此小节介绍数据库安全如何配置隐私数据保护规则。 当需要对输入的SQL语句的敏感信息进行脱敏时，您可以通过开启隐私数据脱敏功能，以及配置隐私数据脱敏规则，防止数据库用户敏感信息泄露。 前提条件 已成功购买数据库安全审计实例，且实例的状态为“运行中”。 已成功添加数据库并开启审计功能。 已成功添加并安装Agent。 操作步骤 1. 登录管理控制台。 2. 单击右上角的 ，选择区域。 3. 选择“安全 > 数据库安全服务”，进入数据库安全审计“总览”界面。 4. 在左侧导航树中，选择“审计规则”，进入审计规则界面。 5. 在“选择实例”下拉列表框中，选择需要配置隐私数据保护规则的实例。 6. 选择“隐私数据保护”页签。 7. 开启或关闭“存储结果集”和“隐私数据脱敏”。 存储结果集 建议关闭 。关闭后，数据库安全审计分析平台将不会存储用户SQL语句的结果集。 说明 如果用于PCI DSS/PCI 3DS CSS认证，禁止开启。 隐私数据脱敏 建议开启 。开启后，您可以通过配置隐私数据脱敏规则，防止数据库敏感信息泄露。 8. 单击“添加自定义规则”，在弹出“添加自定义规则”对话框中设置数据脱敏规则，如下图所示，相关参数说明如下表所示。 参数名称 说明 取值样例 规则名称 自定义规则的名称。 test 正则表达式 输入需要配置的正则表达式。 替换值 输入正则表达式脱敏后的替换值。

本小节介绍安全告警事件概述。 企业主机安全支持账户暴力破解、进程异常行为、网站后门、异常登录、恶意进程等13大类入侵检测能力，用户可通过事件管理全面了解告警事件类型，帮助用户及时发现资产中的安全威胁、实时掌握资产的安全状态。 约束限制 未开启防护不支持告警事件相关操作。 主机告警事件支持情况说明 事件类型 告警名称 告警说明 企业版 旗舰版 网页防篡改版 加入告警白名单 隔离查杀 恶意软件 恶意程序 恶意程序可能是黑客入侵成功之后植入的木马、后门等，用于窃取数据或攫取不当利益。 例如：黑客入侵之后植入木马，将受害主机作为挖矿、DDoS肉鸡使用，这类程序会大量占用主机的CPU资源或者网络资源，破坏用户业务的稳定性。 通过程序特征、行为检测，结合AI图像指纹算法以及云查杀，有效识别后门、木马、挖矿软件、蠕虫和病毒等恶意程序，也可检测出主机中未知的恶意程序和病毒变种，并提供一键隔离查杀能力。 √ √ √ √ √ 恶意软件 勒索软件 检测来自网页、软件、邮件、存储介质等介质捆绑、植入的勒索软件。 勒索软件用于锁定、控制您的文档、邮件、数据库、源代码、图片、压缩文件等多种数据资产，并以此作为向您勒索钱财的筹码。 × √ √ √ ×（部分支持） 恶意软件 Webshell 检测云服务器上web目录中的文件，判断是否为Webshell木马文件，支持检测常见的PHP、JSP等后门文件类型。 您可以在“策略管理”的“Webshell检测”中配置Webshell检测，HSS会实时检测执行的可疑指令，主机被远程控制执行任意命令等。 × √ √ √ × 恶意软件 反弹Shell 实时监控用户的进程行为，及时发现进程的非法Shell连接操作产生的反弹Shell行为。 支持对TCP、UDP、ICMP等协议的检测。 您可以在“策略管理”的“恶意文件检测”中配置反弹Shell检测，HSS会实时检测执行的可疑指令，主机被远程控制执行任意命令等。 × √ √ √ × 漏洞利用 一般漏洞利用 实时检测利用漏洞入侵主机的行为，对发现的入侵行为进行告警上报。 √ √ √ √ × 系统异常行为 文件提权 当黑客成功入侵主机后，会尝试利用漏洞进行root提权或者文件提权，从而达到非法创建和修改系统帐号的权限或者篡改文件的目的。 HSS检测当前系统的“进程提权”和“文件提权”操作。 检测以下异常提权操作： 利用SUID程序漏洞进行root提权。 利用内核漏洞进行root提权。 对文件的提权。 √ √ √ √ × 系统异常行为 进程提权 检测以下进程提权操作并进行告警： 利用SUID程序漏洞进行root提权。 利用内核漏洞进行root提权。 √ √ √ √ × 系统异常行为 关键文件变更 篡改系统关键文件，通常是黑客入侵成功后进行身份隐藏或者发起下一步攻击的准备工作。 对系统关键文件（例如：ls、ps、login、top等）及目录进行监控，一旦文件被修改就进行告警，提醒用户关键文件存在被篡改的可能。监控的关键文件的路径请参见关键文件变更监控路径。 关键文件变更信息包括“被更改的关键文件路径”、“文件最后修改时间”以及配置文件所在的“服务器名称”。 文件/目录变更信息包括“文件别名”、“被更改的关键文件路径”以及配置文件所在的“服务器名称”。 添加关键文件指纹库，收集关键文件信息，便于清点合法文件信息，检测异常文件。 对于关键文件变更，HSS只检测目录或文件是否被修改，不关注是人为或者某个进程修改的。 √ √ √ √ × 系统异常行为 文件/目录变更 实时监控系统文件/目录，对创建、删除、移动、修改属性或修改内容的操作进行告警，提醒用户文件/目录可能被篡改。 √ √ √ √ × 系统异常行为 进程异常行为 检测各个主机的进程信息，包括进程ID、命令行、进程路径、行为等。 对于进程的非法行为、黑客入侵过程进行告警。 进程异常行为可以监控以下异常行为： 监控进程CPU使用异常。 检测进程对恶意IP的访问。 检测进程并发连接数异常等。 √ √ √ √（部分支持） × 系统异常行为 高危命令执行 您可以在“策略管理”的“高危命令检测”中预置高危命令。 HSS实时检测当前系统中执行的高危命令，当发生高危命令执行时，及时触发告警。 √ √ √ √ × 系统异常行为 异常Shell 检测系统中异常Shell的获取行为，包括对Shell文件的修改、删除、移动、复制、硬链接、访问权限变化。 您可以在“策略管理”的“恶意文件检测”中配置异常Shell检测，HSS会实时检测执行的可疑指令，主机被远程控制执行任意命令等。 √ √ √ √ × 系统异常行为 Crontab可疑任务 检测并列出当前所有主机系统中自启动服务、定时任务、预加载动态库、Run注册表键或者开机启动文件夹的汇总信息。 帮助用户通过自启动变更情况，及时发现异常自启动项，快速定位木马程序的问题。 × × √ √ × 用户异常行为 暴力破解 黑客通过帐户暴力破解成功登录主机后，便可获得主机的控制权限，进而窃取用户数据、植入挖矿程序，DDoS木马攻击等恶意操作，严重危害主机的安全。 检测SSH、RDP、FTP、SQL Server、MySQL等帐户遭受的口令破解攻击。 如果30秒内，帐户暴力破解次数（连续输入错误密码）达到5次及以上，HSS就会拦截该源IP，禁止其再次登录，防止主机因帐户破解被入侵。 SSH类型攻击默认拦截12小时，其他类型攻击默认拦截24小时。 根据帐户暴力破解告警详情，如“攻击源IP”、“攻击类型”和“拦截次数”，您能够快速识别出该源IP是否为可信IP，如果为可信IP，您可以通过手动解除拦截的方式，解除拦截的可信IP。 √ √ √ √ × 用户异常行为 异常登录 检测“异地登录”和“帐户暴力破解成功”等异常登录。若发生异常登录，则说明您的主机可能被黑客入侵成功。 检测主机异地登录行为并进行告警，用户可根据实际情况采取相应措施（例如：忽略、修改密码等）。 异地登录检测信息包括被拦截的“登录源IP”、“登录时间”，攻击者尝试登录主机时使用的“用户名”和“云服务器名称”。 若在非常用登录地登录，则触发安全事件告警。 若帐户暴力破解成功，登录到云主机，则触发安全事件告警。 √ √ √ √ × 用户异常行为 非法系统帐号 黑客可能通过风险帐号入侵主机，以达到控制主机的目的，需要您及时排查系统中的帐户。 HSS检查系统中存在的可疑隐藏帐号、克隆帐号；若存在可疑帐号、克隆帐号等，则触发告警。 √ √ √ √ ×

