产品规格 服务方式及时间 电信标准价 应用容灾服务 远程支持，工作日9:0018:00 20000/天/人 现场服务（可选） 现场支持，工作日9:0018:00 15000/天/人（应在应用容灾服务期内）

本文汇总了使用虚拟私有云产品时常见的安全类问题。 什么条件下可以删除安全组？ 删除安全组前，需要确保该安全组没有与任何云资源相关联。如果安全组被云资源（云主机、物理机等）使用，请先释放对应云资源或者修改云资源使用的安全组，然后再尝试删除安全组。 删除安全组时，若该安全组被另一个安全组规则关联（例如“源地址”选择为该安全组），需先删除或修改关联的安全组规则，然后再尝试删除该安全组。 地域资源池的默认安全组不能删除。 弹性云主机加入安全组过后能否变更安全组？ 可以。 变更安全组的详细操作，请参考实例加入/移出安全组页面。 您也可以选择在弹性云主机的详情页执行变更安全组的操作，具体请参考“查看弹性弹性云主机的安全组”页面。 安全组、ACL服务是否收费？ 安全组和ACL服务均免费。 安全组和ACL服务均免费，但与安全组、ACL搭配使用的其他云产品（例如弹性云主机）将会按照其自身的计费规则收取相应的费用，详情请参见加入安全组或ACL的云产品帮助文档计费章节。例如： 云产品 计费说明 弹性云主机 计费说明 物理机 计费说明

安全组产品广泛应用于多种场景,本文带您更快了解安全组的经典应用场景。 不同安全组内的弹性云服务器内网互通 场景举例： 在同一个VPC内，用户需要将某个安全组内一台弹性云主机上的资源拷贝到另一个安全组内的弹性云主机上时， 用户可以将两台弹性云主机设置为内网互通后再拷贝资源。 安全组配置方法： 由于同一个VPC内，在同一个安全组内的弹性云服务器默认互通，无需配置。但是，在不同安全组内的弹性云服务器默认无法通信，此时需要添加安全组规则，使得不同安全组内的弹性云主机内网互通。 在两台弹性云主机所在安全组中分别添加一条入方向安全组规则，放通来自另一个安全组内的实例的访问，实现内网互通，安全组规则如下所示。 协议 方向 端口范围/ICMP协议类型 源地址 设置内网互通时使用的协议类型（支持TCP/UDP/ICMP/All） 入方向 设置端口范围或者ICMP协议类型 IPv4地址、IPv4 CIDR或者另一个安全组的ID 仅允许特定IP 地址远程连接弹性云主机 场景举例： 为了防止弹性云主机被网络攻击，用户可以修改远程登录端口号，并设置安全组规则只允许特定的IP地址远程登录到弹性云主机。

云主机底层平台的安全由云厂商保证 天翼云云主机负责以下方面的安全性： 数据中心安全：包括机房容灾、人员管理、运维审计等。 物理基础设施安全：涉及计算服务器、网络设备、存储设备的安全，以及数据销毁、网络隔离、资产管理等。 虚拟化系统安全：包括租户隔离、安全加固、逃逸检测修复、补丁热修复、云盘三副本、数据擦除等。 云服务平台安全：包括但不限于云平台主子账号管理、多因素认证机制、云资源加固能力等。 云上资源的防护由客户保证 客户需要对以下方面负责： 操作系统安全：提升访问安全、使用安全加固操作系统、提升操作系统安全性。 网络安全：网络隔离、控制网络流量、网络流量监控、网关访问安全。 数据安全：加密存储、可信计算、备份与恢复等。 应用安全：漏洞防护、应用网络安全、应用流量安全等。 身份与访问控制：细粒度资源管控、多因素账号认证、访问控制安全性等。 监控与日志：健康状态监控、基础云监控、云审计、操作日志等。 安全体系落地实践 以云主机搭建场景WordPress为例，结合天翼云安全责任共担模型，通过以下安全防护措施，确保客户的网站免受常见网络威胁的影响： 购买云主机前 制定全局安全战略，将安全性融入DevOps中，自动化防御体系，深入理解云环境安全合规标准，识别、分类资产并管控访问。 创建云主机时 使用 VPC ：创建虚拟私有网络，实现网络隔离，保护内部网络。 开启安全防护 ：开启主机安全防护功能，如云主机安全卫士，提升主机安全性。 使用加密磁盘 ：选择加密磁盘，保护存储数据的安全。 配置安全组 ：合理配置安全组规则，限制端口访问，避免非法访问。 创建快照策略 ：创建云盘快照策略，定期备份数据，确保数据可用性。 设置 IAM 授权 ：创建 IAM 用户并分配合适权限，避免权限滥用。 云主机创建完成后 SSH 加固：更改 SSH 默认端口，禁用 root 用户登录，提升登录安全性。 配置 MySQL 安全：更改 MySQL 默认密码，限制数据库访问权限，保护数据库安全。 部署 WordPress ：从官方网站下载并安装 WordPress，启用安全插件，如 Wordfence 等，增强应用安全。 配置安全卫士：安装并配置服务器安全卫士，提供实时安全防护，提升系统安全性。 具体操作请参考：++基于弹性云主机部署 WordPress 的安全防护++

