本文为您介绍在本地客户端通过FTP上传文件时,写入文件或者传输文件失败的问题处理方法。 故障描述 使用FTP上传文件时，写入文件或者传输文件失败。 约束与限制 本文档适用于服务端为Windows系统上的FTP服务。 故障原因 弹性公网IP与内网IP是通过NAT方式绑定的，因此本地访问弹性云主机时，客户端是通过被动模式连接服务端的，在这种情况下，服务端的IP地址无法从路由器外部访问，所以需要在服务端的对外IP中填写此弹性云主机分配的公网IP，同时设置数据传输端口范围来限制需要通过路由器转发的端口数量。 解决步骤 1. 检查FTP服务的地址是否填写正确 点击“ 服务器管理器 > 工具 > Internet Information Services(IIS)管理器” ，然后选择左边栏点击“ 网站” 。首先查看建立的FTP绑定的IP是否填写的是内网IP，类型为FTP。 图1 查看FTP所绑定的IP 2. 检查服务端的FTP防火墙支持配置 展开“ 网站” ，会显示建立的FTP服务，双击右侧的FTP防火墙支持。 图2 FTP防火墙支持 数据通道端口范围需要填写102465535范围内的，比如2000020045。 防火墙的外部IP地址这一栏需要填写分配到的 公网IP 。 3. 检查安全组设置 点击“ 控制中心 > 服务列表 > 弹性云主机” ，选择对应的可用区，然后再展示出来的弹性云主机列表里选择需要的弹性云主机，然后双击这个弹性云主机，即可打开详情页面。在下方选择“ 安全组” ，然后查看详细的安全组配置，是否在入方向里已经正确配置了端口21和上面配置的数据通道端口这两条。 图3 安全组配置 4. 在客户端测试 一种方法是使用FileZilla填写弹性云主机的公网ip，FTP的用户名和密码，端口填写21。 另一种方法是访问ftp://弹性云主机公网ip:服务端的端口（如果不填为21），然后在弹出的对话框里输入FTP的用户名和密码。

设置安全策略 说明 本专题按Web安全、Bot管理、访问控制/限流等模块化主题，非常详尽地介绍Web应用防火墙（边缘云版）已支持的功能和服务，帮助客户深入理解Web应用防火墙（边缘云版）功能，指导客户与自己的业务相结合，配置合适的防护策略。 本专题按统计分析、攻击报表等主题，详尽的介绍如何查看攻击日志、业务日志等。

方法四：配置防盗链策略 边缘安全加速平台叠加了更加全面的安全防御手段，能够有效识别盗刷行为，为网站提供加速和安全能力的同时防护盗链。详情请见：网站防盗链最佳实践。

本文介绍天翼云地域和可用区的概念、两者之间的关系以及如何选择等。 地域 地域（Region）是指物理的数据中心的地理区域。地域从地理位置和网络时延维度划分，同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。 天翼云不同地域之间完全隔离，保证不同地域间最大程度的稳定性和容错性。为了降低访问时延、提高下载速度，建议您选择最靠近业务需求的地域。 相关特性 不同地域之间的网络完全隔离，不同地域的云资源默认不能通过内网通信。 如果不同地域之间的云资源之间有通信需求，可以通过公网 IP、VPN等方式进行通信。 如何选择地域 在天翼云中，资源创建或购买成功后不能更换地域，因此选择地域时，您需要慎重考虑以下几个因素： 1. 地理位置：用户和资源部署地域的距离越近，网络时延越低，访问速度越快。建议您基于业务场景对时延的要求选择地域。 a）中国内地：一般情况下建议选择和您目标用户所在地域最为接近的数据中心，可以进一步提升用户访问速度。如果您的业务在中国内地，电信网络可以保证您在中国内地不同地域部署的业务间快速访问。 b）其他国家及地区：其他国家及地区提供的带宽主要面向非中国内地的用户。如果您的业务在中国内地，使用这些地域部署业务会有较长的访问延迟，不建议您使用。 2. 资源价格及资源覆盖：不同区域的资源价格可能有差异，不同地域的产品覆盖可能有差异，请根据您的需求及预算选择合适的地域。 3. 经营性备案：如果您使用弹性云主机实例作为Web服务器，您需要完成经营性备案，同时需要在指定的地域购买实例。（各省（或市）通信管理局对经营性备案的审批要求不同，请以当地管理局经营性备案网站公示内容为准。）

本节介绍态势感知的定义。 态势感知（专业版）是云原生的新一代安全运营中心，基于云原生安全，提供云上资产管理、安全态势管理、安全信息和事件管理、安全编排与自动响应等能力，可以鸟瞰整个云上安全，精简云安全配置、云防护策略的设置与维护，提前预防风险，同时，可以让威胁检测和响应更智能、更快速，帮助您实现一体化、自动化安全运营管理，满足您的安全需求。 为什么选择态势感知（专业版） 一屏全面感知：采集各类安全服务的告警事件，并进行大数据关联、检索、排序，全面评估安全运营态势，支持大屏展示安全运营动态。 一体全程处置：服务内置多种处理剧本，实现99%以上的安全事件分钟级自动化响应。

天翼云弹性云主机为您提供优质的服务体验,本文带您了解弹性云主机的产品优势。 快捷易用，动态调整计算资源 即开即用：无论一台还是百台，均可在几分钟内开通使用； 大规模开通：通过调用云主机API，可在十分钟内开通千台实例； 弹性伸缩：提供弹性伸缩服务，可根据业务灵活调整云主机数量。 配置丰富，支持根据业务按需选购 多种实例规格：提供通用计算型、计算增强型、内存优化型、GPU型等多种规格，同时支持规格升级，面向各类场景满足用户的实时需求； 多种存储类型：支持单独购买云硬盘挂载到云主机上，并提供多种存储类型，满足不同的 I/O 性能要求。 专有网络，可灵活自定义网络空间 通过隧道技术实现100%二层网络隔离，满足不同行业客户的安全隔离需要； 基于安全组和访问ACL进行三层以上网络双重访问控制，满足行业用户的网络安全规范； 自定义子网网段划分、IP地址及路由策略，按需配置，即开即通； 支持专线、VPN等多种方式接入云端。 安全稳定，多重防护保障数据可靠性 高达99.9999999%的数据持久性； 云硬盘采用三副本技术，支持云硬盘自动备份，进一步保障数据安全性； 提供云主机安全、网站安全服务等精细化专业防护能力。

