仅允许特定IP地址远程连接弹性云主机 场景举例： 为了防止弹性云主机被网络攻击，用户可以修改远程登录端口号，并设置安全组规则只允许特定的IP地址远程登录到弹性云主机。 安全组配置方法： 以仅允许特定IP地址（例如，192.168.20.2）通过SSH协议访问Linux操作系统的弹性云主机的22端口为例，安全组规则如下所示。 方向 协议/应用 端口 源地址 :::: 入方向 SSH（22） 22 IPv4 CIDR或者另一个安全组的ID。 例如：192.168.20.2/32 SSH远程连接Linux弹性云主机 场景举例： 创建Linux弹性云主机后，为了通过SSH远程连接到弹性云主机，您可以添加安全组规则。 说明 默认安全组中已经配置了该条规则，如您使用默认安全组，无需重复配置。 安全组配置方法： 方向 协议/应用 端口 源地址 入方向 SSH（22） 22 0.0.0.0/0 RDP远程连接Windows弹性云主机 场景举例： 创建Windows弹性云主机后，为了通过RDP远程连接弹性云主机，您可以添加安全组规则。 说明 默认安全组中已经配置了该条规则，如您使用默认安全组，无需重复配置。 安全组配置方法： 方向 协议/应用 端口 源地址 入方向 RDP（3389） 3389 0.0.0.0/0

本小节介绍安全专区产品定义。 安全专区是针对天翼云用户场景打造的安全产品，整合云安全管理中心、云防火墙、终端安全EDR、云数据库审计、云日志审计、云堡垒机等各类云安全合规组件，具备云安全防护能力，满足等级保护防护需求。 安全专区为用户提供单点登陆、自动授权、即开即用、统一管理、弹性扩容、能力完善的云安全等保一体化合规解决方案。

本节介绍云安全中心的应用场景。 场景一：安全运营场景 为中小企业提供专业的安全运营团队，为用户提供专业的安全运营支撑。为用户提高各类威胁检测率，降低误报率。在一定程度上降低用户在安全运营上的成本，提升了安全运营的灵活性。 方案优势 减少无效告警：通过不同安全产品之间的数据关联，减少孤立的数据点，降低无效告警信息的产生。 提升告警精准度：提高告警信息的精准度，使得安全团队能够专注于真正重要的安全告警，从而提升整体运维效率。 高效统一的安全运营工具：用户云上的安全工具互相独立，每种工具只能有限防范几种常见攻击。云安全中心提供统一的安全运营平台，帮助用户高效统一地进行安全运营。 场景示意图 场景二：安全合规场景 满足国家行业监管要求，帮助企业业务安全合规。帮助企业明确安全目标，系统化构建信息系统安全，降低安全隐患和攻击风险，向客户及利益相关方展示安全承诺，增强客户、合作伙伴及利益相关方的信心。 方案优势 全局数据整合：将不同安全能力产生的数据进行整合和分析，使企业能够全面掌握安全态势。 全局统一视角：整合各安全措施后，企业能够从全局视角监控和管理安全状况，提高对整体安全态势的把握。 全局协同效应：各安全能力之间实现有效协同，形成统一的防护体系，增强整体防御能力。 云安全中心依托安全服务订阅模式，为企业提供个性化服务套餐订阅，事前预防，事发检测分析，事中快速响应，事后溯源。遵从合规性要求，监控预防，实时知悉系统健康情况，“御敌于城门之外”。

