本小节介绍安全专区资产管理服务器主机资产安全报告。 在资产分析页面，点击【资产报告下载】，可下载所选定资产的安全分析报告。

本小节介绍查看入侵告警事件。 企业主机安全可对您已开启的告警防御能力提供总览数据，帮助您快速了解安全告警概况包括存在告警的服务器、待处理告警事件、已处理告警事件、已拦截IP和已隔离文件。 事件管理列表仅保留近30天内发生的告警事件，您可以根据自己的业务需求，自行判断并处理告警，快速清除资产中的安全威胁。 告警事件处理完成后，告警事件将从“未处理”状态转化为“已处理”。 约束与限制 若不需要检测高危命令执行、提权操作、反弹Shell、异常Shell或者Webshell，您可以通过“策略管理”页面手动关闭指定策略的检测。关闭检测后，HSS不对策略组关联的服务器进行检测。 其他检测项不允许手动关闭检测。 未开启防护不支持告警事件相关操作。 操作步骤 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在左侧导航栏中，单击“入侵检测 > 安全告警事件 > 主机安全告警”，进入“主机安全告警”页面。 安全告警统计说明 参数名称 告警事件状态说明 时间范围 支持选择固定周期，支持自定义查询告警的时间范围，自定义只能选择30天范围内的查询。 固定周期可选择如下： 最近24小时 最近3天 最近7天 最近30天 主机安全告警 存在告警的服务器 待处理告警事件 展示您资产中所有待处理告警的数量。 安全告警处理页面默认展示所有待处理告警信息。 已处理告警事件 展示您资产中所有已处理的告警事件数量。 已拦截IP 展示已拦截的IP。单击“已拦截IP”，可查看已拦截的IP地址列表。 已拦截IP列表展示“服务器名称”、“攻击源IP”、“登录类型”、“拦截状态”、“拦截次数”、“开始拦截时间”、“最近拦截时间”。 如果您发现有合法IP被误封禁（比如运维人员因为记错密码，多次输错密码导致被封禁），可以手工解除拦截。如果发现某个主机被频繁攻击，需要引起重视，建议及时修补漏洞，处理风险项。 说明 解除被拦截的IP后，主机将不会再拦截该IP地址对主机执行的操作。 每种软件最多拦截10000个ip。 如果您的linux主机不支持ipset，mysql和vsftp最多拦截50个ip。 如果您的linux主机既不支持ipset不支持hosts.deny，ssh最多拦截50个ip 已隔离文件 主机安全可对检测到的威胁文件进行隔离处理，被成功隔离的文件会添加到“主机安全告警”的“文件隔离箱”中。 被成功隔离的文件一直保留在文件隔离箱中，您可以根据自己的需要进行一键恢复处理，关于文件隔离箱的详细信息，请参见管理文件隔离箱。 容器安全告警 存在告警的服务器 待处理告警事件 展示您资产中所有待处理告警的数量。 安全告警处理页面默认展示所有待处理告警信息。 已处理告警事件 展示您资产中所有已处理的告警事件数量。 威胁等级 将被告警按照不同等级进行统计：致命 、 高危 、 中危、 低危。 TOP5事件类型 展示数量最多的前五种告警类型及数量。 4、单击事件类型中的告警事件，可查看告警事件对应的受影响的服务器、发生时间等信息。 全部：展示发生的总的告警数。 告警事件：展示各告警事件发生的告警数。 5、单击事件类型的告警名称，可查看告警的详细信息

安全体检首次执行引导流程，帮助您快速开始体检之旅。 为了帮助您更好地理解和使用安全体检，我们准备以下快速入门操作指导，当您完成产品订购并开通后，您也可以在控制台上查看此操作指导，并通过右上角按钮展示/隐藏此引导。 请按照以下步骤进行操作： 第一步：添加互联网IP 进入安全体检产品控制台。 点击“安全体检流程引导”第一步的“立即添加”按钮，打开添加体检IP对话框。 选择已开通弹性IP的资源池，产品将自动获取IP地址列表。 勾选IP地址，点击确定后，体检IP将被添加至体检IP列表。 第二步：添加通知人 点击“安全体检流程引导”第二步的“立即添加”按钮，打开添加通知对话框。 输入姓名、邮箱、分组信息后，点击确定，通知信息将被添加至通知列表，体检报告生成后，将自动发送至通知列表内的邮箱地址。 说明 若第一次添加通知，可在分组下拉框中新建分组信息。 第三步：开始体检 点击“安全体检流程引导”第三步的“立即体检”按钮，弹出体检提示对话框。 点击“我已明确上述内容，开始体检”按钮，将开启安全体检。 请遵循以上步骤，开启您的安全体检之旅。如有任何疑问或需要进一步的帮助，请随时联系我们的客服团队。祝您使用愉快！

