本节为您介绍天翼云区域和可用区的概念及关系。 区域 区域（region）是指物理的数据中心的地理区域。区域从地理位置和网络时延维度划分，同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。 天翼云不同区域之间完全隔离，保证不同区域间最大程度的稳定性和容错性。为了降低访问时延、提高下载速度，建议您选择最靠近业务需求的区域。 相关特性 不同区域之间的网络完全隔离，不同区域的云产品默认不能通过内网通信。 如果不同区域之间的云产品之间有通信需求，可以通过公网 IP、VPN等方式进行通信。 如何选择区域 在天翼云中，资源创建或购买成功后不能更换区域，因此选择区域时，您需要慎重考虑以下几个因素： 1. 地理位置：用户和资源部署区域的距离越近，网络时延越低，访问速度越快。建议您基于业务场景对时延的要求选择区域。 中国内地：一般情况下建议选择和您目标用户所在区域最为接近的数据中心，可以进一步提升用户访问速度。如果使用天翼云承载您的全部业务，电信网络可以保证中国内地区域间的快速访问。 其他国家及地区：其他国家及地区提供的带宽主要面向非中国内地的用户。如果您在中国内地，使用这些区域会有较长的访问延迟，不建议您使用。 2. 资源价格及资源覆盖：不同区域的资源规格可能有差异，不同区域的产品覆盖可能有差异，请根据您的需求及预算选择合适的区域。 3. 产品之间的关系：如果多个天翼云产品一起搭配使用，需要注意：不同区域的云主机、对象存储、负载均衡等服务，内网不互通。 4. 经营性备案：如果您使用物理机作为Web服务器，您需要完成经营性备案，同时需要在指定的区域购买实例。（各省（或市）通信管理局对经营性备案的审批要求不同，请以当地管理局经营性备案网站公示内容为准。）

敏感数据梳理场景 数据自动发现 基于网络嗅探技术，自动发现网络环境中数据源，并结合通过内置的70+的敏感数据识别算法快速、准确的梳理出核心重要数据，同时在数据库漏洞、数据库配置、账号权限等方面进行全面风险梳理，并给出加固建议。 丰富的敏感数据识别算法 包括正则表达式、关键字典、机器学习、NLP、文档指纹等先进AI技术创建识别规则、实体识别模型，支持对复合字段进行识别。 智能推荐模型 产品包含使用 Apriori 或 FPgrowth 关联规则等算法，训练出的推荐模型，针对命中多个规则与分级分类包的情况，给出分类分级推荐。 智能聚类梳理 产品基于聚类算法对相似表、相似字段进行分析，汇总信息后进行展示，并进行批量确认，通过具智能梳理向导功能减少总工作量，大幅提升梳理效率。 敏感数据访问活动重点监测 对数据库中的对象可被哪些用户访问的情况进行归纳总结，特别是对包含了敏感列的表或者敏感度评分较高的对象，着重监测其访问情况。 图表分类显示 对敏感数据的分布情况进行图形化分类显示，直观、快速掌握家底 数据库访问数据安全 防外部攻击 提供数据库“虚拟补丁”，对数据库漏洞利用行为进行检测，结合内置安全规则，实现数据库的防护。 账号权限管理 建立唯一数据库运维通道，提供账号准入、多重认证能力； 提供独立于数据库账号权限以外的第三方权控能力，回收、限制部分特权用户权限，防越权操作. 内部恶意数据篡改泄漏 提供细粒度访问控制能力，从访问源、访问目标、访问行为、访问结果集等多维度限制数据库风险操作、误操作等行为； 提供系统表、敏感表、敏感字段防护能力，防止敏感数据泄漏、篡改； 提供动态脱敏能力，防止运维过程造成敏感数据泄漏； 提供风险运维审批能力，当运维人员必须进行某些危险性操作或者访问敏感数据时，提交临时授权工单，由安全管理员进行逐级审批后方可进行操作。

本节主要介绍智能视图服务操作类的常见问题。 添加设备时应该选择什么协议？ GB28181设备为什么注册不成功？ 摄像头无法实时预览？ 设备流状态显示超码率，如何解决？ 视频流为什么播放时卡顿？ 球机PTZ转动过程中为什么出现画面卡顿或不清晰？ 设备端应该配置定码率还是变码率？ 如何配置设备主/子码流？ 平台是否支持查看设备本地录像？ 为什么设备无法删除？ 传输协议选择TCP还是UDP？ 视频流地址在第三方平台无法播放？ 向上级联选择虚拟业务组和行政区划有什么区别？ 下级平台的设备目录是否会自动更新？ 云台控制权限中，110的操作级别如何排序？ 添加设备时应该选择什么协议？ 用户若需添加视频设备（IPC摄像头、NVR录像机等），可通过GB28181/RTSP/RTMP/EHOME协议接入，推荐使用GB28181协议接入。目前市场上大部分摄像头设备都支持GB28181协议，并且GB28181协议支持对摄像头进行云台控制、语音对讲、在云端调阅设备本地录像等功能，GB28181设备接入流程说明可参见【用户指南设备管理国标设备接入】。 若用户身边不具备物理视频设备，但想要使用智能视图服务相关功能，可使用推流工具模拟直播流，通过RTMP协议接入到平台，RTMP设备接入流程说明可参见【用户指南设备管理RTMP设备接入】。 用户若需添加视图设备（人脸抓拍机设备等），可通过GA1400协议接入，接入成功后可查看设备的视图数据，GA1400设备接入流程说明可参见【用户指南视图服务摄像头接入】。