本节介绍了如何在边缘安全加速平台使用安全加速服务的域名规则防护引擎为您的网站做好WEB应用攻击防护。 应用场景 攻击者经常会采用SQL注入、XSS跨站、Webshell上传、命令注入、后门隔离、非法文件请求、路径穿越、常见应用漏洞攻击等Web攻击手段对网站进行攻击。您的网站接入安全与加速服务后，可以通过配置对应的WAF漏洞防护集合规则来抵御这些Web应用类型攻击。 如何配置防护策略 网站接入边缘安全加速平台后，安全与加速服务根据不同的业务场景内置了不同的规则模板，您可以根据业务情况选择规则模板，并且设置规则模板的防护模式。每种规则模板针对不同的场景进行Web防护，减少正常请求的误报漏报，提高在您选择的场景下的拦截非法请求的成功率。 默认提供七种防护规则集合： 全量防护规则：适用于重保等级高，且允许一定程度误报的业务场景。该漏洞规则集防护包含全量规则，绝大部分规则处理动作为拦截（网站防护模式为拦截时则直接进行拦截）。 敏感防护规则集：适用于常规网站，且允许少量误报的业务场景。该漏洞规则集防护等级较为严格，容易误报的规则处理动作为告警，其他规则处理动作为拦截（网站防护模式为拦截时则直接进行拦截），存在一定误报可能性。 宽松防护规则集：适用于常规网站，允许存在一定漏报的业务场景。该漏洞规则集防护等级较为宽松，关闭容易产生误报的规则，可能存在一定漏报。 PHP防护规则集：适用于后台开发语言为PHP的网站业务。该漏洞规则集主要针对后台语言为PHP进行制定，关闭其他容易产生误报的规则。 JAVA防护规则集：适用于后台开发语言为JAVA的网站业务。该漏洞规则集主要针对后台语言为JAVA进行制定，关闭其他容易产生误报的规则。 非PHP和JAVA防护集：适用于后台开发语言明确非PHP和JAVA网站业务。该漏洞规则集主要针对后台语言为非PHP和JAVA进行制定，关闭其他容易产生误报的规则。 下载类业务规则集：适用于下载类业务，即包含zip、rar、tar、gz等下载类后缀的业务网站。该漏洞规则集主要针对下载类业务进行设定规则，关闭其他容易产生误报的规则。 关于域名规则开关的选项说明： 关闭：关闭规则防护，不会对Web攻击进行有效拦截和记录。 告警：WAF不会拦截任何Web攻击，仅会根据域名规则匹配到的Web攻击记录到攻击日志。 拦截：WAF会根据域名规则内容匹配，如果请求与域名规则匹配上会拦截请求，并记录到攻击日志中。 除了控制全量域名规则的开关，您还可以根据您网站特性，选择一些误报率较高的域名规则进行关闭，减少误报率，如下图：

本文将向您介绍如何使用边缘安全加速平台安全与加速服务提供的CSRF防护功能。 功能介绍 CSRF一般指跨站请求伪造。跨站请求伪造（英语：Crosssite request forgery），也被称为 oneclick attack 或者 session riding，通常缩写为 CSRF 或者 XSRF， 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。针对发起CSRF攻击进行防护。 背景信息 CSRF的攻击场景 攻击者盗用了用户的身份，以用户的名义发送恶意请求，对服务器来说这个请求是完全合法的，但是却完成了攻击者所期望的一个操作，比如以受攻击者名义发送邮件、发消息，盗取账号，添加系统管理员，甚至于购买商品、虚拟货币转账等。 CSRF的攻击原理 用户User打开浏览器，访问受信任网站A，输入用户名和密码请求登录网站A。 在用户信息通过验证后，网站A产生Cookie信息并返回给浏览器，此时用户登录网站A成功，可以正常发送请求到网站A。 用户未退出网站A之前，在同一浏览器中，打开一个TAB页访问网站B。 网站B接收到用户请求后，返回一些攻击性代码，并发出一个请求要求访问第三方站点A。 浏览器在接收到这些攻击性代码后，根据网站B 的请求，在用户不知情的情况下携带Cookie 信息，向网站A 发出请求。网站A 并不知道该请求其实是由B 发起的，所以会根据用户User 的Cookie 信息以User 的权限处理该请求，导致来自网站B 的恶意代码被执行。

类别 云防火墙 Web应用防火墙 定义 云防火墙（Cloud Firewall，CFW）是新一代的云防火墙，提供云上互联网边界和VPC边界的防护，包括实时入侵检测与防御、全局统一访问控制、全流量分析可视化、日志审计与溯源分析等，同时支持按需弹性扩容、AI提升智能防御能力、灵活扩展满足云上业务的变化和扩张需求，极简应用让用户快速灵活应对威胁。云防火墙服务是为用户业务上云提供网络安全防护的基础服务。 Web应用防火墙（Web Application Firewall，WAF），通过对HTTP(S)请求进行检测，识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击，保护Web服务安全稳定。 防护对象 弹性公网IP和VPC边界。 支持对Web攻击的基础防护。 支持外部入侵和主动外联的流量防护。 针对域名或IP，云上或云下的Web业务。 支持对Web攻击的全面防护。 功能特性 资产管理与入侵防御：对已开放公网访问的服务资产进行安全盘点，进行实时入侵检测与防御。 访问控制：支持互联网边界访问流量的访问控制。 流量分析与日志审计：VPC间流量全局统一访问控制，全流量分析可视化，日志审计与溯源分析。 SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击防护。

