帮助您了解如何新建安全评估服务需求，获取服务序列号。 操作场景 服务序列号用于唯一标识本次安全评估服务，安全服务经理在服务过程中，会向您索要服务序列号，用于标识本次服务已进入服务阶段。 前提条件 已订购安全评估服务。 操作步骤 在安全评估页面，可查看订购记录，可通过新建需求获取服务序列号。 1. 登录托管检测与响应服务（原生版）控制台。 2. 在左侧导航栏，选择“安全评估”，进入安全评估页面。 3. 点击页面右上角的“新建需求”，弹出新建安全评估需求对话框。 4. 配置服务需求相关参数。 服务可用次数：代表您当前可用的安全评估服务总次数。 标题：记录本次服务主要目的。 描述：记录本次服务详细内容。 5. 配置完成后，单击“确定”按钮，即可返回服务需求列表，查看服务序列号。 6. 单击“服务序列号”列的“复制”，即可复制已生成的服务序列号。

无法进行钓鱼邮件检测 点击详情，若报错码为200460，由于客户端版本过低导致，需要更新客户端，请关闭云邮箱后，右下角托盘退出重启AOne，将自动更新云邮箱。 Win系统： Mac系统： 发送/收取邮件密码失败 若邮件账户配置阶段未对账户配置密码、配置密码后未勾选记住密码、生成新客户端密码后未同时对收件箱、发件箱密码均进行修改，进行邮件收取或发送时可能存在对应问题。 请进入“设置”→“隐私与安全”→“已保存的密码”，点击“显示密码”确认密码是否和网页版生成的客户端密码一致，如不一致请修改密码。 请进入“设置”→“隐私与安全”→“已保存的密码”，点击“显示密码”确认密码是否和网页版生成的客户端密码一致，如不一致请修改密码。 收不到邮件/存在两个邮件客户端，仅有一个能收到邮件 请登录服务端查看配置的收件协议和服务端是否一致。 若收件协议一致，请检查邮件客户端的收件配置，是否配置为邮件收取后，在服务器上立即删除。若配置立即删除，其中一个客户端收取邮件后，会将服务器端邮件删除，无法在另一个客户端中收取到。 若未进行相关配置，请点击设置→隐私与安全→已保存密码，确认是否收件箱与发件箱密码不一致。 foxmail查看配置方法：设置→账号→服务器。

SSL VPN是否支持HTTP2.0？ 目前HTTP2.0对SSL来说只影响Web资源，TCP和L3VPN资源只要服务端支持即可，目前HTTP2.0还没有大规模应用，在大规模应用之前Web资源也会支持。 使用SSL VPN能够避免哪些攻击？哪些是HTTPS解决不了的？ SSL VPN： 能降低用户身份仿冒攻击，在业务系统本身的认证之外增加了认证环境，且VPN的认证具备密码策略管理，可以强制密码复杂度、试错次数、防爆破、防自动化脚本攻击等。 增加了端点安全策略，能降低黑客通过合法客户端作为跳板进行攻击。 传输上支持更为安全的国家商用密码算法（硬件加密卡）。 对外只开放VPN服务端口，不开放业务服务器端口，避免了对服务器的入侵攻击，黑客如果要入侵系统，只能够先攻击VPN，控制VPN的前提下，才有可能对业务系统攻击。 HTTPS+认证： 只是业务系统本身传输的加密和认证，对攻击者来说，直接攻击的还是服务器本身（可以对服务器账号密码进行爆破、撞库、SSL中间人攻击等）。 不具备端点安全能力，如果合法用户的电脑已经被控制，很容易在使用业务系统的时候被进行跳板攻击。 服务器端口直接暴露在互联网，黑客可以对服务器进行各种攻击探测。 VPN设备本身的安全性： 设备每一个版本在生产销售过程中都经过各种检测，并有国家权威机构的检测证明。 设备本身作为一个安全产品，产品业务逻辑相比业务系统本身更安全，安全成熟度高。 SSL VPN在大量金融、公检法单位使用，这些单位安全要求很高，VPN每年都会多次经历安全检查。

本小节介绍渗透测试知识类常见问题。 天翼云渗透测试有哪些优势? 业内领先的咨询顾问团队 参考国际和国家规范，对系统进行科学有效的风险评估，顾问团队拥有CISP、CISSP、ISO27001、 Security+等专业资质和多年丰富的项目经验。 运营商级别的实践能力 技术顾问具备多年的信息系统安全评估和保障服务经验，具有丰富的网络和系统整改项目经验。 通过科学、标准的服务流程，以及完善的项目管理和质量保障机制，提供全面可靠的安全服务。 天翼云渗透测试有哪些规格? 不同企业建议根据实际情况分成三种规格： 小型应用系统，最多1个应用系统。 中型应用系统，最多5个应用系统。 大型应用系统，最多10个应用系统。 其他规格需要根据实际情况协商确定。 天翼云渗透测试服务内容包括哪些? 身份认证测试 检査是否满足安全设计要求中的身份认证要求，检查是否存在密码被破解、登录被回放、登录被绕过的缺陷，确保登录验证安全有效。 授权管理测试 检查页面是否满足安全设计要求中的访问控制要求，检查用户在未授权的情况下是否成功办理需要授权的业务。 检查是否存在跨站请求伪造、路径遍历、授权绕过、会话重放等。 数据验证测试 检查是否满足安全设计要求中输入验证的要求，确保应用系统正常显示业务办理信息。 检查是否存在SQL注入、跨站脚本攻击、 XPATH注入、SSI注入、命令注入、缓冲区溢出、上传文件验证、未经验证的URL重定向。 可用性测试 检查系统是否存在帐号锁定设计缺陷及应用拒绝服务缺陷。 配置管理测试 检查存在中间件配置缺陷导致的应用系统漏洞。 检查是否存在SSL漏洞、敏感信息泄露、默认文件和目录、基础结构配置管理、非必要文件检索、HTTP请求方法滥用、目录索引。 后门测试 检查应用系统各页面是否存在后门程序。