安全专区整合了安全管理中心、云防火墙、云日志审计、云数据库审计、云堡垒机、终端安全EDR等组件。本小节介绍安全专区上线配置。 安全专区整合了安全管理中心、云防火墙、云日志审计、云数据库审计、云堡垒机、终端安全EDR等组件，用户采购开通后，需要进行以下初始安装配置，才能正常使用。 安全组件 安装内容及步骤 备注 云防火墙 VPC环境调整 请参考云防火墙配置 云防火墙 网络配置 请参考云防火墙配置 云防火墙 访问策略配置 请参考云防火墙配置 云防火墙 安全策略配置 请参考云防火墙配置 云防火墙 网络割接 请参考云防火墙配置 云防火墙 网络测试 请参考云防火墙配置 云堡垒机 运维账号 请参考云堡垒机 云堡垒机 添加资产 请参考云堡垒机 云堡垒机 管理授权 请参考云堡垒机 云堡垒机 映射端口 请参考云堡垒机 云堡垒机 登录运维 请参考云堡垒机 云日志审计 添加资产 请参考云日志审计 云日志审计 采集器配置 请参考云日志审计 云日志审计 客户端安装 请参考云日志审计 终端安全EDR 客户端安装 请参考终端安全EDR 终端安全EDR 策略配置 请参考终端安全EDR 云数据库审计 部署方式 请参考云数据库审计 云数据库审计 添加审计策略 请参考云数据库审计 云数据库审计 添加保护对象 请参考云数据库审计 云数据库审计 客户端安装 请参考云数据库审计 云防火墙：部署在网络边界提供边界防御能力，上线配置工作包括VPC环境调整、网络配置、策略配置、网络割接等几个部分，详细操作指引请参考云防火墙。 云堡垒机： 负责审计业务系统运维操作，配置包括运维账号管理、添加资产及授权，详细操作指引请参考云堡垒机。 云日志审计： 集中收集并审计所有业务系统及安全产品的系统日志，需添加资产、配置采集器、安装配置客户端，详细操作指引请参考云日志审计。 终端安全EDR：部署在业务系统主机，提供防病毒、补丁管理、入侵侦测响应等端点安全防护能力，需要在业务主机系统安装客户端，详细操作指引请参考终端安全EDR。 云数据库审计：集中收集并审计所有数据库系统操作日志，配置包括客户端安装和数据库信息录入，详细操作指引请参考云数据库审计。 安全组件配置完成后，安全管理中心可实时从安全组件收集全网资产的风险、威胁安全数据，关联分析评估用户云环境的安全态势。

本小节介绍安全专区操作类常见问题。 为减低云主机风险，仅开放最少端口，如何为安全组件云主机加固？ 可通过设置云主机安全组，为每个安全组件云主机开放以下端口。 安全组件云主机 端口 端口用途 AQZQAF（云防火墙） 业务端口 网络通信 AQZQOSM（云堡垒机） 20/21 FTP AQZQOSM（云堡垒机） 22 ssh AQZQOSM（云堡垒机） 443 https、协议代理（web） AQZQOSM（云堡垒机） 444 数字证书登陆 AQZQOSM（云堡垒机） 1521 Oracle数据库 AQZQOSM（云堡垒机） 3306 Mysql数据库 AQZQOSM（云堡垒机） 3389 RDP AQZQOSM（云堡垒机） 8080 http AQZQOSM（云堡垒机） 9443 Web客户端 AQZQOSM（云堡垒机） 12021 协议代理（FTP协议） AQZQOSM（云堡垒机） 12024 协议代理（字符客户端：xshell、putty、crt、winscp、filezilla） AQZQOSM（云堡垒机） 12025 协议代理（RDP客户端） AQZQLAS（云日志审计） TCP22 访问后台命令行 AQZQLAS（云日志审计） UDP161 snmp query设备状态 AQZQLAS（云日志审计） UDP162 接收snmp trap日志 AQZQLAS（云日志审计） UDP514 接收syslog日志 AQZQLAS（云日志审计） TCP8082 访问设备管理控制台 AQZQLAS（云日志审计） TCP8443、443 访问业务控制台 AQZQEDR（终端安全EDR） 443 Agent下载端口 AQZQEDR（终端安全EDR） 8083 业务端口 AQZQEDR（终端安全EDR） 54120 管理端口 AQZQDAS（云数据库审计） TCP22 ssh服务 AQZQDAS（云数据库审计） TCP80 web服务 AQZQDAS（云数据库审计） TCP443 安全的web服务 AQZQDAS（云数据库审计） TCP8443 安全的web数据服务 AQZQDAS（云数据库审计） TCP9092 kafka发送数据 AQZQDAS（云数据库审计） TCP9999 Agent审计服务端口 AQZQDAS（云数据库审计） TCP5672 rabbitmq客户端 AQZQDAS（云数据库审计） TCP10000 综合治理相互监听端口 AQZQDAS（云数据库审计） TCP15672 rabbitmq服务端 AQZQCSSP（安全专区服务） TCP4430 API通信端口 AQZQCSSP（安全专区服务） TCP4433 单点登录 AQZQCSSP（安全专区服务） UDP4500、UDP500 用来创建扫描隧道与执行扫描 AQZQCSSP（安全专区服务） TCP7443 API通信端口，用来授权与部署扫描任务 AQZQCSSP（安全专区服务） TCP8888 代理组件后端 AQZQCSSP（安全专区服务） TCP8989 单点登录 AQZQCSSP（安全专区服务） TCP9999 自动升级 说明 表示主机的命名。

本文主要介绍云专线相关术语解释。 什么是物理专线？ 物理专线是对接入点和本地数据中心之间建立的网络线路的抽象，以方便对线路进行管理。您需要通过一条租用运营商的运营物理专线将本地数据中心连接到接入点，建立专线连接。 普通用户可以申请普通物理专线和托管物理专线。 普通物理专线即运营物理专线，是端口带宽资源被用户独占的物理专线，此种类型的只允许用户创建一个虚拟接口。 托管物理专线即租户物理专线，是多个用户共享端口资源的物理专线。此种类型的物理专线允许用户创建多个虚拟接口接入用户的多个VPC。 什么是MSTP专线？ 是指利用多业务传送节点（MSTP）技术，依托中国电信传送网，为客户提供具有灵活调整带宽和以太网接入功能，接入速率在2M到1000M之间的数据专线业务，带宽调整颗粒为2M（VC12）。 什么是MPLSVPN专线？ 是依托于中国电信CN2承载网，采用多协议标记交换（MPLS）方式，为客户在多个节点间实现IP虚拟专网功能，提供安全的IPv4和IPv6数据信息传输服务。 什么是VPC 地址？ VPC地址是用来管理虚拟机网络平面的一个网络，可以提供IP地址管理、DHCP访问、DNS服务，子网内的虚拟机IP地址都属于该子网，此网段不能与远端地址重复。