本节介绍如何购买扩展资源。 开通了云安全中心实例后，可根据实际使用需求购买日志分析量扩展资源和态势大屏扩展资源。 前提条件 已购买云安全中心实例。 规格限制 态势大屏扩展资源只可购买一次。 日志分析量扩展资源的购买资源最小单位为50G，即扩展资源需要购买50G的整数倍。 约束条件 云安全中心实例生效期间，支持扩增扩展资源数量。 扩展资源与主资源绑定，到期时间与主资源一致，不支持单独续订、退订。 系统影响 购买扩展资源时，原已启用的服务不会暂停，对业务无任何影响。 购买扩展资源 若当前实例还未购买某类扩展资源，则需单独购买。 1. 登录天翼云控制中心。 2. 在控制台列表页，选择“安全 > 云安全中心”，进入产品服务页面。 3. 在左侧导航栏，选择“已购资源”。 4. 选择需要购买的扩展资源，“态势大屏”扩展资源、“日志分析量”扩展资源。 说明 “日志分析量扩展资源”可以设置购买数量，固定为50G的整数倍。 “态势大屏扩展资源”为固定1个。 5. 设置扩展资源数量。 6. 在页面下方确认配置费用，阅读《云安全中心服务协议》并勾选“我已阅读，理解并接受《云安全中心服务协议》“，单击“立即购买”。 7. 在订单页完成订单确认并支付，付费成功后，购买扩展资源规格生效。

云堡垒机可以跨区域或跨VPC网络管理主机吗？ 不建议。 云堡垒机仅支持直接管理同一VPC内资源，即可直接访问同一VPC内资源。 虽跨区域或跨VPC可通过云服务构建网络连接，但受限于网络的不稳定性，不建议跨区域或跨VPC使用云堡垒机纳管资源。 云堡垒机支持在专属云上使用吗？ 支持。 专属云（Dedicated Cloud）是面向企业、政府、金融等客户，提供计算、存储资源池以及网络、管控多级隔离的综合解决方案。用户独享专属资源池，与公有云资源物理隔离，满足特定性能、应用及安全合规等要求。

威胁分析页面顶部的数据统计栏展示了所有安全组件产生的告警数量及风险级别。 风险项级别分为5级： 严重（红）； 高（橙）； 中（黄）； 低（蓝）； 提示（绿）。 统计项目包括存在告警的服务器数量、待处理告警数、急需处理告警数、所有告警总数，急需处理报警包括严重与高级别报警 。 点击统计项目数字及风险项级别，可以把统计项目与风险级别加为筛选条件，页面下方的趋势图、告警云、TOP10、告警列表会即时根据筛选结果更新。 如需取消筛选条件，在告警列表头上方删除条件。

本章节为您介绍如何将已添加到数据安全中心DSC防护的对象存储OBS桶删除。 将对象存储OBS桶删除后，该资产在DSC服务里建立的相关任务模板以及扫描任务结果报告都将被删除，且无法恢复。 前提要求 需要完成对象存储OBS资产委托授权，参考云资源委托授权/停止授权步骤进行操作。 需要删除的对象存储OBS资产未被应用在敏感数据识别任务中。 注意 如果需要删除的OBS资产已被应用在敏感数据检测任务中，请先解绑资产或者删除任务，再参照本章节删除资产。 OBS资产删除后无法恢复，资产相关的任务模板，任务结果，报表都将删除，请谨慎操作。 操作步骤 1.登录管理控制台。 2.点击左上角的，选择区域或项目。 3.点击左侧导航树的，选择“安全与合规 >数据安全中心”，进入数据安全中心总览界面。 4.在左侧导航树中选择“资产列表”，进入OBS资产列表页面。 5.在OBS资产列表中，在需要删除的OBS资产所在行的“操作”列，单击“删除”。 6.在弹出窗口中，单击“确定”。

