 2. 启动客户端，确保正常运行 2、安装并启动OpenClaw 请参考OpenClaw官网完成客户端的下载、安装和启动。 3、添加DMS Skill到OpenClaw 1. 下载DMS Skill压缩包：DMS Skill。 2. 将下载的压缩包解压后放到~/.openclaw/skills目录下。如自行修改过skills目录，放到对应目录即可。 3. 解压成功后，您即可在OpenClaw通过自然语言随时触发DMS Skill进行数据管理操作。 典型场景 以下展示了一个完整的数据库操作流程，从添加实例到安全审计，共 4 个步骤，帮助您快速上手OpenClaw+客户端。

STS即Secure Token Service 是一种安全凭证服务，可以使用STS来完成对于临时用户的访问授权。对于跨用户短期访问对象存储资源时，可以使用STS服务。这样就不需要透露主账号AK/SK，只需要生成一个短期访问凭证给需要的用户使用即可，避免主账号AK/SK泄露带来的安全风险。 获取临时token 在服务端生成临时token，可参考java、python、nodejs、CPP、donet、go、php SDK说明，请从 SDK概览 页面选择进入对应的开发指南查阅。 使用临时token 实现一个MyCredentialsProvider，支持更新ak/sk和token。 plaintext // .h @interface MyCredentialsProvider: NSObject ​ (instancetype)initWithAccessKey:(NSString )accessKey secretKey:(NSString )secretKey sessionToken:(NSString )sessionToken; ​ (void)updateCredWithAccessKey:(NSString )accessKey secretKey:(NSString )secretKey sessionToken:(NSString )sessionToken; @end ​ ​ // .m @interface MyCredentialsProvider() @property (atomic, strong) AWSCredentials internalCredentials; @end ​ @implementation MyCredentialsProvider (instancetype)initWithAccessKey:(NSString )accessKey secretKey:(NSString )secretKey sessionToken:(NSString )sessionToken { if (self [super init]) { internalCredentials [[AWSCredentials alloc] initWithAccessKey:accessKey secretKey:secretKey sessionKey:sessionToken expiration:nil]; } return self; } ​ (AWSTask )credentials { return [AWSTask taskWithResult:self.internalCredentials]; } ​ (void)invalidateCachedTemporaryCredentials { } ​ (void)updateCredWithAccessKey:(NSString )accessKey secretKey:(NSString )secretKey sessionToken:(NSString )sessionToken { self.internalCredentials [[AWSCredentials alloc] initWithAccessKey:accessKey secretKey:secretKey sessionKey:sessionToken expiration:nil]; } @end 使用临时token初始化sdk plaintext

前提条件 Windows云主机已经绑定弹性公网IP。 已配置安全组3389端口入方向的访问规则。 使用的登录工具与待登录的Windows云主机之间网络连通。例如，默认的3389端口没有被防火墙屏蔽。 操作步骤 打开Windows云主机远程登录RDP（Remote Desktop Protocol）协议。首次登录云主机时，请先使用VNC方式登录云主机，打开RDP，然后再使用MSTSC方式连接。 1. 检查Windows云主机的RDP是否开启。 1）VNC方式登录云主机。 2）单击“开始”菜单，选择“控制面板 > 系统和安全 > 系统 > 远程设置”，系统进入“系统属性”页面。 3）选择“远程”页签，在“远程桌面”栏，选择“允许远程连接到此计算机”。 4）单击“确定”。 2. 在用户本地计算机，使用远程登录工具MSTSC登录Windows云主机。 1）单击“开始”菜单。 2）在“搜索程序和文件”中，输入“mstsc”。 3）根据提示登录云主机。 3. （可选）通过远程桌面连接（Remote Desktop Protocol, RDP）方式登录云主机后，如果需要使用RDP提供的“剪切板”功能，将本地的大文件（文件大小超过2GB）复制粘贴至远端的Windows云主机中，由于Windows系统的限制，会导致操作失败。具体解决办法请查看微软官方提供的帮助手册：Copying files exceeding 2 GB fails Windows Server，或咨询微软官方。