使用建议 如果您对您的域名并不是熟悉，不熟悉域名的带宽、流量信息、遭受攻击数量等情况时，建议您在域名接入配置时选择监控模式（推荐模式），或者在网站防护模式中选择告警模式，先观察一段时间（推荐两周）的流量、攻击特征，收集到一定的域名信息特征和攻击日志后结合业务场景选择是否切换到拦截模式。 您可以分析根据以下情况进行调整： 如果攻击日志中未发现正常的业务请求被误拦截，攻击日志内容中记录的都是非法请求的情况下，建议您将域名规则开关切换到拦截模式，开始对您的网站进行域名规则防护。 如果发现攻击日志中存在正常业务流量日志内容，如果您有一定的网站安全基础，您可以手动配置访问控制、关闭误拦截的域名规则等方式减少误报，再切换至拦截模式。 如果发现攻击日志中存在正常业务流量日志内容，您也可以联系天翼云安全专家沟通具体的解决方案，联系方式见服务保障。 域名的业务请求中应当注意内容： 在常规的业务请求中，尽量不要直接以原始SQL语句、代码作为参数进行传递，可能会遭受到攻击篡改和域名规则的误拦截，比如/ap1/v1/update?contentselect from t where。 在常规的业务请求中，要注意不要泄露服务器敏感信息(比如直接将含有数据库连接的错误堆栈内容返回浏览器)。服务器敏感信息泄露可能会被攻击者获取用于入侵，同时有服务器敏感信息泄露风险的请求也很可能被安全引擎拦截。 您可以查看您的网站是否会受到此漏洞的影响。如果受到漏洞的影响，可以联系天翼云安全专家沟通具体的解决方案，联系方式见服务保障。

本章节主要介绍云搜索服务如何绑定企业项目。 每个集群必须设置其对应的企业项目，如果不需要此参数进行区分时，您可以将集群绑定至“default”项目。对于绑定企业项目特性上线前创建的集群，集群的企业项目将被绑定至“default”项目。您可以根据实际情况修改绑定企业项目。 绑定企业项目 在创建集群时，您可以在企业项目参数中绑定，详细操作步骤及参数解释请参见 创建Elasticsearch类型集群（安全模式）。 修改企业项目 针对之前已创建的集群，其绑定的企业项目可根据实际情况进行修改。 1.在“云搜索服务”管理控制台，单击“集群管理”进入集群列表。 2.在集群列表中，单击集群名称进入集群“基本信息”页面。 3.在集群“基本信息”页面中，单击“企业项目”参数右侧的参数值，进入“资源管理”的“项目管理”页面。 4.在资源页签下，选择对应“区域”，然后在“服务”中选择“ES”服务。此时，资源列表将筛选出对应的ES集群。 详见下图： 筛选ES集群 5.勾选需要修改企业项目的集群，然后单击“迁出”。 6.在“迁出资源”页面，选择“迁出方式”，再选择“请选择要迁入的企业项目”，然后单击“确定”。 详见下图： 迁出资源 7.迁出完成后，在原始的项目管理页面中，无法再获取此集群信息。您可以通过两种方式查看此集群绑定的企业项目。 进入云搜索服务集群列表页面，此集群对应的“企业项目”列的值，将更换为修改后的企业项目。 详见下图： 查看集群对应的企业项目 在资源管理服务中，在左侧导航栏选择“项目管理”，在企业项目管理页面，单击“查看迁出迁入事件”，可获取到此集群的信息。 详见下图：查看资源

本文将向您介绍如何通过边缘安全加速平台安全与加速服务设置Web规则白名单。 功能介绍 若您希望请求针对域名防护规则集中的某条规则加白，可以配置规则白名单。 背景信息 您的域名接入边缘安全加速平台安全与加速服务后，配置防护策略将默认作用于所有符合策略的请求，若您希望某类请求不经过某个防护策略，可以分别配置对应的白名单功能。 若您希望请求针对任意防护策略加白，可以配置网站白名单，配置详情可见设置网站白名单。 若防护规则集中的某条规则出现误报情况，可以配置规则白名单，配置详情可见下文。 若您希望请求针对Bot防护策略加白，可以配置Bot策略白名单，配置详情可见Bot策略白名单。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 开通套餐为免费版及以上版本，支持使用Web规则白名单功能。 操作步骤 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【安全能力】【Web应用防火墙】，选择您要配置的域名，进入基础安全防护【防护规则引擎】详细设置页。 3. 选择您希望设置白名单范围的规则ID，点击操作列【加白】按钮，设置加白的匹配范围，粒度支持配置URI、IP、IPS、PATH、BODY等，支持配置多个生效条件。