本小节介绍安全专区6大功能：安全管理中心、云堡垒机、云防火墙等。 安全管理中心 安全态势总览 安全管理员通过安全态势总览可监管所有资产受保护状态、安全防御能力部署情况、云环境整体安全评分、实时风险/威胁趋势分析。 平台识别云用户所有资产，并自动收集资产的安全监测数据，提供每个资产详细的安全数据分析评估能力。云用户通过资产安全管理功能对所有资产的安全配置状态、审计状态、漏洞数据、基线数据、补丁数据、告警数据安全级别进行统一管控；对应具体的资产及应用，平台提供资产安全分析、时间轴分析及资产安全报告功能。 安全风险分析 汇总全网安全专区实时防御产生的风险数据，为云用户提供集中查询分析、统计溯源、全局监测资产风险项目的管理手段。风险分析覆盖全网主机漏洞、应用漏洞、基线检查、系统补丁、病毒查杀五项详细安全数据，安全管理员可按时间、类别、级别、资产、风险项、修复状态等多维度进行查询及趋势分析。 威胁告警分析 汇总全网安全专区实时防御产生的威胁告警数据，为云用户提供集中查询分析、统计溯源、全局监测网络威胁项目的管理手段。威胁告警数据全面覆盖防火墙/WAF/IPS等网络告警、终端安全EDR系统终端侧告警、日志/数据库审计行为类告警，安全管理员可按时间、类别、级别、资产、威胁告警项、处理状态等多维度进行查询及趋势分析。

本文主要介绍健康检查UDP协议安全组规则说明。 操作场景 当负载均衡协议为UDP时，健康检查也采用的UDP协议，您需要打开其后端服务器的ICMP协议安全组规则。 操作步骤 步骤 1 登录弹性云主机控制台，找到集群中的节点对应的节点，单击云主机名称，进入详情页面，记录安全组名称。 步骤 2 登录虚拟私有云控制台，在左侧导航栏单击“访问控制 > 安全组”，在界面右侧的安全组列表中单击步骤1获取的安全组名称。 步骤 3 在打开的页面中单击“入方向规则”页签，单击“添加规则”，为云主机添加入方向规则，详细配置请参见下图，单击“确定”。 说明 您只需为工作负载所在集群下的任意一个节点更改安全组规则，请添加规则即可，不要修改原有的安全组规则。 安全组需放通网段100.125.0.0/16流量。 图 添加安全组规则

本文帮助您快速熟悉删除安全组的操作场景和操作流程。 操作场景 当您的业务不需要部分安全组去控制云服务器网络流量时，您可以选择删除安全组。删除后，安全组及其规则将不再对云服务器生效。 约束与限制 系统会为每个用户默认创建一定的安全组，对于地域资源池来说，默认安全组不支持删除。可用区资源池支持删除默认安全组，实际情况以控制台展示为准。 当安全组正和其他云服务器存在绑定关系时，例如弹性云主机、物理机服务、弹性网卡等，安全组将无法删除。您需要先将安全组与绑定的服务器解除关联，之后再重新执行删除操作。 当安全组被其他安全组引用为“源地址”或者“目的地址”时，安全组将无法删除。您需要先解除目标安全组与引用安全组之间的关系，之后再重新执行删除操作。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成安全组的创建。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择广东广州6。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 在左侧导航栏，选择“访问控制安全组”选项。 5. 在安全组列表页面，选择需要删除的安全组，支持批量删除和单次删除。 批量删除：选择需要删除的多条安全组，单击左上方的【删除】按钮，支持批量删除安全组。 单次删除：选择需要删除的单个安全组，单击目标安全组所在行操作列“更多>删除”，支持逐个删除安全组。 6. 确认待删除的安全组信息，单击“确定”按钮。

态势感知（专业版）与其他安全防护服务（WAF、HSS、AntiDDoS、DBSS）的关系与区别。 态势感知（专业版）与其他安全防护服务（WAF、HSS、AntiDDoS、DBSS）的关系与区别如下： 关联 态势感知（专业版）：作为安全管理服务，依赖于其他安全服务提供威胁检测数据，进行安全威胁风险分析，呈现全局安全威胁态势，并提供防护建议。 其他安全服务：威胁检测数据可以统一汇聚在SecMaster中，呈现全局安全威胁攻击态势。 区别 态势感知（专业版）：仅为可视化威胁检测和分析的平台，不实施具体安全防护动作，需与其他安全服务搭配使用。 其他安全服务：仅展示对应服务的检测分析数据，并实施具体安全防护动作，不会呈现全局的威胁攻击态势。 态势感知（专业版）与其他安全防护服务区别，详细内容如下表。 服务名称 服务类别 关联与区别 防护对象 态势感知（专业版） 安全管理 态势感知（专业版）着重呈现全局安全威胁攻击态势，统筹分析多服务威胁数据和云上安全威胁，并提供防护建议。 呈现全局安全威胁攻击态势。 AntiDDoS流量清洗（AntiDDoS） 网络安全 AntiDDoS集中于异常DDoS攻击流量的检测和防御，相关攻击日志、防护等数据同步给态势感知（专业版）。 保障企业业务稳定性。 企业主机安全（HSS） 主机安全 HSS着手于保障主机整体安全性，检测主机安全风险，执行防护策略，相关告警、防护等数据同步给态势感知（专业版）。 保障主机整体安全性。 Web应用防火墙（WAF） 应用安全 WAF服务对网站业务流量进行多维度检测和防护，防御常见攻击，阻断攻击进一步威胁。相关入侵日志、告警数据等同步给态势感知（专业版），呈现全网Web风险态势。 保障Web应用程序的可用性、安全性。 数据库安全服务（DBSS） 数据安全 DBSS着力于数据库访问行为的防护和审计，相关审计日志、告警数据等同步给态势感知（专业版）。 保障云上数据库安全和资产安全。