此章节为您介绍如何更改云堡垒机的安全组。 安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同安全保护需求并相互信任的弹性云服务器、云堡垒机等提供访问策略。 为了保障云堡垒机的安全性和稳定性，在使用云堡垒机之前，您需要设置安全组，开通需访问资源的IP地址和端口。 使用云堡垒需要设置安全组，详见安全组策略设置： 方式一：配置安全组规则，具体操作请参见修改安全组规则。 方式二：切换安全组，若因安全组限制无法修改安全组规则，可以选择更改安全组。 操作步骤 1. 登录天翼云控制中心。 2. 在产品服务列表页，选择“安全 > 云堡垒机（原生版）”，进入云堡垒机实例管理页面。 3. 选择需要更改安全组的堡垒机实例，在实例详情页单击按钮。 4. 在弹出的对话框中选择需要更改的安全组，选择完成后单击“保存”即可完成安全组的修改。

本小节主要介绍云堡垒机产品咨询类问题。 云堡垒机实例与云堡垒机系统的区别是什么？ 一个云堡垒机实例代表了一个独立运行的云堡垒机系统。 用户可以登录管理控制台，选择“安全与合规 > 云堡垒机”，然后在云堡垒机管理控制台申请和管理实例。 云堡垒机系统是云堡垒机实际运维功能核心，后台采用EulerOS操作系统，包含用户管理、资源管理、策略、审计和工单等功能模块，支持对Windows或Linux等操作系统的主机提供安全管控保护。 云堡垒机系统有哪些安全加固措施？ 云堡垒机有完整的安全生命周期管理，从系统开发过程的安全编码规范，到经过严格安全漏洞扫描、渗透测试等安全性测试，并通过了公安部门的安全检测，符合“网络安全法”等法律法规，满足合规性规范审查要求，达到信息安全等级评定Ⅲ级标准。 系统数据安全 登录安全：镜像加密，SSH远程登录安全加固，内核参数安全加固，系统账户口令使用强密码并且默认登录失败超过3次将锁定登录。 数据安全：敏感信息加密存储，系统根密钥独立动态生成。 应用安全：防SQL注入攻击、防CSV注入攻击、防XSS恶意攻击、API接口认证机制。 系统安全 系统全自动化安装，LUKS加密用户系统数据盘。 系统自带防火墙功能，防止常规网络攻击，例如暴力破解等。 统一HTML5方式访问入口，仅开放一个系统Web访问端口，减少攻击面。 针对SSH登录参数配置加固，提高SSH登录系统的安全性。

本节介绍了如何设置云数据库GaussDB 的安全组规则。 操作场景 安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同安全保护需求，并相互信任的弹性云主机和云数据库GaussDB 实例提供访问策略。 创建分布式版实例时，如果需要修改内网安全组，请确保入方向规则TCP协议端口包含：4000060480,20050,50005001,23792380,6000,6500， ( + 100)。（例如设置的数据库端口为8000，则安全组中需要包含80008100）。 创建主备版实例时，如果需要修改内网安全组，请确保入方向规则TCP协议端口包含：20050，50005001，23792380，6000，6500， ( + 100)。（例如设置的数据库端口为8000，则安全组中需要包含80008100）。 为了保障数据库的安全性和稳定性，在使用云数据库GaussDB 实例之前，您需要设置安全组，开通需访问数据库的IP地址和端口。 内网连接云数据库GaussDB 实例时需要为云数据库GaussDB 和ECS分别设置安全组规则。 设置云数据库GaussDB安全组规则：为云数据库GaussDB 所在安全组配置相应的入方向规则。 设置ECS安全组规则：安全组默认规则为出方向上数据报文全部放行，此时，无需对ECS配置安全组规则。当在ECS所在安全组为非默认安全组且出方向规则非全放通时，需要为ECS所在安全组配置相应的出方向规则。 注意事项 因为安全组的默认规则是在出方向上的数据报文全部放行，同一个安全组内的弹性云主机和实例可互相访问。安全组创建后，您可以在安全组中定义各种访问规则，当云数据库GaussDB 实例加入该安全组后，即受到这些访问规则的保护。 默认情况下，一个租户可以创建500条安全组规则。 建议一个安全组内的安全组规则不超过50条。 当需要从安全组外访问安全组内的云数据库GaussDB 实例时，需要为安全组添加相应的入方向规则。 说明： 源地址默认的IP地址0.0.0.0/0是指允许所有IP地址访问安全组内的云数据库GaussDB 实例。

功能特性 分布式消息服务RabbitMQ的功能特性主要体现在以下几个方面： 访问接口 支持通过API调用，提供交换器、队列增删查改等管控工作。管理控制台上进行的操作用于对交换器、队列、用户、策略等增删查改等管控工作。 队列能力 （1）优先级队列：相比低优先级的消息，要优先投递给消费者进行处理。 （2）延迟队列：延时消息，实现秒级精准定时；简单易用，在代码上只需一个参数设置即可完成，解决开源 RabbitMQ无延时队列的痛点。 （3）死信队列：支持被拒绝消息、TTL 过期消息、队列达到最大长度（消息队列 AMQP队列长度无上限）等 3 种类型消息自动进入死信队列的能力，确保消息不丢失。 消息能力 （1）广播消息：在同一个消费组内对所有消费者投递相同消息。 （2）事务消息：支持事务消息，可用于分布式应用。 （3）定时消息：支持消息延迟发送，解决开源 RabbitMQ 无延时队列的痛点。 安全防护 可追溯租户管理操作的记录。 起源于金融系统，支持权限控制和SSL协议。 运维监控 提供集群、交换器、队列的管理；集群、信道、连接、交换器、队列多维度指标监控。 更多信息请参见功能特性。 应用场景 分布式消息服务RabbitMQ适用于电子商务、金融服务、电信、物流和供应链管理、社交媒体、游戏开发、科学和研究领域等行业，通常用于业务的应用解耦、错峰流控与流量削峰、异步通信等场景。更多信息请参见应用场景。