本节主要介绍修修改实例安全组 文档数据库服务支持修改集群、副本集实例的安全组。 使用须知 以下情况不可修改安全组： 添加节点 数据迁移 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上方的，选择区域和项目。 步骤 3 在页面左上角单击，选择“数据库 > 文档数据库服务 DDS”，进入文档数据库服务信息页面。 步骤 4 在“实例管理”页面，选择指定的实例，单击实例名称。 步骤 5 在左侧导航树，单击“连接管理”。 步骤 6 在“安全组”区域，单击，选择实例所属安全组。 修改安全组 单击，提交修改。此过程约需1～3分钟。 单击，取消修改。 步骤 7 稍后可在“安全组”区域，查看修改结果。

sectiondaf0b00e2497606c) SSL VPN的私有账号手机端和PC端能同时在线么？ SSL VPN是怎么管理配置的？ 云主机需绑定公网IP地址，打开电脑浏览器，在地址栏输入 VPN的Web管理控制台页面的，默认管理员账号和密码请咨询厂商（请尽快修改默认密码，使用默认密码可能存在安全风险）。 怎么申请免费试用的SSL VPN序列号？ SSL VPN支持试用。试用需联系区域的客户经理，由客户经理代下单完成试用订购。 SSL VPN常用的端口有哪些？ SSL VPN的Web控制台管理页面的默认端口是TCP4430，此端口可以修改，修改的位置：打开SSL VPN的Web控制台管理页面，在“系统设置 > 系统配置 > 控制台配置”的https端口输入框修改。 SSL VPN客户端接入的默认端口是TCP443，此端口可以修改，修改的位置：打开SSL VPN的Web控制台管理页面，在“系统设置 > SSL VPN选项 > 系统选项 > 接入选项”的https端口输入框修改。 SSL VPN支持哪些客户端操作系统来拨入SSL VPN隧道？ 支持的有： Win7、Win8、Win10 MacOS 10.910.15、MacOS 11.012.0 安卓4.0或以上的版本 苹果iOS9.0或以上的版本 MacOS接入SSL VPN的注意事项？ MacOS用户需要关联L3VPN类型资源，才能正常使用SSL VPN。 是否可以简单执行ping route等网络命令来测试网络连通性？ 可以的，打开SSL VPN的Web控制台管理页面，点击“系统维护 > 命令控制台”，执行相关命令测试即可。

产品价值 1. 守护电脑安全：在实时防护、病毒查杀、漏洞修复等多重机制护航下，阻止外部非法入侵与内部外设数据泄露，全方位守护员工电脑安全，让电脑使用更安心。 2. 用户体验良好：终端安全能力开箱即用，无需繁琐的部署方案，丰富的终端安全能力融合在一个轻量客户端中，员工办公体验好。 3. 终端高效管理：终端接入企业后，管控策略持续生效，让电脑持久安全；基于身份、设备双重监管、深度溯源风险行为；精准盘点终端资产，追踪资产状态与位置。 4. AI应用检测：实时监测新安装 AI 应用，自动识别应用风险等级，阻断高危、不合规AI 应用的网络链接，形成“发现 定位 处置”管控闭环。

声明与协议 声明 百川智能的开发团队并未基于 Baichuan 2 模型开发任何应用，无论是在 iOS、Android、网页或任何其他平台。强烈呼吁所有使用者，不要利用 Baichuan 2 模型进行任何危害国家社会安全或违法的活动。另外，百川智能也要求使用者不要将 Baichuan 2 模型用于未经适当安全审查和备案的互联网服务。希望所有的使用者都能遵守这个原则，确保科技的发展能在规范和合法的环境下进行。 百川智能已经尽可能确保模型训练过程中使用的数据的合规性。但由于模型和数据的复杂性，仍有可能存在一些无法预见的问题。因此，如果由于使用 Baichuan 2 开源模型而导致的任何问题，包括但不限于数据安全问题、公共舆论风险，或模型被误导、滥用、传播或不当利用所带来的任何风险和问题，百川智能不承担任何责任。 协议 使用 Baichuan 2 模型需要遵循 Apache 2.0 和《Baichuan 2 模型社区许可协议》。Baichuan 2 模型支持商业用途，如果您计划将 Baichuan 2 模型或其衍生品用于商业目的，请您确认您的主体符合以下情况： 您或您的关联方的服务或产品的日均用户活跃量（DAU）低于100万。 您或您的关联方不是软件服务提供商、云服务提供商。 您或您的关联方不存在将授予您的商用许可，未经百川许可二次授权给其他第三方的可能。 在符合以上条件的前提下，您需要通过以下联系邮箱 opensource@baichuaninc.com，提交《Baichuan 2 模型社区许可协议》要求的申请材料。审核通过后，百川将特此授予您一个非排他性、全球性、不可转让、不可再许可、可撤销的商用版权许可。 免责声明 Baichuan27B模型来源于第三方，本平台不保证其合规性，请您在使用前慎重考虑，确保合法合规使用并遵守第三方的要求。