本文主要介绍了退订规则及注意事项。 退订规则说明 客户（天翼云用户）可根据需要，在符合天翼云退订规则的前提下，灵活退订资源。目前退订包含七天无理由全额退订，非七天无理由退订，不可退订，以及其他退订。 七天无理由全额退订，用户使用新购资源（含该笔新购资源订单的续订资源）七天内（含第七天），可随时通过系统完成全额退订。 发起退订操作的账号（“退订账号”）七天无理由全额退订次数不超过3次（每账号享有3次七天无理由全额退订次数）； 同一用户累计使用的七天无理由全额退订次数不超过15次。其中，同一用户是指：根据不同天翼云账号在注册、登录、使用中的关联信息，关联信息相同天翼云判断其实际为同一用户。关联信息举例：同一名称、同一邮箱、同一负责人证件、同一手机号、同一设备、同一IP地址等（包括已注销的账号）。 客户同意天翼云使用上述信息核查同一用户情况 ； 七天无理由退订标准（含退订次数）将根据业务发展适时调整，具体结果以退订时官网展示和系统显示为准； 促销活动中说明“不支持七天无理由退订”的云服务，无法申请七天无理由退订； 当同时退订多个资源时，且超过3次免费退订次数，系统按照单资源实付金额从高到低依次退订，免费次数优先覆盖高价值资源。 尽管有上述规则，客户不得利用退订规则频繁订购并退订服务，恶意占用天翼云及其他用户资源。如天翼云有合理理由怀疑客户存在频繁退订恶意占用天翼云及其他用户资源的，则天翼云有权取消该客户七天无理由全额退订的权利，并根据《中国电信天翼云用户协议》及网站相关规则和相关服务协议约定，采取相应措施直至终止服务，并追究客户的违约责任。 非七天无理由退订，指使用时长已超过七天以上的用户新购资源（含续订资源），属于非七天无理由退订。非七天无理由退订，不限制退订次数，但退订需要收取相应的使用费用和退订手续费，且不退还代金券及优惠券，但符合下文“其他退订”情形的除外。 不可退订，指天翼云部分资源因技术属性、营销政策、活动优惠、特定使用群体、商务协议等各类原因，此类资源暂不支持退订。不支持退订的场景范围如下： 按需套餐包产品； 含硬件类产品和人工服务类产品； 未完工的订单； 云服务参加特殊赠送活动，明确不可退订的（如促销套餐、促销优惠券、促销优惠券礼包、优惠券计划、抽奖活动、推荐送活动等）具体以特殊赠送活动规则为准； 明确不允许退订的产品或服务。 其他退订。指因天翼云原因导致的，如创建资源失败或系统BUG，产品迭代等情况导致的用户退订。其他退订不限制退订次数，无需用户承担退订费用。

本文将为您介绍天翼云短信服务的产品优势，方便您快速了解短信服务。 快速稳定 云化的分布式处理技术，智能化调度，三网合一，通道高并发且延迟低，保证最快的发送速度，到达率可达99%。 价格优势 顶级运营商，接入三大运营商金牌代理商，具备全网覆盖且多点接入的资源储备；价格优势明显。 三网覆盖 接入电信、移动、联通三大运营商，具备国内100%全网覆盖且多点接入的资源储备。 安全可控 每日发送量阈值可设置，以防止资源意外大量损耗；单客户每日发送量阈值可设置，以减少打扰；黑名单用户可设置，以降低用户投诉风险。 快速集成 支持各类编程语言对接产品API，如Java、 PHP、Python、Node.js及C等。支持HTTPS标准协议，无需客户单独适配SMGP、CMPP、SGIP等专用协议，最快10分钟接入。 无忧售后 724小时在线客服，随时咨询、回访系统使用情况，具有全套解答、排查、转发用户提交问题，收集、管理、分析能力。

服务器安全卫士（原生版）的病毒查杀功能，支持对挖矿木马、蠕虫、勒索病毒等进行有效的检测，提供灵活的检测方式，支持一键检测和定时检测方式，通过简单操作即可完成对病毒的处理，支持对病毒文件进行隔离、删除和信任。 病毒检测模式 包含快速检测、全盘检测、自定义检测三种模式。 快速检测：扫描耗时短，对系统关键位置文件进行扫描。 全盘检测：对主机所有硬盘文件进行扫描，清理更彻底。 自定义检测：按指定位置有选择性扫描文件。 病毒扫描方式 提供实时检测、一键扫描、定时扫描三种扫描方式，方便用户基于实际使用场景进行操作。 病毒文件处理方式 服务器安全卫士（原生版）检测到病毒文件会立即产生告警，需要您根据告警详细信息对病毒文件作出处置，处置方式包括以下三种： 隔离：将病毒文件或恶意程序移动至隔离区域，进行加密处理，禁止正常运行。对于已隔离的文件，支持取消隔离。 删除：永久从系统中删除病毒文件或恶意程序，以确保不再有可能的威胁。 注意 文件删除后将不可恢复，请谨慎操作。 信任：经分析后确认为误报，可以选择将文件进行信任，信任后将不再对该文件进行检测告警。