本文为您介绍云间高速(标准版)产品的定义和产品架构。 什么是云间高速（标准版） 云间高速(标准版)（CTEC, Express Connect standard）产品基于中国电信坚实而强大的骨干网络架构，为广大用户带来一种突破性的全新体验。这项创新性产品注重高速、安全和稳定，凭借其卓越的性能，为企业提供了独特而强大的混合组网能力。 在当前迅速发展的数字时代，企业面临着日益复杂的网络需求。云间高速(标准版)产品以其卓越的性能为支撑，积极响应并满足了企业云上云下的要求，无论是跨区域的通信还是多网络的协同，都得以灵活而高效地实现。 云间高速(标准版)不仅仅提供了传统网络的高速性能，更加注重安全性与稳定性的结合。用户可将关键数据和敏感信息传输至云端，而无需担忧泄露或中断。企业用户可倚仗这一强大能力，打造出一个真正具备企业级规模和通信能力的云上网络。 相关术语解释 云间高速实例 云间高速（标准版）实例是创建、管理一体化网络的基础资源。创建云间高速（标准版）实例后，根据自己需求在对应的资源池区域创建云企业路由器，将需要互通的网络实例加载到云企业路由器实例中，再购买带宽包，设置跨区域互通带宽，便可实现网络资源互通。

本节介绍安全云应用的管理员指南。 服务开通 管理员可以在AI云电脑（政企版）控制台的扩展功能中选择“开通”安全安全云应用服务。 1.登录AI云电脑（政企版）控制台，进入菜单“协同套件”，打开安全云应用，点击“开通功能” 2.功能开通后，左侧菜单栏出现安全云应用子菜单。 注意 服务开通后还需要创建应用池、上架应用、关联用户后才可使用安全云应用。 创建应用池 1.进入“AI云电脑（政企版）”管理控制台； 2.展开“安全云应用”菜单栏，选择“应用池管理”，点击“创建应用池”，进入“新增应用池”页面； 3.版本类型选择“独享版”； 独享版：每个用户独占一个虚机，适用于对数据和外设隔离要求比较高的场景； 4.选择规格类型“基础版”、“标准版”或“旗舰版”； 基础版：2C4G，适用于简单办公、文档编辑、客户服务等场景； 标准版：4C8G，适用于视频娱乐，在线会议，OA办公等场景； 旗舰版：8C16G，适用于高效办公，开发设计，视频监控等场景； 5.选择开通数量； 注：独享版此处开通数量要不小于使用安全云应用的用户数。应用池创建后可在应用池管理中通过“新增桌面”增加数量。 6.选择AI云电脑的“镜像类型”； 注：只能选择安全云应用镜像，管理员可先使用安全云应用基础镜像开一台AI云电脑，安装所需的应用软件并对软件进行个性化设置后，基于此AI云电脑创建自定义镜像。操作方法可参考镜像管理。 7.选择“vpc”和“业务子网”； 注：所选的业务子网需要绑定带宽，安全应用才能连接网络。详情可参考管理上网带宽； 8.确认相关的配置信息，点击“确定”，即完成应用池创建。 费用扣减：目前安全云应用仅支持资源包方式订购，有基础版（2C4G）、标准版（4C8G）、旗舰版（8C16G）三种规格可选，根据虚机规格和开通数量扣减资源包。 容量设置：系统盘只能使用默认规格，暂不支持更改。

天翼云为您提供安全的弹性云主机产品，通过多种技术手段来保障您的主机安全。但是如果云主机没有进行相应的安全设置，仍然可能收到外部的攻击或者遭到病毒入侵。 您可以从以下方面对云主机进行保护：提高账号安全、提高主机密码安全、使用密钥对、使用云监控、备份云主机、配置访问策略、定期升级操作系统。 详细内容参见提升云主机安全的方法。

参数 说明 虚拟私有云 云主机网络使用虚拟私有云（VPC）提供的网络，包括子网、安全组等。您可以选择使用已有的虚拟私有云网络，或者单击“前往控制台创建”来创建新的虚拟私有云。 安全组 安全组用来实现安全组内和安全组间云主机的访问控制，加强云主机的安全保护。用户可以在安全组中定义各种访问规则，当云主机加入该安全组后，即受到这些访问规则的保护。创建云主机时，可支持选择多个安全组。此时，云主机的访问规则遵循几个安全组规则的并集。 注意：如需通过远程桌面连接到Windows云主机，请在安全组中添加如下规则 方向：入方向 协议：TCP 端口范围：3389 如需通过ssh连接到Linux云主机，请在安全组中添加如下规则 方向：入方向 协议：TCP 端口范围：22 如需Ping云主机地址，请在安全组中添加如下规则 方向：入方向 协议：ICMP 类型：Any 网卡 添加一张主网卡，可使用已有内网IP地址，或自动分配。 弹性IP 将云主机与弹性IP绑定，使云主机通过固定的公网 IP 地址与互联网互通。 您可以根据实际情况选择以下三种方式： 不使用：云主机不能直接与互联网互通，仅可作为私有网络中部署业务或者集群所需云主机进行使用。 自动分配：自动为每台云主机分配独享带宽的弹性IP，带宽值可以由您设定。 使用已有：为云主机分配已有弹性IP。使用已有弹性IP时，不能批量创建云主机。

参数 说明 虚拟私有云 云主机网络使用虚拟私有云（VPC）提供的网络，包括子网、安全组等。您可以选择使用已有的虚拟私有云网络，或者单击“前往控制台创建”来创建新的虚拟私有云。 安全组 安全组用来实现安全组内和安全组间云主机的访问控制，加强云主机的安全保护。用户可以在安全组中定义各种访问规则，当云主机加入该安全组后，即受到这些访问规则的保护。创建云主机时，可支持选择多个安全组。此时，云主机的访问规则遵循几个安全组规则的并集。 注意：如需通过远程桌面连接到Windows云主机，请在安全组中添加如下规则 方向：入方向 协议：TCP 端口范围：3389 如需通过ssh连接到Linux云主机，请在安全组中添加如下规则 方向：入方向 协议：TCP 端口范围：22 如需Ping云主机地址，请在安全组中添加如下规则 方向：入方向 协议：ICMP 类型：Any 网卡 添加一张主网卡，可使用已有内网IP地址，或自动分配。 弹性公网IP 将云主机与弹性IP绑定，使云主机通过固定的公网 IP 地址与互联网互通。 您可以根据实际情况选择以下三种方式： 不使用：云主机不能直接与互联网互通，仅可作为私有网络中部署业务或者集群所需云主机进行使用。 自动分配：自动为每台云主机分配独享带宽的弹性IP，带宽值可以由您设定。 使用已有：为云主机分配已有弹性IP。使用已有弹性IP时，不能批量创建云主机。