算力专网为您提供优质的服务体验，本文带您了解算力专网服务的产品优势。 快速开通 能够实现客户总部/分支机构（含自建机房）站点、天翼云资源池站点和第三方公有云资源池站点的自动开通。 天翼云资源池站点分钟级开通（个别不具备专线自动化开通能力的资源池，需两个工作日手工开通）。 采用PON专线接入的站点在资源具备条件下（含本地接入段），可在1个工作日内开通（含本地接入段施工时间）。 采用IPRAN接入的站点可在7个工作日内开通（含本地接入段施工时间）。 灵活入云 算力专网为企业用户提供了高效便捷的一点入多云的服务，通过预先与天翼云和第三方公有云进行深度集成，确保能够实现客户总部和分支机构能够更加轻松灵活地实现一点入云。 安全可靠 CN2DCI网络节点采用三路由互联设计，确保数据传输的可靠性和稳定性。天翼云资源池站点通过双POP（两台堆叠配置的云专线交换机）以及双链路上联至CN2DCI网络，实现了高达99.95%的可用率，即使在云主机出现故障的情况下，也能确保服务的连续性和稳定性。同时，在CN2DCI大客户专属承载网上采用国际主流的MPLS/SRv6+EVPN技术，有效隔离不同行业客户的数据，确保客户信息安全无虞。

本文介绍了边缘安全加速平台API防护模块下API资产列表的使用方法。 功能介绍 API资产管理列表展示了客户粒度，即所有接入域名下的API资产。用户可在API资产列表中进行查询、新增、删除、编辑等操作。 API资产定义 边缘安全加速平台对于API资产的定义由三部分组成：域名、URI、Method。 以API资产 Post ddoscloudglobal.ctapi.ctyun.cn/ctapi/v1/cert/create 为例： 域名为：ddoscloudglobal.ctapi.ctyun.cn URI为：/ctapi/v1/cert/create Method为：Post 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 操作步骤 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【安全能力】，进入【API安全】菜单。 3. 进入任意域名，点击右侧【资产管理】按钮，进入【API资产列表】页面。 新增API 新增API资产当前支持两种方式： 手动新增API：手动配置域名、URI、Method定义一条API资产。 API自发现：基于访问日志进行特征识别，自动发现业务中的API请求。配置详情参见API自发现。

本小节介绍SWR私有镜像管理。 私有镜像仓库中的镜像来源于容器镜像服务(SWR)的自有镜像，企业主机安全支持对这些共享镜像手动执行漏洞、恶意文件、软件信息、文件信息、基线检查、敏感信息的扫描并提供扫描报告。 约束限制 仅HSS容器版支持该功能。 仅支持对Linux镜像执行安全扫描。 查看私有镜像 1、 登录管理控制台。 2、在弹窗界面单击“体验新版”，切换至企业主机安全页面。 注意 切换至新版后，在总览页左上角单击“返回旧版”，可切换至企业主机安全（旧版） 3、 在左侧导航栏中，选择“资产管理 > 容器管理” ，进入容器管理界面，选择“容器镜像 > SWR私有镜像”页签。 4、单击“从SWR更新自有镜像”，可以同步SWR所有自有镜像。 手动扫描私有镜像 您可以手动执行全量、批量或单镜像的安全扫描。安全扫描的时长主要取决于镜像的大小。一般情况下扫描一个镜像可以在三分钟之内完成，扫描完成后，单击“安全报告”查看安全报告。 SWR私有镜像支持的安全扫描项如下： 扫描项 说明 漏洞 检测镜像中存在的漏洞。 恶意文件 检测镜像中存在的恶意文件。 软件信息 统计镜像中的软件信息。 文件信息 统计镜像中的文件信息。 基线检查 配置检查： − 检测CentOS 7、Debian 10、EulerOS和Ubuntu16镜像的系统配置项。 − 检测SSH应用配置项。 弱口令检查：检测镜像中存在的弱口令。 口令复杂度检查：检测镜像中不安全的口令复杂度策略。 敏感信息 检测镜像中含有敏感信息的文件。 默认不检测的路径如下： − /usr/ − /lib/ − /lib32/ − /bin/ − /sbin/ − /var/lib/ − /var/log/ − /nodemodules/ / .md − /nodemodules//test/ − /service/iam/examplestest.go − /grafana/public/build/.js 说明 可在“漏洞报告>敏感信息”页面，单击“敏感文件过滤路径管理”，设置不需要检测的Linux路径，最多可添加20个路径。 不检测的场景如下： − 文件大于20M。 − 文件类型为二进制、常用进程和自动生成类型。 软件合规 检测不允许使用的软件和工具。 基础镜像信息 检测未使用基础镜像构建的业务镜像。 1、登录管理控制台，进入企业主机安全页面。 2、在左侧导航栏中，选择“资产管理 > 容器管理”，进入容器管理界面。 3、选择“容器镜像 > 私有镜像仓库”，展开镜像名称，单击“操作”列的“安全扫描”，扫描单个镜像。 4、 在弹出的提示框中，单击“确定”，启动扫描任务。 5、待目标镜像“扫描状态”列显示为“扫描完成”，即扫描结束。