查看防护事件详情 单击防护事件列表操作列的“查看详情”，进入事件详情页面，查看完整日志。 攻击日志字段说明： 参数名称 参数说明 httphost 请求头中的host字段值，即域名。 action 规则动作，包括观察、拦截、验证码、JS挑战、重定向等。 attacktype 发生的攻击类型，包括SQL注入、XSS、BOT、目录穿越、命令注入、模板注入、CC攻击、IP黑名单、自定义精准攻击、信息泄露、文件上传等。 requesturi 攻击的防护域名的URL。 remoteaddr 客户端IP地址，即攻击IP。 attackarea 客户端攻击IP所属地区。 timelocal 服务器时间，即攻击时间。 ruleid 攻击触发的防护规则ID。 uniqueid 请求对应的唯一标识。 IP一键加白/黑 可以对攻击源IP进行加白、加黑处理。 单击防护事件列表操作列的“IP一键加白/黑”，在弹出的对话框中选择IP黑白名单规则。若规则名称下拉列表无可选项，可以单击“新建规则”，配置规则名称和过期时间，新建一个规则。 误报消除 若对正常网站请求造成误拦截，可以通过误报消除自动添加规则白名单，让满足条件的请求不经过指定规则的检测。建议您结合实际业务需求，确保放行的都是预期的访问请求。 说明 支持对Web基础防护、BOT防护这两个防护模块产生的事件进行误报消除。 1. 单击防护事件操作列的“误报消除”。 2. 会自动将触发该规则的源IP及相关URL等字段自动生成白名单。该白名单仅针对所选规则，不影响其他模块检测。 3. 配置规则名称、规则描述、过期时间。 4. 单击“确定”，完成操作。

本节主要介绍云数据库GeminiDB的典型应用。 游戏应用 游戏应用可以将一些游戏数据，如用户装备、用户积分等存储其中。游戏玩家活跃高峰期，对并发能力要求较高，可以快速灵活添加计算节点以应对高并发场景。 优势： 灵活： 游戏开服6小时内需多次扩容，GeminiDB计算节点增加，扩容性能倍数提升，可灵活轻松应对。 数据恢复快： 表级时间点恢复，支持游戏快速回档。 稳定扩容： 扩容期间性能稳定，不影响游戏体验。 物联网/车联网行业 云数据库 GeminiDB拥有超强写入性能，专为密集写入而设计。它适用于各种不同的行业，例如物联网、车联网、商业智能、应用运维监控等，无论传感器类型如何，都能够很好地处理传入数据，并为进一步的数据分析提供了可能。 优势： 超强写入： 相比于其他NoSQL服务，拥有超强的写入性能。 弹性扩展： 基于计算存储分离的分布式架构，分钟级计算节点扩容，应对业务高峰期；秒级存储扩容应对724不间断的大数据量写入。 互联网应用 云数据库 GeminiDB快速读写和高可扩展特性使其适用于具有产品目录、推荐、个性化接口等功能的电子商务网站和娱乐网站，可用于存储访问者的活动，有利于分析工具快速访问数据，为用户生成推荐。

2.客户端登录 （1）软模块登录 登录时，右下加出现量子安全提示 （2）量子安全盾登录 量子安全盾首次使用，通过手机验证码进行激活（如下图），激活成功后继续登录 桌面检测到量子安全盾拔出，自动退出用户登录。 3.特别说明 （1）试用政策 试用期内不限用户数量 有效期至2026年12月31日 （2）使用要求 客户端需升级至V3.1.1及以上版本 暂不支持Web客户端访问 客户端需在互联网环境下使用 扫码登录和企业登录暂时不支持量子安全登录

支持对后端主机进行健康检查 支持用户自定义健康检查方式和频率，负载均衡根据预设的健康检查规则定时检查后端主机组运行情况，一旦检测到云主机为非健康状态，则不会将访问流量分派到这些非健康云主机实例。 支持IPv4 和 IPv6 双栈方案 兼容IPv4和IPv6地址，并且能够同时处理IPv4和IPv6流量。用户可以将IPv4和IPv6的流量通过负载均衡器进行负载均衡，并将其分发到后端的IPv4和IPv6云主机上，满足不同网络环境和要求下的负载均衡需求。 支持访问控制功能 通过设置黑、白名单等措施，对负载均衡器的访问进行灵活控制。黑名单是指禁止特定的IP访问负载均衡，白名单是指允许特定的IP访问负载均衡。通过对黑、白名单的设置，实现对系统的安全保护和访问控制。 支持跨可用区容灾 支持用户将后端服务节点部署在不同的可用区，通过负载均衡服务将流量分发到这些节点上。如果某个可用区出现故障，负载均衡服务可以自动将流量切换到其他正常的可用区，从而实现跨可用区容灾。