资金解冻 资金冻结规则 为保障您的账户资金安全，若银行转账后款项 超过6个月未被认领 ，系统将自动对该笔资金进行冻结。冻结后，需要申请解冻，解冻完成后才可以继续认领。 资金解冻申请 1. 需要准备加盖公章的资金使用说明函模板。 2. 提交工单上传说明函模板附件，或联系客户经理，申请资金解冻。

上报字段 描述 计算方式 备注 dns DNS查询耗时 domainLookupEnd domainLookupStart 无 tcp TCP连接耗时 connectEnd connectStart 无 ttfb (Time to First Byte) 请求响应耗时 responseStart requestStart 无 trans 内容传输耗时 responseEnd responseStart 无 dom DOM解析耗时 responseEnd responseStart 无 res 资源加载耗时 loadEventStart domContentLoadedEventEnd 表示页面中的同步加载资源。 ssl SSL安全连接耗时 connectEnd secureConnectionStart 只在HTTPS下有效。

本节介绍了数据库安全设置的相关内容。 账户密码复杂度设置 RDS for MySQL Console端数据库密码复杂度，请参见购买中的数据库配置表格。 RDS for MySQL对在客户端新创建的数据库用户，设置了密码安全策略： 口令长度至少8个字符。 口令至少包含大写字母、小写字母、数字和特殊字符各一个。 创建实例时，为用户提供了密码复杂度校验，由于root用户可以修改密码复杂度，安全起见，建议修改后的密码复杂度不低于RDS for MySQL的初始化设置。 账户说明 您在创建RDS for MySQL数据库实例时，系统会自动为实例创建如下系统账户（用户不可使用），用于给数据库实例提供完善的后台运维管理服务。 注意 删除、重命名、修改这些账户的密码和权限信息，会导致实例运行异常，请谨慎操作。 rdsAdmin：管理账户，拥有最高的superuser权限，用于查询和修改实例信息、故障排查、迁移、恢复等操作。 rdsRepl：复制账户，用于备实例或只读实例在主实例上同步数据。 rdsBackup：备份账户，用于后台的备份。 rdsMetric：指标监控账户，用于watchdog采集数据库状态数据。 rdsProxy：数据库代理账户，该账户在开通读写分离时才会自动创建，用于通过读写分离地址连接数据库时鉴权使用。

本文介绍云容器引擎的产品优势。 云容器引擎是基于业界主流的Docker和Kubernetes开源技术构建的容器服务，提供众多契合企业大规模容器集群场景的功能，在系统可靠性、高性能、开源社区兼容性等多个方面具有独特的优势，满足企业在构建容器云方面的各种需求。云容器引擎的优点有：大幅提高线上业务的运维、弹性伸缩能力；大幅提高资源、设备及人力的利用率，降低成本；大幅提升产品、业务应用的研发效率。 管理简单 帮助用户屏蔽了底层技术架构，云容器引擎具有强大的集群管理功能，简单的操作流程。用户可自定义集群应用，只需进行简单的单击操作，即可完成业务部署，无需参与底层网络、存储等的技术设计，无需手动搭建docker及kubernetes集群，并进行证书、密钥等配置，减少技术人员的投入，节约人力成本。 云容器引擎平台为集群、应用、容器、网络、配置项、命名空间等丰富的集群资源提供了直观的界面化管理，简化了用户操作。用户可随时随地登陆，进行应用容器的生命周期管理，灵活的安排运行的应用业务，浏览当前具备的资源及业务运行状态，大幅降低了用户的管理成本、运维成本。 安全稳定 云容器引擎服务提供3个master主节点的高可用集群，去中心化式的集群架构，确保当单个主控节点出现问题时，集群也能够无中断的继续运行。相比用户自建的单主控节集群，业务稳定性与连续性大大提高。 云容器服务基于天翼云优秀的IAAS层基础架构搭建，成熟的虚拟化技术、优质的网络架构，以及多层次的安全防护能力，从底层确保了上层容器服务的稳定可靠性。用户可自定义安全组规则，进一步提高隔离水平。 伴随业务版本的快速迭代，云容器引擎服务提供了渐进式的滚动升级策略，搭配容器镜像服务，通过web界面一键完成应用版本升级，无忧实现业务平滑替换，提高业务连续性，保障优质的用户体验感。 云容器引擎提供集群、节点、容器多层面的状态监控，支持全时段的事件监控，应用日志查看，容器健康检查等功能，用户只需登陆容器引擎平台总览页面，即可将集群、网络、CPU、内存资源等信息尽收眼底，时刻把握集群情况，并快速定位故障发生原因，减少运维人力，提高运维效率。 轻松应对 云容器引擎提供了应用层级别的水平伸缩能力，即Horizontal Pod Autoscaling（HPA），支持用户自定义Pod伸缩策略，根据容器资源使用情况，自动快速调整Pod数量，及时应对用户业务流量变化，保障业务对外能力可用。 云容器引擎支持应用与节点、应用间的亲和、反亲和性质的调度策略配置，帮助用户实现节点负载的合理安排和组织，提高系统的稳定性、扩展性。提高各节点的资源利用效率。支持Pod级别迁移策略配置，当节点出现故障时可快速迁移应用。 开放兼容 云容器引擎服务深度整合了天翼云平台成熟的计算、存储、网络、安全等云产品功能，提高了系统的可扩展性。用户可集合平台提供的其它云产品能力，如云主机监控、存储管理等，进一步构建完善云上业务系统。 云容器引擎在Docker技术的基础上，为容器化的应用提供部署运行、资源调度、服务发现和动态伸缩等一系列完整功能，提高了大规模容器集群管理的便捷性。云容器引擎基于业界主流Kubernetes实现，完全兼容Kubernetes/Docker社区原生版本，与社区最新版本保持紧密同步，完全兼容Kubernetes API和Kubectl。 特色功能 镜像仓库：容器引擎为用户提供了配套的镜像仓库管理服务，支持创建仓库及镜像管理等基础功能，并为用户提供了丰富的官方镜像资源，覆盖面广，满足用户不同的业务需求，保障了镜像的可靠性与安全性。用户无需自行搭建和运维仓库，即可一键快速完成业务容器化部署，提高业务容器化效率。 天翼云平台为用户提供了专业的售后运营团队，全天候724小时服务。用户可通过工单、电话等渠道，对产品故障进行反应。团队将及时响应，并快速定位问题，解决客户的疑难杂症。

