参数 参数类型 说明 示例 下级对象 virusDatabaseUpdateTime String 病毒数据库更新时间 20220704 00:00:00 agentGuid String agentGuid testid publicIp String 公网IP 192.168.1.1 agentIp String 私网IP 192.168.1.1 custName String 主机名称 testhostname unHandle Integer 未处理告警数量 0 hostNum Integer 病毒查杀风险主机数量 0 quotaVersion Integer 配额版本 1基础版 2企业版 3旗舰版 1 quotaId String 防护配额ID 6c8caaa32418441c8c164e3f43d76791 expirationDate String 防护配额到期时间 20220704 10:00:00

参数 参数类型 说明 示例 下级对象 virusDatabaseUpdateTime String 病毒数据库更新时间 20220704 00:00:00 agentGuid String agentGuid testid publicIp String 公网IP 192.168.1.1 agentIp String 私网IP 192.168.1.1 custName String 主机名称 testhostname unHandle Integer 未处理告警数量 0 hostNum Integer 病毒查杀风险主机数量 0 quotaVersion Integer 配额版本 1基础版 2企业版 3旗舰版 1 quotaId String 防护配额ID 6c8caaa32418441c8c164e3f43d76791 expirationDate String 防护配额到期时间 20220704 10:00:00

参数 是否必填 参数类型 说明 示例 下级对象 custName 否 String 主机名称 testservername id 否 Integer 主键 1 guid 否 String 被防护服务器对应agentGuid 111111111111 remoteGuid 否 String 远端备份服务器GUID 111111111111 remoteServerIp 否 String 远端备份服务器私网ip 192.168.1.1 backupDirectory 否 String 远端备份目录，字符串反转后进行base64编码,如abc，变成 cba后，用base64编码 bWl2L25pYi9yc3Uv remotePort 否 Integer 远端备份服务器端口 15551

配置项 描述 访问类型 目前支持虚拟集群IP和负载均衡两种服务访问方式： ● 集群内访问 ：即ClusterIP，是一种通过集群内部IP暴露服务的方式。选择这个值意味着服务只能在集群内部访问 ● 负载均衡 ：即LoadBalancer，通过天翼云ELB提供服务支持，可以根据实际需要选择公网访问或者私网访问。支持使用已有ELB或者新建ELB 注解 为服务添加注解，即Annotation 端口配置 支持指定协议、容器端口以及服务端口。确保容器端口与后端Pod中暴露的容器端口一致

方向 端口 协议 默认源/目的地址 说明 优先级（取值越小优先级越高） 是否支持修改 入方向规则 全部 TCP + UDP 198.19.128.0/20 VPCE内网地址段 99 不可修改 入方向规则 全部 TCP + UDP 100.64.0.0/10 内网DNS、云存储等云产品网段 99 不可修改 入方向规则 全部 TCP + UDP VPC网段 节点之间互访 99 不可修改 入方向规则 全部 TCP + UDP VPC IPv6网段 节点之间IPv6互访 99 不可修改 入方向规则 全部 TCP + UDP 100::/16 云产品IPv6网段 99 不可修改 出方向规则 全部 TCP 169.254.169.254/32 主机元数据服务地址 99 不可修改 出方向规则 全部 TCP + UDP 100.64.0.0/10 内网DNS、云存储等云产品网段 99 不可修改 出方向规则 全部 TCP + UDP VPC网段 节点之间互访 99 不可修改 出方向规则 全部 TCP + UDP VPC IPv6网段 节点之间IPv6互访 99 不可修改 出方向规则 全部 TCP + UDP 100::/16 云产品IPv6网段 99 不可修改 出方向规则 全部 TCP + UDP 0.0.0.0/0 默认全部放通，不建议修改 100 可修改 出方向规则 全部 TCP + UDP 0:0:0:0:0:0:0:0/0 默认全部放通，不建议修改 100 可修改

本章节向您介绍如何将子网关联/解除关联网络ACL。 将子网关联至网络ACL 操作场景 您需要将子网关联至网络ACL，并且当网络ACL状态为“已开启”时，网络ACL规则会对出入子网的流量生效。 当您将子网关联至网络ACL时，关联操作会影响子网的网络流量走向，请您谨慎评估后再执行修改，避免对业务造成影响。 约束与限制 网络ACL可以同时关联多个子网，但一个子网只能关联一个网络ACL。 子网关联网络ACL后，系统自带的默认规则将会拒绝所有出入子网的流量，需要您添加自定义规则放通流量。 操作步骤 1. 登录管理控制台。 2. 选择“网络 > 虚拟私有云”，进入虚拟私有云列表页面。 3. 在左侧导航栏选择“访问控制 > 网络ACL”。 4. 您可以通过以下两个操作入口，将子网关联至网络ACL。 入口一：在子网列表中，选择目标子网，并将子网关联至网络ACL。 1. 在左侧导航栏，选择“子网”，进入子网列表页面。 2. 在子网列表中，单击目标子网对应的“网络ACL”列下的“去关联”，进入关联网络ACL页面。 3. 在“网络ACL”参数对应的下拉框中，选择网络ACL，如果没有网络ACL，可以单击下拉框中的“新建”按钮，新建网络ACL。 4. 选择完成后，单击“确定”，返回子网列表，可以在子网对应的“网络ACL”列下看到已关联的网络ACL。 入口二：在网络ACL列表中，选择目标网络ACL，为网络ACL关联子网。 1. 在左侧导航栏，选择“访问控制 > 网络ACL”，进入网络ACL列表页面。 2. 在网络ACL列表中，单击目标网络ACL所在行的操作列下的“关联子网”，进入“关联子网”页签。 3. 在“关联子网”页签中，单击“关联”，弹出“关联子网”对话框。 4. 在“关联子网”对话框的子网列表中，选择目标子网，并单击“确定”，返回“关联子网”页签的子网列表中，可以看到网络ACL关联的所有子网。 说明 已关联网络ACL的子网将不会展示在“关联子网”对话框的子网列表中，如果您需要将已关联其他网络ACL的子网关联至当前网络ACL，需要先解除子网和其他网络ACL的关联关系，然后再将子网关联至当前网络ACL。