本节介绍云下一代防火墙产品优势。 具有全面适应能力的软件防火墙 在云计算环境中，用户的计算、存储、数据资源都是运行在服务器的虚拟机上，在考虑安全防护的设计时，云下一代防火墙可在云主机上实现快速灵活的部署，支持在VMware、KVM、HyperV、XEN等主流虚拟化平台运行，可串联或单臂连接到虚拟网络中（如：虚拟应用服务器前端的网关，或者是VPC网络的边界网关），为虚拟网络或应用提供专业的边界网络安全防护功能。 以虚拟机形式部署设备，能够克服物理防火墙的限制，在云计算环境中可部署于更加靠近云主机的位置，对于云主机内部流量进行过滤，实现同时对于南北向和东西向流量的安全防护。同时，用户可以根据网络搭建需求，弹性调配和管理网络资源等，并且能够按需进行灵活迁移，充分发挥云计算优势。 拥有专业NGFW安全防护功能 云下一代防火墙拥有与NGFW相同的操作系统，具有丰富的网络安全防护功能，对网络威胁进行防御，能够满足企业分支及公有云多租户环境中的网络安全需求。 具备精细化应用管控，可为用户提供多维的应用风险分析和筛选，以及灵活的安全控制，包括策略阻止、会话限制、应用引流和智能流量管理等。同时，还具备入侵防御、病毒过滤、攻击防护、NAT等功能，满足客户对安全访问，攻击防护以及应用识别和控制等需求。 具备HA组网能力，满足配置和会话同步的要求，从而实现高可靠的冗余部署，保障用户业务的不间断连续运营。

DSC内置有L1L4四种敏感数据级别，如果内置级别无法满足您的需要，可以根据此章节进行自定义级别 约束条件 级别创建后不支持删除。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击左上角的，选择区域或项目。 步骤 3 在左侧导航树中，单击，选择选择“安全 > 数据安全中心”，进入数据安全中心总览界面。 步骤 4 在左侧导航树中选择“敏感数据识别 > 识别配置”，进入识别模板页签。 步骤 5 选择“级别配置”页签，在级别配置列表左上角单击“新增分级”。 步骤 6 在“新增分级”弹框中配置相关信息，参数说明如下表。 新增级别参数说明 参数 说明 级别名称 输入自定义的级别名称。 级别颜色 可根据敏感等级选择级别颜色，级别颜色数值越高敏感度越高。 如姓名、性别等为低敏感数据；身份证号、加密密钥等为高敏感数据。 步骤 7 单击“确定”完成新增规则。

类别 云防火墙（原生版） Web应用防火墙（原生版） 产品定义 云防火墙（原生版）（CTCFW，Cloud Firewall）是一款云原生的云上边界网络安全防护产品，可提供统一的互联网边界管控与安全防护，并提供业务整体情况可视化、日志审计和分析等功能，帮助您完成网络边界防护与等保合规。 Web应用防火墙（原生版）（CTWAF，Web Application Firewall）为用户Web应用提供一站式安全防护，对Web业务流量进行智能全方位检测，有效识别恶意请求特征并防御，避免源站服务器被恶意入侵，保护网站核心业务安全和数据安全。 防护对象 IP（弹性公网IP、内网IP等） 域名 网络层级 四层 七层 应用场景 边界网络防护 Web业务安全防护 核心技术 ACL访问控制、DPI深度包检测、IPS入侵检测技术 HTTP协议解析、Web攻击检测 安全能力 支持外部访问控制和主动外联管控，能够检测攻击者对用户网络发起的攻击，同时也能对用户网络主动外联行为进行分析，阻断由内而外的恶意连接行为，保护用户的资产安全。 集成机器学习检测引擎，支持专家经验特征与语义特征，有效检测SQL 注入、XSS等基于形式语言的攻击类型，对OWASP常见攻击类型进行了良好覆盖。

本文主要介绍通过外部镜像文件创建数据盘镜像 操作场景 数据盘镜像是只包含用户业务数据的镜像，您可以通过本地或者其他云平台上的外部镜像文件创建数据盘镜像。数据盘镜像可以用于创建云硬盘，将用户的业务数据迁移到云上。 流程说明 通过外部镜像文件创建数据盘镜像的过程如下： 图 创建过程 1、准备符合格式要求的外部镜像文件。当前支持vhd、vmdk、qcow2、raw、vhdx、qcow、vdi、qed、zvhd或zvhd2格式，其他镜像文件，需要转换格式后再导入。 镜像格式转换可参考“通过qemuimg工具转换镜像格式”。 2、上传外部镜像文件到OBS个人桶中，注意OBS桶和镜像文件的存储类别必须是标准存储。具体操作可参考上传镜像文件（Linux）。 创建数据盘镜像，具体操作请参见操作步骤。 使用数据盘镜像创建新的数据盘，具体操作请参见后续操作。 操作步骤 1、登录IMS控制台。 a.登录控制台。 b.选择“镜像服务”。 进入镜像服务页面。 2、创建数据盘镜像。 a.单击右上角的“创建私有镜像”，进入创建私有镜像页面。 b.在创建方式选择“导入私有镜像”，“镜像类型”处选择“数据盘镜像”。 c.从列表中先选择保存镜像文件的桶，再选择对应的镜像文件。 图 通过外部镜像文件创建数据盘镜像 d.在“配置信息”区域，完成以下参数填写： 操作系统类型：必须明确指定操作系统类型，取值为Windows或Linux。 数据盘：输入数据盘的大小，范围为40~2048GB，并且请确保不小于镜像文件的数据盘大小。 名称：设置一个便于您识别的镜像名称。 （可选）加密：如果需要加密镜像，请勾选“KMS加密”并从密钥列表中选择一个密钥名称。 企业项目：从下拉列表中选择所在的企业项目。该参数针对企业用户使用，只有开通了企业项目的客户，或者权限为企业主帐号的客户才可见。如需使用该功能，请联系您的客户经理申请开通。企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。 （可选）标签：为镜像设置标签键和标签值，便于识别和管理。 （可选）描述：对镜像进行描述。 f.单击“立即创建”。 g.根据界面提示，确认镜像参数。阅读并勾选协议，单击“提交”。 3、返回私有镜像列表，查看创建的数据盘镜像。 当镜像的状态为“正常”时，表示创建完成。