本节介绍了用户指南： 海量文件概述。 云容器引擎支持挂载天翼云海量文件存储卷。cstorcsi插件支持使用海量文件动态存储卷和静态存储卷，通过将海量文件存储卷挂载到容器指定目录下，以满足数据持久化需求。 海量文件服务OceanFS为全托管、可扩展的海量文件系统，适用于海量数据及高带宽应用场景。OceanFS支持弹性扩展至PB级别，具备高可用性与数据持久性，适用于高性能计算、媒体处理、文件共享、内容管理及Web服务等多种场景。 使用限制 插件版本 使用海量文件存储功能，需要cstorcsi插件版本 >3.6.0 文件协议 当前cstorcsi插件仅支持NFS协议 容量 单个文件系统最小容量为100GB subpath模式 在subpath模式下，暂不支持目录配额，subpath使用的容量实际上是整个海量文件的容 其他限制 参见 海量文件使用限制 产品优势 共享访问 1. 支持多台客户端挂载访问同一文件系统，可支持连接上千个客户端实例。 2. 支持NFSv3/v4.1。 3. 支持IPv4和IPv6网络协议。 海量可扩展 1. 用户可以根据业务需要配置文件系统的初始存储容量，后续可以随着数据量的变化而扩容。 2. 支持PB级存储空间。 安全可信 1. 支持使用VPC用户隔离、权限组等安全管理功能进行访问权限控制，保障数据安全可靠。 2. 文件服务支持HA高可用，出现任何硬件故障时，业务自动切换到其他节点，服务可用性在99.95%及以上。 友好易用 1. 操作界面友好、简单易用，用户可通过控制台界面快速轻松地创建、配置和管理文件系统，省去复杂的文件系统部署工作。 2. 提供全托管服务，不必考虑复杂的安装、配置及性能调优工作，用户可轻松创建使用文件系统，只需几分钟便可使用高性能的文件系统。

本文简述回源URI改写功能及配置方法。 功能介绍 回源URI改写可以实现在用户请求回源时对回源URI进行改写，配置回源URI改写功能后，边缘节点向源站发起回源请求时将使用改写后的URI。 适用场景 源站服务器的资源所在的路径发生了变化，而用户仍请求原来的URI，此时可在控制台配置回源URI改写功能，将原URI指向新的资源路径。 源站内有同样的资源在多个地方复用，也可以通过回源URI改写将资源指向指定的资源路径。 注意事项 回源URI改写功能只能针对请求URI进行改写，无法对URI后的参数进行改写，若要对URI后的参数进行改写，详情请见：回源参数改写。 URI改写会按照从上到下的顺序执行规则列表，因此规则列表的顺序会影响改写结果。 单域名可配置的回源URI改写的规则上限是50条。 配置说明 1.登录边缘安全加速平台控制台。 2.进入安全与加速工作台域名基础配置页面，点击目标域名。 3.进入源站设置页面，单击“编辑配置”。 4.在【回源URI改写】模块，单击【增加规则】 5.配置【改写模式】、【待改写PATH】、【改写后PATH】。 6.单击【保存】，完成配置。 配置界面 参数名 说明 改写模式 默认解码，对回源URI解码后改写，回源时再编码；选择编码，对回源URI原始编码改写，回源时不再编码。 待改写PATH 以/开头的URI，不含 改写后PATH 以/开头的URI，不含 操作 可删除配置。

本文介绍了如何使用弹性云主机的Windows实例搭建FTP站点 本文介绍了如何使用弹性云主机的Windows实例搭建FTP站点。该指导具体操作以Windows Server 2012 R2为例。 Windows实例搭建FTP站点具体操作步骤如下： 1、添加IIS以及FTP服务角色。 2、创建FTP用户名及密码。 3、设置共享文件的权限。 4、添加及设置FTP站点。 5、（可选）配置FTP防火墙支持。 6、设置安全组及防火墙。 7、客户端测试。

本节介绍了操作系统更新的相关内容。 云数据库 TaurusDB实例需要适时进行操作系统更新，以提高数据库性能和数据库的整体安全状况。 实例内核版本升级时，云数据库 TaurusDB会根据操作系统的实际情况，决定是否更新以及更新适合的操作系统冷补丁版本。 操作系统更新不会更改数据库实例的版本或数据库实例信息。 此外，云数据库 TaurusDB会在用户设置的运维时间段内，通过热补丁方式及时修复影响重大的操作系统漏洞。

功能 基础版 专业版 高级版 企业版 常见Web漏洞检测 √ √ √ √ 端口扫描 √ √ √ √ 自定义登录方式 √ √ √ √ Web 2.0高级爬虫 √ √ √ √ 网站指纹识别 √ √ √ √ 扫描任务管理 √ √ √ √ 漏洞查看及管理 √ √ √ √ CVE漏洞扫描 × √ √ √ 弱密码检测 × √ √ √ 网页内容合规检测（文字） × √ √ √ 操作系统漏洞扫描 × √ √ √ 操作系统基线检查 × √ √ √ 中间件基线检查 × √ √ √ 查看漏洞修复建议 × √ √ √ 下载扫描报告 × √ √ √ 安全监测（定时扫描） × √ √ √ 网页内容合规检测（图片） × × × √ 网站挂马检测 × × × √ 链接健康检测（死链、暗链、恶意外链） × × × √ 操作系统等保合规检查 × × × √