本章节主要向您介绍如何创建IP地址组。 操作场景 本章节指导用户创建IP地址组，IP地址组是一个或者多个IP地址的集合，可关联至安全组、网络ACL中，用于简化网络架构中IP地址的配置和管理。 操作步骤 1. 登录管理控制台。 2. 在页面左上角单击图标，打开服务列表，选择“网络 > 虚拟私有云”。进入虚拟私有云列表页面。 3. 在左侧导航栏选择“IP地址组”。 4. 单击页面右侧“创建IP地址组”。 5. 根据界面提示设置IP地址组参数，IP地址组参数如下表所示。 参数 参数说明 取值样例 区域 必选参数。 不同区域的云服务产品之间内网互不相通，请就近选择靠近您业务的区域，可减少网络时延，提高访问速度。 IP地址组只能关联至同区域的资源。 名称 必选参数。 此处填写IP地址组的名称。 长度范围为164位。 名称由中文、英文字母、数字、下划线（）、中划线（）、点（.）组成。 您可以自定义IP地址组名称，IP地址组的唯一性由系统分配的ID号保证。 ipGroupA 最大条目数 必选参数。 此处设置IP地址组内支持添加的IP地址条目数量，系统默认显示当前支持的最大条目数，您可以自行减少最大条目数。 20 IP类型 必选参数。 此处设置IP地址组内支持的IP类型，具体如下： IPv4 IPv6 IPv4 IP地址 可选参数。 您可以在IP地址组内添加多个不同格式的IP地址，每个IP地址输入完成后，按回车键换行。 IPv4网段：IP地址/掩码，例如192.168.0.0/16。 单个IPv4地址：IP地址，例如192.168.10.10。 IPv6网段：IP地址/掩码，例如2001:db8:a583:6e::/64 单个IPv6地址：IP地址，例如2001:db8:a583:6e::5c 192.168.0.0/16 企业项目 必选参数。 创建IP地址组时，可以将IP地址组加入已启用的企业项目。 企业项目管理提供了一种按企业项目管理云资源的方式，帮助您实现以企业项目为基本单元的资源及人员的统一管理，默认项目为default。 default 描述 可选参数。 您可以根据需要在文本框中输入IP地址组的描述信息。 6. 基本信息设置完成后，单击“立即创建”。返回IP地址组列表，创建成功的IP地址组状态为“正常”。 说明 IP地址组无法独立使用，需要将IP地址组关联至对应的资源。

本文主要介绍磁盘备份 什么是磁盘备份 磁盘备份即云备份（Cloud Backup and Recovery，CTCBR），可以为磁盘创建在线备份，无需关闭云主机。针对病毒入侵、人为误删除、软硬件故障等导致数据丢失或者损坏的场景，可通过任意时刻的备份恢复数据，以保证用户数据正确性和安全性，确保您的数据安全。

动态安全传输通道 源端服务器中的迁移Agent从主机迁移服务获取到迁移指令后，会动态生成安全证书和密钥并且通过OpenStack 元数据管理服务传输给目的端服务器，此后，目的端服务器会重启并使用新生成的动态安全证书建立安全的SSL通道。 图 安全传输通道

本节介绍应用市场客户端的下载方式。 用户可通过客户端安装、升级、卸载平台和企业提供的各类应用，并且能处理各类安全审批相关的记录。目前AI云电脑中已预装此客户端，如未预装，可通过AI云电脑工具栏的快捷入口触发安装，或前往客户端下载页面进行下载。

本节主要介绍删除副本集实例节点 您可以删除不再使用的节点来释放资源。 说明 目前此功能仅支持白名单用户使用，需要提交工单申请才能使用。 使用须知 删除操作无法恢复，请谨慎操作。 开启操作保护的用户，在进行敏感操作时，通过进行二次认证再次确认您的身份，进一步提高账号安全性，有效保护您安全使用云产品。关于如何开启操作保护，具体请参考《统一身份认证服务用户指南》的内容。 存在异常节点的实例不能执行删除节点操作。 操作步骤 步骤 1 登录管理控制台。 步骤 2 在服务列表中选择“数据库 > 文档数据库服务DDS”。 登录文档数据库服务DDS控制台 步骤 3 在“实例管理”页面，选择目标实例，单击实例名称。 步骤 4 在“基本信息 > 节点信息”区域，单击“变更备节点”。 节点信息 步骤 5 选择节点数，单击“下一步”。 选择节点数 说明 删除节点即选择节点数时，数量少于当前节点数。例如当前实例节点数是5，删除节点时选择“三节点”。 步骤 6 单击“提交”。 步骤 7 若您已开启操作保护，在“删除节点”弹出框，单击“去验证”，跳转至验证页面，单击“免费获取验证码”，正确输入验证码并单击“认证”，页面自动关闭。