本文主要介绍重定向简介。 在使用静态网站托管功能时，OBS还支持配置重定向请求，即您可以将特定的请求或所有请求实施重定向。 当网站结构调整、网站地址变化或者网站的扩展名发生变化时，用户使用旧的网站地址（比如收藏夹中的地址）访问网站会访问失败，用户只能得到404页面错误信息。此时网站配置了重定向后，让访问这些域名的用户跳转到设定的页面以避免404错误访问。 重定向典型的应用场景包括： 重定向所有请求到另外一个站点。 设定特定的重定向规则，对特定的请求实施重定向。

本文介绍如何配置防火墙防护策略，包括配置入侵防御模式和配置访问控制策略。 云防火墙提供基础防御功能，可以针对访问流量进行检测与防护，覆盖多种常见的网络攻击，有效保护您的资产。 访问控制策略默认状态为放行，通过配置合适的策略调整防护能力，实现更有效的精细化管控，防止内部威胁扩散，增加安全战略纵深。 配置入侵防御模式操作步骤 在左侧导航栏中，选择“攻击防御 > 入侵防御” 。 功能名称 功能说明 :: 防护模式 观察模式：仅对攻击事件进行检测并记录到日志中。 拦截模式：在发生明确攻击类型的事件和检测到异常IP访问时，将实施自动拦截操作。 拦截模式宽松：防护粒度较粗。拦截可信度高且威胁程度高的攻击事件。 拦截模式中等：防护粒度中等。满足大多数场景下的防护需求。 拦截模式严格：防护粒度精细，全量拦截攻击请求。建议您等待业务运行一段时间后，根据防护效果配置误报屏蔽规则，再开启“严格”模式。 说明 选择防护模式后，可对基础防御规则库的单条防御规则进行修改。具体操作请参见修改基础防御规则动作。 基础防御 为您的资产提供基础的防护能力，默认为“开启”状态。防御功能包括： 检查威胁及漏洞扫描。 检测流量中是否含有网络钓鱼、特洛伊木马、蠕虫、黑客工具、间谍软件、密码攻击、漏洞攻击、SQL注入攻击、XSS跨站脚本攻击、Web攻击。 是否存在协议异常、缓冲区溢出、访问控制、可疑DNS活动及其他可疑行为。 虚拟补丁 在网络层级为IPS提供热补丁，实时拦截高危漏洞的远程攻击行为，同时避免修复漏洞时造成业务中断。 高级 敏感目录扫描防御 防御对用户主机敏感目录的扫描攻击。 “动作”： 观察模式：发现敏感目录扫描攻击后，CFW仅记录攻击日志，查看攻击日志请参见日志查询。 拦截Session：发现敏感目录扫描攻击后，拦截当次会话。 拦截IP：发现敏感目录扫描攻击后，CFW会阻断该攻击IP一段时间。 “持续时长”：“动作”选择“拦截IP”时，可设置阻断时间，范围为60~3600s。 “阈值”：对于单个敏感目录扫描频率达到设定的阈值后，CFW会采取相应“动作”。 高级 反弹Shell检测防御 防御网络上通过反弹shell方式进行的网络攻击。 “动作” ： 观察模式：发现反弹shell攻击后，仅记录攻击日志，查看攻击日志请参见日志查询。 拦截Session：发现反弹shell攻击后，拦截当次会话。 拦截IP：发现反弹shell攻击后，CFW会阻断该攻击IP一段时间。 “持续时长”：“动作”选择“拦截IP”时，可设置阻断时间，范围为60~3600s。 “模式 ”： 低误报：防护粒度较粗。观察或拦截频次较高的攻击，用于确保攻击处理没有误报。 高检测：防护粒度精细，确保攻击能够被发现并处理。

本节主要介绍OOS的应用场景。 互联网企业网站的静态和动态资源分离 场景描述 对于门户网站、视频网站、办公OA、SaaS应用服务商等，通过对象存储（经典版）Ⅰ型提供的网站托管功能，将整个网站托管在对象存储中，可直接向用户提供网站访问服务，帮助用户节省资本投入及人工维护成本。同时，通过对象存储（经典版）Ⅰ型的高并发支持能力，帮助用户更好地解决网站频繁访问时的页面崩溃问题。 建议搭配服务 CDN加速。 视频、影像云端存储 场景描述 对音频、视频等海量文件存储，如交管局监控视频、物业监控视频、门店监控视频、家庭监控视频、在线视频教学等，通过使用对象存储（经典版）Ⅰ型，将流式数据或文件数据存储到云端，利用对象存储技术解决高吞吐量、高并发及承载业务压力。同时视频可以就近上传到最近的资源池，上传速度快，直播点播不卡顿。 建议搭配服务 CDN加速、云存储网关。 图像、图片云端存储 场景描述 对于图片、图像等海量文件存储，如医院医疗影像、在线图片等，通过使用对象存储（经典版）Ⅰ型，将图片数据存储到云端，实现海量数据的大规模存储，并可以对图片进行缩略图、剪裁等图片处理。

功能 说明 开启HTTPS协议主要涉及两个步骤：一是打开“Https开关”，二是Https证书上传。第二步客户可参考新增证书的指引完成证书上传。 客户完成证书新增后，可通过边缘安全加速平台控制台界面查看已添加的证书及其详细信息，包括：证书备注名、证书通用名称、证书品牌、颁发时间、到期时间、创建时间等。 当证书过期或者不再使用时，可通过边缘安全加速平台控制台删除证书。 当您需要更新证书时，如果涉及到大量域名需要绑定证书，可以通过批量绑定域名进行快捷操作。 如果您的网站没有购买HTTPS证书，可以通过边缘安全加速平台提供的免费证书来支持HTTPS访问。