使用说明 1.请开发者注意确保用户使用开发者的App业务场景需SDK提供服务时调用SDK功能。 2.开发者需确保用户授权《隐私政策》后，且用户使用SDK提供的服务功能场景,再进行初始化天翼云AOne SDK。 3.权限使用说明及申请时机 (1)天翼云AOne SDK提供服务前，需依赖开发者向系统申请权限。开发者进行权限配置后且在天翼云AOne SDK提供服务前向系统完成权限申请，天翼云AOne SDK方可提供服务。 权限说明参考链接： 4.撤回同意：基于终端用户的同意而进行的个人信息处理活动，终端用户有权撤回该同意。我们已向开发者提供关闭SDK服务的能力，如用户撤回该同意，需要第三方开发者进行SDK关闭来停止收集和处理终端用户的个人信息。当终端用户撤回个人信息处理的同意并关闭SDK服务时，我们无法继续为终端用户提供撤回同意所对应的功能和服务，也不再处理终端用户相应的个人信息。但终端用户撤回同意的决定，不会影响撤回前基于终端用户同意已进行的个人信息处理活动的效力，如需一并撤回，可以通过联系我们的方式进行处理。 联系方式 如您对天翼云AOne SDK或您信息的相关事宜有任何问题、意见、建议或申诉，您可以通过天翼云提交工单、联系智能客服、或拨打我们的客服电话4008109889与我们取得联系，您还可通过发送邮件至service@chinatelecom.cn或ctpip.ctyun@chinatelecom.cn，与天翼云门户的个人信息保护负责人进一步沟通。 一般情况下，我们将会在3个工作日内回复，特殊情形下，最长将在不超过7天或法律规定期限内做出答复。

本页对关系数据库PostgreSQL版实例回收站进行说明。 关系数据库PostgreSQL版实例被冻结或退订后会进入实例回收站，您可以在回收站中恢复或重建实例。 场景示例 某用户有一个包周期计费的关系数据库PostgreSQL版实例，因为到期被冻结，7天内该用户可以在回收站中对实例进行续费解冻，恢复实例。 某用户主动退订了实例，该实例将进入回收站，7天内该用户可以在回收站中对实例进行重建恢复。 某用户有一个按需计费的关系数据库PostgreSQL版实例，账号欠费后，该实例将进入回收站，账户充值后自动解冻恢复，移出实例回收站。 约束条件 以下情况不支持从回收站恢复： 1. 已注销的实例。 2. 已退订的只读实例。 3. 数据库代理实例。 恢复实例 1. 登录天翼云门户。点击【控制中心】，选择对应资源池，例如“华东1”。 2. 单击管理控制台左上角的，选择区域和项目。 3. 点击控制中心，进入控制中心后，选择目标资源池。 4. 在产品列表页面中找到【数据库】→【关系数据库PostgreSQL版】，点击进入控制台。 5. 在左侧菜单中点击【PostgreSQL】→【回收站】，进入回收站页面。 6. 找到需要操作的实例，点击“恢复”按钮。 7. 如果是主动退订的实例（显示状态为已退订），将会跳转到重建实例页面。 8. 如果是冻结实例（显示状态为已冻结），将会跳转到实例续订页。 注意 按需冻结实例无需通过实例回收站恢复，只需要账户充值足够金额，即可自动恢复。 不同资源池因iaas资源能力等原因，加载版本有所差异，详见

本文主要介绍数据库代理的开通方法。 操作步骤 1. 登录天翼云门户。 2. 点击控制中心，选择目标资源池。 3. 在产品列表页面中找到【数据库】→【关系数据库PostgreSQL版】，点击进入控制台。 4. 在左侧菜单中点击【PostgreSQL】→【实例管理】，点击进入产品实例管理页。 5. 在【实例管理】的实例列表中选择目标实例，点击实例名称进入实例管理详情页，点击“数据库代理”标签，进入数据库代理管理页，点击“订购代理服务”按钮。 6. 进入数据库代理实例订购页面，根据需要创建数据库代理实例。 7. 阅读并同意相关协议，点击下一步，进入“配置确认”页面。 8. 点击立即创建按钮，等待一段时间即可完成数据库代理实例开通。 数据库代理实例配置项说明 基本配置 参数 描述 可用区 和主实例相同。数据库代理默认与主实例在同一可用区。 实例名称 默认为“proxy实例名”。 性能规格 支持2C4G、4C8G、8C16G规格。 购买量 参数 描述 购买数量 单个主实例仅支持订购单个代理实例。 网络 默认网络配置与主实例保持一致，暂不支持修改。 数据库代理支持独立EIP绑定与解绑。 费用说明 请参见产品资费中的其他计费项。 注意 数据库代理默认会开通到主实例所在的可用区，不支持切换或迁移。 请确保主实例已创建只读实例。没有只读时，可以开启数据库代理功能，但无法设置代理为只读模式。 连接数说明：数据库代理支持的连接数受后端PG和代理机器规格限制，请根据需求选择合适的代理规格。 计算公式如下：0.24 代理最大连接数 < 代理机器内存(MB) 2048。 举例：如果代理实例的规格为2核4G，理论支持最大连接数为：2048 / 0.24 8500个。

本文介绍配置安全组及其规则的最佳实践。您可以通过配置安全组规则,允许或禁止安全组内的ECS实例对公网或私网的访问。 安全组实践建议 云上的安全组提供类似虚拟防火墙功能，用于设置单台或多台ECS实例的网络访问控制，是重要的安全隔离手段。创建ECS实例时，您必须选择一个安全组。您还可以添加安全组规则，对某个安全组下的所有ECS实例的出方向和入方向进行网络控制。 在使用安全组前，您应先了解以下实践建议： 最重要的规则：安全组应作为白名单使用。 开放应用出入规则时应遵循最小授权原则。例如，您可以选择开放具体的端口，如80端口。 不应使用一个安全组管理所有应用，因为不同的应用存在不同的访问控制需求。对于分布式应用来说，不同的应用类型应该使用不同的安全组，例如，您应对Web层、Service层、Database层、 Cache层使用不同的安全组，暴露不同的出入规则。 避免为每台实例单独设置一个安全组，控制管理成本。 尽可能保持单个安全组的规则简洁。因为如果单个安全组规则过多，增加或者删除规则就变得很复杂，就会增加管理的复杂度。 天翼云的控制台提供了克隆安全组和安全组规则的功能。如果您想要修改线上的安全组和规则，您应先克隆一个安全组，再在克隆的安全组上进行调试，避免直接影响线上应用。（部分资源池支持，可提工单申请克隆功能。） 安全组TCP、UDP报文分片后，分片不带有端口信息，需要将端口范围指定为165535，不进行端口过滤。目前仅合肥2支持UDP大包分片后指定端口过滤功能，如有UDP大包分片，需要指定端口号过滤的需求，可联系客户经理开通此功能。 如果您想实现在不同安全组的资源之间的网络互通，您可使用安全组方式授权。同一安全组内云服务器实例内网互访默认是隔离状态，如您有同一安全组内的云服务器之间互通的需求，您可以在添加安全组规则时配置一条引用本安全组的规则，实现组内互通。