本文将介绍如何使用边缘安全加速平台安全与加速服务的防护规则引擎功能。 功能介绍 规则防护引擎使用基于正则的规则防护引擎和基于机器学习的 AI 防护引擎，进行 Web 漏洞和未知威胁防护。 目前防护 Web 攻击包括：SQL 注入、XSS 攻击、恶意扫描、命令注入攻击、Web 应用漏洞、WebShell 上传、不合规协议、木马后门等17类通用的 Web 攻击。 支持规则模板配置（安全基础配置—漏洞防护配置），用户可根据实际业务需要选择适合的模板，同时提供基于指定域名 URL 和规则 ID 白名单处置策略，进行误报处理。 背景信息 在控制台添加加速域名时，系统将通过一系列问题确认网站的防护场景，并为您推荐默认生效的防护规则集，支持选择防护动作为告警或拦截。接入边缘安全加速平台安全与加速业务成功后，将默认生效此防护规则集。 规则防护引擎基于各类防护场景，设定了七套防护规则集，能够满足各种网站业务防护需求，帮助网站抵御大量的Web攻击并提供漏洞防护。目前边缘安全加速平台安全团队总共已经维护五百多条防护规则，支持自动更新Web 0day漏洞攻击防护规则。

本节介绍云智手机的计费说明。 订购渠道 云智手机支持通过云智手机APP、中国电信营业厅两个渠道订购。 1. 云智手机APP（推荐）： 用户范围：全网用户。 订购路径：云智手机APP > 购买云智手机。 支付方式：互联网支付（翼支付、微信支付、支付宝支付）、话费支付。 2. 中国电信营业厅： 用户范围：电信号卡用户。 订购路径：线下中国电信营业厅咨询办理 / 线上拨打10000号咨询办理。 支付方式：话费支付。 计费规则 云智手机支持包月计费，不同支付方式计费规则不同。 1. 互联网支付（推荐）：支持订购、续订、规格变更、退订。 计费周期：以非自然月为计费单位，到期需主动续订，如用户在2026年1月8日12:00:00购买并开通一台云智手机，购买时长为2个月，则该云智手机到期时间为2026年3月8日11:59:59。 续订规则：服务到期前用户可对其进行续订操作（已退订或已释放的资源不可续订），暂不支持自动续订。 规格变更：服务到期前用户可对其进行升降配操作，升降配费用订单剩余可用天数（原规格天价格目标规格天价格）。 退订规则：提交退订申请后，3个工作日内审核，审核结果将通过短信通知；退订成功后，资源将立即删除，订单剩余金额将实时退还至用户的天翼云账户中（代金券支付部分不予退还），退订费用订单总金额÷总天数剩余可用天数（不含退订当天）退订手续费。 2. 话费支付：支持订购、续订、退订，不支持规格变更。 计费周期：以自然月为计费单位，到期自动续订，如用户在2026年1月8日12:00:00购买并开通一台云智手机，则该云智手机到期时间为2026年1月31日23:59:59；订购当月费用按当月实际天数计扣，费用四舍五入到分（如标准版29元/月，用户在1月8日订购，则收取费用22.45元29元÷31天24天）。 续订规则：到期自动续订，与话费套餐保持一致。 退订规则：退订后权益次月失效，不退当月费用。

本节介绍如何启动单个基线检查项。 1. 登录容器安全卫士产品控制台。 2. 在左侧导航栏选择“安全合规”，进入安全合规页面。 3. 在安全合规页面单击“基线名称”，进入基线详情页面。 4. 在“启用状态”这一列，可自定义选择是否启用某项基线检查项。

方案价值 权威资质认证 具备PCI DSS认证、国家信息安全等保三级认证、信通院可信云安全认证、IPv6 Enabled CDN Logo认证等。 数据安全传输 支持全链路HTTPS安全传输传输，防劫持防篡改，保护数据安全。支持HTTPS双向认证、Keyless无私钥驻留等安全传输。 极致加速体验 纯自研缓存、流量调度、动态选路等关键技术，打造坚实的CDN基础能力，保障客户业务高速、稳定传输。 响应国家政策 完成国产化服务器&操作系统适配、国密算法适配、Quic协议支持、IPv6 CDN改造。 专业重保服务 成功护航2023兔年春晚、2022两会、二十大、江泽民同志追悼会、腾讯奥运短视频、中国银行广东省分行春交会等。 优质资源及链路 国内拥有1800+个节点覆盖，150T+的业务承载能力，覆盖多运营商、主要省份和城市无盲点。海外覆盖遍布亚洲、美洲、欧洲、非洲等主要国家和城市。 精细化属地支持 31省本地化的销售网络体系，724小时技术支持，VIP客户一对一专属项目经理。 快速入门 您只需要按照以下流程，即可快速接入天翼云全站加速服务。 开通全站加速服务>>进入客户控制台>>添加加速域名>>验证域名归属权>>配置CNAME

本小节介绍容器安全内容。 容器安全能够扫描镜像中的漏洞与配置信息，帮助企业解决传统安全软件无法感知容器环境的问题；同时提供容器进程白名单、容器文件监控、容器信息收集和容器逃逸检测功能，有效防止容器运行时安全风险事件的发生。