本文通过图文说明新增证书的操作步骤。 功能介绍 Web应用防火墙（边缘云版）基于边缘云底座，HTTPS为边缘云网络内容传输提供了更好的保障，客户端在极速访问内容的同时，可以更安全有效地浏览网站内容。本文主要指导客户如何新增证书。 配置说明 新增证书时，客户需要填写证书备注名、证书公钥以及证书私钥。其中公钥和私钥支持PEM格式。具体操作步骤如下： 1. 登录Web应用防火墙（边缘云版）控制台。 2. 在【证书管理】页面，找到右上角的添加证书按键。 3. 单击【添加证书】。 4. 输入证书备注名、证书公钥和证书私钥。 您需要提前准备好域名的证书文件和私钥文件。 需要准备的证书相关内容如下（上传时请确保证书有完整的证书链）： .crt（公钥文件）或.pem（证书文件） .key（私钥文件） 备注： 证书备注名，是指在添加自有证书时，为了方便识别和记忆，可以支持客户自定义所上传证书的名称，方便在域名配置关联证书选择时，选定正确的证书与域名进行关联。 注意事项 请确保上传的证书还在有效期范围内。 目前只支持PEM格式，如果是其他格式，请自行转换为正确格式。

GPU服务器驱动问题声明 迁移到GPU服务器出现的驱动相关问题（如：不具备计算加速/图形加速能力），需要您自行安装相关驱动解决。若自行解决无果，天翼云可以提供相应的技术支持，但是不承诺解决问题。 关于业务隔离、业务冲突声明 主机迁移服务在迁移过程中，不会识别和感知用户业务，需要用户自行识别源端和目的端业务之间的冲突并保持隔离性，如果因为目的端启动后对源端造成业务冲突异常，主机迁移服务概不负责。

本文为您介绍Web应用防火墙（原生版）的产品优势。 WAF对网站业务流量进行多维度检测和防护，产品优势如下： 先进的检测技术 基于专家经验的三大引擎（安全模型检测引擎+智能语义检测引擎+机器学习检测引擎），结合设备指纹、无感验证码、动态人机挑战、动态环境验证、随机化混淆策略、AI驱动的实时决策等关键技术，支持多种常见编码自动还原能力，提供深度攻击防逃逸功能，构建完整的动态防御闭环，有效检测 SQL 注入、XSS 等基于形式语言的攻击类型，有效应对自动化工具、0day漏洞攻击等高风险威胁。打造专业的Web安全防护能力。 多样化环境的防护场景覆盖 基于“中心化管理，去中心化部署”的理念，支持云、管、端混合部署，支持对天翼云、异云、云下多样化环境全场景覆盖，满足用户“云边协同”的一体化防护要求。 灵活的可运营能力 具备事前自定义安全监测、事中安全动态防护封禁、事后上下文溯源分析全面面向攻防实战的产品能力。 高质量的规则集：持续优化的高质量攻击检测规则集，兼顾性能与效果且配置简单，对OWASP常见攻击类型进行了良好覆盖。 精细化的策略配置：支持自定义防护规则，基于会话特征灵活配置攻击识别、对抗策略，精准拦截，降低误报。

本文主要介绍影响负载均衡的因素。 一般情况下，影响负载均衡分配的因素包括分配策略、会话保持、长连接、权重等。换言之，最终是否均匀分配不仅与分配策略相关，还与使用的长短连接、后端的性能负载等相关。 流量分配策略：负载均衡器会接收来自客户端的请求，并将请求转发到一个或多个后端云主机中进行处理。请求的流量分发与负载均衡器所绑定的后端主机组配置的分配策略类型相关。 会话保持：指负载均衡器可以识别客户与云主机之间交互过程的关联性，在实现负载均衡的同时，保持将其他相关联的访问请求分配到同一台云主机上。 长连接：指在一个连接上可以连续发送多个数据包，在连接保持期间，如果没有数据包发送，需要双方发链路检测包。 权重：仅当流量分配策略为加权轮询算法、加权最少连接算法和源IP算法时支持权重设置。将后端云主机的权重值批量设置为“0”，可以实现批量屏蔽后端云主机。