指标名称 说明 调用次数 当前Agent总调用次数随时间的分布。 响应时间 当前Agent请求端到端耗时随时间的分布，单位：毫秒。 包含P50、P90、P99、最大值。 vCPU利用率 当前Agent CPU利用率随时间的分布，单位：百分比。包含最大值、平均值。 内存利用率 当前Agent CPU利用率随时间的分布，单位：百分比。包含最大值、平均值。 网络流量 当前Agent网络流量随时间的分布，单位：Mbps。包括： 入网流量：流入实例的流量 出网流量：流出实例的流量

指标名称 说明 调用次数 当前Agent总调用次数随时间的分布。 响应时间 当前Agent请求端到端耗时随时间的分布，单位：毫秒。 包含P50、P90、P99、最大值。 vCPU利用率 当前Agent CPU利用率随时间的分布，单位：百分比。包含最大值、平均值。 内存利用率 当前Agent CPU利用率随时间的分布，单位：百分比。包含最大值、平均值。 网络流量 当前Agent网络流量随时间的分布，单位：Mbps。包括： 入网流量：流入实例的流量 出网流量：流出实例的流量

计费项 收取该项费用的连接类型 计费说明 连接费用 “虚拟私有云（VPC）”连接 “VPN网关（VPN）”连接 “全域接入网关（DGW）”连接 当您将连接添加到企业路由器中时，会收取连接费用，连接添加成功后开始计费，连接删除后停止计费。 对于共享企业路由器内的连接，接受者创建的连接只有被企业路由器的所有者接受后，才会开始计费。 流量费用（入向流量） “虚拟私有云（VPC）”连接 “VPN网关（VPN）”连接 “全域接入网关（DGW）”连接 当您将连接添加到企业路由器中时，会根据实际流经连接的流量收取费用，统计从连接发送到企业路由器的每GB流量，即入方向的流量。

参数 参数类型 说明 示例 下级对象 addressDirection String 地址方向，dst，src dst blackWhiteDesc String 黑白名单描述 黑白名单描述 blackWhiteType String 黑白类型，black，white black firewallId String 防火墙ID a6449feab4db11e9a6b40242ac110007 ip String 127.0.0.1 ipBeginNum String ip的开始数字形式 ipEndNum String ip的结束数字形式 ipProto String IP协议，v4，v6 v4 mask Integer 掩码 24 privateIps String 私网ips 192.168.1.1/24 regionId String 资源池ID a6449feab4db11e9a6b40242ac110007 ruleId Long 规则ID 321 ruleName String 规则名称 status String 规则开关，disable，enable disable uid String 租户ID 9f3618ee1c594598a942550985345d0d

成员集群与联邦实例网络模式 默认互联策略 是否允许用户修改 可选互联策略 同资源池同VPC VPC内网直接互联 否 同资源池跨VPC VPCE：后台将尝试创建将成员集群APIServer地址，以内网VPCE IP方式暴露给联邦实例所在网络 否 跨资源池 默认公网互联 要求联邦实例所在VPC具备主动访问公网能力，同时成员集群APIServer有绑定EIP暴露公网，并放通了来自联邦实例VPC的公网请求 是 云间高速内网

本节介绍天翼AI云电脑(政企版)在外设方面的常见问题。 打印机、u盘等外设在天翼AI云电脑上如何使用？ 详细的设备使用指南可前往查看 天翼AI云电脑外设使用指南 哪些设备已完成了天翼AI云电脑的适配？ 详细的适配列表可前往查看终端适配列表 登录天翼AI云电脑提示USB连接异常怎么办？ 登录天翼AI云电脑后提示USB连接异常原因为客户端识别USB设备的USBDK异常，请在本地电脑控制面板卸载USBDK，并重启本地电脑重新安装客户端。 天翼AI云电脑插入U盘识别不到U盘怎么处理？ 排查方法： 1. 插拔U盘并查看天翼AI云电脑【设备管理器】是否有有刷新； 2. 退出天翼云电脑客户端，查看本地电脑/瘦终端查看U盘是否可以正常识别； 3. 退出天翼云电脑客户端，插着U盘登录天翼AI云电脑，查看是否可以识别到U盘； 4. 更换U盘尝试； 在天翼AI云电脑中，插拔U盘，点击U盘无法打开怎么处理？ 1. 查看U盘格式，U盘格式为FAT32的识别慢于NTFS，如没有重要文件可以将U盘格式化为NTFS格式； 2. 查看天翼AI云电脑系统，Windows Server 2016系统桌面识别U盘速度高于Windows Server 2008系统桌面，如果客户没有特殊要求，建议使用Windows Server 2016系统； 3. 确认本地网络情况，对于弱网(如手机热点)，U盘文件容量大的时候识别速度较慢，建议更换有线网络后重试。