参数 说明 虚拟私有云 云主机网络使用虚拟私有云（VPC）提供的网络，包括子网、安全组等。您可以选择使用已有的虚拟私有云网络，或者单击“前往控制台创建”来创建新的虚拟私有云。 安全组 安全组用来实现安全组内和安全组间云主机的访问控制，加强云主机的安全保护。用户可以在安全组中定义各种访问规则，当云主机加入该安全组后，即受到这些访问规则的保护。创建云主机时，可支持选择多个安全组。此时，云主机的访问规则遵循几个安全组规则的并集。 注意：如需通过远程桌面连接到Windows云主机，请在安全组中添加如下规则 方向：入方向 协议：TCP 端口范围：3389 如需通过ssh连接到Linux云主机，请在安全组中添加如下规则 方向：入方向 协议：TCP 端口范围：22 如需Ping云主机地址，请在安全组中添加如下规则 方向：入方向 协议：ICMP 类型：Any 网卡 添加一张主网卡，可使用已有内网IP地址，或自动分配。 弹性公网IP 将云主机与弹性IP绑定，使云主机通过固定的公网 IP 地址与互联网互通。 您可以根据实际情况选择以下三种方式： 不使用：云主机不能直接与互联网互通，仅可作为私有网络中部署业务或者集群所需云主机进行使用。 自动分配：自动为每台云主机分配独享带宽的弹性IP，带宽值可以由您设定。 使用已有：为云主机分配已有弹性IP。使用已有弹性IP时，不能批量创建云主机。

本节介绍天翼云手机的订购方式以及流程。 天翼云手机（政企版）提供两种购买方式： 1.天翼云网门户订购：可在天翼云网门户产品“天翼云手机”产品详情页进行订购。 2.营业厅订购：请前往当地的电信营业厅向工作人员咨询“天翼云手机”即可订购。 订购天翼云手机（政企版） 前提条件 购买天翼云手机前需开通云手机服务。 操作步骤 1.登录并打开“天翼云手机”产品详情页； 2.点击“管理控制台”前往云手机控制台； 3.点击“云手机管理”，点击“创建云手机”： 4.在订购页，选择“规格&配置”。 ● 选择“规格类型”（规格越大，性能越强）； ● 选择“镜像类型”（初始镜像配置，默认为公共镜像）； ● 选择“VPC&业务子网”（选择云手机需要绑定的VPC&业务子网）； ● 选择“需要绑定的用户账号”（支持批量激活，可选择邮件通知或绑定已有用户）； ● 选择“购买时长”（有效期内可随时换绑其他用户）； ● 确认以上配置无误后，阅读并勾选“服务协议”； ● 点击“立即购买”，完成付款； 5.支付成功后，即可在云手机管理台的“云手机管理”页查看已开通的云手机。

本节介绍了更改安全组的操作场景、操作步骤。 操作场景 本节操作介绍当弹性云主机的网卡需要变更所属安全组时的操作步骤。 操作步骤 1.登录管理控制台。 2.选择“计算 > 弹性云主机”。 3.在弹性云主机列表中，单击“操作”列下的“更多 > 网络设置 > 更改安全组”。 系统弹窗显示“更改安全组”页面。 图 更改安全组 4.根据界面提示，在下拉列表中选择待更改安全组的网卡，并重新选择安全组。 您可以同时勾选多个安全组，弹性云主机的访问规则先根据绑定安全组的顺序，再根据组内规则的优先级生效。 如需创建新的安全组，请单击“新建安全组”。 说明：使用多个安全组可能会影响弹性云主机的网络性能，建议您选择安全组的数量不多于5个。 5.单击“确定”。

步骤2：网络配置 1. 设置网络，包括“安全组”、“网卡”、“弹性IP”等信息。第一次使用网络服务时，系统将自动为您创建一个默认虚拟私有云，包括安全组、网卡。 参数 说明 虚拟私有云 弹性云主机网络使用虚拟私有云（VPC）提供的网络，包括子网、安全组等。您可以选择使用已有的虚拟私有云网络，或者创建新的虚拟私有云。更多关于虚拟私有云的信息，请参见《天翼云虚拟私有云用户使用指南》。 安全组 安全组用来实现安全组内和安全组间云主机的访问控制，加强云主机的安全保护。用户可以在安全组中定义各种访问规则，当云主机加入该安全组后，即受到这些访问规则的保护。创建弹性云主机时，可支持选择多个安全组（建议不超过5个）。此时，云主机的访问规则遵循几个安全组规则的并集。注意：1.如需通过远程桌面连接到Windows云主机，请在安全组中增加如下规则，方向：入方向，协议：TCP，端口范围：3389。2.如需通过远程桌面连接到Linux弹性云主机，请在安全组中增加如下规则，方向：入方向，协议：TCP，端口范围：22。3.如需Ping云主机地址，请在安全组中增加如下规则，方向：入方向，协议：ICMP，地址和掩码：0.0.0.0/0 网卡 包括主网卡和扩展网卡。订购主机时可设置主网卡和扩展网卡。网卡使用限制可参考[弹性云主机产品使用限制](