本文介绍了RDSPostgreSQL如何避免恶意访问数据库。 用户开通RDSPostgreSQL时，建议根据密码规则设置强密码并定期修改，以防密码泄露。 通过EIP访问实例时，建议用户妥善保存EIP、数据库端口、数据账号密码等数据库信息。 建议用户通过安全组限定源IP，确保访问IP可信。 您也可为您的实例设置访问白名单，杜绝非法IP访问您的数据库实例，具体设置方法可参照创建白名单。

此小节介绍数据库安全服务的产品定义。 产品介绍 数据库安全服务，即DBSS（Database Security Service），提供旁路模式数据库安全审计服务功能，通过实时记录用户访问数据库行为，形成细粒度的审计报告，对风险行为和攻击行为进行实时告警。同时，数据库安全审计可以生成满足数据安全标准（例如SarbanesOxley）的合规报告，对数据库的内部违规和不正当操作进行定位追责，保障数据资产安全。 数据库类型 数据库安全审计可以为管理控制台上的以下数据库提供旁路模式的数据库审计功能： 关系型数据库（Relational Database Service，RDS） 弹性云主机（Elastic Cloud Server ，ECS）的自建数据库 裸金属服务器（Bare Metal Server，BMS）的自建数据库 云主机（Elastic Cloud Server ，ECS）的自建数据库 物理机（Bare Metal Server，BMS）的自建数据库 数据库安全审计支持的数据库类型和版本 数据库类型 版本 MySQL 5.0、5.1、5.5、5.6、5.7 8.0（8.0.11及以前的子版本） 8.0.23 Oracel (因Orace为闭源协议，适配版本复杂，如您需审计Orace数据库，请先联系客服人员) 11g 11.1.0.6.0、11.2.0.1.0、11.2.0.2.0、11.2.0.3.0、11.2.0.4.0 12c 12.1.0.2.0、12.2.0.1.0 19c PostgreSQL 7.4 8.0 8.0、8.1、8.2、8.3、8.4 9.0 9.0、9.1、9.2、9.3、9.4、9.5、9.6 10.0 10.0、10.1、10.2、10.3、10.4、10.5 11.0 12.0 13.0 SQL Server 2008、2008R2 2012 2014 2016 2017 DWS 1.5 SHENTONG V7.0 GBase 8a V8.5 GBase 8s V8.8 Gbase XDM Custer V8.0 Greenplum V6.0 HighGo V6.0 TAURUS MySQ 8.0 DAMENG DM8 KINGBASE V8 MongoDB V5.0

本小节介绍数据库安全数据库脏表检测最佳实践。 操作场景 数据库安全审计规则可增加一条“数据库脏表检测”的高风险操作。用户预设无用的库、表或列作为“脏表”，无风险程序不会访问用户自建的“脏表”，用于检测访问“脏表”的可能的恶意程序。 通过数据库脏表检测，可以帮助您监控识别访问“脏表”的SQL语句，及时发现数据安全风险。 前提条件 用户需要在待审计的实例中添加无用的数据库、表或字段，作为脏表检测的对象。 配置数据库脏表检测 1. 登录管理控制台。 2. 在页面上方选择“区域”后，单击，选择“安全与合规 > 数据库安全服务”。 3. 在左侧导航树中，选择“审计规则”，进入“审计规则”界面。 4. 在“选择实例”下拉列表框中，选择需要配置数据库脏表检测的实例。 5. 选择“风险操作”页签。单击“添加风险操作”增加脏表检测规则。 6. 基本信息中将“风险等级”配置为“高”。 7. （可选）配置“客户端IP/IP段”，不配置系统默认检测全部。 8. 配置操作类型，选择“操作”和“全部操作”。配置操作对象填写实例中添加无用的数据库、表或字段，如图所示。

本文为您介绍手工搭建Ghost博客(Ubuntu 20.04)的最佳实践。 Ghost是基于Node.js开发的一款免费的非常出色的开源博客平台，具有即时预览、极致简约、支持多用户等特性，本文将指导用户在Ubuntu20.04操作系统上的云主机实例上部署Ghost博客。 前置条件 使用本文的操作步骤，弹性云主机实例必须满足以下前置： 实例需要分配公网IP或绑定弹性公网IP。 操作系统：Ubuntu 16.04、Ubuntu 18.04、Ubuntu 20.04、Ubuntu 22.04。 实例所在的安全组入方向安全规则放行22、80、4423、2368端口。 创建新用户 由于Ghost官方不推荐使用root用户直接进行操作。因此需要重新创建新的用户，并且为其配置权限。 1. 执行以下命令，创建新用户。 以创建test用户为例子。 plaintext adduser test 具体配置如下： plaintext root@ecm2d20Ghost:~ adduser test Adding user test' ... Adding new group test' (1000) ... Adding new user test' (1000) with group test' ... Creating home directory /home/test' ... Copying files from /etc/skel' ... New password: Retype new password: passwd: password updated successfully Changing the user information for test Enter the new value, or press ENTER for the default Full Name []: Room Number []: Work Phone []: Home Phone []: Other []: Is the information correct? [Y/n] y 2. 执行以下命令，将新创建的用户添加到组。 plaintext usermod a G sudo test 3. 执行以下命令，切换到test用户。 plaintext su test

创建密钥对操作指引 您可以使用已有密钥对或新建一个密钥对，用于远程登录身份验证。 1.新建密钥对.如果没有可用的密钥对，需新建一个密钥对，生成公钥和私钥，并在登录弹性云主机时提供私钥进行鉴权。创建密钥对的方法如下： （推荐）通过管理控制台创建密钥对：公钥自动保存在系统中，私钥由用户保存在本地。 通过puttygen.exe工具创建密钥对：公钥和私钥均保存在用户本地。 创建成功的密钥对，还需要执行导入密钥对，导入系统才能正常使用密钥对。 2.使用已有密钥对 如果本地已有密钥对（例如，使用PuTTYgen工具生成的密钥对），可以在管理控制台导入密钥对公钥，由系统维护您的公钥文件。具体操作请参见导入密钥对。 说明 如果已有密钥对的公钥文件是通过puttygen.exe工具的“Save public key”按钮保存的，该公钥文件不能直接导入管理控制台。 约束与限制 仅支持远程登录Linux云主机。 通过管理控制台创建的SSH2密钥对仅支持“RSA2048”加解密算法。 通过外部导入的密钥对支持的加解密算法为： RSA1024 RSA2048 RSA4096 私钥是保证您的弹性云主机安全的重要手段之一，用于远程登录身份认证，为保证弹性云主机安全，只能下载一次，请妥善保管。