关闭安全认证 步骤 1 登录ServiceStage控制台，选择“微服务引擎 CSE”。 步骤 2 选择待操作的微服务引擎，单击引擎名称，进入引擎“基本信息”页面。 步骤 3 在“安全”区域，关闭安全认证开关。 步骤 4 单击“确定”。 等待微服务引擎更新完成，引擎状态由“配置中”变为“可用”，关闭安全认证成功。 关闭安全认证后，开启安全认证后该引擎下创建的帐号不会被删除。

本文提供安全加速用户使用指南的下载方式。 2024年12月1日起，天翼云安全加速产品将并入边缘安全加速平台，边缘安全加速平台安全与加速服务可提供动静态加速、DDoS防护、Web防护、Bot管理和API安全能力，相比于安全加速的应用场景更丰富。 新客户如有安全加速需求，请订购其升级产品边缘安全加速平台安全与加速服务，详见零基础如何使用安全与加速服务。 存量客户如果需要访问安全加速控制台，请登录安全加速控制台。 存量客户可参考安全加速帮助中心或者下载安全加速用户控制台使用指南

本文帮助您快速熟悉添加安全组规则的操作场景和操作流程。 操作场景 安全组创建成功后，当您的云主机需要与外部网络通讯时，您可根据业务需求自定义添加新的出方向、入方向安全组规则，这可以帮助保护云主机免受未经授权的访问。 入方向：指从外部访问安全组规则下的弹性云主机。 出方向：指安全组规则下的弹性云主机访问安全组外的实例。 安全组规则有数量限制，您应尽量保持规则的精简。 前提条件 您已经完成云主机的创建，已关联安全组。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角选择地域，此处选择华东华东1。 3. 选择“计算>弹性云主机”，进入云主机控制台。 4. 在云主机列表中，点击待添加安全组规则的云主机名称，进入云主机详情页面。 5. 选择安全组页签，在安全组列表中，点击安全组名称左侧的展开符，可将安全组详情信息展开 6. 修改安全组规则需要单击安全组名称跳转进入安全组详情。 7. 在安全组详情页面，配置安全组规则后，返回云主机控制台刷新。 安全组规则具体配置请参考“安全组”。 注意 安全组规则的修改将影响所有当前使用该安全组的云主机。

本文将向您介绍使用边缘安全加速平台安全与加速服务提供的扫描器访问拦截功能。 功能介绍 边缘安全加速平台安全与加速服务提供的扫描器访问拦截支持自动识别常见扫描器特征，一旦发现扫描器访问将对其进行拦截。 背景信息 边缘安全加速平台安全团队基于对常见扫描器的特征分析，输出扫描器识别模型，能够精准识别并拦截主流扫描器包括但不限于：Sqlmap、AWVS、Nessus、Appscan、Webinspect、Netsparker、Nikto、Rsas等。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 开通基础版及以上版本，支持使用扫描器防护功能。 扫描防护逻辑 针对扫描器访问拦截功能，边缘安全加速平台安全与加速服务支持扫描器特征识别与扫描器访问拦截两个模块。 扫描器特征识别 通过请求中的扫描器或自动化工具特征识别扫描器，形成两百余条扫描器识别规则，能够满足常见的扫描器识别需求。