使用场景 VPC与云下IDC的互连，进行东西向流量的入侵检测。 核心价值 ：实现双向流量（IDC↔ECS）实时镜像，支持威胁检测平台进行深度流量分析 方案涉及产品 VPC ：逻辑隔离网络环境 流量镜像 ：流量捕获与转发核心组件 云专线 ：混合云互联通道 云主机 ：承载业务应用（ECS1/ECS2） 弹性裸金属 ：部署威胁检测平台（Pm1） 方案架构 实现方式 1. 基础资源配置 （1）云上网络规划 资源类型 名称 关键参数 VPC VPC1 IPv4:10.1.0.0/16 子网 子网1 IPv4:10.1.1.0/24 VPC VPC2 IPv4:10.2.0.0/16 子网 子网2 IPv4:10.2.1.0/24 （2）线下IDC配置 客户侧子网：172.168.1.0/24 2. 流量镜像配置 （1）筛选条件（Mirror1） 入方向规则： IP范围：源IP 172.168.1.0/24 协议：ALL 动作：采集 出方向规则： IP范围：目的IP 172.168.1.0/24 协议：ALL 动作：采集 （2）镜像会话（Session1） 镜像源：ENI1（ECS1）、ENI2（ECS2） 镜像目的：ENI3（Pm1） 筛选条件：Mirror1 VNI：10001

添加主机时，如果硬件联通及测试主机失败，则您需要添加安全组，放通监控插件端口。 问题现象 添加主机时，测试连通及硬件检测失败。 原因分析 监控插件端口未放通。 解决方案 添加安全组，放通端口。出现如下图所示，则表示执行成功。

公共命令是由天翼云提供给所有用户使用的云助手命令,适用于软件的安装或卸载、实例状态诊断等场景。本文为您介绍如何查看和执行云助手公共命令。 背景信息 公共命令是天翼云创建的云助手命令，对所有天翼云用户可见。通常包含一些比较复杂的服务器配置、健康或安全检测、文件处理、系统补丁安装、更改系统配置的脚本。 相比较普通命令，公共命令的内容、发布以及升级会由天翼云统一负责维护。公共命令发布后，您可以直接查看命令的详细内容，并可以在弹性云主机或物理机实例上执行命令及查看执行进度和结果。使用公共命令，可以快速地完成某些复杂配置，很大程度提升您的操作和运维效率。 备注：天翼云创建的公共命令按需陆续更新。 操作步骤 1. 登录 弹性云主机控制台 或 物理机控制台 ，选择左侧导航栏中的运维工具。 2. 展开运维工具下云助手标签页，选择公共命令标签页，如下图所示： 3. 可以根据命令名称了解命令的主要功能，选择想要查看的公共命令，点击右侧更多>查看详情 可以查看命令的详细信息。 4. 选择需要执行的公共命令，点击执行命令。 5. 选择需要执行命令的实例，点击执行命令即可实现免登录执行命令，如下图所示：

功能模块 说明 包括DDoS防护（中国内地）、DDoS防护（非中国内地），可控制是否开启DDoS防护功能。 包括防护规则引擎、合规性检测、敏感信息防护、网页防篡改、攻击挑战、Cookie防护等安全配置。 包括CC防护、访问控制、频率控制安全配置。 包括Bot策略白名单、高频爬虫限制、爬虫陷阱安全配置。

案例二：仅允许特定IP地址远程登录物理机 场景举例： 为了防止物理机器被网络攻击，用户可以修改远程登录端口号，并设置安全组规则只允许特定的IP地址远程登录到物理机器。 安全组配置方法： 以仅允许特定IP地址（例如，192.168.20.2）通过TCP协议访问Linux操作系统的物理机器的22端口为例，安全组规则如下所示。 协议 方向 端口范围 源地址 TCP 入方向 22 IPv4地址、IPv4 CIDR或者另一个安全组的ID。例如：192.168.20.2 案例三：允许任意公网IP地址远程登录物理机器 场景举例： 允许Internet的任意地址远程登录到安全组内的物理机器。 安全组配置方法： 以允许任意公网地址通过TCP协议登录Linux操作系统的物理机器为例，安全组规则如下所示。 协议 方向 端口范围 源地址 TCP 入方向 22 0.0.0.0/0 以允许任意公网地址通过TCP协议登录Windows操作系统的物理机器为例，安全组规则如下所示。 协议 方向 端口范围 源地址 TCP 入方向 3389 0.0.0.0/0 案例四：允许公网地址通过HTTP或者HTTPS协议访问物理机器 场景举例： 在物理机器上部署网站后，允许Internet的任意IP地址的用户通过HTTP或者HTTPS协议访问安全组内的物理机器。 安全组配置方法： 不限制公网地址访问物理机器，需要配置的两条安全组规则如下所示。 协议 方向 端口范围 源地址 TCP 入方向 80（HTTP） 0.0.0.0/0 TCP 入方向 443（HTTPS） 0.0.0.0/0