分类 功能模块 描述 零信任免费版 零信任VPN版 零信任基础版 零信任企业版 终端管理基础版 远程办公接入 零信任VPN 提供虚拟专有网络，通过加密协议对数据进行加密传输，建立安全可靠的VPN网络。 √ √ √ √ 不涉及 远程办公接入 内网应用接入 可实现域名、IP等精细化内网应用接入。 √ √ √ √ 不涉及 远程办公接入 精细化权限管控 支持应用按身份，角色，用户组，组织架构等进行授权和管控。 √ √ √ √ 不涉及 远程办公接入 信创连接器 连接器版本支持常用国产化系统，包括麒麟、统信、天翼云CTyunOS。 × √ √ √ 不涉及 远程办公接入 连接器管理 提供灵活连接器部署安装方式，用于打通企业内网。 √（仅支持部分安装命令，可支持至多5个连接器集群或实例） √（可支持至多10个连接器集群或实例） √（可支持至多10个连接器集群或实例） √（可支持至多20个连接器集群或实例） 不涉及 远程办公接入 域名解析 域名解析管理功能针对无公网解析的域名，实现无需绑定HOST即可进行内网访问。 √ √ √ √ 不涉及 远程办公接入 源地址网络地址转换 实现一对一内网访问溯源，针对用户+设备粒度、用户粒度进行分配唯一IP回源访问。 × √ √ √ 不涉及 远程办公接入 内网限速 可以基于总带宽、单客户端进行内网限速。 √ √ √ √ 不涉及 远程办公接入 网络健康探测 提供网络接入情况连通性探测，实时监控发现异常网络接入情况，确保内网访问高可用、稳定性。 × √ √ √ 不涉及 身份安全认证 身份源同步 支持第三方身份源集成（自建/企微/AD等)。 √（限时免费） √ √ √ 不涉及 身份安全认证 认证源集成 支持账密、短信、邮箱进行认证，以及第三方认证源集成（如企微/AD等）。 √（限时免费） √ √ √ 不涉及 身份安全认证 单点登录SSO 支持标准协议单点登录SSO对接 × × √ √ 不涉及 身份安全认证 双因素认证 支持短信、邮箱进行双因素认证。 √ √ √ √ 不涉及 设备管理 桌面终端 提供PC端的客户端程序，支持Windows，MacOS系统。 √ √ √ √ √ 设备管理 移动终端 提供移动端的APP程序，支持IOS、安卓系统手机。 × × √ √ 暂未发布 设备管理 移动端SDK 提供移动端SDK的标准接入能力，支持对接IOS、安卓系统手机。 × √ √ √ 暂未发布 设备管理 Linux终端 提供Linux相关操作系统类型的客户端程序。 × × √（支持ubuntu18.04、ubuntu20.04桌面版） √（支持ubuntu18.04、ubuntu20.04桌面版） 暂未发布 设备管理 信创终端 提供信创系统的客户端程序，信创系统（麒麟、统信）。 × × √ √ 暂未发布 设备管理 终端资产 终端资产进行盘点、展示，用于分析。 √ √ √ √ √ 设备管理 设备策略 支持设备共享、用户激活认证、授信等策略处理。 × √ √ √ √ 安全策略 访问控制 提供接入VPN访问控制，粒度包括按用户、IP、终端设备、接入时间、地区等。 √（仅支持部分规则粒度） √（仅支持部分规则粒度） √ √ 不涉及 安全策略 应用隐身 支持连接器部署和反向连接到天翼云边缘节点，实现企业内网应用隐身，并且基于SDP架构，对数据面和控制面进行分离，无需暴露企业应用于公网之中。 √ √ √ √ 不涉及 安全策略 准入管控 支持对接入零信任客户端的终端设备的多维度准入策略配置，实现对异常行为、设备、身份等不允许接入企业VPN网络。 × × √ √ 不涉及 安全策略 横向渗透防护 支持进行钓鱼防护，能够对企业内网发生恶意扫描行为，例如触发异常访问频率和维度的行为实时阻断等。有效抑制住钓鱼等C2攻击。 × × × √ 不涉及 安全策略 动态授权 支持对访问主体在远程访问的过程中的行为、身份、设备、终端环境等信息进行多维度策略评估，并实时对异常进行阻断等。 × × √ √ 不涉及 安全策略 RBI云端浏览器隔离 通过隔离浏览环境进行数据隔离、运行隔离，限制员工行为，保障员工终端安全，敏感数据不落地。 额外付费购买 额外付费购买 额外付费购买 额外付费购买 不涉及 安全策略 内外网隔离 支持对终端访问的流量进行黑白名单管控，能够实现企业内网访问和互联网访问的安全隔离。 × × × √ 不涉及 终端安全管理 上网行为管控 员工互联网访问行为可视可审可追溯，一键拦截违规违法网站，轻松实现合规合法、网络稳定的上网环境，提高企业办公效率。 × × × √ √ 终端安全管理 软件管理 从软件的来源、安装、运行情况进行全方位展示，协助企业梳理员工安装、运行软件情况；通过配置软件管控策略，阻止软件运行。 × × √ √ √ 终端安全管理 病毒查杀 支持定期对终端进行病毒扫描，提供最新的病毒引擎版本，扫描完成后自动隔离和上报。 × × × √ √ 终端安全管理 实时防护 包含文件实时防护、U盘防护，对即将进入设备的病毒进行实时监控。 × × × √ √ 终端安全管理 局域网共享防护 局域网共享路径是病毒常见的横向扩散手段，对局域网共享路径进行操作时需要实时监控。比如文件上传、执行等。 × × × ×（限时免费） ×（限时免费） 终端安全管理 防钓鱼 面向办公网钓鱼防护场景，支持检测IM工具和邮件附件下载的文件是否带毒、是否为伪装文件。 × × × ×（限时免费） ×（限时免费） 终端安全管理 漏洞修复 对设备进行漏洞扫描和补丁修复，有效发现和修复设备存在的紧急漏洞，加固操作系统的安全性。 × × × √ √ 终端安全管理 外设管控 企业管理员对员工的U盘、SD卡、外接硬盘进行禁用、只读、审计管控，有效阻止风险入侵，有效防止文件外泄。 × × × √ √ 终端安全管理 办公净化 对于已安装软件，支持自动拦截广告、骚扰、恶意弹窗。为用户提供⽆⼲扰的纯净操作环境，赋能绿色上网诉求。 × × × √（限时免费） √（限时免费） 终端安全管理 AI安全检测 支持盘点设备上运行的大模型组件，高效构建AI应用资产全景；支持超过 30+种 AI 应用组件漏洞检测，实现漏洞高效管理。 × × × ×（限时免费） ×（限时免费） 终端安全管理 合规检测 支持设置终端基线标准，能够对接入零信任的终端进行基线采集并检测是否符合企业安全规范基准。 × × √ √ √ 终端安全管理 自保护 当员工退出账号、退出客户端、退出企业、卸载客户端时，需要进行防护码校验，实现客户端自保护。 × × √ √ √ 产品服务 态势大屏 提供零信任办公态势大屏，能够展示企业办公内网访问情况、终端安全分析、设备分布、用户分布等态势感知能力。 × × × √ × 产品服务 告警自助 提供零信任远程办公告警自助能力，企业可配置连接器异常告警、业务异常告警等，实现精准感知异常，减少业务影响。 × √ （SaaS版本支持 √ （SaaS版本支持） √ （SaaS版本支持） × 产品服务 客户端定制化 支持客户端定制化LOGO，强化企业感知力。 × × √ √ × 产品服务 日志投递 将零信任日志投递到客户指定目标服务器，实现AOne日志的全生命周期管理。可对接企业统一态势平台，赋能企业安全运维监控场景。 × × √ （SaaS版本支持） √ （SaaS版本支持） 不涉及 产品服务 日志审计 提供日志审计功能，针对行为进行审计。 × √ √ √ √

本节介绍如何查看并处理病毒文件。 前提条件 已完成病毒扫描。详细操作请参见扫描病毒。 查看扫描结果 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“文件安全 > 病毒查杀”，进入病毒查杀页面。 3. 在病毒查杀页面查看病毒相关信息。 查看统计信息 页面上方展示告警事件和风险服务器的统计情况。 查看告警列表 页面下方展示告警事件详情。 告警事件列表展示字段包括服务器、操作系统、病毒名称、文件路径、文件MD5、首次发现时间、最后检测时间、状态处理方式和操作。 告警事件支持按发现时间、处理状态、服务器名称、服务器IP、文件MD5进行搜索。 查看告警详情 单击“详情”，查看病毒详细信息。 风险资产：包括服务器名、首次发现时间、最后检测时间、处置状态、检测类别（一键扫描/定时扫描/实时检测）、检测模式（快速检测/全盘检测/自定义检测）。 病毒文件：包括病毒名、病毒类型、是否关键文件、文件MD5、文件SHA256、文件路径、进程ID、进程命令行、检测引擎（云查引擎/本地检测引擎）。