函数计算平台提供两种方式直接访问函数：自定义域名和Http触发器。这两种方式各自都支持公网访问和内网访问，根据不同的访问场景，部分需要额外配置。 公网访问 对于公网访问，根据相关规章制度，需要您提供合规的域名用于创建自定义域名，并在公网配置指定的公网CNAME记录，此举的目的是为了验证您拥有此域名的所有权 ，具体请看自定义域名。创建公网的自定义域名后，您既可直接通过自定义域名访问，也可以把该自定义域名用于创建公网Http触发器，具体请看Http触发器。 内网访问 内网访问也需要在公网配置指定的内网CNAME记录，操作步骤和公网一致，除此之外，根据不同的内网访问场景，还需要额外配置VPCE和内网DNS解析。 从vpc环境内直接访问函数，例如云主机。 创建函数计算服务的终端节点（VPCE）。创建步骤请查看创建VPCE，选择cn.ctyun.cnhuadong1.faas 函数服务，同时打开高级配置中的“私网域名”。 配置内网域名。具体步骤请查看内网域名，该内网域名保持和您的自定义域名一致。 创建解析记录，添加CNAME类型记录值。具体步骤请查看添加记录值，这里建议添加两条记录，一条主机记录为空，一条主机记录填写通配符，记录值均填写内网CNAME值。

本小节介绍日志审计(原生版)产品介绍类常见问题。 日志审计（原生版）是什么？ 日志审计（原生版）系统能够实时不间断地采集汇聚企业中不同厂商不同种类的安全设备、网络设备、主机、操作系统、用户业务系统的日志信息，协助用户进行安全分析及合规审计，及时、有效的发现异常安全事件及违规事件。 系统提供了众多基于日志分析的强大功能，如安全日志的集中采集、分析挖掘、合规审计、实时监控及安全告警等，系统配备了全球IP归属及地理位置信息数据，为安全事件的分析、溯源提供了有力支撑，综合日志审计分析系统能够同时满足企业实际运维分析需求及审计合规需求，是企业日常信息安全工作的重要支撑平台。 日志审计（原生版）市场需求有哪些？ 日志审计需求主要源自于两个方面的驱动力： 一方面，从企业和组织自身安全的需要出发，日志审计能够帮助用户获悉信息系统的安全运行状态，识别针对信息系统的攻击和入侵，以及来自内部的违规和信息泄露，能够为事后的问题分析和调查取证提供必要的信息； 另一方面，从国家法律法规、行业标准和规范的角度出发，日志审计已经成为了满足合规与内控需求的必备功能。 日志审计（原生版）适用范畴？ 日志审计（原生版）系统提供了众多基于日志分析功能，系统具有广泛的应用范围和客户群，在政府、企业、电信、金融、电力、公安、军工、等行业均有成功的应用，满足企业实际运维分析需求及审计合规需求，是企业日常信息安全工作的重要支撑平台。

本文为API接口鉴权签名生成指南。 完整的EOP请求，除了业务参数以外，还必须在请求头中包含以下鉴权信息： ctyuneoprequestid：请求ID eopdate：请求时间 EopAuthorization：构造的鉴权头（关键） 下面说明具体的签名生成流程。 一、准备工作 1. 获取密钥 ：登录天翼云控制台 → 账号中心 → 安全设置 → 用户AccessKey，获取ctyuneopak和ctyuneopsk。 1. 点击天翼云门户首页右上角的“登录”，输入登录的用户名和密码。 2. 点击右上角的用户名， 点击进入【账号中心】。在账号左侧菜单栏中单击“安全设置”。 3. 在安全设置页面点击【登录保护】Tab，在“用户AccessKey”行，点击“新建”按钮，获取访问密钥（AK/SK）。 4. 在创建AccessKey弹窗中复制AK/SK。 2. 生成时间：请求时间eopdate必须为北京时区的当前时间，格式为YYYYMMDDTHHMMSSZ（如：20211221T163614Z）。 3. 请求ID：每个请求都必须有一个唯一的ctyuneoprequestid，推荐用UUID生成。 二、签名生成流程（4步完成） 步骤1：构造待签名字符串 待签字符串由三部分构成：“需要签名的header参数”、“查询参数（如果有）”、“请求体（如果有）”，通过"n"连接。 plaintext 待签名字符串 排序后的请求头 + "n" + 排序后的查询参数 + "n" + 请求体SHA256哈希值 具体操作： 请求头处理 ：必须包含ctyuneoprequestid和eopdate，按header名称字母顺序排序。 plaintext header1:value1nheader2:value2nheader3:value3 查询参数处理 ：按参数名字母顺序排序，用&连接。 plaintext param1value1¶m2value2 请求体处理：对原始请求体进行SHA256哈希，转为16进制字符串。

本文为API接口鉴权签名生成指南。 完整的EOP请求，除了业务参数以外，还必须在请求头中包含以下鉴权信息： ctyuneoprequestid：请求ID eopdate：请求时间 EopAuthorization：构造的鉴权头（关键） 下面说明具体的签名生成流程。 一、准备工作 1. 获取密钥 ：登录天翼云控制台 → 账号中心 → 安全设置 → 用户AccessKey，获取ctyuneopak和ctyuneopsk。 1. 点击天翼云门户首页右上角的“登录”，输入登录的用户名和密码。 2. 点击右上角的用户名， 点击进入【账号中心】。在账号左侧菜单栏中单击“安全设置”。 3. 在安全设置页面点击【登录保护】Tab，在“用户AccessKey”行，点击“新建”按钮，获取访问密钥（AK/SK）。 4. 在创建AccessKey弹窗中复制AK/SK。 2. 生成时间：请求时间eopdate必须为北京时区的当前时间，格式为YYYYMMDDTHHMMSSZ（如：20211221T163614Z）。 3. 请求ID：每个请求都必须有一个唯一的ctyuneoprequestid，推荐用UUID生成。 二、签名生成流程（4步完成） 步骤1：构造待签名字符串 待签字符串由三部分构成：“需要签名的header参数”、“查询参数（如果有）”、“请求体（如果有）”，通过"n"连接。 plaintext 待签名字符串 排序后的请求头 + "n" + 排序后的查询参数 + "n" + 请求体SHA256哈希值 具体操作： 请求头处理 ：必须包含ctyuneoprequestid和eopdate，按header名称字母顺序排序。 plaintext header1:value1nheader2:value2nheader3:value3 查询参数处理 ：按参数名字母顺序排序，用&连接。 plaintext param1value1¶m2value2 请求体处理：对原始请求体进行SHA256哈希，转为16进制字符串。