本文档为制作Windows系统私有镜像指导手册的步骤2,安装VirtIO驱动、QEMU Guest Agent。 操作场景 VirtIO驱动，用于弹性云主机识别云硬盘等存储设备，是Windows镜像必备驱动。 QEMU Guest Agent（简称qga），是天翼云平台弹性云主机执行关键功能的依赖工具。包括： 云主机重置密码 创建云主机快照 操作步骤 安装VirtIO和QEMU Guest Agent 说明 Windows虚拟机安装完成后，请检查VirtIO对应的CD驱动器下的文件。 如果CD驱动器主目录下存在virtiowinguesttools.exe文件，请直接执行此文件，按默认操作步骤执行，即可完成VirtIO驱动和QEMU Guest Agent的安装； 如果CD驱动器主目录下不存在virtiowinguesttools.exe文件，请执行主目录下的virtiowingtx64.msi文件安装VirtIO驱动，并运行/guestagent/qemugax8664.exe文件安装QEMU Guest Agent。安装过程中，请按默认操作步骤执行。 注意 如果您未按照 配置VirtIO和QEMU Guest Agent 打开PowerShell，将以下内容直接复制粘贴并执行。 StartService Name 'QEMU Guest Agent VSS Provider' StartService Name 'QEMUGA' SetService Name 'QEMU Guest Agent VSS Provider' StartupType Automatic SetService Name 'QEMUGA' StartupType Automatic

类别 云防火墙 Web应用防火墙 定义 云防火墙（Cloud Firewall，CFW）是新一代的云防火墙，提供云上互联网边界和VPC边界的防护，包括实时入侵检测与防御、全局统一访问控制、全流量分析可视化、日志审计与溯源分析等，同时支持按需弹性扩容、AI提升智能防御能力、灵活扩展满足云上业务的变化和扩张需求，极简应用让用户快速灵活应对威胁。云防火墙服务是为用户业务上云提供网络安全防护的基础服务。 Web应用防火墙（Web Application Firewall，WAF），通过对HTTP(S)请求进行检测，识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击，保护Web服务安全稳定。 防护对象 弹性公网IP和VPC边界。 支持对Web攻击的基础防护。 支持外部入侵和主动外联的流量防护。 针对域名或IP，云上或云下的Web业务。 支持对Web攻击的全面防护。 功能特性 资产管理与入侵防御：对已开放公网访问的服务资产进行安全盘点，进行实时入侵检测与防御。 访问控制：支持互联网边界访问流量的访问控制。 流量分析与日志审计：VPC间流量全局统一访问控制，全流量分析可视化，日志审计与溯源分析。 SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击防护。

本节介绍翼打印的常见问题。 翼打印策略会与其它外设策略冲突吗？ 翼打印支持USB打印机和网络打印机。如果是网络打印机，则可以同时使用翼打印、打印机重定向和网络打印这三种打印方式；如果是USB打印机，则只能在翼打印、USB重定向和打印机重定向选择其中一种打印方式。 打印失败通常有哪些原因，有什么解决方法？ 打印失败可能与打印机状态、终端网络、翼打印服务等方面的异常有关，需要根据实际情况具体分析。如遇打印失败或打印没响应等问题，建议优先检查打印机状态（如是否缺纸、缺墨）和终端网络情况（如终端是否与打印机网络相通）是否正常，若仍然无法解决，可在天翼AI云电脑客户端内通过报障联系运维人员进行处理。 翼打印的打印水印和打印审计如何使用？ 可联系售前人员试用，再通过运维人员开启相关功能的租户开关后使用。 资源池没有所需打印机的驱动，处理流程是怎样的？ 可在天翼AI云电脑客户端内通过报障联系运维人员进行处理。 AI云电脑没有看到翼打印机通常有哪些原因，有什么解决方法？ 可能原因1：没有配置翼打印策略。 AI云电脑上方工具栏偏好设置USB管理全部，检查外设重定向策略打印机是否为已开启翼打印策略。如果是USB打印机，AI云电脑上方工具栏偏好设置USB管理全部，查看是否识别到打印机，所用的重定向方式是否为云打印。 处理方法：若非翼打印策略，需重新配置。可在天翼AI云电脑客户端内通过报障联系运维人员进行处理。 可能原因2：终端识别不到设备。 网络打印机：终端cmd管理台ping网络打印机IP地址以检查连通性。 usb打印机：AI云电脑上方工具栏偏好设置USB管理全部，查看是否识别到打印机。AI云电脑上方工具栏偏好设置USB管理USB，查看设备是否重定向成功。 处理方法：检查网络打印机网络连通情况，检查打印机是否处理关机/休眠等状态，本地是否能够打印，更换USB线尝试等。若仍然无法解决，可在天翼AI云电脑客户端内通过报障联系运维人员进行处理。 可能原因3：翼打印服务桌面没有安装打印机厂商驱动，可在天翼AI云电脑客户端内通过报障联系运维人员进行处理。 此外，还可用AI云电脑管家一键检测外设检测功能进行异常排查。