函数工作原理 边缘函数为边缘节点提供Serverless模式的JavaScript代码执行环境。您只需编写业务函数代码并设置触发规则，无需配置和管理服务器等基础设施。这样，您的代码可以弹性、安全地在靠近用户的边缘节点上运行。 使用边缘函数前的请求处理过程： 1. 网关收到客户端请求时，执行控制台标准化配置对请求进行处理。 2. 如果符合缓存规则，网关将处理后的请求转发给缓存组件，由缓存组件命中后响应，或者请求回源。 3. 如果不符合缓存规则，则由网关处理后，请求回源。 4. 源站返回响应内容，网关响应给客户端。 使用边缘函数后的请求处理过程： 1. 网关收到客户端请求时，执行边缘函数，对用户的请求进行业务处理。 2. 网关处理完边缘函数的业务逻辑后，根据函数中的逻辑选择继续处理CDN加速标准化配置从而完成响应，或者直接在边缘响应出客户的个性化内容。 使用说明 边缘函数由函数触发器和函数运行时组成： 函数触发器：目前支持HTTP触发器，基于您的加速域名，匹配请求中的对应规则（例如 函数运行时：在边缘节点运行您的JavaScript业务代码的安全隔离环境，请求级隔离，微秒级别启动，用完立即销毁。

函数计算支持访问用户自身VPC内的资源，如MySQL，本文讲解如何通过函数计算访问VPC内的MySQL实例。 设置用户函数允许访问VPC 该部分涉及到函数网络配置，请参阅函数计算用户指南配置网络。 注意 用户配置允许访问的VPC信息需要与要访问的MySQL实例的VPC信息一致。 设置MySQL实例白名单 在MySQL实例管理界面， 需要放行访问MySQL的源地址，如下图： 注意 白名单所放行的IP段，即用户在函数控制台配置VPC时选择的Subnet所在的地址段。 设置MySQL实例安全组 （1）如果用户选择放通MySQL默认安全组的13049端口，则可以进行如下配置： （2）如果用户选择放通所有端口（不推荐），则可以参考如下配置： 完成上述网络配置与MySQL实例配置后，用户即可通过函数计算访问对应VPC内的MySQL实例。

开启防护后，云防火墙默认放行所有流量，配置合适的访问控制策略能有效地帮助您对内部服务器与外网之间的流量进行精细化管控，防止内部威胁扩散，增加安全战略纵深。 访问控制策略类型 访问控制策略分为“防护规则”和“黑/白名单”两类功能，区别如下表所示，流量命中某一条策略时，执行该策略的动作，各功能的防护顺序请参见“云防火墙的防护顺序是什么”。 防护规则和黑/白名单的区别如下： 类型 支持的防护对象 网络类型 防护后的动作 应用场景&特点 配置方式 防护规则 五元组 IP地址组 地理位置（地域） 域名和域名组 公网IP 私网IP 设置为“阻断”：流量直接拦截。 设置为“放行”：流量被“防护规则”功能放行后，再经过入侵防御（IPS） 功能检测。 通过具体的特征识别指定流量，适用于需要精细化控制特定流量的情况；例如通过协议类型、端口号、应用等特征配置规则。 通过添加防护规则拦截/放行流量 黑名单 五元组 IP地址组 公网IP 私网IP 直接拦截流量。 快速拦截已识别的安全威胁，适用于已知恶意流量数据的情况。 通过添加黑白名单拦截/放行流量 白名单 五元组 IP地址组 公网IP 私网IP 流量被云防火墙放行，不再经过其它功能检测。 快速放行可信流量，适用于明确可信IP地址的情况。 通过添加黑白名单拦截/放行流量

步骤 3 将新购买的独享引擎实例添加到ELB的后端服务器上。 以添加共享型后端服务器为例说明，添加后端服务器操作步骤如下。 1. 单击页面左上方的“服务列表”，选择“安全> Web应用防火墙（独享版）”，进入“安全总览”页面。 2. 在左侧导航树中，选择“系统管理 > 独享引擎”，进入“独享引擎”页面。 3. 在目标实例所在行的“操作”列，单击“更多 > 添加到ELB”。 4. 在“添加到ELB”页面中，选择原独享引擎实例配置的“ELB（负载均衡器）”、“ELB监听器”和“后端服务器组”。 5. 单击“确认”，为WAF实例配置业务端口，“业务端口”需要配置为原WAF独享引擎实例实际监听的业务端口。 步骤 4 在ELB管理控制台上，将原独享引擎实例的流量权重设置为“0”。新的请求不会转发到权重为0的后端。 步骤 5 待业务流量降下来后，删除原独享引擎实例。查看独享实例的云监控信息，“新建连接数”较小时（例如，小于5），说明业务流量已经降下来。 1. 在WAF控制台的左侧导航树中，选择“系统管理 > 独享引擎”，进入“独享引擎”页面。 2. 在目标实例所在行的“操作”列，单击“更多 > 删除”。 3. 在弹出的提示框中，单击“确认”。 删除实例后，该实例上的资源将被释放且不可恢复。 多独享引擎实例节点升级 如果您的业务部署了多个独享引擎实例，请参照以下操作升级实例。