本小节主要介绍云堡垒机产品咨询类问题。 云堡垒机实例与云堡垒机系统的区别是什么？ 一个云堡垒机实例代表了一个独立运行的云堡垒机系统。 用户可以登录管理控制台，选择“安全与合规 > 云堡垒机”，然后在云堡垒机管理控制台申请和管理实例。 云堡垒机系统是云堡垒机实际运维功能核心，后台采用EulerOS操作系统，包含用户管理、资源管理、策略、审计和工单等功能模块，支持对Windows或Linux等操作系统的主机提供安全管控保护。 云堡垒机系统有哪些安全加固措施？ 云堡垒机有完整的安全生命周期管理，从系统开发过程的安全编码规范，到经过严格安全漏洞扫描、渗透测试等安全性测试，并通过了公安部门的安全检测，符合“网络安全法”等法律法规，满足合规性规范审查要求，达到信息安全等级评定Ⅲ级标准。 系统数据安全 登录安全：镜像加密，SSH远程登录安全加固，内核参数安全加固，系统账户口令使用强密码并且默认登录失败超过3次将锁定登录。 数据安全：敏感信息加密存储，系统根密钥独立动态生成。 应用安全：防SQL注入攻击、防CSV注入攻击、防XSS恶意攻击、API接口认证机制。 系统安全 系统全自动化安装，LUKS加密用户系统数据盘。 系统自带防火墙功能，防止常规网络攻击，例如暴力破解等。 统一HTML5方式访问入口，仅开放一个系统Web访问端口，减少攻击面。 针对SSH登录参数配置加固，提高SSH登录系统的安全性。

本节介绍了如何设置云数据库GaussDB 的安全组规则。 操作场景 安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同安全保护需求，并相互信任的弹性云主机和云数据库GaussDB 实例提供访问策略。 创建分布式版实例时，如果需要修改内网安全组，请确保入方向规则TCP协议端口包含：4000060480,20050,50005001,23792380,6000,6500， ( + 100)。（例如设置的数据库端口为8000，则安全组中需要包含80008100）。 创建主备版实例时，如果需要修改内网安全组，请确保入方向规则TCP协议端口包含：20050，50005001，23792380，6000，6500， ( + 100)。（例如设置的数据库端口为8000，则安全组中需要包含80008100）。 为了保障数据库的安全性和稳定性，在使用云数据库GaussDB 实例之前，您需要设置安全组，开通需访问数据库的IP地址和端口。 内网连接云数据库GaussDB 实例时需要为云数据库GaussDB 和ECS分别设置安全组规则。 设置云数据库GaussDB安全组规则：为云数据库GaussDB 所在安全组配置相应的入方向规则。 设置ECS安全组规则：安全组默认规则为出方向上数据报文全部放行，此时，无需对ECS配置安全组规则。当在ECS所在安全组为非默认安全组且出方向规则非全放通时，需要为ECS所在安全组配置相应的出方向规则。 注意事项 因为安全组的默认规则是在出方向上的数据报文全部放行，同一个安全组内的弹性云主机和实例可互相访问。安全组创建后，您可以在安全组中定义各种访问规则，当云数据库GaussDB 实例加入该安全组后，即受到这些访问规则的保护。 默认情况下，一个租户可以创建500条安全组规则。 建议一个安全组内的安全组规则不超过50条。 当需要从安全组外访问安全组内的云数据库GaussDB 实例时，需要为安全组添加相应的入方向规则。 说明： 源地址默认的IP地址0.0.0.0/0是指允许所有IP地址访问安全组内的云数据库GaussDB 实例。