本节介绍创建应用及开通应用相关的操作。 本文以身份证识别为示例作为说明。 操作步骤如下： 成为天翼云用户 注册天翼云账号 打开天翼云官网，点击右上角【免费注册】按照操作提示完成账号注册。 天翼云账号实名认证 天翼云账号需要进行实名认证后，才可以购买和使用产品，请务必完成实名认证操作。 进入账号中心页面，在左侧导航栏，点击【实名认证】，按照操作提示完成账号实名认证。 如果您是企业用户，推荐进行企业认证，以便获取更多便利。更多实名认证操作信息，请参见实名认证。 开通服务 1.点击【产品人工智能】，根据需要选择印刷文字识别下的对应产品（以身份证识别为例）。 2.跳转到服务详情页后，点击【立即开通】； 创建新应用 1.进入控制台【我的应用】，点击【新增应用】，页面出现新建应用的弹窗，填写应用名称及应用概述，点击【确定】按钮。 2.再次弹出小弹窗，提示应用创建成功，请保存好AppKey和AppSecret，点击【知道了】即新应用创建成功。

本文主要介绍不同类型弹性负载均衡的功能特性对比。 弹性负载均衡有不同的负载均衡类型，分别是独享型负载均衡、共享型负载均衡，便于用户根据不同的应用场景和功能需求选择合适的负载均衡器类型。 协议对比 表负载均衡器支持的协议对比 协议类型 描述 独享型 共享型 四层（TCP/UDP）协议 四层负载均衡：支持TCP和UDP协议，监听器收到访问请求后，将请求直接转发给后端主机。转发效率高，数据传输快。 √ √ 七层（HTTP/HTTPS）协议 七层负载均衡：支持HTTP和HTTPS协议，监听器收到访问请求后，需要识别并通过HTTP/HTTPS协议报文头中的相关字段， 进行数据的转发。转发效率不如四层负载均衡，但是支持加密传输、基于Cookie的会话保持等高级功能。 √ √ WebSocket协议 WebSocket (WS)是HTML5一种新的协议。它实现了浏览器与主机全双工通信，能更好地节省主机资源和带宽并达到实时通讯。 √ √ 后端服务器类型对比 表支持的后端服务器类型对比 后端类型 描述 独享型 共享型 配置混合负载均衡（跨VPC后端） 独享型负载均衡实例支持混合负载均衡的能力，后端主机组不仅支持添加云上VPC内的主机， 还支持添加其他VPC、其他Region、云下数据中心的主机。帮助用户根据业务诉求灵活配置， 将流量请求转发到云上、云间或云下的主机上。 √ ╳ 弹性云主机（ECS） 后端主机支持弹性云主机。 √ √

本节为您介绍云迁移服务CMS中数据库迁移工具评估参数配置。 1. 进入“数据库迁移工具”，点击“数据传输”展开菜单，点击“迁移评估”。 2. 点击“创建评估”按钮，跳转至评估任务参数配置界面。 评估名称 评估报告的名称，用于更好地识别评估报告的评估对象、用途等。 目标库类型： 用于评估源端数据库类型和目标端数据库类型的差异。 精确计算 开启该配置，会增加表行数统计的精确度，但相应的会增加评估时长；关闭后会减少评估用时，表行数统计值来自数据库缓存，可能会存在一定误差。 提示级别 设置评估结果中展示的最低级别信息。例如设置为告警级别，则报告中只会展示告警和错误级别的信息。

此小节介绍云堡垒机的资源标签。 云堡垒机标签用于标识CBH中被纳管的资源，达到对CBH系统中主机、应用资源进行分类的目的，并可以与运维资源进行关联识别。 当为主机或应用添加标签后，该资源所有关联的运维资源都会带上标签，从而可以对运维资源分类检索。一个主机或应用资源最多拥有10个标签。 下图说明了标签的工作方式。在此示例中，以标识云主机ECS资源为例，为每个运维资源分配了两个标签，“标签1”按照团队标识，“标签2”和“标签3”按照项目标识，用户可根据不同标签筛选所标识的资源。 标签示例 用户添加标签后，可在CBH系统通过标签检索资源，并管理资源标签，参见下表： CBH标签使用说明 界面入口 可执行操作 :: 桌面 > 最近登录主机 检索资源 桌面 > 最近登录应用 检索资源 桌面 > 可登录主机 检索资源 桌面 > 可登录应用 检索资源 资源 > 主机管理 添加标签、删除标签、编辑标签、检索资源 资源 > 应用发布 添加标签、删除标签、编辑标签、检索资源 运维 > 主机运维 添加标签、删除标签、检索资源 运维 > 应用运维 添加标签、删除标签、检索资源

本章节为您介绍数据安全专区的功能特性。 数据分类分级 通过自动发现与多行业法规模板实现用户数据的精准识别和风险分级，支持自定义规则并按库表列维度生成可视化资产台账，助力精细化安全管理； 内置分类框架及多维条件组合规则，结合交互式图表报告直观呈现数据分布与敏感占比，确保合规治理与动态防护的有效平衡。 数据脱敏与水印 采用240余种算法防止敏感数据共享泄露，支持40余类数据库及文件的数据源脱敏，并嵌入水印实现泄漏溯源。 依托内容识别与自定义规则自动发现敏感信息，突破元数据依赖，覆盖主流关系库、国产库及非结构化文件的全场景防护体系。 数据库安全网关 实时监控数据库访问，精准识别可疑或违规行为（SQL请求、会话），根据策略动态决定放行或阻断访问，阻止非法操作。 支持 Oracle、MySQL 等主流数据库，提供多种脱敏方法（替换、截断、取整、掩码、随机）。 确保用户使用数据时，敏感信息被隐藏（数据可用不可见），降低泄露风险。 提供多级 SQL 操作审批流程，解决运维过程中账号混乱、操作不透明问题，防止不合规操作导致数据泄露。 自动识别数据库扫描行为并封堵相关扫描器的所有访问端口。 内置海量(1700+)虚拟补丁，覆盖多种常见漏洞类型，精确拦截利用这些漏洞的攻击。