STS即Secure Token Service 是一种安全凭证服务，可以使用STS来完成对于临时用户的访问授权。对于跨用户短期访问对象存储资源时，可以使用STS服务。这样就不需要透露主账号AK/SK，只需要生成一个短期访问凭证给需要的用户使用即可，避免主账号AK/SK泄露带来的安全风险。 初始化STS服务 plaintext ak : " " sk : " " endpoint : " " config : &aws.Config{ Credentials: credentials.NewStaticCredentials(ak, sk, ""), Endpoint: aws.String(endpoint), S3ForcePathStyle: aws.Bool(true), DisableSSL: aws.Bool(true), LogLevel: aws.LogLevel(aws.LogDebug), } sess : session.Must(session.NewSession(config)) svc : sts.New(sess) 获取临时token plaintext bucket : " " roleSessionName : " " arn : "arn:aws:iam:::role/xxxxxx" policy : {"Version":"20121017","Statement":{"Effect":"Allow","Action":["s3:"],"Resource":["arn:aws:s3:::%s","arn:aws:s3:::%s/"]}} policy fmt.Sprintf(policy, bucket, bucket) fmt.Println("policy: ", policy) out, err : svc.AssumeRole(&sts.AssumeRoleInput{ Policy: aws.String(policy), RoleArn: aws.String(arn), RoleSessionName: aws.String(roleSessionName), }) if err ! nil { fmt.Println("err, ", err) return } fmt.Println("assumeRole success, ", out) 请求参数 参数 类型 描述 是否必要 RoleArn string 角色的ARN，在控制台创建角色后可以查看 是 Policy string 角色的policy，需要是json格式，限制长度1~2048 是 RoleSessionName string 角色会话名称，此字段为用户自定义，限制长度2~64 是 DurationSeconds Integer 会话有效期时间，默认为3600s 否

接口功能介绍 基线策略列表分页查询 接口约束 此功能为收费功能。确认已经购买系统配额，并且开启基线扫描配置。如果没有购买配额，可按照页面提示进行购买。如果没有开启防护，请在服务器列表页开启机器防护 URI POST /v1/sca/rule/query/scaruleListOfPage// 路径参数 参数 是否必填 参数类型 说明 示例 下级对象 currentPage 是 Integer pageSize 是 Integer Query参数 无 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String ContentType application/json 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 name 否 String 基线策略名称 testrulename 响应参数 参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 success returnObj Object 返回对象 returnObj traceId String traceId asaadasd11111 statusCode String 状态码 200成功 200 表 returnObj 参数 参数类型 说明 示例 下级对象 total Integer 总数 100 list Array of Objects 结果集 list pageNum Integer 当前页 1 pageSize Integer 每页的数量 10 表 list 参数 参数类型 说明 示例 下级对象 id Integer 基线策略id 1 name String 基线策略名称 策略1 checkfrequency Integer 检测频率 1 checktime String 扫描时间,01:0002:00代表再每checkfrequency天01:0002:00之间进行扫描 01:0002:00 description String 描述 描述 isDefault Boolean 是否是默认策略 true是 false否 true createtime String 创建时间 20200101 00:00:00 ruleStatus Boolean 策略状态 true启用 false禁用 true scope String 生效范围 OPTIONAL自选机器 ALL所有机器 OPTIONAL

本页主要介绍快照恢复的使用方法。 注意 快照恢复功能仅白名单用户可见，如有急需，可提单咨询开通。 使用场景 数据保护和恢复：快照可以用作数据的备份和恢复手段。当云硬盘的数据发生意外删除、损坏或错误修改时，可以使用快照来恢复到之前的状态。 数据恢复测试：可以使用快照来进行数据恢复测试。在进行关键操作之前，先创建一个快照，然后在测试过程中可以随时回滚到快照状态，以确保操作的安全性和可靠性。 数据备份和归档：通过创建快照，可以定期备份云硬盘的数据，并将快照存档用于长期数据保留、合规要求或法律需求。 约束限制 快照恢复仅支持恢复到当前实例，即对原实例进行覆盖。 快照恢复不支持跨域恢复。 按时间点恢复 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入基本信息页面。 4. 单击备份恢复 ，进入基础备份列表页签。 5. 在备份文件列表上方，单击快照恢复。 6. 在弹出页面中选择恢复的参数，可选择按时间点和按备份集进行恢复。 相关参数说明如下： 源实例：恢复的源实例。 恢复策略：按时间点即恢复到时间段内某个点，按备份集即将实例的数据用此备份集进行覆盖。 可还原时间点：根据备份文件和Binlog文件，您当前可以恢复到的一个时间段。 恢复到：恢复的目标实例。 7. 恢复的记录可以在快照恢复列表中进行查看。