本节介绍了云数据库TaurusDB如何绑定弹性公网IP。 操作场景 TaurusDB实例创建成功后，支持用户绑定弹性IP，通过公共网络来访问数据库实例，绑定后也可根据需要解绑。 绑定弹性公网IP 步骤 1 登录管理控制台。 步骤 2 单击管理控制台右上角的，选择Region。 步骤 3 在页面左上角单击，选择“数据库 > 云数据库TaurusDB”。 步骤 4 在“实例管理”页面，选择目标实例，单击实例名称，进入实例的“基本信息”页面。 步骤 5 在“网络信息”模块，单击“读写公网地址”后面的“绑定”。 图 设置安全组 步骤 6 在弹出框的弹性IP地址列表中，选择目标弹性IP，单击“确定”，提交绑定任务。 如果没有可用的弹性IP，您可单击“查看弹性IP”，跳转到网络控制台创建弹性IP，创建完成后请返回实例的基本信息页面绑定弹性IP。 注意 您需要设置安全组，开通需访问数据库的IP地址和端口，才可以访问数据库实例。请参见 图 选择弹性IP 步骤 7 在“网络信息”模块“读写公网地址”处查看绑定成功的弹性IP。

为什么不能直接访问Web应用防火墙（边缘云版）生成的CNAME域名？ Web应用防火墙（边缘云）生成的CNAME域名仅用于DNS解析，将流量通过修改DNS解析，引导至天翼云边缘云节点，不能直接访问。如果直接访问CNAME域名，可能显示504页面。 CNAME的作用 获取服务返回的CNAME，并将域名或者业务的DNS解析指向天翼云提供的CNAME，这样访问的请求才能转发到边缘云节点上，达到安全防护效果。 如何添加CNAME记录 您可以前往您的域名解析(DNS)服务商(如万网、阿里云解析、DNSPod、新网、腾讯云解析、route 53、godaddy等)，添加该CNAME记录。 具体操作可参考配置CNAME。 在Web应用防火墙控制台（边缘云版）能查看到攻击者IP吗？ 可以，可通过Web应用防火墙（边缘云版）控制台的“安全分析 > WAF攻击报表”页面查看攻击数TOP10的攻击者IP。 另外，通过“日志管理 > WAF攻击日志”页面查看所有的攻击日志，每条攻击日志都有记录对应的攻击者IP。 是否能跨账号使用CDN+DDoS高防（边缘云版）+Web应用防火墙控制台（边缘云版）？ 您需要在相同账号订购三款产品。 开通Web应用防火墙（边缘云版） 开通CDN加速服务 开通DDoS高防（边缘云版）服务

本章节主要介绍ALM16046 Hive数据仓库权限被修改的告警。 告警解释 系统每60秒周期性检测Hive数据仓库的权限是否被修改，如果修改发出告警。 告警属性 告警ID 告警级别 是否自动清除 16046 紧急 是 告警参数 参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 对系统的影响 Hive默认数据仓库的权限被修改，会影响当前用户，用户组，其他用户在默认数据仓库中创建库、创建表等操作的操作权限范围。会扩大或缩小权限。 可能原因 Hive定时查看默认数据仓库的状态，发现Hive默认数据仓库权限发生更改。 处理步骤 检查Hive默认数据仓库权限情况 1. 以root用户登录客户端所在节点。 2. 请使用具有supergroup组权限的用户，根据当前集群情况恢复目录权限： 安全环境：执行命令hdfs dfs chmod 770 hdfs://hacluster/user/hive/warehouse修复默认数据仓库权限。 非安全环境：执行命令hdfs dfs chmod 777 hdfs://hacluster/user/hive/warehouse修复默认数据仓库权限。 3. 查看本告警是否恢复。 是，操作结束。 否，执行步骤4。 收集故障信息 4. 收集客户端后台“hdfs://hacluster/user/hive/warehouse”目录下内容的相关信息。 5. 请联系运维人员，并发送已收集的故障信息。 告警清除 此告警修复后，系统会自动清除此告警，无需手工清除。 参考信息 无。