类别 云防火墙 Web应用防火墙 定义 云防火墙（Cloud Firewall，CFW）是新一代的云防火墙，提供云上互联网边界和VPC边界的防护，包括实时入侵检测与防御、全局统一访问控制、全流量分析可视化、日志审计与溯源分析等，同时支持按需弹性扩容、AI提升智能防御能力、灵活扩展满足云上业务的变化和扩张需求，极简应用让用户快速灵活应对威胁。云防火墙服务是为用户业务上云提供网络安全防护的基础服务。 Web应用防火墙（Web Application Firewall，WAF），通过对HTTP(S)请求进行检测，识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击，保护Web服务安全稳定。 防护对象 弹性公网IP和VPC边界。 支持对Web攻击的基础防护。 支持外部入侵和主动外联的流量防护。 针对域名或IP，云上或云下的Web业务。 支持对Web攻击的全面防护。 功能特性 资产管理与入侵防御：对已开放公网访问的服务资产进行安全盘点，进行实时入侵检测与防御。 访问控制：支持互联网边界访问流量的访问控制。 流量分析与日志审计：VPC间流量全局统一访问控制，全流量分析可视化，日志审计与溯源分析。 SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击防护。

限速配置 基于IP的限速配置 当WAF与客户端之间并无代理设备时，通过源IP来检测攻击行为较为精确，建议直接使用IP限速的方式进行访问频率限制。 基于session的频率限制 当黑客控制多台肉鸡，模仿普通访问者，共用同一IP，或通过代理频繁更换源IP持续向站点发起请求，通过IP进行频率限制无法准确识别恶意访问源。因此建议通过配置session，通过会话区分单个访问者，实现更细粒度的限速。 SESSION配置项： SESSION位置：可选则GET、POST、COOKIE、HEADER。 SEESION标识：取值标识，通过配置唯一可识别Web访问者的某属性变量名（Key），系统将根据此标识匹配到的内容识别访问者。

规格版本 支持添加的数据库数量 OBS体量 API调用额度 支持的功能 标准版 2个 100GB 不支持 数据安全总览 敏感数据识别 数据使用审计 安全体检 专业版 2个 100GB 100W次 数据安全总览 敏感数据识别 数据使用审计 数据脱敏 数据水印注入/提取 安全体检 API接口的调用

参数 描述 Truststore证书 后缀名为jks的SSL证书。 Truststore证书密码 证书对应的秘钥。 主机名端点识别算法 指定通过服务端证书验证服务端主机名的端点识别算法，选填，不填表示禁用主机名验证。 SSL双向认证 是否开启SSL双向认证。 Keystore证书 SSL双向认证开启可见，需要上传后缀名为jks的双向认证证书。 Keystore证书密码 SSL双向认证开启可见，SSL双向认证证书对应的秘钥。 Keystore私钥密码 选填，Keystore证书中私钥的密码。

本章节介绍云容器集群节点网络包重复故障演练。 背景介绍 在云容器引擎（CCE）集群中，因配置错误、网络插件异常或协议缺陷，可能导致数据包被复制并多次送达目标节点。虽然 TCP 协议能够识别并丢弃重复的数据包，但这个过程会消耗额外的网络带宽和CPU资源。更严重的是，对于应用层协议，如果缺乏幂等性设计，重复的请求可能导致业务逻辑被错误地执行多次（如重复下单、重复扣款）。本演练模拟此场景，帮助您检验系统的处理能力和业务逻辑的幂等性。 基本原理 通过增加TC和Netem规则模拟Node内网络包重复。 注意 只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 4. 在应用资源 页面的云容器引擎 列表中，找到您的目标集群，单击其操作列的节点列表。 5. 在弹出的对话框中，单击添加节点。 6. 勾选您希望进行故障演练的一个或多个节点 ，然后单击确定。 注意 当您首次对 CCE 集群执行演练时，系统会自动在该集群中安装演练探针（以 Deployment 和 DaemonSet 形式部署）。 您也可以提前在 故障演练 > 目标应用 > 探针管理 > 云容器引擎 界面查看探针的基本信息，并手动执行安装或更新操作。

本章节介绍云容器集群节点网络包重复故障演练。 背景介绍 在云容器引擎（CCE）集群中，因配置错误、网络插件异常或协议缺陷，可能导致数据包被复制并多次送达目标节点。虽然 TCP 协议能够识别并丢弃重复的数据包，但这个过程会消耗额外的网络带宽和CPU资源。更严重的是，对于应用层协议，如果缺乏幂等性设计，重复的请求可能导致业务逻辑被错误地执行多次（如重复下单、重复扣款）。本演练模拟此场景，帮助您检验系统的处理能力和业务逻辑的幂等性。 基本原理 通过增加TC和Netem规则模拟Node内网络包重复。 注意 只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 4. 在应用资源 页面的云容器引擎 列表中，找到您的目标集群，单击其操作列的节点列表。 5. 在弹出的对话框中，单击添加节点。 6. 勾选您希望进行故障演练的一个或多个节点 ，然后单击确定。 注意 当您首次对 CCE 集群执行演练时，系统会自动在该集群中安装演练探针（以 Deployment 和 DaemonSet 形式部署）。 您也可以提前在 故障演练 > 目标应用 > 探针管理 > 云容器引擎 界面查看探针的基本信息，并手动执行安装或更新操作。