约束限制 VPC边界防火墙最多支持10000条访问控制规则。 防护规则统计 对防护规则数量进行统计，包括：黑名单规则数、白名单规则数、内网互访规则数、已占用规格数/总规格。 其中，已占用规格数量黑名单规则数+白名单规则数+内网互访规则数。 规则类型 VPC边界防火墙支持如下防护规则，可以根据您的需要分别进行配置。 黑名单规则 白名单规则 内网互访规则 防护规则优先级 优先级：黑名单规则 > 白名单规则 > 内网互访规则 防护策略优先级判定顺序的设定为：优先过滤黑名单流量，其次为白名单流量，然后为访问控制策略，最后为入侵防御策略。 1. 为当用户设置黑名单后，此时系统认为黑名单流量即为垃圾流量，系统可根据用户设置的黑名单过滤掉恶意流量，以便系统后续处理非垃圾流量，保证系统处理的数据为用户的有效数据。 2. 当流量经过黑名单过滤后，剩余流量为用户可能关注的流量，在此基础上，通过用户设置的白名单规则，系统可以过滤出用户确定关注的白名单流量，以便对有效流量进行处理，过滤出白名单流量后，系统会直接放行白名单流量至入侵防御策略处进行安全检测，不再进行访问控制。 3. 对于非黑非白的流量，系统将对其进行访问控制检测，对于策略允许的流量进行放行，对于策略禁止的流量进行丢弃。放行后的流量依然需要进行安全检测。

本章节介绍密评专区产品相关常见问题。 为什么要做密评？ 开展密评，是为了解决商用密码应用中存在的突出问题，为网络和信息系统的安全提供科学评价方法，逐步规范商用密码的使用和管理。从根本上改变商用密码应用不广泛、不规范、不安全的现状，确保商用密码在网络和信息系统中有效使用，切实构建起坚实可靠的网络安全密码屏障。 《密码法》第二十七条：法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，自行或者委托商用密码检测机构开展商用密码应用安全性评估。 《商用密码管理条例》第六章第三十八条：法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，制定商用密码应用方案，配备必要的资金和专业人员，同步规划、同步建设、同步运行商用密码保障系统，自行或者委托商用密码检测机构开展商用密码应用安全性评估。 《商用密码应用安全性评估管理办法（试行）》第一章第三条：“涉及国家安全和社会公共利益的重要领域网络和信息系统的建设、使用、管理单位应当健全密码保障体系，实施商用密码应用安全性评估”。重要领域网络和信息系统包括：基础信息网络、涉及国计民生和基础信息资源的重要信息系统、重要工业控制系统、面向社会服务的政务信息系统，以及关键信息基础设施、网络安全等级保护第三级及以上信息系统。

本节为您介绍云迁移服务的免责声明。 服务声明 禁止模仿、修改、翻译、改编、出借、出售、转许可、传播或转让本网站提供的服务。禁止违反逆向工程、反汇编、反编译、分解拆卸或试图以其他方式获取本网站提供的源代码。具体内容详见天翼云云迁移服务协议 数据模板导入声明 根据迁移平台下载离线模板后，请您认真准确地填写相关规格信息。若因模板填写问题导致数据错乱或其他问题，云迁移服务 CMS 概不负责。 评估结果声明 使用云迁移服务 CMS 提供的全面的企业上云成本分析功能时，请注意自行准确填写数据模板。此功能旨在帮助用户快速进行天翼云产品映射与成本分析比较，以辅助用户做出符合其需求的上云选择。若因数据模板填写不准确导致价格差异，云迁移服务 CMS 概不负责。 辅助工具使用声明 使用云迁移服务 CMS 提供的迁移服务工具时，请确保符合工具使用范围(约束及限制、兼容性范围等)。若超出工具使用范围，云迁移服务 CMS 概不负责。 迁移完成后系统、软件的激活声明 服务器迁移服务提供的是整机迁移服务，使用CMS把源端服务器迁移到目的端服务器上后，源端服务器中需要许可证（License）的产品在目的端需要重新激活。常见的如Windows、鲲鹏、Redhat系统的激活以及付费软件的License激活，服务器迁移服务本身不提供相应的激活服务，需要您自行联系系统提供方和软件提供方进行激活。

场景四：访问CDN加速域名后获取到的内容为非本站点文件内容 可能的原因： 访问到非CDN节点。检测访问的IP是否为CDN的节点IP。关于如何检测，详情请见：如何验证IP地址是否属于天翼云CDN节点IP。如果访问的节点不是CDN节点IP，请核实是否存在如下几种情况： 本地是否有开启代理软件，因为有些代理软件会强制更改访问域名的解析。若有，则建议关闭该代理软件。 是否绑定HOSTS文件，将加速域名强制解析到某个IP。若有，则建议去掉该host绑定记录。 本地存在DNS劫持。排查方式详情请见场景三中“发生劫持”部分；如确认为劫持，可以在本地开启安全杀毒软件，并且固定本地所使用的DNS IP为223.5.5.5、114.114.114.114、119.29.29.29或者其他安全的DNS。如果劫持情况比较严重，并且无法解决，则需要向网络服务提供商投诉要求解除劫持。

快速响应 配备高配GPU和CPU等硬件来支撑能力，这种高效的硬件配置可以大幅度缩短内容审核的时间，从而快速给出反馈结果。GPU的强大计算能力可以使得系统在短时间内处理大量的数据和特征，提高审核速度。除了硬件配置外，还采用算法和策略来优化审核速度。例如，采用多线程、分布式等技术实现并行处理和并发计算，进一步提高审核效率。 这种快速的反馈可以缩短用户等待时间，提升用户体验，同时也提供了更好的内容管理和监管能力。 支持跨平台部署 支持服务端和移动端，覆盖多种业务场景，可以对不同类型的内容进行审核，如文本、图片、视频等。 服务端部署：通过API接口或Web服务等方式提供内容审核服务。这种部署方式适用于需要对大量内容进行集中审核的场景，如社交媒体平台、新闻网站、视频分享网站等。 移动端部署：可以集成到移动应用程序中，提供实时内容审核功能。这种部署方式适用于需要快速审核内容的应用场景，如短视频平台、直播平台、聊天应用等。通过在移动端集成智能内容审核功能，可以提升用户体验，同时保障内容的安全和质量。