本文介绍如何绑定安全组。 功能说明 安全组是一种网络安全防护机制，用于防止未经授权的访问和保护计算机网络免受恶意攻击。它是一种虚拟防火墙，用于限制入向和出向网络流量。安全组工作在网络层和传输层，它通过检查数据包的源地址、目标地址、协议类型和端口号等信息来决定是否允许通过。安全组创建后，用户可以在安全组中定义各种访问规则，当ECI实例绑定安全组后，即受到这些访问规则的保护。 自建集群通过对接VNode来使用ECI时，ECI Pod默认采用所属VNode配置的安全组。如果有特殊需求，可以为某些ECI Pod指定其他安全组。 配置示例 可以通过设置 k8s.ctyun.cn/ecisecuritygroup 的Annotation来为ECI Pod指定安全组，配置参考如下： plaintext apiVersion: apps/v1 kind: Deployment metadata: name: nginxdeployment labels: app: nginx spec: replicas: 1 selector: matchLabels: app: nginx template: metadata: annotations: k8s.ctyun.cn/ecisecuritygroup: sgshuhgxxx 指定安全组 labels: app: nginx spec: containers: name: nginx image: registryhuadong1.crsinternal.ctyun.cn/opensource/nginx:1.25alpine ports: containerPort: 80 nodeName: vndu53cymkxxxxcnhuadong1jsnj1apublicctcloud

本小节介绍安全专区产品类常见问题。 安全专区相比传统安全组件有什么优势？ 与天翼云平台紧密集成，识别并管理云资产及安全状态； 集成多种满足等保合规的安全组件，单点登录，一键登录并管理所有安全组件； 提供全覆盖的安全态势管理能力，集中展现资产不同的安全状态信息； 集中管理云网边界、虚机、业务系统的漏洞、告警、用户行为和安全运行数据； 一键订购，产品自动交付，快速解决云上等保合规要求。 安全专区的防护功能是否就能满足等保合规需求？ 安全专区可满足等保二级、三级的安全技术合规要求。 一套安全专区的防护能服务于多少个系统？ 安全专区套餐可满足天翼云同个VPC甚至同数据节点的多个VPC的多个业务系统的安全防护要求； 根据资产数量的不同，可配置不同的安全组件授权及虚机资源，满足业务防护性能需求。 日志审计有没有整合在安全专区管理中心？ 有的，日志审计通过部署agent在主机进行管理。 安全专区在多个VPC场景下，资产是否能共同管理？ 多个VPC的情况下，通过VPC路由器进行对等连接打通安全专区VPC，安全专区VPC各功能组件对所有资产共同统一管理。 安全专区产品能否解耦订购？ 支持。 安全专区防火墙防护流量最大能支持多少，如果客户所需流量超过最大防火墙防护流量怎么办？ 目前防火墙最大防护流量能达到1.6G，如果客户所需流量超过1.6G，要先确认客户有多少个VPC，如果客户有多个VPC，可以采用防火墙下沉到各个VPC分别管理的解决方案，这种情况也要结合具体项目情况具体沟通。

安全组规则设置 堡垒机弹性IP安全组访问规则设置：虚拟私有云添加安全组规则。 注意 安全组的默认规则是在出方向上的数据报文全部放行，同一个安全组内的弹性云服务器和堡垒机实例可互相访问。安全组创建后，您可以在安全组中定义各种访问规则，当堡垒机实例加入该安全组后，即受到这些访问规则的保护； 默认情况下，一个租户可以创建500条安全组规则； 为一个安全组设置过多的安全组规则会增加首包延时，因此，建议一个安全组内的安全组规则不超过50条； 当需要从安全组外访问安全组内的堡垒机实例时，需要为安全组添加相应的入方向规则； 源地址默认的IP地址0.0.0.0/0是指允许所有IP地址访问安全组内的堡垒机实例。

操作 CBH FullAccess CBH ReadOnlyAccess 创建运维安全中心 √ x 变更运维安全中心规格（变更规格） √ x 查询运维安全中心列表 √ √ 升级运维安全中心软件版本 √ x 查询ECS配额 √ x 绑定或解绑EIP √ x 重启运维安全中心 √ x 启动运维安全中心 √ x 关闭运维安全中心 √ x 查看运维安全中心可用区 √ x 检测当前配置是否支持创建IPv6运维安全中心 √ x 检测运维安全中心与License中心之间网络是否连通 √ x 修改运维安全中心网络，确保与License中心网络连通 √ x