此小节介绍企业主机安全服务优势。 主机安全服务是一个用于全面保障主机整体安全的服务，能帮助您高效管理主机的安全状态，并构建服务器安全体系，降低当前服务器面临的主要安全风险。 集中管理 实现检测和防护的一体化管控，降低管理的难度和复杂度。 将Agent安装在ECS服务器中，您可以集中管理同一区域内多样化部署的主机。 您可以在安全控制台上统一查看同一区域内主机中各项风险的来源，根据各项风险的处理建议处理主机中的各项风险；利用多样化检索、批量处理等功能，快速分析同一区域内所有主机的风险。 精准防御 拥有先进的检测技术和丰富的检测库，提供精准防御。 全面防护 提供事前预防、事中防御、事后检测的全面防护，全面降低入侵风险。 轻量Agent Agent占用资源极少，不影响主机系统的正常运行。 网页防篡改 使用第三代网页防篡改技术，内核级事件触发技术，锁定用户目录下的文件后，有效阻止非法篡改行为。 篡改监测自动恢复技术，在主机本地和远端服务器上实时备份已授权的用户所修改的文件，保证备份资源的时效性。当主机安全服务检测到非法篡改行为时，将使用备份文件主动恢复被篡改的网页。

本文介绍SSL VPN相关术语。 SSL VPN SSL（Secure Sockets Layer，安全套接层）及其继任者传输层安全（Transport Layer Security，TLS）是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL在传输层对网络连接进行加密。 SSL VPN是一种远程安全接入技术，因为采用SSL协议而得名。因为Web浏览器都内嵌支持SSL协议，使得SSL VPN可以做到“无客户端”部署，从而使得远程安全接入的使用非常简单，而且整个系统更加易于维护。SSL VPN一般采用插件系统来支持各种TCP和UDP的非Web应用，使得SSL VPN真正称得上是一种VPN，并相对IPSec VPN更符合应用安全的需求，成为远程安全接入主要手段和选择。

本小节介绍安全专区访问安全组件方法。 打开左侧菜单栏进入『组件管理』 该页面可管理安全专区所有安全组件。 组件列表承载主机名称、所在数据中心、所属VPC、IP地址、许可及版本等信息。

本文将向您介绍如何使用边缘安全加速平台安全与加速服务提供的合规检测功能。 功能介绍 支持根据用户实际配置的条件，检查HTTP协议头部，对HTTP请求信息中的方法以及参数长度等信息进行检测，对不符合的请求项进行拦截或告警。 检测范围 请求方法检测：只允许指定请求方法访问网站。 请求协议检测：只允许指定协议版本访问网站。 请求头部缺失检测：请求缺少指定头部禁止访问网站。 数据重复检测：针对头部重复、参数重复进行拦截，禁止访问网站。 请求数据长度限制：针对请求URL、头部参数进行长度限制，禁止访问网站。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 开通套餐为免费版及以上版本，支持合规检测相关功能。 操作步骤 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【安全能力】，进入【Web应用防火墙】菜单，并在左侧域名列表选择您要防护的域名。 3. 进入防护能力基础安全防护【合规性检测】详细设置页。 注意 域名新增时，会有一条全站合规检测的默认策略，可以通过【防护开关】来开启或者关闭，您也可以自定义合规检测规则。

安全专区支持安全报告功能，支持对安全报告进行自定义配置。 功能说明 通过自定义报告内容、报告展示的数据类型和接收人邮箱地址，满足告警资产安全状况数据的需求。运营管理支持报告类型分不同种类，例如周报、月报、季报、年报。 存在自定义时间段查询，根据开始时间和结束时间进行查询并对安全运营模块进行实时监控和检查，该功能模块支持邮件定期发送及指定特定接收人。 自定义时间查询报告，默认展示一周的漏洞趋势数据，可选择时间段，选择开始时间和结束时间进行查询。 操作方法 1.对于查询，可点击“安全运营”，点击所查询事项，将可在右侧展示栏获取相关信息。 2.确定每日邮件发送时间，设置为定时任务，确定好每日邮件接收人，提交『保存配置』即可完成（系统则按该时间每天进行发送）。 3.在每日邮件接收人编辑框，输入要接收的邮箱后确认添加，点击【保存配置】按钮。 4.点击【报告预览】按钮，系统会下载一份pdf格式的安全报告。

新增单个用户 1. 使用“管理角色”账号登录云堡垒机。 2. 在左侧导航栏选择“用户管理 > 用户”，进入“用户”模块。 3. 单击“新增”，在弹出的“新增用户”对话框中，填写用户信息。 参数 参数说明 登录名 填写该账户的登录名称。 只能为数字、大小写字母、“.”、“”和“”组成，首位只能数字或者字母，且不超过25个字符。 姓名 （选填）填写该账户的使用者的姓名。 手机号 填写手机号，请确保手机号真实有效，否则会影响短信的接收。 邮箱 （选填）填写邮箱地址，请确保邮箱地址真实有效，否则会影响告警信息的接收。 用户密码 输入该账户的密码。密码请根据管理员设置的密码规则填写，具体可参见：安全设置章节。 确认密码 二次确认账户密码。 角色 选择该账户所属的角色，可选以下角色： 管理角色 审计角色 访问角色 工单管理角色（提供工单管理模块的权限） 说明 一个用户支持配置多个角色，但管理角色 和工单管理角色只支持二选一。 用户组 （选填）选择该账户所属的用户组，用户组操作请参见[新增用户组](