本节介绍了标签的操作场景、有关标签的基本知识、标签命名规则。 操作场景 标签是弹性云主机的标识。为弹性云主机添加标签，可以方便用户识别和管理拥有的弹性云主机资源。 您可以在创建弹性云主机时添加标签，也可以在弹性云主机创建完成后，在云主机的详情页添加标签，您最多可以给弹性云主机添加10个标签。 有关标签的基本知识 标签用于标识资源，当您拥有相同类型的许多云资源时，可以使用标签按各种维度（例如用途、所有者或环境）对云资源进行分类。 标签示例 上图说明了标签的工作方式。在此示例中，您为每个云资源分配了两个标签，每个标签都包含您定义的一个“键”和一个“值”，一个标签使用键为“所有者”，另一个使用键为“用途”，每个标签都拥有相关的值。 您可以根据为云资源添加的标签快速搜索和筛选特定的云资源。例如，您可以为帐户中的资源定义一组标签，以跟踪每个云资源的所有者和用途，使资源管理变得更加轻松。 标签命名规则 每个标签由一对键值对（KeyValue）组成。 每个弹性云主机最多可以添加10个标签。 对于每个资源，每个标签键（Key）都必须是唯一的，每个标签键（Key）只能有一个值（Value）。 标签共由两部分组成：“标签键”和“标签值”，其中，“标签键”和“标签值”的命名规则如表 104所示。 标签命名规则 参数 规则 样例 ::: 标签键 不能为空。 对于同一台云主机，Key值唯一。 长度不超过36个字符。 不能包含“”,“”,“ ”,“”,“,”,“ ”,“/”。 首尾字符不能为空格。 标签值 长度不超过43个字符。 不能包含“”,“”,“ ”,“”,“,”,“ ”,“/”。 首尾字符不能为空格。

本节介绍了标签的操作场景、有关标签的基本知识、标签命名规则。 操作场景 标签是弹性云主机的标识。为弹性云主机添加标签，可以方便用户识别和管理拥有的弹性云主机资源。 您可以在创建弹性云主机时添加标签，也可以在弹性云主机创建完成后，在云主机的详情页添加标签，您最多可以给弹性云主机添加10个标签。 有关标签的基本知识 标签用于标识资源，当您拥有相同类型的许多云资源时，可以使用标签按各种维度（例如用途、所有者或环境）对云资源进行分类。 标签示例 上图说明了标签的工作方式。在此示例中，您为每个云资源分配了两个标签，每个标签都包含您定义的一个“键”和一个“值”，一个标签使用键为“所有者”，另一个使用键为“用途”，每个标签都拥有相关的值。 您可以根据为云资源添加的标签快速搜索和筛选特定的云资源。例如，您可以为帐户中的资源定义一组标签，以跟踪每个云资源的所有者和用途，使资源管理变得更加轻松。 标签命名规则 每个标签由一对键值对（KeyValue）组成。 每个弹性云主机最多可以添加10个标签。 对于每个资源，每个标签键（Key）都必须是唯一的，每个标签键（Key）只能有一个值（Value）。 标签共由两部分组成：“标签键”和“标签值”，其中，“标签键”和“标签值”的命名规则如表 104所示。 标签命名规则 参数 规则 样例 ::: 标签键 不能为空。 对于同一台云主机，Key值唯一。 长度不超过36个字符。 不能包含“”,“”,“ ”,“”,“,”,“ ”,“/”。 首尾字符不能为空格。 标签值 长度不超过43个字符。 不能包含“”,“”,“ ”,“”,“,”,“ ”,“/”。 首尾字符不能为空格。

本文为您介绍Web应用防火墙（原生版）的应用场景。 场景一： 网站应用防数据泄露 恶意访问者通过SQL注入，网页木马等攻击手段，入侵网站数据库，窃取业务数据或其他敏感信息。 方案优势 精准识别恶意流量，全面防护SQL注入、XSS、Webshell上传、目录遍历、后门隔离等各类常见Web攻击。 根据会话特征有效识别恶意爬虫，防止数据泄露。 目标用户 互联网 + 企业Web服务、电商O2O站点、金融政务网站 场景示意图 场景二：CC攻击防护 网站被发起大量的恶意CC请求，长时间占用核心资源，导致网站业务响应缓慢或无法正常提供服务。 方案优势 可根据IP或者会话Session设置灵活的限速策略，精准识别CC攻击，保障业务稳定运行。 用户可根据业务需要，自主控制访问频率，并配置期望的处置动作，满足业务定制化需要。 场景示意图 场景三：0Day漏洞修复 第三方框架或插件爆发0Day漏洞时，需要通过下发虚拟补丁，第一时间防护由漏洞引发的攻击。