安全组支持快速克隆,方便将相同的安全组规则快速应用到不同区域的服务器上。本文帮助您快速熟悉克隆安全组的操作场景和操作流程。 操作场景 安全组支持跨区域克隆，您可以利用该功能备份安全组或安全组规则快速应用到不同区域的云资源上。 当您有如下需求时，可以利用克隆安全组的功能去实现： 您在区域1存在一个安全组sgs1，此时区域2中的云资源（云主机、物理机等）需要配置与区域1中的安全组sgs1完全相同的规则，您可以直接将安全组sgs1利用克隆功能快速创建相同的安全组到区域2，而不需要在区域2中创建新的安全组。 如果您需要对云资源更换安全组规则，可以对原安全组做克隆操作，快速创建相同的新安全组作为备份资源。 说明 安全组的跨域克隆仅支持克隆到相同架构的资源池下，即地域资源池的安全组仅支持克隆到地域资源池内，可用区资源池的安全组仅支持克隆到可用区资源池内。不同资源池列表见 约束与限制 克隆安全组时，只将原安全组出入方向规则克隆，云主机需另行关联。 仅支持克隆源/目的地址是IP地址网段及安全组本身的规则，如存在引用其他安全组的规则时，不支持克隆这条规则，实际情况以控制台展现为准。

本章节会介绍如何设置安全组规则。 操作场景 安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同安全保护需求，并相互信任的弹性云主机和关系型数据库实例提供访问策略。 为了保障数据库的安全性和稳定性，在使用关系型数据库实例之前，您需要设置安全组，开通需访问数据库的IP地址和端口。 通过弹性公网IP连接RDS实例时，需要为RDS所在安全组配置相应的 入方向规则 。 注意事项 因为安全组的默认规则是在出方向上的数据报文全部放行，同一个安全组内的弹性云主机和关系型数据库实例可互相访问。安全组创建后，您可以在安全组中定义各种访问规则，当关系型数据库实例加入该安全组后，即受到这些访问规则的保护。 默认情况下，一个租户可以创建500条安全组规则。 为一个安全组设置过多的安全组规则会增加首包延时，因此，建议一个安全组内的安全组规则不超过50条。 当需要从安全组外访问安全组内的关系型数据库实例时，需要为安全组添加相应的 入方向规则 。 说明 源地址默认的IP地址0.0.0.0/0是指允许所有IP地址访问安全组内的关系型数据库实例。 操作步骤 步骤 1 登录管理控制台。 步骤 2 在系统首页，单击“网络 > 虚拟私有云”。 步骤 3 在左侧导航树选择“访问控制 > 安全组”。 步骤 4 在安全组界面，单击操作列的“配置规则”，进入安全组详情界面。 步骤 5 在安全组详情界面，单击“添加规则”，弹出添加规则窗口。 步骤 6 根据界面提示配置安全组规则。 步骤 7 单击“确定”。

区域 说明 配额数量及待升级Agent数 展示当前您已购买的各版本HSS防护配额总数和使用情况，以及待升级Agent数量。 单击对应防护配额的总数值，可跳转到防护配额界面查看防护配额列表。 单击待升级Agent数值，可跳转到Agent管理界面查看并升级Agent。 说明：企业主机安全会持续优化提升服务能力，包括但不限于新增功能、优化缺陷，因此会定期迭代版本。请及时将主机上的Agent升级为最新版，以便您可以享受到更好的企业主机安全。 安全评分 安全风险评分范围为0~100分，无风险资产默认为100分，HSS会根据资产中存在的基线风险、漏洞风险、入侵风险和资产风险等执行扣分，评分越低表示资产中存在的安全风险越多。 为了保护的您资产安全，建议您及时处理安全风险，提高安全评分： 1、在“安全评分”模块，单击“立即处理”。 2、在“安全风险处理”弹窗中，查看扣分项，单击下箭头展开扣分明细。 3、单击扣分项右侧的“前往处理”，可跳转至对应的风险列表，您可以根据风险详情和修复建议进行修复。 4、修复风险后，单击“重新体检”，刷新评分。 热点资讯 展示最新的热点漏洞信息。 安全风险 展示HSS检测到您资产中存在的安全风险。 主机风险： 需紧急处理告警/总数：处理优先级为紧急的告警数量和告警总数。 紧急优先级修复漏洞/总数：修复优先级为紧急的漏洞数量和漏洞总数。 基线风险：待处理的基线风险总数。 待处理可疑进程：待处理的可疑进程事件总数。 容器风险： 高优先级修复漏洞/总数：修复紧急度为高危的漏洞数量和漏洞总数。 安全风险趋势 展示资产最近七天的安全风险趋势图。 防护地图 展示资产开启安全防护的情况。 资产总数：当前区域下的资产总数。 未防护/主机总数：未防护主机数量和主机总数。 未防护/容器总数：未防护容器数量和容器总数。 安全防护功能开启情况：对应防护功能的开启数量和防护功能累计扫描/检测项数量。