账户安全 学术加速企业版服务包括二次登录验证和密码策略管理功能，支持企业根据安全需求自定义登录认证和密码策略。企业可以设定符合自身安全标准的密码规则和用户登录验证流程，从而提升账户安全和数据保护。 具体账号安全的功能及详细介绍，详细见：账户安全。 终端管理 终端资产 终端资产管理功能允许企业记录和收集员工使用学术加速客户端时的设备信息和登录状态。这有助于企业对员工的终端设备进行有效管理和监控，确保设备安全和合规使用。 具体终端资产的功能及详细介绍，详细见：终端资产终端设备管理。 设置管理 企业服务 企业服务主要是展示企业服务过程中的关键信息，比如企业认证标识、服务状态等。 具体企业服务的功能及详细介绍，详细见：企业服务。 客户端限速 可根据企业场景进行单客户端访问限速，限速仅针对学术加速资源进行限速，不影响其他互联网访问。 具体客户端限速功能及详细介绍，详细见：客户端限速。 日志分析 日志分析日志分析功能专为企业设计，用于高效管理用户终端的登录日志、访问资源网站的记录以及控制台的操作记录。 具体日志分析的功能及详细介绍，详细见：日志分析。

功能说明 开发者平台边缘函数目前由函数触发器、函数运行时、边缘存储组成： 触发器目前支持HTTP触发器和定时触发器： HTTP触发器：基于您的CDN加速域名，匹配请求中的对应规则（例如 定时触发器：提供类似Crontab形式，使用函数执行周期性任务（即将上线）。 函数运行时：在边缘节点运行您的JavaScript业务代码的安全隔离环境，请求级隔离，微秒级别启动，用完立即销毁。 边缘存储：提供全网同步的KV存储功能（即将上线）。 相关术语 无服务器 Serverless 无服务器是一种云原生开发模型，可使开发人员专注构建和运行应用，而无需管理服务器。无服务器方案中仍然有服务器，但它们已从应用开发中抽离了出来。云提供商负责置备、维护和扩展服务器基础架构等例行工作。开发人员可以简单地将代码打包到容器中进行部署。部署之后，无服务器应用即可响应需求，并根据需要自动扩容。公共云提供商的无服务器产品通常通过一种事件驱动执行模型来按需计量。因此，当无服务器功能闲置时，不会产生费用。 函数即服务 FaaS 函数即服务（FaaS：Function as a service）是一种事件驱动计算执行模型；开发人员编写代码逻辑，部署到完全由平台管理的函数运行时中，然后按需执行。与 BaaS 不同，FaaS 可让开发人员拥有更大的掌控权力，他们可以创建自定义应用，而不依赖于包含预编写服务的库。代码则部署到边缘安全加速平台管理的容器运行时中。具体而言，这些函数运行时具有以下特点： 无状态 让数据集成变得更加简单。 运行周期短 可以只运行非常短的时间。 事件触发 可在需要时自动运行。 这样，您只用为所需的计算能力付费，而不必管"闲置"的应用和服务器。使用FaaS时，开发人员可以通过触发器调用无服务器应用。 触发器 用户绑定触发器和对应函数，来实现多种调用效果。目前支持定时触发器以及HTTP触发器。 HTTP 路由 用户绑定HTTP触发器和对应函数后，访问安全与加速服务中托管域名的特定路由，即可在边缘节点调用起对应函数计算逻辑。 KV 存储 OmniKV边缘存储提供了KeyValue型边缘存储服务，使开发人员能够构建低时延、频繁读取、不频繁写入的数据驱动的边缘无服务器应用程序。借助OmniKV，无服务器应用程序可以将数据存放在靠近用户的位置，避免从云端或本地解决方案中检索信息的需要，从而实现快速响应。用户快速可以构建高度动态的API和网站服务，部署轻量型的API网关、BaaS服务。 运行时 用于在边缘节点运行用户自定义函数的安全隔离环境。函数运行时所支持的编程语言，目前支持JavaScript。 开发者工具 开发人员使用命令行工具，在本地完成函数编写，构建，灰度上线。

本节介绍如何提升登录口令的安全性以及常见系统登录口令的修改方法。 随着互联网信息化进程的不断加深，用户服务器上运行的应用服务不断增加，而大多数服务都使用账户+口令的方式进行鉴权。黑客常以暴力破解的方式去尝试登录暴露在公网上的服务，如果您设置为弱口令登录，黑客可能会非法登录您的服务器，窃取服务器数据或破坏服务器。因此，定时检查服务器中存在的弱口令问题，并及时修改为强口令对服务器安全至关重要。 弱口令带来的危害 在服务器系统中使用弱口令可能会造成以下危害： 普通账户使用的弱口令可能会被猜解或被破解工具破解，从而泄露个人隐私信息，甚至造成财产损失。 系统管理员账户弱口令可能会导致整个系统被攻击、数据库信息被窃取、业务系统瘫痪，造成所有用户信息的泄露和巨大的经济损失，甚至可能引发群体性的网络安全危害事件。 如何避免设置弱口令 服务器安全卫士提供系统弱口令和应用弱口令两类弱口令检测，可帮您快速发现主机中存在的弱口令风险，详细操作参见弱口令检测。 若检测出弱口令，可按以下规则设置复杂口令： 密码长度不少于8位 包含大小写字母、数字及特殊字符 密码不包含用户名 密码中不含连续的字母或数字 并且建议您每隔3个月更改一次口令。