本小节介绍开启容器安全防护。 您可以为已购买的服务器开启容器版安全防护，开启后按照容器版所提供的能力对服务器进行安全防护。 开启容器节点防护时，您需为指定的节点（主机）分配一个配额，关闭容器安全防护或删除节点（主机）后，该配额可分配给其他的节点（主机）使用。 检测周期 企业主机安全每日凌晨进行全量检测。 若您在检测周期前开启防护，您需要等到次日凌晨检测后才能看到检测结果。 前提条件 “资产管理 > 容器管理”页面“容器节点管理”中目标服务器“Agent状态”为“在线”。 已在云容器引擎成功创建节点。 节点的“容器防护状态”为“未防护”。 操作步骤 1、登录管理控制台。 2、在弹窗界面单击“体验新版”，切换至企业主机安全页面。 注意 切换至新版后，在总览页左上角单击“返回旧版”，可切换至企业主机安全（旧版）。 3、 在左侧导航树中，选择“资产管理 > 容器管理”，进入“容器节点管理”页面。 4、 根据需求可选择批量开启防护和单服务器开启防护。 单服务器开启防护 a.在“节点列表”中目标服务器的“操作”列单击“开启防护”，为需要开启防护的节点开启防护。 b.在弹窗中确认信息。 注意 开启包年/包月模式若提示配额不足，您需购买主机安全防护配额后才可以开启包年/包月的容器版防护，按需可直接开启，无需购买。 一个容器安全配额防护一个集群节点。 确认开启集群防护 c.确认选择信息无误，阅读《容器安全服务免责声明》并勾选“我已阅读《容器安全服务免责声明》”，单击确认，返回页面查看“容器防护状态”为“防护中”表示容器版安全防护已开启。 批量开启防护 a.在“节点列表”中勾选多个目标服务器前的选框，单击上方“开启防护”。 b.在弹窗中确认信息及选择计费模式。 注意 开启包年/包月模式若提示配额不足，您需购买主机安全防护配额后才可以开启包年/包月的容器版防护，按需可直接开启，无需购买。 一个容器安全配额防护一个集群节点。 c.确认选择信息无误，阅读《容器安全服务免责声明》并勾选“我已阅读《容器安全服务免责声明》”，单击确认，返回页面查看“容器防护状态”为“防护中”表示容器版安全防护已开启。

字段 字段说明 攻击时间 攻击时间 规则ID 规则ID对应策略配置，如访问控制配置一条即有一个规则ID，通过规则ID可快速定位由客户哪条规则策略引起的处置 用户 用户帐号 设备ID 设备ID 客户端地址：端口 发起请求客户端的所在IP地址、地区和端口 攻击IP 攻击IP 攻击IP归属 攻击IP归属，如北京电信 目标域名或IP 访问的目标域名或IP 攻击类型 访问控制、扫描攻击（指横向渗透防护检测到的攻击）、未授权访问（指无零信任应用授权的访问行为）、动态授权、黑名单、准入策略、离线分析、准入管控和合规检测攻击类型 状态码 05xx 处理动作 告警：即仅产生告警，不会对访问产生影响 拦截：即将对应请求进行拦截，将无法访问对应目标地址 操作 对于横向渗透防护策略匹配到的防护日志，支持操作取消处置功能 取消处置：用于在零信任网关进行防护时，若对访问行为执行处置动作，被处置对象的零信任使用将受限。点击取消处置按钮，可实时解除网关对该设备的处置动作

本文介绍访问请求响应403状态码如何排查和处理。 问题描述 网站接入Web应用防火墙（边缘云版）之后，当访问请求有可能对网站造成安全威胁时，WAF防护引擎会拦截这些请求，并响应403错误给浏览器，拦截信息如下图所示： 解决方案 当请求响应403拦截时，您可以通过Web应用防火墙（边缘云版）控制台查看具体的攻击拦截信息： 在Web应用防火墙（边缘云版）控制台，通过安全分析 > WAF攻击报表，查看WAF攻击数据的多维度统计分析。也可以通过日志管理 > WAF攻击日志查看每条拦截请求的攻击详细信息，其中事件ID跟拦截请求响应内容中的RequestID对应。 通过分析攻击日志详情后，如果您认为该拦截的请求是正常业务请求，可通过点击日志详情页面的"添加白名单"按钮，进入添加白名单页面添加对应的白名单规则。

为什么在云监控服务看不到监控数据？ 当出现以下情况时，有可能在云监控服务中看不到监控数据： 购买云服务资源后，首先确认该服务是否已对接云监控服务，请参考支持监控的服务列表。 已对接云监控的服务，由于各个服务采集上报监控数据的频率各有不同，请耐心等待一段时间。 弹性云服务器或裸金属服务器关机超过1小时以上。 云硬盘没有挂载给弹性云主机或物理机。 弹性负载均衡未绑定后端服务器或者后端服务器全部关机。 资源创建时间不足10分钟。 安装配置成功Agent后，为什么管理控制台没有操作系统监控数据或者显示数据滞后？ 安装配置Agent成功，并且云监控服务管理控制台界面“监控状态”开启开关后，需要等待2分钟，管理控制台上才会有操作系统监控数据。 若“插件状态”为“运行中”，“监控状态”开启，等待5分钟后仍没有操作系统监控数据，则需要排查ECS或BMS时间和管理控制台所在客户端时间是否一致。 Agent上报数据时取的是ECS或BMS的操作系统本地时间，管理控制台下发的请求时间范围是依赖用户客户端浏览器的时间，两者如果不匹配则可能导致管理控制台查不到操作系统监控数据。 修改物理机和监控服务时间一致参考命令： timedatectl settimezone 'Asia/Shanghai'。 为什么云监控服务中的网络流量指标值与弹性云服务器系统内工具检测的指标不同？ 因为云监控服务与弹性云主机系统内指标检测软件的采样周期不同。 云监控服务对弹性云主机、云硬盘的采样周期是4分钟（云主机类型为KVM的是5分钟），而系统内工具的采样周期一般为1秒，远远小于云监控服务的采样周期。 采样周期越大，短期内的数据失真越大。所以云监控服务更适合用于网站长期监测、长期监测运行在弹性云主机内的应用趋势等。 同时，使用云监控服务用户可通过设置阈值对资源进行提前告警，保证资源稳定可靠。