步骤3：网络配置 设置网络，包括“虚拟私有云”、“安全组”、“网卡”等信息。 参数 说明 虚拟私有云 云主机网络使用虚拟私有云（VPC）提供的网络，包括子网、安全组等。您可以选择使用已有的虚拟私有云网络，或者单击“前往控制台创建”来创建新的虚拟私有云。 安全组 安全组用来实现安全组内和安全组间云主机的访问控制，加强云主机的安全保护。用户可以在安全组中定义各种访问规则，当云主机加入该安全组后，即受到这些访问规则的保护。创建云主机时，可支持选择多个安全组。此时，云主机的访问规则遵循几个安全组规则的并集。 注意：如需通过远程桌面连接到Windows云主机，请在安全组中添加如下规则 方向：入方向 协议：TCP 端口范围：3389 如需通过ssh连接到Linux云主机，请在安全组中添加如下规则 方向：入方向 协议：TCP 端口范围：22 如需Ping云主机地址，请在安全组中添加如下规则 方向：入方向 协议：ICMP 类型：Any 网卡 添加一张主网卡，可使用已有内网IP地址，或自动分配。 弹性IP 将云主机与弹性IP绑定，使云主机通过固定的公网 IP 地址与互联网互通。 您可以根据实际情况选择以下三种方式： 不使用：云主机不能直接与互联网互通，仅可作为私有网络中部署业务或者集群所需云主机进行使用。 自动分配：自动为每台云主机分配独享带宽的弹性IP，带宽值可以由您设定。 使用已有：为云主机分配已有弹性IP。使用已有弹性IP时，不能批量创建云主机。

本文帮助您快速熟悉弹性云主机的安全组的查看的操作场景和操作流程。 操作场景 安全组主要是为了限制云主机/物理机的网络访问，保护云主机/物理机的安全。您可以查看云主机/物理机所关联的安全组的相关信息并根据业务需求做相应的调整。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成弹性云主机的创建。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择广东广州6。 3. 依次选择“计算”，单击“弹性云主机”；进入云主机控制台页面。 4. 在“弹性云主机”界面，选择需要操作的云主机，点击名称进入详情页； 5. 在弹性云主机详情页，选择“安全组”页签，查看弹性云主机所属的安全组详情； 6. 支持对安全组进行更改、编辑、删除等操作，同时可以查看安全组规则，对并规则进行添加、删除、修改等操作。

此章节为您介绍如何变更安全组。 安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同安全保护需求并相互信任的弹性云服务器、云堡垒机等提供访问策略。 为了保障云堡垒机的安全性和稳定性，在使用云堡垒机之前，您需要设置安全组，开通需访问资源的IP地址和端口。但是若您在购买堡垒机的时候选择了不适用的安全组，也无法通过修改相应的安全组规则来放通这些IP地址和端口，这时候您可以通过更改堡垒机绑定的安全组来满足您的运维需求。 约束条件 堡垒机最多可以接入5个安全组。 控制台中“运行状态”为“运行中”的实例才可以更改安全组。 堡垒机绑定多个安全组时，安全组的规则生效方式为并集。 操作步骤 1.登录管理控制台。 2.单击左上角的资源池，选择区域或项目。 3.在左侧导航树中，选择“安全与合规 > 云堡垒机”，进入云堡垒机实例界面。 4.在需要修改安全组的实例所在行，单击“操作”列中的“更多 > 网络设置 > 更改安全组”。 5.在弹出的对话框中勾选需要绑定的安全组。 6.单击“确定”，完成安全组的修改

本小节介绍安全专区产品定义。 安全专区是针对天翼云用户场景打造的安全产品，整合云安全管理中心、云防火墙、终端安全EDR、云数据库审计、云日志审计、云堡垒机等各类云安全合规组件，具备云安全防护能力，满足等级保护防护需求。 安全专区为用户提供单点登陆、自动授权、即开即用、统一管理、弹性扩容、能力完善的云安全等保一体化合规解决方案。

安全态势总览 作为云用户安全驾驶舱的安全管理中心，具有集中管控云环境整体安全态势的功能。安全管理员通过安全态势总览可监管所有资产受保护状态、安全防御能力部署情况、云环境整体安全评分、实时风险/威胁趋势分析。 资产安全管理 平台识别云用户所有资产，并自动收集资产的安全监测数据，提供每个资产详细的安全数据分析评估能力。云用户通过资产安全管理功能对所有资产的安全配置状态、审计状态、漏洞数据、基线数据、补丁数据、告警数据安全级别进行统一管控；对应具体的资产及应用，平台提供资产安全分析、时间轴分析及资产安全报告功能。 安全风险分析 汇总全网安全专区实时防御产生的风险数据，为云用户提供集中查询分析、统计溯源、全局监测资产风险项目的管理手段。风险分析覆盖全网主机漏洞、应用漏洞、基线检查、系统补丁、病毒查杀五项详细安全数据，安全管理员可按时间、类别、级别、资产、风险项、修复状态等多维度进行查询及趋势分析。 威胁告警分析 汇总全网安全专区实时防御产生的威胁告警数据，为云用户提供集中查询分析、统计溯源、全局监测网络威胁项目的管理手段。威胁告警数据全面覆盖防火墙/WAF/IPS等网络告警、终端安全EDR系统终端侧告警、日志/数据库审计行为类告警，安全管理员可按时间、类别、级别、资产、威胁告警项、处理状态等多维度进行查询及趋势分析。