本文主要介绍安装密码锁定插件的操作步骤。 注意 仅II类型资源池支持该功能，具体支持情况以控制台页面展示为准。更多资源池信息，请参见功能概览。 由于内核版本未兼容旧版本，该功能仅限于2025年1月18日后新开通的实例可见。此前开的实例可通过升级内核小版本将内核小版本升级至最新，然后使用该功能。 使用场景 密码锁定插件用于控制密码锁定后限制登录次数和锁定时长，可增强账号的安全性。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入基本信息页面。 4. 选择账号管理二级目录，单击安装密码锁定插件，并打开。 5. 可以按照自身需求设置相关参数的值。设定完毕单击提交即可。 参数说明： looseconnectioncontrolfailedconnectionsthreshold：用来控制正常的连接次数，当该参数修改为0时，连接错误时不再做延迟限制。 looseconnectioncontrolminconnectiondelay：指定了超过错误登录次数阈值之后，错误登录锁定的最小时长。单位：毫秒。 looseconnectioncontrolmaxconnectiondelay：指定了超过错误登录次数阈值之后，错误登录锁定的最大时长。单位：毫秒。 说明 密码锁定插件规则：looseconnectioncontrolminconnectiondelay的值必须小于等于looseconnectioncontrolmaxconnectiondelay。

本章节主要介绍如何快速发放天翼云物理机服务器。 操作场景 在天翼云物理机服务器发放过程中，普通物理机服务器的操作系统需要从云端下载、安装，下载过程会消耗较长时间。基于云硬盘的物理机服务器的操作系统直接安装在云硬盘（即系统盘使用云硬盘），所以可以实现快速发放能力。 相比普通物理机服务器，快速发放型服务器有如下优势： 从云硬盘启动，发放时间缩短至5min左右。 支持整机备份，数据更有保障。 支持故障重建，保证业务快速恢复。 支持镜像导出，可将现有物理机服务器的配置复用在其他机器，节省重复配置的时间。 在物理机服务器创建界面，选择支持快速发放的规格，设置系统盘类型和容量，并按照需求配置其他参数，即可获取一台快速发放型物理机服务器。 操作步骤 您可以按照创建物理机服务器的描述创建快速发放物理机服务器。 在选择配置时，需要注意以下几点： 规格：选择支持快速发放的规格，可以选择physical.s4.medium、physical.s4.large、physical.s4.xlarge、physical.s4.2xlarge和physical.s4.3xlarge。 镜像：只支持部分公共镜像，请以界面显示为准。 磁盘：设置“系统盘”的磁盘类型和大小。

本文主要介绍SQL Server实例绑定/解绑弹性公网IP的操作步骤。 SQL Server实例创建成功后，默认未绑定弹性IP，不能使用使用公网访问功能。SQL Server支持用户绑定弹性IP，通过公共网络访问数据库实例。 前提条件 ● 实例状态为“运行中”。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择【产品 > 数据库 > 关系型数据库 > 关系数据库SQL Server版】，进入关系数据库SQL Server产品页面。然后单击【管理控制台】，进入TeleDB数据库【概览】页面。 2. 在左侧导航栏，选择【SQL Server > 实例管理】，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中可以看到弹性IP属性，如果该实例未绑定弹性IP则会显示为空，此时可以单击【更多】的【绑定弹性公网IP】按钮，弹出绑定弹性IP界面。 4. 选择目标弹性公网IP，单击绑定，即可完成绑定。 5. 如果该实例已绑定弹性IP，在弹性IP属性中可查看绑定的弹性IP，此时可以单击【更多】的【解绑弹性公网IP】按钮，弹出解绑弹性IP界面。 6. 解绑弹性IP界面可看到目前绑定的弹性IP，单击解绑，即可完成解绑。 说明 如果未申请过弹性IP，可以通过天翼云“控制中心网络控制台”进入弹性IP管理界面，点击【申请弹性IP】进行申请。