本小节介绍开启容器安全防护。 您可以为已购买的服务器开启容器版安全防护，开启后按照容器版所提供的能力对服务器进行安全防护。 开启容器节点防护时，您需为指定的节点（主机）分配一个配额，关闭容器安全防护或删除节点（主机）后，该配额可分配给其他的节点（主机）使用。 检测周期 企业主机安全每日凌晨进行全量检测。 若您在检测周期前开启防护，您需要等到次日凌晨检测后才能看到检测结果。 前提条件 “资产管理 > 容器管理”页面“容器节点管理”中目标服务器“Agent状态”为“在线”。 已在云容器引擎成功创建节点。 节点的“容器防护状态”为“未防护”。 操作步骤 1、登录管理控制台。 2、在弹窗界面单击“体验新版”，切换至企业主机安全页面。 注意 切换至新版后，在总览页左上角单击“返回旧版”，可切换至企业主机安全（旧版）。 3、 在左侧导航树中，选择“资产管理 > 容器管理”，进入“容器节点管理”页面。 4、 根据需求可选择批量开启防护和单服务器开启防护。 单服务器开启防护 a.在“节点列表”中目标服务器的“操作”列单击“开启防护”，为需要开启防护的节点开启防护。 b.在弹窗中确认信息。 注意 开启包年/包月模式若提示配额不足，您需购买主机安全防护配额后才可以开启包年/包月的容器版防护，按需可直接开启，无需购买。 一个容器安全配额防护一个集群节点。 确认开启集群防护 c.确认选择信息无误，阅读《容器安全服务免责声明》并勾选“我已阅读《容器安全服务免责声明》”，单击确认，返回页面查看“容器防护状态”为“防护中”表示容器版安全防护已开启。 批量开启防护 a.在“节点列表”中勾选多个目标服务器前的选框，单击上方“开启防护”。 b.在弹窗中确认信息及选择计费模式。 注意 开启包年/包月模式若提示配额不足，您需购买主机安全防护配额后才可以开启包年/包月的容器版防护，按需可直接开启，无需购买。 一个容器安全配额防护一个集群节点。 c.确认选择信息无误，阅读《容器安全服务免责声明》并勾选“我已阅读《容器安全服务免责声明》”，单击确认，返回页面查看“容器防护状态”为“防护中”表示容器版安全防护已开启。

分类 SSL证书域名证书 SSL证书IP证书 私有（内网）证书 个人证书 应用场景 用于网站安全加密，是保护网站数据的必备证书。 仅支持能进行互联网验证的 域名 。 用于网站安全加密，是保护网站数据的必备证书。 仅支持能进行互联网验证的 IP 。 用于 内网身份认证、系统间加密通信 和设备安全管理。 用于个人电子邮件或文档签名，无法用于网站HTTPS加密，常用于密评场景。 支持的加密标准 国际标准 国密标准 国际+国密 国际标准 国际标准 国密标准 国密标准 支持的证书种类 域名型证书（DV） 企业型证书（OV） 企业型基础版（OVBasic） 企业型专业版（OVPro） 增强型证书（EV） 增强型基础版（EVBasic） 企业型证书（OV） 企业型专业版（OVPro） 企业型基础版（OVBasic） 企业型证书（OV） 支持的证书版本 标准版 SecureSite GeoTrust GlobalSign CFCA TrustAsia 标准版 SecureSite GeoTrust GlobalSign CFCA TrustAsia 标准版 支持的域名类型 通配符 单域名 多域名 单IP 通配符 单域名 多域名

前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 开通套餐为免费版及以上版本，支持使用规则防护引擎功能。若为免费版，仅支持使用告警能力。 操作步骤 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【安全能力】，进入【Web应用防火墙】菜单，并在左侧域名列表选择您要防护的域名。 3. 进入防护能力基础安全防护【防护规则引擎】详细设置页。 配置说明 防护模式 防护模式支持选择关闭、告警、拦截，免费版默认仅提供告警能力。 选择防护规则模板 您可以根据您的网站业务场景选择适合的防护规则集 全量防护规则集：适用于重保等级高，且允许一定程度误报的业务场景。该漏洞规则集防护包含全量规则，绝大部分规则处理动作为拦截（网站防护模式为拦截时则直接进行拦截），容易出现误报，请谨慎选择；敏感防护规则集：适用于常规网站，且允许少量误报的业务场景。该漏洞规则集防护等级较为严格，容易误报的规则处理动作为告警，其他规则处理动作为拦截（网站防护模式为拦截时则直接进行拦截），存在一定误报可能性。 宽松防护规则集：适用于常规网站，允许存在一定漏报的业务场景。该漏洞规则集防护等级较为宽松，关闭容易产生误报的规则，则可能存在一定漏报，接入后请及时关注。 PHP防护规则集：适用于后台开发语言为PHP的网站业务。该漏洞规则集主要针对后台语言为PHP进行制定，关闭其他容易产生误报的规则，接入后请及时关注。 JAVA防护规则集：适用于后台开发语言为JAVA的网站业务。该漏洞规则集主要针对后台语言为JAVA进行制定，关闭其他容易产生误报的规则，接入后请及时关注。 非PHP和JAVA防护集：适用于后台开发语言明确非PHP和JAVA网站业务。该漏洞规则集主要针对后台语言为非PHP和JAVA进行制定，关闭其他容易产生误报的规则，接入后请及时关注。 下载类业务规则集：适用于下载类业务，即包含zip、rar、tar、gz等下载类后缀的业务网站。该漏洞规则集主要针对下载类业务进行设定规则，关闭其他容易产生误报的规则，接入后请及时关注。

本文介绍了云防火墙（原生版）产品的应用场景。 外部访问控制 通过云防火墙（原生版）产品，对已开放公网访问的服务资产进行安全盘点，能够自动识别威胁暴露面，可对开放的公网IP一键开启入侵检测与防御，保护公网资产安全。 主动外联管控 对主动外联行为进行分析，评估主机失陷风险状态，并对恶意连接行为进行实时阻断，保护资产安全。 等保合规 云防火墙（原生版）产品能够满足等保2.0二级和三级中针对边界防护、访问控制、入侵防御、安全审计等特定的等保合规检查要求。

本章对主机迁移服务介绍安全相关的说明，主要包含：责任共担，身份认证，访问控制，数据保护技术，审计与日志，服务韧性。 责任共担 安全性是天翼云与您的共同责任： 天翼云 ：负责云服务自身的安全，提供安全的云。 租户 ：负责云服务内部的安全，安全地使用云。 身份认证 SMS服务包含：控制台、Agent、API供您使用。控制台使用天翼云统一账户进行登录，Agent、API本质上都是REST风格的API接口调用。 所有的API接口调用均需要经过认证的请求才可以访问成功，经过认证的请求需要包含一个签名值，该签名值以请求者的访问密钥（AK/SK）作为加密因子，结合请求体携带的特定信息计算而成。通过访问密钥（AK/SK）认证方式进行认证鉴权，即使用Access Key ID（AK）/Secret Access Key（SK）加密的方法来验证某个请求发送者身份。用户通过天翼云正确的鉴权信息才能访问成功。详情可参考：统一身份认证。 访问控制 SMS基于IAM提供了系统策略和自定义策略，需要给用户配置相应策略，才能进行SMS及迁移必须资源的访问和操作，具体操作步骤参考：创建用户并授权使用SMS。建议您使用自定义策略，定义SMS所需的最小权限集合即可。 数据保护技术 SMS数据分为主机数据和个人凭证数据，分别提供了不同的技术，保障数据的安全性。 主机数据保护 对于数据传输，每次迁移任务执行过程中都会生成动态的安全证书和密钥并建立SSL安全通道。源端和目的端之间通过该安全通道点对点传输数据，保障客户主机数据的安全。 个人凭证数据保护 使用AK/SK校验迁移Agent身份，通过HTTPS与天翼云进行加密通信，保障个人凭证数据的安全。