云网紧密融合 充分体现中国电信云网融合的综合资源差异化优势，形成面向客户的一点上云、云间互联的新型服务形态。 高扩展性 新增节点云主机或VPC接入，以补点方式入网，即可实现对该客户全部站点的互通，可降低客户的组网成本。 高安全性 承载云间高速业务的主体DCI网络与资源池接入网络（如CN2、ChinaNet等）物理分离。 云间高速的客户业务承载，通过虚通道隔离客户数据，降低受公众网络、以及其他客户网络攻击的风险。

什么是XSS攻击？ 跨站脚本（XSS）是一种攻击技术，它强制网站回应攻击者提供的可执行代码，这些代码加载到用户的浏览器中，借助插入至网站的恶意代码进行传播，对网站用户进行攻击，达到盗取用户账号信息、钓鱼欺诈、身份盗用等目的。 什么是CSRF攻击？ 跨站请求伪造攻击是一种挟制用户在当前已登录的Web应用程序上执行非本意操作的攻击方法。 CSRF攻击可以包括汇款，股票交易，特权升级，应用程序修改或其他未经授权的访问。 什么是逃避检测攻击？ 逃避检测攻击也叫攻击绕过技术，攻击者试图伪装或隐藏攻击以避免被安全设备进行检测，常见的逃避检测攻击有HTTP参数污染、00截断、URL编码绕过、Unicode编码绕过、ASCII码绕过、字符串拼接绕过、hex编码绕过、大小写混杂字符绕过、多空格绕过、注释串绕过等。 什么是缓冲区溢出？ 缓冲区溢出攻击是针对程序设计缺陷，向程序输入缓冲区写入使之溢出的内容（通常是超过缓冲区能保存的最大数据量的数据），从而破坏程序运行、趁中断之际并获取程序乃至系统的控制权。 Web应用防火墙售后联系方式是？ Web应用防火墙服务开通及使用过程涉及本手册中的步骤，需严格根据手册指导进行操作，若因操作不当或策略过于严格，从而影响防护开通及使用，请及时联系安全防护工程师。24小时在线配合，可联系天翼云400工单电话：4008109889，或联系本地电信客户经理，或在Web应用防火墙微信群中反馈。 注意 关于特殊需求：如有针对带宽、域名等条件有特殊需求请联系客户经理或运维人员沟通。

文件的锁标是红色的并且无法正常打开 (1) 已加密文件的左下角会出现“锁”的图标。 (2) 若用户有文件的加密权限，则锁的颜色为黄色，可正常打开，不影响办公。 (3) 若用户没有文件的加密权限，则锁的颜色为红色，无法正常读写。 文件操作权限不足的情况有以下3种： (1) 用户密级比文件密级低。 (2) 非本租户的加密文件。 (3) 当前的AI云电脑没有开启加密保护。 通过脱密邮件下载的文件是加密文件 如果想在加密桌面内使用脱密后的文件，提交申请时类型要选“脱密下载”。 注意：脱密下载后的文件如果重新编辑保存会重新加密。 文件重定向盘或其他网络磁盘内打开加密文件乱码或报错 某些网盘机制不支持直接编辑文件或者编辑功能不稳定，而且在网盘内编辑文件速度会慢，建议复制到桌面内编辑。

本节介绍IP地址组的基本概念及使用场景。 什么是IP地址组？ IP 地址组是智能边缘云平台提供的网络管理资源，用于将多个 IPv4/IPv6 地址或网段进行统一归类、集中管理，可直接关联安全组规则实现批量 IP 访问控制，简化规则配置、减少重复录入，适用于多场景网络访问策略管理。 应用场景 批量配置安全组放行 / 拒绝规则，统一管理办公网段、业务网段。 对边缘云主机进行 SSH/RDP 远程访问白名单控制。 多安全组复用同一 IP 地址集合，降低配置成本。 边缘网络访问控制策略快速下发与变更。

本文介绍了修改文件读写权限的最佳实践。 操作场景 在实际业务中，由于以下原因和目的，您可能需要修改对象的读写权限： 数据安全：通过修改对象的读写权限，可以确保数据仅对授权用户或系统可见和可访问。限制对象的访问权限可以减少数据泄露和未经授权的访问风险，提高数据的安全性。 数据分享：在某些场景下，您可能需要与他人或公众共享特定的对象。通过修改权限，您可以将对象的读取权限开放给其他用户或特定的用户群体，以便与他们分享数据，也可以用于共享公共资源、发布媒体内容或进行数据传输等场景。 方案说明 ZOS控制台支持私有和公共读两种权限的相互转换，为确保您的数据安全，建议您选择私有。 桶的读写权限的更改不会改变桶内已有文件的读写权限，新上传文件会默认继承桶的读写权限。 操作步骤 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在控制台上方点击，选择所需的资源池节点，以下操作选择华东华东1。 3. 在控制台首页，选择“存储>对象存储”。 4. 在对象存储桶列表，点击Bucket名称进入“概览”页面。 5. 点击“文件管理”页面，选中要设置的文件，点击文件所在行的“更多”按钮。 6. 点击更多下拉选项中的“设置读写权限”按钮。 7. 如选择“公共读”，需勾选“ 我已阅读并同意相关协议《天翼云对象存储系统服务协议》”点击“确认修改”，完成读写权限设置。 8. 如选择“私有”，直接点击“确定”，完成设置。

说明如何快速使用云电竞服务。 快速注册步骤 1.您需要访问天翼云官网，注册并登录中国电信天翼云。 2. 鼠标悬停【产品】，在下拉选项中找到【CDN与边缘】，在右侧展开菜单中点击【云电竞】，跳转新页面后，点击【立即开通】完成云电竞的开通流程。 3.选择您所需要购买的服务内容，点击【确定】并完成支付流程。 4.访问云电竞控制台，获取您的客户端激活码并下载云电竞客户端【 Esports】。 5.启动云电竞客户端【Esports】，为该客户端命名后，输入您的天翼云账号及客户端激活码并点击【登录】即可使用，登录前，还可以进入设置界面，调整您所需要的画面参数。 账号与客户端激活码可通过控制台的订单查询页面获取 6.使用过程中，如果需要更换账号可同时按下 “ctrl+shift+alt+Q”返回本地电脑，点击右上角【设置】按钮，进入【管理员设置】，输入密码“Ctyunesports”，即可【重新注册】更换账号。