本文介绍了Windows Server 操作系统停止支持应对计划。 微软已经于2020年01月14日停止对Windows Server 2008/2008 R2操作系统提供支持，并于2023年10月10日停止对Windows Server 2012/2012 R2操作系统提供支持。如果您有使用上述操作系统的弹性云主机，建议您采取相应的措施以持续获得软件更新和安全补丁，以避免操作系统停止维护EOL（End of Life）带来影响。本文主要介绍Windows Server 2008/2008 R2/2012/2012 R2操作系统EOL的应对方案。 注意 如果您因业务需求需要继续使用Windows Server 2008/2008 R2/2012/2012 R2，请您仔细评估操作系统EOL带来的风险。 Windows Server EOL 如何应对 推荐您将Windows Server 2008/2008 R2/2012/2012 R2迁移到替代的操作系统，以继续获取软件更新和安全补丁。 迁移前，请先评估： 1、需要迁移到哪种目标操作系统。 您可以综合考虑安全合规、稳定性、操作系统兼容性、预算、长期OS策略等因素，决定具体的迁移方案。 2、根据需求评估操作系统的迁移方式。 （推荐）重新部署环境：重新部署环境指重新购买新实例以替换原实例或者针对已有实例切换操作系统。 注意 更换操作系统后，原来的旧系统盘会被释放且所有数据会被清空，请务必在更换操作系统前备份数据。 优缺点：该方式可以使用最新的操作系统，同时可以清除历史遗留问题，更有利于长期的系统健康和可维护性。但是在重新部署业务期间可能需要暂停服务，影响业务的连续性。 适用场景：如果您希望利用操作系统EOL的时机重新部署环境，可以选择此方案。 适用的目标操作系统：无限制。

IKEv2相比IKEv1的优点 简化了安全联盟的协商过程，提高了协商效率。 修复了多处公认的密码学方面的安全漏洞，提高了安全性能。 加入对EAP（Extensible Authentication Protocol）身份认证方式的支持，提高了认证方式的灵活性和可扩展性。 EAP是一种支持多种认证方法的认证协议，可扩展性是其最大的优点，即如果想加入新的认证方式，可以像组件一样加入，而不用变动原来的认证体系。当前EAP认证已经广泛应用于拨号接入网络中。 IKEv2使用基于ESP设计的加密载荷，v2加密载荷将加密和数据完整性保护关联起来，即加密和完整性校验放在相同的载荷中。AESGCM同时具备保密性、完整性和可认证性的加密形式与v2的配合比较好。 建立IPsec VPN连接需要帐户名和密码吗？ 常见的使用帐户名和密码进行认证的VPN有SSL VPN、PPTP或L2TP，云的IPsec VPN使用预共享密钥方式进行认证，密钥配置在VPN网关上，在VPN协商完成后即建立通道，VPN网关所保护的主机在进行通信时无需输入帐户名和密码。 说明 IPsec XAUTH技术是IPsec VPN的扩展技术，它在VPN协商过程中可以强制接入用户输入帐户名和密码。 目前VPN不支持该扩展技术。 VPN监控可以监控哪些内容？ VPN网关 可以监控网关IP的带宽信息，包含入网流量、入网带宽、出网流量、出网带宽及出网带宽使用率。 查询VPN网关监控状态，请在VPN网关“网关IP”列中单击EIP后面的进行查看。

本文主要介绍IP地址组。 IP地址组是多个IP地址的集合，用来统一管理具有相同安全要求或需要频繁修改的IP地址。 对于需要使用黑名单和白名单，在监听器上设置访问控制策略的用户，开启白名单或黑名单时必须选择一个IP地址组，从而实现允许或者限制IP地址组中的IP访问负载均衡的监听器。 同一个IP地址组，最多可以关联50个监听器。目前IP地址组既支持IPv4地址又支持IPv6地址。 天翼云部分二类节点正在升级，以支持IP地址组能力，敬请用户随时关注。 创建IP地址组 1. 登录管理控制台。 2. 在管理控制台左上角选择区域和项目。 3. 选择“服务列表 > 网络 > 弹性负载均衡”。 4. 在“IP地址组”界面，单击“创建IP地址组”。 5. 配置IP地址组参数。 IP地址组参数说明表 参数 说明 样例 名称 IP地址组的名称。 ipGroup01 企业项目 企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。 IP地址 需要通过白名单或黑名单进行访问控制的IP地址。每行一个IP地址或一个网段，以回车结束； 每个IP地址或者网段都可以用“”分隔添加备注，如“192.168.10.10丨ECS01”， 备注长度范围是0到255字符，不能包含<>；每个IP地址组最多可添加300个IP地址和网段。 说明：如果IP地址组未包含任何IP地址，当访问控制选择白名单时，则对应的负载均衡监听器禁止任何IP地址访问。 10.168.2.24 10.168.16.0/24 描述 IP地址组相关信息的描述说明。 6. 确认参数配置，单击“确定”。