本节介绍网页防篡改（原生版）的产品优势。 方便易用 只需在Web服务器一键安装Agent，简单配置防护策略即可实现防护，全部操作都有可视化界面，方便用户使用。 灵活配置 防护策略支持自定义配置，按需指定防护的进程和文件类型，支持各类网站文件的保护。 安全可靠 产品实现自我保护机制，防止被篡改，采用加密传输与服务端通信，保证数据安全。通过5000+台服务器的运行实践，稳定性高达99.998%，2分钟内离线自动重启机制，保障系统始终处于检测状态。 节约资源 正常的系统负载情况下，CPU占用率<1%，内存占用<40M，消耗极低。在系统负载过高时，Agent会主动降级运行（CPU占用率<1%），严格限制对系统资源的占用，确保业务系统正常运行。

此小节介绍Web应用防火墙产品规格。 独享模式说明 独享模式相关说明如下表所示： 项目 说明 部署方式 独享引擎 使用场景 业务服务器部署在云上。 大型企业网站，具备较大的业务规模且基于业务特性具有定制化的安全需求。 防护对象 域名 IP 优势 部署灵活 独享引擎实例资源由用户独享 可以满足大规模流量攻击场景防护需求 独享引擎实例部署在VPC内，网络链路时延低 业务规格 WAF支持的业务规格如下表所示： 业务指标 规格 正常业务请求峰值 以下数据为单实例规格： WAF实例规格选择WI500，参考性能： − HTTP业务：建议QPS 5,000；极限QPS 10,000 − HTTPS业务：建议QPS 4,000；极限QPS 8,000 − Websocket业务：支持最大并发连接5,000 − 最大回源长连接：60,000 WAF实例规格选择WI100，参考性能： − HTTP业务：建议QPS 1,000；极限QPS 2,000 − HTTPS业务：建议QPS 800；极限QPS 1,600 − Websocket业务：支持最大并发连接1,000 − 最大回源长连接：60,000 说明 极限值为实验室测试值，高敏感业务请以实际业务测试数据为准。实际QPS与业务请求数据大小、自定义防护规则种类及数量相关。 业务吞吐量（源站服务器部署在云内） WAF实例规格选择WI500，参考性能：吞吐量：500 Mbps WAF实例规格选择WI100，参考性能：吞吐量：100 Mbps 域名个数 2,000个（支持2,000个一级域名） CC攻击防护峰值 WAF实例规格选择WI500，参考性能：防护峰值：20,000QPS WAF实例规格选择WI100，参考性能：防护峰值：4,000QPS CC攻击防护规则 100条 精准访问防护规则 100条 IP黑白名单规则 100条 地理位置封禁规则 100条 网页防篡改规则 100条 防敏感信息泄露 100条 误报屏蔽规则 1000条 隐私屏蔽规则 100条 说明 域名个数为一级域名（例如，ctyun.com）、单域名/子域名（例如，www.ctyun.com）和泛域名（例如，.ctyun.com）的总数。 同一个域名对应不同端口视为不同的域名，例如www.ctyun.com:8080和www.ctyun.com:8081视为两个不同的域名，将占用两个不同的域名防护额度。 安全功能特性： 功能模板 相关文档 支持添加泛域名 网站接入WAF 非80、443标准端口防护 WAF支持的端口 批量灵活配置防护策略 配置指导 常见的Web应用攻击防护，包括XSS攻击、SQL注入、爬虫检测等 配置Web基础防护规则 云端自动更新最新0Day漏洞防护规则，及时下发0Day漏洞虚拟补丁 配置Web基础防护规则 Webshell检测 配置Web基础防护规则 CC攻击防护 配置CC攻击防护规则 精准访问防护 配置精准访问防护规则 引用表管理 创建引用表 IP黑白名单设置 配置IP黑白名单规则 支持对指定国家、省份的IP自定义访问控制 配置地理位置访问控制规则 网页防篡改 配置网页防篡改规则 基于人机识别和数据风控的动态反爬虫 配置网站反爬虫防护规则 防敏感信息泄露 配置防敏感信息泄露规则 误报屏蔽 配置误报屏蔽规则 隐私屏蔽 配置隐私屏蔽规则

网站漏洞扫描主要是针对WEB应用的SQL注入、跨站、远程挂马、跨站请求伪造 CSRF、OWASP top 10 等漏洞进行扫描进行网站漏洞扫描，实时将数据反馈到安全专区，进行动态展示。 操作方法 1.网站漏洞数据来源：点击【资产管理】→【域名】，扫描后，如果该网站有漏洞则会同步到【网站漏洞】模块。 2.选择时间范围内，进行趋势分析。 风险终端 可以实时分析、日志追溯等方式进行数据查找和分析，记录站点来源信息以及网站网页信息类型，记录网站漏洞名称、漏洞等级、漏洞发现时间、漏洞处理状态及漏洞具体描述。 点击【导出】，即下载网站漏洞扫描报告。 点击【漏洞描述】即展示网站漏洞具体域名地址、网站漏洞详情。

账号被暴力破解，怎么办？ 账号被暴力破解，服务器安全卫士会自动对攻击IP进行一小时封禁并发出短信邮件告警，如果客户确认是攻击IP，可以选择进行永久封禁，如果不是攻击IP，进行加白即可。 如何使用服务器安全卫士？ 使用服务器安全卫士请按照如下步骤进行操作： 1. 购买防护配额。 2. 安装Agent。 安装Agent后，您才能开启服务器安全卫士服务。 3. 设置告警通知。 第一次登录会让填写默认手机号邮箱号，告警默认开启，开启告警通知功能后，您能接收到主机安全服务发送的告警通知，及时了解主机内的安全风险。 购买服务器安全卫士后会自动安装Agent吗？ 购买服务器安全卫士后系统不会自动执行安装Agent，用户需要按照安装手册，登录控制台生成命令并将命令复制到主机上执行来安装Agent。 出现弱口令告警，怎么办？ 若您收到弱口令告警，则说明您的主机存在被入侵的风险。数据、程序都存储在系统中，若密码被破解，系统中的数据和程序将毫无安全可言，请及时修改弱口令。 如何处理漏洞？ 1. 查看漏洞检测结果。 2. 按照漏洞检测结果给出的漏洞修复紧急度和解决方案逐个进行漏洞修复。 如何设置安全的口令？ 请按如下建议设置口令： 使用复杂度高的密码。 建议密码复杂度至少满足如下要求： 密码长度至少8个字符。 包含如下至少三种组合：大写字母（AZ）、小写字母（az）、数字（0~9）、特殊字符。 密码不为用户名或用户名的倒序。 不使用有一定特征和规律容易被破解的常用弱口令。 不使用空密码或系统的缺省密码。 不要重复使用最近5次（含5次）内已使用的密码。 不同网站/账号使用不同的密码。 根据不同应用设置不同的账号密码，不建议多个应用使用同一套账户/密码。 定期修改密码，建议至少每90天更改一次密码。 账号管理人员初次发放或者初始化密码给用户时，如果知道密码内容，建议强制用户首次使用修改密码，若不能强制用户修改密码，则为密码设置过期的期限（用户必须及时修改密码，否则密码应被强制失效）。 建议为所有账户配置设置连续认证失败次数超过5次（不含5次），锁定账号策略和30分钟自动解除锁定策略。 建议对所有账户设置不活动时间超过10分钟自动退出或锁定策略。 新建系统中的账号缺省密码在首次使用前，建议强制用户更改。 建议开启账户登录记录日志功能，登录日志最少保存180天，登录日志中不能保存用户的密码。