本节介绍了Web应用防火墙上报云监控服务的监控指标的命名空间，监控指标列表和维度定义。 用户可以通过云监控服务提供管理控制台或API接口来检索Web应用防火墙产生的监控指标和告警信息。 命名空间 SYS.WAF 说明 命名空间是对一组资源和对象的抽象整合。在同一个集群内可创建不同的命名空间，不同命名空间中的数据彼此隔离。使得它们既可以共享同一个集群的服务，也能够互不干扰。 防护域名监控指标 指标ID 指标名称 指标含义 取值范围 测量对象 监控周期（原始指标） requests 请求量 该指标用于统计测量对象近5分钟内WAF返回的请求量的总数。 单位：次 采集方式：统计防护域名请求量的总数 ≥0 次 值类型：Float 防护域名 5分钟 wafhttp2xx WAF返回码（2XX） 该指标用于统计测量对象近5分钟内WAF返回的2XX状态码的数量。 单位：次 采集方式：统计WAF引擎返回的2XX系列状态响应码的数量 ≥0 次 值类型：Float 防护域名 5分钟 wafhttp3xx WAF返回码（3XX） 该指标用于统计测量对象近5分钟内WAF返回的3XX状态码的数量。 单位：次 采集方式：统计WAF引擎返回的3XX系列状态响应码的数量 ≥0 次 值类型：Float 防护域名 5分钟 wafhttp4xx WAF返回码（4XX） 该指标用于统计测量对象近5分钟内WAF返回的4XX状态码的数量。 单位：次 采集方式：统计WAF引擎返回的4XX系列状态响应码的数量 ≥0 次 值类型：Float 防护域名 5分钟 wafhttp5xx WAF返回码（5XX） 该指标用于统计测量对象近5分钟内WAF返回的5XX状态码的数量。 单位：次 采集方式：统计WAF引擎返回的5XX系列状态响应码的数量 ≥0 次 值类型：Float 防护域名 5分钟 waffusedcounts WAF熔断量 该指标用于统计测量对象近5分钟内被WAF熔断保护的请求数量。 单位：次 采集方式：统计防护域名被熔断保护的请求数量 ≥0 次 值类型：Float 防护域名 5分钟 inboundtraffic 入网总流量 该指标用于统计测量对象近5分钟内总入带宽的大小。 单位：Mbit 采集方式：统计近5分钟内总入带宽的大小 ≥0 Mbit 值类型：Float 防护域名 5分钟 outboundtraffic 出网总流量 该指标用于统计测量对象近5分钟内总出带宽的大小。 单位：Mbit 采集方式：统计近5分钟内总出带宽的大小 ≥0 Mbit 值类型：Float 防护域名 5分钟 wafprocesstime0 WAF处理时延区间[010ms) 该指标用于统计测量对象近5分钟内WAF处理时延在区间[010ms)内的总数量。 单位：次 采集方式：统计近5分钟内WAF处理时延在区间[010ms)内的总数量 ≥0 次 值类型：Float 防护域名 5分钟 wafprocesstime10 WAF处理时延区间[1020ms) 该指标用于统计测量对象近5分钟内WAF处理时延在区间[1020ms)内的总数量。 单位：次 采集方式：统计近5分钟内WAF处理时延在区间[1020ms)内的总数量 ≥0 次 值类型：Float 防护域名 5分钟 wafprocesstime20 WAF处理时延区间[2050ms) 该指标用于统计测量对象近5分钟内WAF处理时延在区间[2050ms)内的总数量。 单位：次 采集方式：统计近5分钟内WAF处理时延在区间[2050ms)内的总数量 ≥0 次 值类型：Float 防护域名 5分钟 wafprocesstime50 WAF处理时延区间[50100ms) 该指标用于统计测量对象近5分钟内WAF处理时延在区间[50100ms)内的总数量。 单位：次 采集方式：统计近5分钟内WAF处理时延在区间[50100ms)内的总数量 ≥0 次 值类型：Float 防护域名 5分钟 wafprocesstime100 WAF处理时延区间[1001000ms) 该指标用于统计测量对象近5分钟内WAF处理时延在区间[1001000ms)内的总数量。 单位：次 采集方式：统计近5分钟内WAF处理时延在区间[1001000ms)内的总数量 ≥0 次 值类型：Float 防护域名 5分钟 wafprocesstime1000 WAF处理时延区间[1000+ms) 该指标用于统计测量对象近5分钟内WAF处理时延在区间[1000+ms)内的总数量。 单位：次 采集方式：统计近5分钟内WAF处理时延在区间[1000+ms)内的总数量 ≥0 次 值类型：Float 防护域名 5分钟 qpspeak QPS峰值 该指标用于统计近5分钟内防护域名的QPS峰值。 单位：次 采集方式：统计近5分钟内防护域名的QPS峰值 ≥0 次 值类型：Float 防护域名 5分钟 qpsmean QPS均值 该指标用于统计近5分钟内防护域名的QPS均值。 单位：次 采集方式：统计近5分钟内防护域名的QPS均值 ≥0 次 值类型：Float 防护域名 5分钟 wafhttp0 无返回的WAF状态码 该指标用于统计测量对象近5分钟内WAF无返回的状态响应码的数量。 单位：次 采集方式：统计近5分钟内WAF无返回的状态响应码的数量 ≥0 次 值类型：Float 防护域名 5分钟 upstreamcode2xx 业务返回码（2XX） 该指标用于统计测量对象近5分钟内业务返回的2XX系列状态响应码的数量。 单位：次 采集方式：统计近5分钟内业务返回的2XX系列状态响应码的数量 ≥0 次 值类型：Float 防护域名 5分钟 upstreamcode3xx 业务返回码（3XX） 该指标用于统计测量对象近5分钟内业务返回的3XX系列状态响应码的数量。 单位：次 采集方式：统计近5分钟内业务返回的3XX系列状态响应码的数量 ≥0 次 值类型：Float 防护域名 5分钟 upstreamcode4xx 业务返回码（4XX） 该指标用于统计测量对象近5分钟内业务返回的4XX系列状态响应码的数量。 单位：次 采集方式：统计近5分钟内业务返回的4XX系列状态响应码的数量 ≥0 次 值类型：Float 防护域名 5分钟 upstreamcode5xx 业务返回码（5XX） 该指标用于统计近5分钟内业务返回的5XX系列状态响应码的数量。 单位：次 采集方式：统计近5分钟内业务返回的5XX系列状态响应码的数量 ≥0 次 值类型：Float 防护域名 5分钟 upstreamcode0 无返回的业务状态码 该指标用于统计测量对象近5分钟内业务无返回的状态响应码的数量。 单位：次 采集方式：统计近5分钟内业务无返回的状态响应码的数量 ≥0 次 值类型：Float 防护域名 5分钟 inboundtrafficpeak 入网流量的峰值 该指标用于统计近5分钟内防护域名入网流量的峰值。 单位：Mbit/s 采集方式：统计近5分钟内防护域名入网流量的峰值 ≥0 Mbit/s 值类型：Float 防护域名 5分钟 inboundtrafficmean 入网流量的均值 该指标用于统计近5分钟内防护域名入网流量的均值。 单位：Mbit/s 采集方式：统计近5分钟内防护域名入网流量的均值 ≥0 Mbit/s 值类型：Float 防护域名 5分钟 outboundtrafficpeak 出网流量的峰值 该指标用于统计近5分钟内防护域名出网流量的峰值。 单位：Mbit/s 采集方式：统计近5分钟内防护域名出网流量的峰值 ≥0 Mbit/s 值类型：Float 防护域名 5分钟 outboundtrafficmean 出网流量的均值 该指标用于统计近5分钟内防护域名出网流量的均值。 单位：Mbit/s 采集方式：统计近5分钟内防护域名出网流量的均值 ≥0 Mbit/s 值类型：Float 防护域名 5分钟 attacks 攻击总次数 该指标用于统计近5分钟内防护域名攻击请求量的总数。 单位：次 采集方式：统计近5分钟内防护域名攻击请求量的总数 ≥0 次 值类型：Float 防护域名 5分钟 crawlers 爬虫攻击次数 该指标用于统计近5分钟内防护域名爬虫攻击请求量的总数。 单位：次 采集方式：统计近5分钟内防护域名爬虫攻击请求量的总数 ≥0 次 值类型：Float 防护域名 5分钟 baseprotectioncounts web基础防护次数 该指标用于统计近5分钟内由Web基础防护规则防护的攻击数量。 单位：次 采集方式：统计近5分钟内由Web基础防护规则防护的攻击数量 ≥0 次 值类型：Float 防护域名 5分钟 preciseprotectioncounts 精准防护次数 该指标用于统计近5分钟内由精准防护规则防护的攻击数量。 单位：次 采集方式：统计近5分钟内由精准防护规则防护的攻击数量 ≥0 次 值类型：Float 防护域名 5分钟 ccprotectioncounts cc防护次数 该指标用于统计近5分钟内由CC防护规则防护的攻击数量。 单位：次 采集方式：统计近5分钟内由CC防护规则防护的攻击数量。 ≥0 次 值类型：Float 防护域名 5分钟