云产品 应用场景 描述 相关操作 虚拟专用网络VPN 连接云上VPC与本地IDC VPN连接（Virtual Private Network）用于搭建用户本地数据中心与天翼云VPC之间便捷、灵活，即开即用的IPsec加密连接通道，实现灵活一体，可伸缩的混合云计算环境。 云专线CDA 依托高性能网络布局和丰富链路资源，连接VPC与本地IDC 天翼云云专线（CTCDA，Cloud Dedicated Access），依托中国电信高性能网络布局和丰富链路资源，为用户本地数据中心与天翼云VPC之间提供高速、低时延、稳定安全的连接服务，灵活搭建云上云下专属通道，实现可伸缩的混合云部署。

操作步骤 步骤一：专线网关绑定物理专线 1、登录云专线控制台，在左侧导航栏中，单击【专线网关】。 2、在专线网关页面，选择目标专线网关，在操作列中单击【详情】。 3、在专线网关物理专线页签，单击【绑定物理专线】。 4、在绑定物理专线页，选择已创建的物理专线1，然后单击【确定】。 5、重复上述步骤，配置专线网关绑定物理专线2。 步骤二：专线网关添加静态路由 1、登录云专线控制台，在左侧导航栏中，单击【专线网关】。 2、在专线网关页面，选择目标专线网关，在操作列中单击【详情】。 3、在专线网关客户侧路由页签，单击【添加路由】，配置以下参数信息，然后单击【确定】。 配置 说明 路由模式 选择路由模式。 本文选择静态。 说明 专线网关绑定两个物理专线实现主备时，仅静态路由模式支持。如需使用BGP路由模式，详见本地IDC通过主备专线入云。 客户侧IP类型 选择专线网关的路由类型，支持选择IPv4、IPv6、双栈。 本文选择IPv4。 客户侧子网 输入专线网关要转发的目的网段。 本文输入192.168.1.0/24。 物理专线/静态 1、单击【添加物理专线】，选择需要配置静态路由的物理专线，本文选择已创建的物理专线1。 2、在操作栏中单击【编辑】，设置已添加物理专线的优先级和网络检测配置，本文优先级选择50和网络检测选择开启BFD。 3、优先级和网络检测配置完成后，在操作栏中单击【保存】。 4、重复上述步骤，添加已创建的物理专线2，本文优先级选择60和网络检测选择开启BFD。 说明 接收和发送单跳BFD控制报文的最小时间间隔为400毫秒。 单跳检测的BFD检测时间倍数为5。

本文介绍如何操作病毒查杀、实时防护、黑白名单等能力。 背景 终端作为企业日常办公、业务处理、系统维护的设备，承载着企业重要的数据。在复杂严峻的外部网络环境中，极易遭遇非法访问、病毒入侵以及信息泄露等诸多安全风险。如今，移动办公与远程办公需求持续攀升，这无疑让终端安全面临着前所未有的挑战。因此，怎样强化终端的安全管理，有效抵御外来攻击，切实保障数据安全，已然成为终端安全领域的共同迫切诉求。 功能说明 企业管理员可以在控制台的终端防病毒页面，手动或者周期性配置病毒扫描策略，远程对员工客户端所在的环境进行扫描检测，最终在控制台对病毒进行统计和管理。 注意 终端防病毒扫描功能客户端版本号为2.3.x及以上，扫描病毒进行自动查杀需客户端版本为2.6.x以上，支持的操作系统为Windows、麒麟、统信。如有需要，请 同时，需注意订购套餐需满足以下条件之一： 1、已订购终端管理基础版，点击查看 2、零信任服务套餐为企业版，点此查看零信任服务

本节介绍如何查看探测状态。 “探测状态”是指安全产品数据上报到SA的状态。通过查看探测状态，您可以判断是否正常上报当前产品数据。 探测状态说明 状态 说明 探测正常 表示一个小时内，数据接口被调用次数大于等于8次，接口连通性正常，“探测状态”检测正常，正常上报当前产品数据。 启用产品集成后一个小时内，默认探测状态为正常。 探测异常 表示一个小时内，数据接口被调用次数大于0次小于8次，接口连通性异常，“探测状态”检测异常，不能正常上报当前产品数据。 停止探测 表示已停止上报当前产品数据。 从未探测 表示从未上报当前产品数据。 说明 探测正常状态判断原则：启用产品集成上报数据后，产品可每5分钟调用一次探测接口确认连通性。通过记录产品调用数据接口次数，判断探测健康状态。 操作步骤 1. 登录管理控制台。 2. 在页面左上角单击，选择“安全 > 态势感知（专业版） > 安全产品集成”，进入产品集成管理页面。 3. 在探测状态中，选择目标状态，即可呈现该状态的全部产品。 4. 在产品介绍栏，即可查看从该产品接收的数据量，以及该产品探测状态。