本文介绍为云主机配置内网域名的最佳实践概述。 背景 内网域名是指仅在VPC内生效的虚拟域名，无需购买和注册，无需备案。云解析服务提供的内网域名功能，可以让您在VPC中拥有权威DNS，且不会将您的DNS记录暴露给互联网，解析性能更高，时延更低，并且可以防护解析劫持。我们可以将VPC内承担内网域名解析功能的DNS称为内网DNS。 内网域名功能支持为VPC内每个云主机创建一个内网域名，实现： 通过内网域名访问VPC内的云主机，无需经过Internet，访问速度更快、安全性更高。 在代码中使用内网域名代替内网IP。当需要进行云主机切换时，只需通过修改内网域名解析记录即可，无需修改代码。 操作场景 本实践为内网DNS典型应用场景，如图所示。 图逻辑组网 方案优势 上图展示了某网站的逻辑组网，在一个VPC内，部署了ECS和RDS。其中： ECS：作为主业务站点和业务入口。 ECS1：作为公共接口。 RDS1：作为数据库，存储业务数据。 ECS2和RDS2：作为备份服务器和数据库。 当该网站在运行过程中，因ECS1故障，需要将业务切换到备份的云主机ECS2时，若云主机没有配置内网域名，则需要通过修改主业务节点ECS的代码来重新设置云主机的内网IP地址。该操作需要中断业务并重新发布网站，耗时耗力。 假如在部署该网站时，我们为云主机申请了内网域名，且代码中设置的是云主机的内网域名，则仅需要通过修改内网域名解析记录即可实现云主机的切换，无需中断业务，也不需要重新发布网站。

本文介绍如何开启容器安全防护。 为快速实现云原生应用防护，您需要购买容器安全卫士实例、配置防护策略并开启防护。 防护开启后，通过仪表盘查看访问统计信息和攻击防护记录，掌握业务的安全状况。 配置流程 步骤一：购买容器安全卫士实例 详细步骤请参见购买容器安全卫士。 步骤二 ：安装Sever/Agent 详细步骤请参见安装Server/Agent。 步骤三：配置防护策略 Server/Agent安装完成后，系统默认使用“默认策略”防护所有容器，并将“状态”切换为开启。 用户也可以自定义防护策略，详细步骤如下： 1. 登录容器安全卫士控制台。 2. 在左侧导航栏，选择“容器安全 > 容器策略”，进入容器策略页面。 3. 在“入侵检测策略”页面，可以添加防护策略，并将策略的“启用状态”切换为开启。 4. 在“入侵检测规则”页面，可管理命令执行、读写文件、网络活动、文件内容等检测规则。

本文介绍了云防火墙等保合规能力说明 检查项分类安全控制点风险等级 等保合规检查项 云防火墙CFW提供的对应能力说明 相关功能介绍 安全通信网络网络架构中 应具有根据云服务客户业务需求提供通信传输、边界防护、入侵防范等安全机制的能力。 云防火墙提供访问控制机制和入侵防护能力，开启防护后能够自动阻断互联网与VPC之间的威胁访问，为用户提供自动的边界防护能力。 入侵防护 访问控制 安全区域边界边界防护高 应能够对内部用户非授权连到外部网络的行为进行限制或检查。 云防火墙提供南北向访问控制功能，检查外部网络连接到内部的所有通信和内部用户连接到外部网络的通信，阻断双向非授权访问行为，保证受保护的内部网络与外部网络之间的通信在受控接口内进行通信。 访问控制 安全区域边界边界防护中 应能够对非授权设备私自连到内部网络的行为进行限制或检查。 云防火墙提供南北向访问控制功能，检查外部网络连接到内部的所有通信和内部用户连接到外部网络的通信，阻断双向非授权访问行为，保证受保护的内部网络与外部网络之间的通信在受控接口内进行通信。 访问控制 安全区域边界边界防护中 应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。 云防火墙提供南北向访问控制功能，检查外部网络连接到内部的所有通信和内部用户连接到外部网络的通信，阻断双向非授权访问行为，保证受保护的内部网络与外部网络之间的通信在受控接口内进行通信。 访问控制 安全区域边界入侵防范高 应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为。 云防火墙实现对互联网上的恶意流量入侵活动和常规攻击行为进行实时阻断和拦截。 入侵防护 安全区域边界入侵防范高 应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为。 云防火墙实现云上资产对外流量的主动外联、失陷感知等出方向流量分析和攻击防护及访问控制。 入侵防护 安全区域边界入侵防范中 当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。 云防火墙提供对业务流量中的攻击行为的检测和记录，并能根据策略设置提供攻击流量阻断功能，记录风险级别、事件名称、源IP、目的IP、方向、判断来源、发生时间和动作。 入侵防护 安全区域边界访问控制高 应在网络边界或区域之间根据访问控制策略设置访问控制规则，默认情况下受控接口拒绝除允许通信外的所有通信。 云防火墙提供默认拒绝所有通信的访问控制策略，只允许通行策略相关会话通信。 访问控制 安全区域边界访问控制中 应删除多余或无效的访问控制规则，优化访问控制列表，并保证访问控制规则数量最小化。 云防火墙提供流量记录功能，能够记录所有防火墙的通信会话行为，可通过对防火墙网络通信判断访问规则的有效性，从而实现访问控制规则最小化。 访问控制 安全区域边界访问控制高 应对源地址、目的地址、源端口、目的端口和协议等进行检查，以允许或拒绝数据包进出。 云防火墙实现对进出访问控制策略进行严格设置。访问控制策略包括源类型、访问源、目的类型、目的、协议类型、目的端口、应用协议、动作、描述和优先级。 访问控制 安全区域边界访问控制中 应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级。 支持根据FTP等会话的状态信息设置对会话的允许/拒绝访问能力，控制粒度为端口级。 访问控制 安全区域边界访问控制中 应对进出网络的数据流实现基于应用协议和应用内容的访问控制。 支持DNS等应用协议和下载等应用内容进行访问控制。 访问控制 安全区域边界安全审计高 应在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计。 云防火墙提供日志审计功能，可以记录所有流量日志、访问控制日志、入侵防护日志和操作日志。 日志审计 安全区域边界安全审计中 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。 云防火墙提供日志记录事件功能，包括：时间、告警名称、攻击类型、源/目IP字段、等级等。 日志审计 安全区域边界安全审计中 应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等。 云防火墙提供日志分析功能，默认保存7天的数据，同时还支持修改存储时长至180天。 日志审计 安全区域边界安全审计中 应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。 云防火墙提供日志分析功能，记录所有流量访问日志，默认保存7天的数据，同时还支持修改存储时长至180天。 日志审计