本文主要介绍如何删除中转IP 操作场景 当您不需要某个中转IP时，可以进行删除操作。 操作步骤 1. 登录管理控制台。 2. 在系统首页，单击“网络 > NAT网关”。进入NAT网关页面。 3. 在NAT网关页面，单击“NAT网关> 私网NAT网关”。 4. 在“中转IP”页签，单击目标中转IP操作列的“释放”。 5. 单击“确定”。 说明 当中转IP已关联SNAT或DNAT规则时，无法删除。此时，如果要删除中转IP，请先释放该中转IP所关联的所有规则。

成员集群与联邦实例网络模式 默认互联策略 是否允许用户修改 可选互联策略 同资源池同VPC VPC内网直接互联 否 同资源池跨VPC VPCE：后台将尝试创建将成员集群APIServer地址，以内网VPCE IP方式暴露给联邦实例所在网络 否 跨资源池 默认公网互联 要求联邦实例所在VPC具备主动访问公网能力，同时成员集群APIServer有绑定EIP暴露公网，并放通了来自联邦实例VPC的公网请求 是 云间高速内网

模块 功能说明 说明 应用场景 企业使用远程零信任办公服务，部分场景下，需要对访问的来源进行控制，远程零信任办公服务支持对客户端访问来源、访问IP、用户粒度、访问时间等进行访问控制，实现更灵活和安全的企业远程办公访问体验。 DDoS防护可有效防御畸形报文攻击、SYN Flood、ACK Flood、UDP Flood、ICMP Flood等网络层攻击以及SSL、DNS等应用层攻击 自动防御大流量网络层攻击 针对横向扫描的行为进行设定不同策略模版，如IP类横向渗透防护、域名类横向渗透防护，支持针对单用户账号，设备，相同公网IP进行不同协议、端口、地址的组合判断其频次，若高于异常则进行阻断或挑战认证。该功能是实时统计，达到阈值立即处置。 目前已维护6套防护规则集，基于正则的规则防护引擎进行 Web 漏洞和未知威胁防护，能够抵御SQL 注入、XSS 攻击、恶意扫描、命令注入攻击、Web 应用漏洞、WebShell 上传、不合规协议、木马后门等17类通用的 Web 攻击 建议基于自身业务防护需求选择对应的防护规则集 针对企业管理要求，通过不同维度设置准入条件，仅满足准入条件的用户才可通过认证登录成功，进入内网访问，保障其企业安全性。 希望网站防止被恶意篡改页面内容时配置 基于零信任多维度综合分析引擎，根据采集和上报的不同指标数据，对用户访问行为进行可信评估并实时联动处置。 希望网站避免泄露身份证、手机号等敏感信息时配置 内外网隔离指的是将内部网络（内网）与外部网络（外网）物理或逻辑上分开，以防止未经授权的访问和数据泄露。通过内外网隔离，企业组织可以显著提高其安全性，因为即使外网遭受攻击，攻击者也难以渗透到内网，从而保护了组织的核心资产和数据。零信任模型强调的是一种持续的、动态的安全策略，它要求组织不断地评估和改进其安全措施，以应对不断变化的威胁环境。 针对不在HTTP请求合规、上传内容合规、配置符合网站处理规范内的请求进行相应处理 RBI云端浏览器 RBI云端浏览器是基于零信任网络+远程浏览器隔离技术，以“不让数据流出去、不让坏数据流进来”为宗旨，通过隔离浏览环境进行数据隔离、运行隔离，限制员工行为，保障员工终端安全，敏感数据不落地，提供全流程的行为审计，保证恶意行为证据可追溯。