本文介绍零信任网络服务计费。 零信任网络服务适用场景 零信任网络服务由电信云公司自主研发，依托中国电信优质的网络资源，是旨在为企业提供安全、高效、智能的网络连接和加速服务，满足移动办公、海外访问国内应用、跨境加速、多云互联等多种场景。 计费模式： 包周期 计费区域： 中国内地、香港、亚太、美洲、欧洲、中东非 计费周期： 按月结算 折扣规则：不享受包年折扣 网络服务、远程办公、办公组网的关系： 网络服务提供区域带宽给远程办公和办公组网使用，支持订购后分配两个场景的带宽值。 远程办公包括零信任主套餐、扩展服务、按需订购项，带宽计费模式下可以叠加网络服务的区域带宽。 办公组网连接模式通过平台授权服务费来订购，加速模式通过网络服务的区域带宽进行订购。 注意 网络服务远程办公/办公组网不支持官网自助开通，请联系您的客户经理或者提交工单进行咨询。 网络服务区域带宽支持给远程办公和办公组网使用，并支持订购范围内按照场景分配带宽，请联系您的客户经理进行咨询。 计费项 计费类型 区域 阶梯区间 标准价格（元/Mbps/月） 备注 网络服务远程办公/办公组网带宽 包周期 中国内地 (0Mbps,100Mbps] 40 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 中国内地 (100Mbps,+] 35 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 香港 (0Mbps,10Mbps] 230 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 香港 (10Mbps,20Mbps] 220 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 香港 (20Mbps,50Mbps] 210 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 香港 (50Mbps,100Mbps] 200 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 香港 (100Mbps,200Mbps] 190 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 香港 (200Mbps,500Mbps] 150 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 香港 (500Mbps,1Gbps] 140 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 香港 (1Gbps,+] 135 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 亚太 (0Mbps,10Mbps] 700 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 亚太 (10Mbps,20Mbps] 690 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 亚太 (20Mbps,50Mbps] 650 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 亚太 (50Mbps,100Mbps] 620 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 亚太 (100Mbps,200Mbps] 540 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 亚太 (200Mbps,500Mbps] 520 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 亚太 (500Mbps,1Gbps] 500 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 亚太 (1Gbps,+] 490 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 美洲 (0Mbps,10Mbps] 700 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 美洲 (10Mbps,20Mbps] 690 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 美洲 (20Mbps,50Mbps] 675 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 美洲 (50Mbps,100Mbps] 650 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 美洲 (100Mbps,200Mbps] 560 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 美洲 (200Mbps,500Mbps] 540 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 美洲 (500Mbps,1Gbps] 520 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 美洲 (1Gbps,+] 510 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 欧洲 (0Mbps,10Mbps] 720 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 欧洲 (10Mbps,20Mbps] 710 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 欧洲 (20Mbps,50Mbps] 700 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 欧洲 (50Mbps,100Mbps] 670 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 欧洲 (100Mbps,200Mbps] 580 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 欧洲 (200Mbps,500Mbps] 555 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 欧洲 (500Mbps,1Gbps] 535 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 欧洲 (1Gbps,+] 520 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 中东非 (0Mbps,10Mbps] 1375 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 中东非 (10Mbps,20Mbps] 1330 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 中东非 (20Mbps,50Mbps] 1200 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 中东非 (50Mbps,100Mbps] 1110 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 中东非 (100Mbps,200Mbps] 1090 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 中东非 (200Mbps,500Mbps] 940 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 中东非 (500Mbps,1Gbps] 690 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 中东非 (1Gbps,+] 680 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 计费项 计费类型 标准价格（元/实例/月） 备注 平台授权服务费 包周期 100 用于办公组网连接模式，按照连接器个数收费 按照连接器实例带宽扣费： （0，100Mbps]占用1个平台授权服务 （100，300Mbps]占用2个平台授权服务 （300，500Mbps]占用3个平台授权服务 500Mbps以上带宽占用5个平台授权服务 说明 远程办公/办公组网/全球加速服务，非中国内地带宽可进行叠加共享。如订购远程办公香港带宽10Mbps，办公组网香港带宽5Mbps，全球加速香港带宽1Mbps，则该客户在香港区域可共享16Mbps带宽。 远程办公的中国内地带宽用于限制中国内地客户端接入的带宽，远程办公连接器中国内地带宽为免费赠送。 当远程办公中国内地连接器复用办公组网/全球加速已有的稳定隧道时，属于网络能力升级。为保障整条隧道链路的稳定性与公平性，同时满足统一计费与带宽管控要求，当远程办公连接器与办公组网/全球加速共用时，需按照已订购的带宽规格统一限速与计费。

本页为您介绍数据库专家服务的产品优势。 数据库专家服务产品优势主要体现在下面几个方面： 团队技术实力雄厚 天翼云数据库内核研发专家及MySQL、PostGreSQL、HBase、Clickhouse、MongoDB等技术专家直接提供一站式服务，解决客户各类疑难问题。 团队经验丰富 数据库专家服务团队成员深耕数据库领域，在数据库架构规划设计、性能调优、应急响应等方面有丰富经验。 大厂级别护航 天翼云数据库专家服务团队参与中国电信核心系统大型流量业务护航，同时对政务、物联网、新能源、医疗等业务提供支持。 对各类大、中、小型业务数据库的设计、实施、运维、优化拥有丰富的解决方案。 全方位的售后服务 全网节点实时监控，724小时技术支持，保障服务高可用。

当进行授权数据安全中心DSC服务访问对象存储OBS资产后，可将OBS资产添加到DSC服务里进行防护。 前提条件 需要完成OBS资产委托授权，具体可以参考云资源委托授权/停止授权操作。 如果需要添加自有对象存储OBS桶，则需要已开通且已使用过OBS服务。 如果需要添加其他桶，则需设置该桶的权限为“公共”。 操作步骤 1. 登录管理控制台。 2. 点击左上角的，选择区域或项目。 3. 点击左侧导航树中的，选择“安全与合规 >数据安全中心”，进入数据安全中心总览界面。 4. 在左侧导航树中选择“资产列表”，进入OBS资产列表页面。 5. 添加OBS资产。 添加自有桶 1. 在OBS资产列表左上角，单击“添加自有桶”。 2. 在弹出添加自有桶对话框中，勾选需要添加的OBS桶。 3. 单击“确定”。 添加其他桶 1. 在OBS资产列表左上角，单击“添加其他桶”。 2. 在弹出的添加其他桶对话框中，输入待添加桶的名称。 如需添加多个桶，则可单击，继续进行添加。 3. 单击“确定”。

本节介绍数据安全中心与周边服务的依赖关系。 与弹性云主机的关系 弹性云主机是一种可随时自助获取、可弹性伸缩的云服务器。经用户授权后，数据安全中心可以为弹性云服务器上的自建数据库提供敏感数据自动识别分类和数据保护服务。 与物理机的关系 物理机是一款兼具虚拟机弹性和物理机性能的计算类服务。经用户授权后，数据安全中心可以为物理机上的自建数据库提供敏感数据自动识别分类和数据保护服务。 与对象存储服务的关系 对象存储服务是一款稳定、安全、高效、易用的云存储服务，具备标准Restful API接口，可存储任意数量和形式的非结构化数据。经用户授权后，数据安全中心可以为对象存储提供敏感数据自动识别分类、用户异常行为分析、数据保护三大服务。 与关系型数据库的关系 关系型数据库是一种基于云计算平台的即开即用、稳定可靠、弹性伸缩、便捷管理的在线关系型数据库服务。经用户授权后，数据安全中心可以为关系型数据库服务中的实例提供敏感数据自动识别分类和数据保护服务。 与数据仓库服务的关系 数据仓库服务是一种基于公有云基础架构和平台的在线数据处理数据库，提供即开即用、可扩展且完全托管的分析型数据库服务。经用户授权后，数据安全中心可以为数据仓库服务提供敏感数据自动识别分类和数据保护服务。