本节介绍了安全组、安全组规则、安全组的限制。 安全组 安全组是一个逻辑上的分组，为具有相同安全保护需求并相互信任的云主机提供访问策略。安全组创建后，用户可以在安全组中定义各种访问规则，当云主机加入该安全组后，即受到这些访问规则的保护。 您也可以根据需要创建自定义的安全组，或使用默认安全组，系统会为每个用户默认创建一个默认安全组，默认安全组的规则是在出方向上的数据报文全部放行，入方向访问受限，安全组内的云主机无需添加规则即可互相访问。默认安全组您可以直接使用，详情请参见默认安全组和规则。 说明 安全组需在网络互通的情况下生效。若实例属于不同VPC，但同属于一个安全组，则此安全组不生效，您可以使用对等连接等产品建立VPC连接互通。 安全组规则 安全组创建后，您可以在安全组中设置出方向、入方向规则，这些规则会对安全组内部的云主机出入方向网络流量进行访问控制，当云主机加入该安全组后，即受到这些访问规则的保护。 每个安全组都自带默认安全组规则，详情请参见默认安全组和规则。您也可以自定义添加安全组规则，请参见默认安全组和规则。 安全组的限制 默认情况下，一个用户可以创建100个安全组。 默认情况下，一个安全组最多只允许拥有50条安全组规则。 默认情况下，一个云主机或扩展网卡建议选择安全组的数量不多于5个。 云主机或扩展网卡绑定多个安全组时，安全组规则先根据绑定安全组的顺序生效，再根据组内规则的优先级生效。 安全组添加实例时，一次最多可添加20个实例。 一个安全组关联的实例数量建议不超过1000个，否则可能引起安全组性能下降。 当安全组规则配置为以下情况时，不支持针对下列类型的云主机生效。 安全组规则限制 安全组规则 不支持的云主机类型 :: 策略选择“拒绝” X86计算型，具体规格请参见规格清单 1.通用计算型（S1型、C1型、C2型 ） 2.内存优化型（M1型） 3.高性能计算型（H1型） 4.GPU加速型（G1型、G2型） 源/目的地址为“IP地址组” 协议端口配置为不连续端口号 X86计算型，具体规格请参见规格清单 1.通用计算型（S1型、C1型、C2型 ） 2.内存优化型（M1型） 3.高性能计算型（H1型） 4.GPU加速型（G1型、G2型）

本文介绍了云防火墙产品的退订规则。 退订规则说明 客户（天翼云您）可根据需要，在符合天翼云退订规则的前提下，灵活退订配额。目前退订包含七天无理由全额退订和非七天无理由退订以及其他退订。 七天无理由全额退订 新购配额（不包含进行了续订等操作的资源）在满足以下全部条件的前提下，享受七天无理由全额退订： 在资源开通的7天内发起退订； 发起退订操作的账号（“退订账号”）当年的七天无理由全额退订次数不超过3次（每账号每自然年享有3次七天无理由全额退订次数，从每年的1月1日开始计算）； 同一您累计使用的七天无理由全额退订次数不超过24次。其中，同一您是指：根据不同天翼云账号在注册、登录、使用中的关联信息，关联信息相同天翼云判断其实际为同一您。关联信息举例：同一名称、同一邮箱、同一负责人证件、同一手机号、同一设备、同一IP地址等（包括已注销的账号）。客户同意天翼云使用上述信息核查同一您情况。 成套资源退订属于退订一个资源实例，记为1次退订。 注意 尽管有上述规则，客户不得利用退订规则频繁订购并退订服务，恶意占用天翼云及其他用户资源。如天翼云有合理理由怀疑客户存在频繁退订恶意占用天翼云及其他用户资源的，则天翼云有权取消该客户七天无理由全额退订的权利，并根据《中国电信天翼云用户协议》及网站相关规则和相关服务协议约定，采取相应措施直至终止服务，并追究客户的违约责任。

本文介绍了客户支持计划与标准服务的权益对比。 服务动作 标准服务 轻量级支持计划 商业级支持计划 企业级支持计划 热线电话支持 7x24小时，15秒响应 7x24小时，15秒响应 7x24小时，15秒响应 7x24小时，15秒响应 云产品工单支持 7x24小时 工单支持 响应时间： 紧急工单≤30分钟 一般工单≤60分钟 7x24小时 工单支持 响应时间： 紧急工单≤10分钟 一般工单≤30分钟 7x24小时 工单支持 响应时间： 紧急工单≤10分钟 一般工单≤30分钟 7x24小时 工单支持 响应时间： 紧急工单≤10分钟 一般工单≤30分钟 官网在线客服 7x24小时 智能客服 早8:00次日1:00 人工服务 7x24小时 智能客服 早8:00次日1:00 人工服务 7x24小时 智能客服 早8:00次日1:00 人工服务 7x24小时 智能客服 早8:00次日1:00 人工服务 VIP电话专属接入 支持 支持 支持 IM专属支持群 支持 支持 支持 响应人员 客服 VIP专席 VIP专席 VIP专席 处理人员 技术工程师 高级技术工程师 资深技术工程师 技术专家 帮助文档 访问帮助中心 访问帮助中心 访问帮助中心 访问帮助中心 API支持 访问API中心 访问API中心 访问API中心 访问API中心 割接、故障通知 公告，站内信 公告，站内信 专席人工 专属服务经理人工 故障优先恢复 第三优先级 第二优先级 第一优先级 备案服务 自助，可咨询备案客服 自助，优先分配高星级备案客服 自助，应急情况可一对一指导 备案管家远程指导，可提供3次全业务流程代备案服务 上云评估与架构咨询 可申请提供 按需提供 上云配置 可申请提供 按需提供 可用性检查 一类提供场景 · 加入“轻量级支持计划”，主动提供 三类提供场景 · 加入“商业级支持计划”，主动提供 · 重大活动保障，可申请提供 · 重大变更，可申请提供 四类提供场景 · 加入“企业级支持计划”，主动提供 · 重大活动保障，主动提供 · 重大变更，主动提供 · 每年一次，主动提供 资源监控与优化 三类提供场景 · 加入“商业级支持计划”，主动提供 · 重大活动保障，可申请提供 · 重大变更，可申请提供 四类提供场景 · 加入“企业级支持计划”，主动提供 · 重大活动保障，主动提供 · 重大变更，主动提供 · 每年一次，主动提供 服务月报 支持 需求沟通服务例会 磨合期按需组织 磨合期周例会，平稳期月例会 需求沟通现场走访 每年一次+按需走访 需求沟通评价反馈 支持 支持 支持 支持，优先入选客户体验官 客户活动 优先受邀出席天翼云中国行等大型品牌活动，并列尊享席位 重保支持 最多1次三级重保 最多4次三级重保 最多4次重保，包含限定次数的一级、二级或三级重保 关联账号 最多可申请关联3个天翼云账号享受热线、工单接入优先 最多可申请关联5个天翼云账号享受热线、工单接入优先