参数 子参数 说明 迁移参数模版 选择某个迁移参数模版后，页面根据模版的值自动设置网络类型、网络限流值、迁移方式、是否持续同步、是否调整分区、区域、项目;系统会为每个用户自动创建一个默认迁移参数模版，您也可以提前手动创建迁移参数模版，参见 网络类型 公网 若使用公网迁移，要求目的端服务器配置有“弹性IP”。 “网络类型”默认设置为公网。 私网 私网包括专线、VPN、对等连接、同VPC子网，如选择私网则需要提前创建，迁移时会使用目的端私有IP。 IP版本 IPv4 使用IPv4进行数据迁移。 IPv6 双栈网络下，可以选择使用IPv6进行主机迁移。 网络限流 根据要迁移的源端带宽大小及业务要求，设置限制带宽大小。 设置为0时，代表不限流。 Linux限流功能是基于TC(Traffic Control)模块控制，如果源端服务器没有TC模块，则无法支持限流。 部分Linux系统，暂不支持限流。（例如：CentOS 8.x以及基于其构建的其它发行版本均没有TC模块。） CPU限制 仅支持Linux迁移。 内存限制 磁盘吞吐限制 迁移方式 Linux文件级 Linux文件级迁移是指全量复制和持续同步最小粒度为文件，这种方式同步效率低，但兼容性好。 Windows块级 Windows块级迁移是指全量复制和持续同步的最小粒度为磁盘逻辑单位"块"。Windows当前仅支持块级迁移，这种迁移方式迁移和同步效率高。 是否持续同步 否 全量复制完成后，系统会自动启动目的端，无需用户进行操作。 若要同步新增数据，请单击操作列的“同步”，将增量数据同步至目的端服务器。 是 全量复制完成后，会进入持续同步阶段，该阶段系统会定时自动同步源端增量数据到目的端，此时目的端并未启动，无法操作。如需退出该阶段，单击“启动目的端”即可。 是否调整分区 否 选择否，目的端磁盘分区与源端保持一致。 是 选择是，用来调整目的端磁盘分区。具体操作参见调整磁盘分区。 迁移后主机状态 关机 选择关机，迁移完成后目的端服务器自动关机。 开机 选择开机，迁移完成后目的端服务器保持开机状态。 是否检测网络质量 否 不进行网络质量评估。 是 首次全量迁移时，会生成一个“迁移网络质量评估”的子任务，该子任务通过检测丢包率、抖动、网络时延、带宽以及内存占用率和CPU占用率，给出网络质量评估结果。 是否启用多进程 否 默认使用1个进程进行迁移、同步。 是 设置迁移和同步最大进程个数，SMSAgent根据设置的进程个数，启用多个进程执行迁移任务，仅适用Linux文件迁移。 迁移特殊配置项 Linux文件级配置不同步、不迁移等特殊配置信息。 Windows块级迁移，专线场景下，可配置目的端中转IP。

本节主要介绍OOS API请求结构。 接入地址 对象存储网络接入地址为：ooscn.ctyunapi.cn。对象存储网络2接入地址为：ooscn2.ctyunapi.cn。香港精品网接入地址为：ooscnhkhqnet.ctyunapi.cn。香港普通网接入地址为：ooscnhknqnet.ctyunapi.cn。 注意 对于对象存储网络、对象存储网络2中的OOS API，如果您的数据存储在某个资源池，建议您直接使用该资源池的Endpoint，详见 通信协议 为了保证通信的安全性，同时支持HTTP和HTTPS。 请求方法 OOS API支持GET、POST、PUT、HEAD、DELETE和OPTION请求方法发送请求。 请求参数 每个请求都需要指定如下信息： 每个操作接口都需要包含的公共请求参数。 操作接口所特有的请求参数。 本节主要描述公共请求参数和请求结果。 说明 在后续提到具体API时，举例中都会有 公共请求头、 公共响应头 ，但是不对其进行描述和解释。 公共请求头 以下是OOS API的公共请求头。 名称 描述 是否必须 ::: BucketName Bucket名称。 除GET Service (List Bucket)、GET Regions外，其他Bucket、Object操作都需要该参数。 是 Authorization 用于身份验证的请求头。Authorization的构造方式请参考安全策略部分，请先确定使用V2还是V4版本的签名方式，再按照对应的计算方式生成Authorization。 是 ContentLength 请求体的长度。 否 ContentMD5 按照RFC 1864，使用base64编码格式生成信息的128位MD5值。此请求头可以用作数据完整性检查，以验证数据是否与客户端发送的数据相同。 否 xamzcontentsha256 当使用V4签名对请求进行身份验证时，此请求头提供请求有效负载的哈希。 V4签名必填。 ContentType 描述请求内容的标准MIME类型。 否 Date 请求的日期和时间，GMT时间。 V2签名可以填写xAmzDate或Date。 xamzdate 请求的日期和时间。日期和时间格式必须遵循ISO 8601标准，并且必须使用“yyyyMMddT HHmmssZ”格式进行格式化。例如，如果日期和时间是“08/01/2018 15：32：41.982700”，则必须首先将其转换为UTC（协调世界时），然后提交为“20180801T083241Z”。 V4签名必填。 Host 请求的域名。 对象存储网络的请求域名为：ooscn.ctyunapi.cn。 对象存储网络2的请求域名为：ooscn2.ctyunapi.cn。 香港精品网的请求域名为：ooscnhkhqnet.ctyunapi.cn。 香港普通网的请求域名为：ooscnhknqnet.ctyunapi.cn。 是 Connection 客户端与OOS服务器之间的连接状态。 取值： keepalive：长连接，请求结束后继续保持连接。 close：短连接，请求结束后关闭连接。 默认值为：keepalive。 否