本文帮助您了解通过弹性IP访问公网的弹性云服务器VPC配置方式。 当弹性云主机需要访问公网时，例如用于搭建网站时允许接受访客通过网络访问的业务节点，可以通过绑定弹性IP来实现。具体的配置流程如下图所示。 图 配置网络功能 配置网络流程图说明如下表所示。 表 配置流程说明 任务 说明 创建虚拟私有云基本信息和默认子网 必选任务。该任务是创建一个完整的虚拟私有云的第一步。 创建虚拟私有云的基本信息及默认子网后还需要根据您的实际网络需求， 继续创建虚拟私有云中的其他网络资源。 为虚拟私有云创建新的子网 可选任务。当默认子网不能满足您的需求时，您可以创建新的子网。 此处创建的子网就是创建弹性云主机时添加的网卡。 申请和绑定弹性IP 必选任务。可以通过申请弹性IP并将弹性IP绑定到上，实现弹性云主机访公网的目的。 创建安全组 必选任务。您可以创建安全组，将虚拟私有云中的弹性云主机划分成不同的安全域， 以提升访问的安全性。创建安全组成功后，具备默认的访问规则。 默认规则是在出方向上的数据报文全部放行，安全组内的无需添加规则即可互相访问。 当默认访问规则可以满足需求时，则无需单独再为该安全组添加安全组规则。 添加安全组规则 可选任务。安全组创建成功后，具备默认的访问规则。 默认规则是在出方向上的数据报文全部放行，安全组内的无需添加规则即可互相访问。 当默认访问规则可以满足需求时，则无需单独再为该安全组添加安全组规则。

本小节介绍域名无忧应用场景。 长久以来，域名劫持事件频繁发生，受影响的企业遭受到经济和名誉的双重损失，无数网民也深受其害。大多数域名劫持事件的影响持续数个小时或更久，但是真正的故障时间并没有那么长。不过，由于各层服务器缓存受到根服务器影响，在电信运营商没有对递归DNS手动刷新的情况下，影响可持续数个小时。 域名实施监控场景 DNS污染的数据包并不是在网络数据包经过的路由器上，而是在其旁路产生的。所以DNS污染并无法阻止正确的DNS解析结果返回，但由于旁路产生的数据包发回速度较国外DNS服务器发回速度快，操作系统认为第一个收到的数据包就是返回结果，从而忽略其后收到的数据包，从而使得DNS污染得逞。天翼云域名无忧会实时监控域名的解析结果与预设置的解析结果进行比对，如果检测到域名异常，则生成域名告警信息。 域名一键刷新场景 网域的局域域名服务器的缓存受到污染，就会把网域内的域名引往错误的服务器或服务器的网址，导致正确域名无法访问，给企业或个人带来不可估量的损失。天翼云域名无忧可以有效解决此问题，天翼云域名无忧实时监控电信所有省份DNS服务的解析结果，用户发现DNS解析异常，可以手动执行域名刷新操作，使域名快速恢复至可用状态。

本文介绍了边缘安全加速平台安全与加速服务API防护模块下合规性检测的使用方法。 功能介绍 支持根据用户实际配置的规则，对API请求的参数、长度等信息进行检测，对不符合的请求进行拦截或告警。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 操作步骤 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【安全能力】，进入【API安全】菜单，并在左侧域名列表选择您要防护的域名。 3. 进入安全防护【合规性检测】详细设置页。 配置说明 新增检测项 配置项 说明 防护模式 必填，分为三种模式：关闭、告警、拦截。 规则名称 设置规则的名称，仅支持中文、英文、数字和下划线。 规则描述 输入规则的描述。 防护对象 防护对象有三种配置方式：标签、API、URI。 检测行为 检测行为主要分为以下七种：允许HTTP请求方法、上传合规检测、%00检测、chunked攻击检测、请求头参数限制、请求参数限制、请求体限制。 例外 最多支持新增5条例外规则，新增例外为或的逻辑。

本节介绍OpenSSH用户枚举漏洞修复最佳实践。 漏洞编号 CVE201815473 漏洞名称 OpenSSH 用户枚举漏洞 漏洞描述 OpenSSH（OpenBSD Secure Shell）是OpenBSD计划组所维护的一套用于安全访问远程计算机的连接工具, 该工具是SSH协议的开源实现，支持对所有的传输进行加密，可有效阻止窃听、连接劫持以及其他网络级的攻击; OpenSSH 7.7及之前版本中存在用户枚举漏洞，该漏洞源于程序会对有效的和无效的用户身份验证请求发出不同的响应，攻击者可通过发送特制的请求利用该漏洞枚举用户名称。 影响范围 OpenSSH 7.7及之前版本 官方解决方案 应用补丁可以修复此漏洞，需要重新编译，补丁获取链接：< 新版本OpenSSH7.8已经修复这个安全问题，请到厂商的主页下载，下载链接： < < 检测与修复建议 服务器安全卫士（原生版）已支持对对该漏洞的检测与修复。需要在服务器安装部署Agent，并已开启安全防护。 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏选择“漏洞扫描”，进入漏洞扫描页面。 3. 在漏洞扫描页面点击“一键扫描”按钮，进入一键扫描设置页面，勾选相应参数设置进行漏洞扫描。 4. 在漏洞扫描详情页面， Windows系统漏洞列表中已检测出主机存在的OpenSSH漏洞。 5. 检测完成后，可点击“查看详情”，跳转到详情页面，可以根据修复建议修复漏洞。 6. 修复过程需要花费一段时间，修复完成后，请重启云主机使补丁生效。 7. 重启云主机后，再次单击“一键扫描”，验证该漏洞是否修复成功。

使用云服务基线相关功能时，需要先参考本章节设置检查计划。 操作步骤 1. 登录管理控制台。 2. 在页面左上角单击，选择“安全 > 态势感知（专业版）”，进入态势感知页面。 3. 在左侧导航栏选择“设置 > 检测设置”，进入检测设置页面。 4. 在检测设置页面中，选择待创建计划所在的区域，并单击“创建计划”，系统右侧弹出新建检查计划页面。 5. 配置检查计划。 1. 填写基本信息，具体参数配置如下表所示。 参数名称 参数说明 计划名称 自定义检查计划的名称。 检查时间 选择检测周期和检查触发时间。 检测周期：每隔1天、3天、7天、15天、30天检查一次 检查触发时间：00:0006:00、06:0012:00、12:0018:00、18:0024:00 2. 选择检查规范。选择需要检测的基线检查项目。更多关于基线检查项目详细描述请参见云服务基线简介。 3. 单击“确定”。 6. 检查计划创建完成。 SA会在指定的时间执行云服务基线扫描，扫描结果可以在“安全 > 态势感知 > 基线检查”中查看。