本小节介绍安全专区6大功能：安全管理中心、云堡垒机、云防火墙等。 安全管理中心 安全态势总览 安全管理员通过安全态势总览可监管所有资产受保护状态、安全防御能力部署情况、云环境整体安全评分、实时风险/威胁趋势分析。 平台识别云用户所有资产，并自动收集资产的安全监测数据，提供每个资产详细的安全数据分析评估能力。云用户通过资产安全管理功能对所有资产的安全配置状态、审计状态、漏洞数据、基线数据、补丁数据、告警数据安全级别进行统一管控；对应具体的资产及应用，平台提供资产安全分析、时间轴分析及资产安全报告功能。 安全风险分析 汇总全网安全专区实时防御产生的风险数据，为云用户提供集中查询分析、统计溯源、全局监测资产风险项目的管理手段。风险分析覆盖全网主机漏洞、应用漏洞、基线检查、系统补丁、病毒查杀五项详细安全数据，安全管理员可按时间、类别、级别、资产、风险项、修复状态等多维度进行查询及趋势分析。 威胁告警分析 汇总全网安全专区实时防御产生的威胁告警数据，为云用户提供集中查询分析、统计溯源、全局监测网络威胁项目的管理手段。威胁告警数据全面覆盖防火墙/WAF/IPS等网络告警、终端安全EDR系统终端侧告警、日志/数据库审计行为类告警，安全管理员可按时间、类别、级别、资产、威胁告警项、处理状态等多维度进行查询及趋势分析。

此章节为您介绍如何更改云堡垒机的安全组。 安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同安全保护需求并相互信任的弹性云服务器、云堡垒机等提供访问策略。 为了保障云堡垒机的安全性和稳定性，在使用云堡垒机之前，您需要设置安全组，开通需访问资源的IP地址和端口。但是若您在购买堡垒机的时候选择了不适用的安全组，也无法通过修改相应的安全组规则来放通这些IP地址和端口，这时候您可以通过更改堡垒机绑定的安全组来满足您的运维需求。 操作步骤 1.登录管理控制台。 2.选择“安全 > 云堡垒机（原生版）”，进入云堡垒机实例管理页面。 3.选择需要更改安全组的堡垒机实例，在实例详情页单击按钮。 4.在弹出的对话框中选择需要更改的安全组，选择完成后单击保存即可完成安全组的修改。

本文主要介绍如何更改安全组。 背景说明 安全组是一个逻辑上的分组，为同一个虚拟私有云VPC内具有相同安全保护需求并相互信任的弹性云服务器提供访问策略。安全组创建后，用户可以在安全组中定义各种访问规则，当弹性云服务器加入该安全组后，即受到这些访问规则的保护。安全组的默认规则是在出方向上的数据报文全部放行，安全组内的弹性云服务器无需添加规则即可互相访问。系统会为每个云帐号默认创建一个默认安全组，用户也可以创建自定义的安全组。 当创建安全组时，需要用户添加对应的入方向和出方向访问规则，放通启用应用一致性备份需要的端口，以免应用一致性备份失败。 操作说明 使用应用一致性备份前需要先更改安全组。云主机备份为了您的网络安全考虑，在使用前未设置安全组入方向，需要您手动进行配置。 安全组的出方向需要设置允许100.125.0.0/16网段的165535端口，入方向需要设置允许100.125.0.0/16网段的5952659528端口。出方向规则默认为0.0.0.0/0，即数据报文全部放行。若未修改出方向默认规则，则无需重新设置。 操作步骤 步骤1、登录弹性云主机控制台。 登录管理控制台。 单击管理控制台右上角的，选择区域和项目。 选择“计算 > 弹性云主机”。 步骤2、单击左侧导航树中的“弹性云主机”，在服务器界面选择目标服务器。进入目标服务器详情。 步骤3、选择“安全组”页签，选择目标安全组，弹性云服务器界面单击列表右侧“更改安全组规则”。 步骤4、在安全组界面，选择“入方向规则”页签，单击“添加规则”，弹出“添加入方向规则”对话框。选择“TCP”协议，在“端口”中输入“5952659528”，在源地址中选择“IP地址”，输入“100.125.0.0/16”。适当补充描述后，单击“确定”，完成入方向规则设置。 步骤5、选择“出方向规则”页签，单击“添加规则”，弹出“添加出方向规则”对话框。选择“TCP”协议，在“端口”中输入“165535”，在目的地址中选择“IP地址”，输入“100.125.0.0/16”。适当补充描述后，单击“确定”，完成出方向规则设置。

本节介绍了虚拟私有云、子网、安全组、弹性IP等内容。 虚拟私有云 虚拟私有云（Virtual Private Cloud，以下简称VPC）为弹性云主机构建了一个逻辑上完全隔离的专有区域，您可以在自己的逻辑隔离区域中定义虚拟网络，为弹性云主机构建一个逻辑上完全隔离的专有区域。您还可以在VPC中定义安全组、VPN、IP地址段、带宽等网络特性，方便管理、配置内部网络，进行安全、快捷的网络变更。同时，您可以自定义安全组内与组间弹性云主机的访问规则，加强弹性云主机的安全保护。 子网 子网是用来管理弹性云主机网络平面的一个网络，可以提供IP地址管理、DNS服务，子网内的弹性云主机IP地址都属于该子网。 默认情况下，同一个VPC的所有子网内的弹性云主机均可以进行通信，不同VPC的弹性云主机不能进行通信。 安全组 安全组是一个逻辑上的分组，为具有相同安全保护需求并相互信任的弹性云主机提供访问策略。安全组创建后，用户可以在安全组中定义各种访问规则，当弹性云主机加入该安全组后，即受到这些访问规则的保护。 系统会为每个用户默认创建一个默认安全组，默认安全组的规则是在出方向上的数据报文全部放行，入方向访问受限，安全组内的弹性云主机无需添加规则即可互相访问。 图 默认安全组 默认安全组规则如下表所示。 表 默认安全组规则 方向 协议 端口范围 目的地址/源地址 说明 出方向 全部 全部 目的地址：0.0.0.0/0 允许所有出站流量的数据报文通过。 入方向 全部 全部 源地址：当前安全组(例如：sgxxxxx ) 仅允许安全组内的云主机彼此通信，丢弃其他入站流量的全部数据报文。