本文向您介绍如何查看并导出CC攻击事件详情。 简介 天翼云WAF默认提供CC攻击事件，详细记录CC攻击事件攻击产生的时间、攻击时长和攻击详情，并且支持导出攻击事件。 前提条件 已开通Web应用防火墙（边缘云版） 已新增域名并成功接入WAF，具体操作请见快速接入WAF 开通标准版及以上版本支持开启CC防护，识别CC攻击将自动拦截并生成攻击日志 操作步骤 1. 登录web应用防火墙（边缘云版）控制台，在左侧导航栏中选择【日志管理】—【CC攻击事件】页面 2. 通过域名、时间周期进行组合查询攻击日志 字段说明： 峰值QPS：CC攻击峰值QPS 攻击开始时间：CC攻击开始的时间 攻击结束时间：CC攻击结束的时间 攻击时长：CC攻击持续的时间 攻击详情：CC攻击QPS变化趋势、攻击请求数最高的前10个客户端IP、被攻击请求数最高的前10个URL

12 隐私权保护 天翼云不收集客户在TeleDB数据库中存储的信息。为了更好地改进产品和服务，用户同意天翼云代理可以收集、维护、处理和使用客户在使用本产品过程中产生的诊断性、技术性、使用及相关信息， 包括但不限于定期搜集系统日志、独特的系统或硬件识别码（“诊断信息”）。为便于本公司和第三方开发商改善其设计配合本产品使用的产品、硬件和服务，本公司并可向任何此类伙伴或第三方开发商提供与该伙伴或第三方开发商的产品、硬件和/或服务有关的诊断信息子集。如根据有关法律法规的规定导致天翼云不得再按照上述方式处理诊断信息，天翼云将按照有关法律法规的规定变更数据处理方式，并将通过满足法律法规的要求且在商业上合理的方式通知您，并获得您的同意。 13 免责与责任限制 1. 本产品经过详细的测试，但不能保证与提供的技术清单外的，所有的软硬件系统完全兼容，不能保证本产品完全没有错误。 2. 使用本产品风险由用户自行承担，在适用法律允许的最大范围内，对因使用或不能使用本产品所产生的损害及风险，包括但不限于直接或间接的数据丢失、个人损害、商业赢利的丧失、贸易中断、商业信息的丢失或任何其它经济损失，本公司不承担任何责任。 3. 对于因电信系统或互联网网络故障、计算机故障或病毒、信息损坏或丢失、计算机系统问题或其它任何不可抗力原因而产生损失，本公司不承担任何责任。 4. 用户违反本协议规定，对本公司造成损害的。本公司有权采取包括但不限于中断使用许可、停止提供服务、限制使用、法律追究等措施。 5. 对于从非本公司指定站点下载的本产品以及从非本公司发行的介质上获得的本产品，本公司无法保证该产品是否感染计算机病毒、是否隐藏有伪装的木马程序或者黑客产品，使用此类产品，将可能导致不可预测的风险，建议用户不要轻易下载、安装、使用，本公司不承担任何由此产生的任何法律责任。 6. 本《协议》所述明示担保，为担保的全部内容。在适用法律所允许的最大范围内，天翼云及其供应商提供的本“产品”和支持服务（如有）均为按现状及包含所有瑕疵状况下提供，不允诺其它不论是明示的、暗示的还是法定的任何保证和担保：包括但不限于本“产品”对特殊应用目的适销性或适应性，反应的精确性，结果的完整性，不含病毒及疏忽，针对本“产品”提供或不提供支持服务。

云硬盘能否跨地域备份？ 不能。 当前只支持地域（Region）内备份。创建备份后，您可以使用备份： 恢复数据至源云硬盘。 创建新的云硬盘。新云硬盘与源云硬盘地域必须相同，可用区则无要求。 为什么备份容量会大于操作系统中查看到的使用容量？ 问题场景 在服务器中存放了大量文件，删除文件后进行备份，备份的大小大于操作系统中查看到的已使用空间。 问题原因说明 天翼云云硬盘备份为存储层块级备份，按照块存储中已使用的数据块作为备份目标，并不识别操作系统中的文件变化。操作系统在删除文件时，只在文件属性中创建删除标记，但是未对块设备中的数据进行擦除（设置为0），块备份无法感知到操作系统层的删除标记，只能通过是否是全0数据块来判断否要备份。 解决建议 可采用第三方磁盘清理/擦除工具（由提供工具厂商为工具安全性/可用性负责）为云硬盘进行清理。 为什么备份已删除但显示的存储库剩余空间变化小？ 实际使用中，是有可能出现备份删除后，显示的存储库剩余空间没有变化这种情况的。 此类情况可能由以下几个原因导致： 云硬盘备份底层的异步删除。当删除备份后，底层的备份数据会在短时间内根据备份大小来逐步删除。 默认情况下，云硬盘备份首次备份为全量备份，后续仅会备份发生变化的部分，即为增量备份，删除的备份可能为增量备份，所占空间较小。

安全体检的频率应该是多久一次？ 安全体检的频率取决于组织的具体需求和安全政策。一般而言，建议至少每月进行一次安全体检，特别是在重大系统变更、新项目上线或发现重大安全事件之后。对于关键系统或高风险环境，可能需要更频繁地进行安全体检。 企业内部团队是否可以自己执行安全体检？ 企业内部团队完全可以执行安全体检，但前提是他们具备必要的技能和经验。如果内部团队缺乏相关知识或资源，可以考虑购买专业的安全服务，如托管检测与响应服务。专业团队不仅拥有专业的工具，还具备丰富的经验和专业知识，能够更有效地识别和解决问题。 安全体检可以扫描哪些对象？ 可以选定天翼云账号上面开通的云主机的公网IP，不支持扫描线下/私有云上的公网IP，不支持扫描网站。