本章介绍处理HSS暴力破解告警的方法。 说明 收到告警事件通知说明您的云服务器被攻击过，不代表已经被破解入侵。 您可在收到告警后，及时对告警进行分析、排查，采取相应的防护措施即可。 可能原因：由于您服务器的远程连接端口没做访问控制，导致网络上的病毒频繁攻击您服务器端口。 解决方案：您可通过以下方式来改善被频繁暴破攻击的情况，降低风险： 1、配置白名单 2、修改端口 3、设置安全组规则 4、开启双因子认证 5、设置高强度口令 操作详情请参见如何预防账户暴力破解攻击？

本节介绍IPSec VPN的产品介绍。 功能介绍 IPsec VPN产品用于客户防火墙或其他VPN设备与云侧IPsec VPN实例建立加密隧道实现数据入云安全传输，完成客户侧办公区与云侧VPC的快速安全互联。有别于iVPN实例，iVPN实例在逻辑上属于客户侧资源，IPsec VPN实例在逻辑上属于云侧资源。同时IPsec VPN与翼甲防火墙产品相比，不需要绑定弹性IP即可建立加密隧道。 使用限制 （1）IPsec VPN支持关联的客户侧网段与各VPC子网网段重叠，但是需要用户确保客户侧与云侧不存在IP冲突设备，因此建议用户在使用过程中避免客户侧与云侧网段重叠。 （2）IPsec VPN只能加载IPsec VPN实例所在资源池VPC，加载跨资源池VPC需要结合跨域互联使用。 （3）IPSec VPN暂时只支持IKEv2协议。

参数 描述 源库类型 选择“ECS自建库”。 VPC 源数据库实例所在的虚拟专用网络，可以对不同业务进行网络隔离。您需要创建或选择所需的虚拟私有云。 子网 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全。子网在可用分区内才会有效，创建源数据库实例的子网需要开启DHCP功能，在创建过程中也不能关闭已选子网的DHCP功能。 IP地址或域名 源数据库的IP地址或域名。 端口 源数据库服务端口，可输入范围为1~65535间的整数。 指定数据库名称 选择是否指定数据库，开启后需手动输入数据库名称。 数据库用户名 源数据库的用户名。 数据库密码 源数据库的用户名所对应的密码。 SSL安全连接 通过该功能，用户可以选择是否开启对同步链路的加密。

本小节介绍DDoS基础防护最佳实践。 DDoS基础防护产品最佳实践 为保障公网业务持续稳定运行，避免因 DDoS 攻击导致 IP 封堵、业务中断，建议您按照以下最佳实践流程，使用天翼云 DDoS 基础防护并做好安全防护规划。 1.业务平稳运行阶段 在业务上线初期，若未遭受 DDoS 攻击，或攻击流量规模低于 DDoS 基础防护阈值，IP 不会触发封堵机制，业务网络可正常对外提供服务。 2.攻击触发封堵场景 随着业务规模扩大、行业竞争加剧，若业务遭遇针对性 DDoS 攻击，且攻击流量峰值超出基础防护阈值、挤占资源池带宽并影响网络稳定时，系统将自动对该 IP 执行 DDoS 封堵，暂时阻断公网流量以保障平台整体稳定。 3.接收封堵通知 IP 被封堵后，您将通过账号联系人及安全消息配置联系人的短信、邮箱、站内信同步收到封堵通知，通知中包含受影响 IP、攻击流量峰值、封堵时长等关键信息，便于您快速掌握异常情况。 4.方案查阅 参考官方产品文档与常见问题说明，了解封堵原因及对应的防护解决方案。针对开放DDoS基础防护控制台的资源池EIP，您可登录天翼云控制台，进入 DDoS 基础防护页面，复核流量封堵情况。 5.部署高防防护与 IP 优化 根据官方防护建议，选购并配置天翼云 DDoS 高防 IP、DDoS 高防（边缘云版）或第三方合规 DDoS 高防产品；同时同步更换业务 IP，并限制仅高防 IP 可访问业务 IP，实现业务 IP 隐藏与专业 DDoS 清洗防护，从根源避免再次触发DDoS封堵，保障业务长期稳定运行。

应用场景 使用CherryStudio加载DeepSeek大模型的应用场景如下： 1. 学习研究 ：学生用其整理复习资料、辅助学术研究、助力论文写作；研究人员用于文献综述、分析问题等。 2. 工作办公 ：项目管理中生成报告、分析风险；内容创作时构思创意、撰写文案；代码开发里获取代码示例、解决问题。 3. 生活娱乐 ：作为智能聊天伙伴解闷陪伴，为创意活动如绘画等提供灵感启发。 4. 知识管理 ：个人可构建知识体系，团队能实现知识共享。 注意 建议使用天翼云提供的DeepSeek镜像创建云主机，减少安装过程中可能遇到的问题。镜像选择请参考在天翼云使用Ollama运行DeepSeek的最佳实践7B等版本弹性云主机最佳实践AIGC实践 天翼云。 操作步骤 一、 云主机端口配置更新 首先，您需要登录天翼云控制中心，对部署DeepSeek大模型的云主机添加新的端口开放操作。通过天翼云控制台进入部署了DeepSeek大模型的云主机详情页，选择安全组，添加新的开放端口，建议选择新加114343端口，该端口是 Ollama 服务默认监听的端口。添加完成后，可在安全组规则列表中查看新添加的11434 端口规则，确认其状态为正常生效。 随后进入控制台，远程登陆即将安装AnythingLLM的云主机。