参数 是否必填 参数类型 说明 示例 下级对象 securityGroupOid 是 String 安全组ID securityGroupName 是 String 安全组名称 remark 否 String 安全组备注 strategynetworkDTOList 否 Array of Objects 该安全组下全量规则信息，需要传所有安全组规则参数 strategynetworkDTOList 表 strategynetworkDTOList

本文帮助您快速熟悉复制安全组规则的操作场景和操作流程。 操作场景 复制功能支持利用已有的安全组规则，快速生成一个新的安全组规则。复制时，您可以根据业务需求自定义修改目标规则。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成安全组、安全组规则的创建。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东华东1。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 在左侧导航栏，选择“访问控制安全组”选项。 5. 在安全组列表页面，选择需要复制规则的安全组，单击安全组名称进入详情页，进入安全组详情页。 6. 在“安全组”详情界面，选择安全组规则所属方向，找到需要复制的安全组规则所在行。 7. 点击操作列的“复制”，进入复制安全组规则页面。 8. 根据业务需求修改目标安全组规则的相应参数。 9. 单击“确定”按钮，即可快速创建出安全组规则。关于安全组规则中参数的设置方法，请参考添加安全组规则。

说明：本章节会介绍如何设置安全组规则 操作场景 安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同安全保护需求，并相互信任的弹性云服务器和关系型数据库实例提供访问策略。 为了保障数据库的安全性和稳定性，在使用关系型数据库实例之前，您需要设置安全组，开通需访问数据库的IP地址和端口。 通过弹性公网IP连接RDS实例时，需要为RDS所在安全组配置相应的入方向规则。 注意事项 因为安全组的默认规则是在出方向上的数据报文全部放行，同一个安全组内的弹性云服务器和关系型数据库实例可互相访问。安全组创建后，您可以在安全组中定义各种访问规则，当关系型数据库实例加入该安全组后，即受到这些访问规则的保护。 默认情况下，一个租户可以创建500条安全组规则。 为一个安全组设置过多的安全组规则会增加首包延时，因此，建议一个安全组内的安全组规则不超过50条。 当需要从安全组外访问安全组内的关系型数据库实例时，需要为安全组添加相应的入方向规则。 源地址默认的IP地址0.0.0.0/0是指允许所有IP地址访问安全组内的关系型数据库实例。 操作步骤 步骤 1 登录管理控制台。 步骤 2 在系统首页，单击“网络 > 虚拟私有云”。 步骤 3 在左侧导航树选择“访问控制 > 安全组”。 步骤 4 在安全组界面，单击操作列的“配置规则”，进入安全组详情界面。 步骤 5 在安全组详情界面，单击“添加规则”，弹出添加规则窗口。 步骤 6 根据界面提示配置安全组规则。 步骤 7 单击“确定”。

本小节介绍SWR企业版镜像管理。 SWR企业版镜像源于容器镜像服务(SWR)的企业版镜像，企业主机安全支持对这些企业版镜像手动执行漏洞、恶意文件、软件信息、文件信息、基线检查、敏感信息、软件合规和基础镜像信息的扫描并提供扫描报告。本章节介绍如何对SWR企业版镜像进行安全扫描和如何查看安全扫描报告。 约束限制 仅HSS容器版支持该功能。 仅支持对Linux镜像执行安全扫描。 查看SWR企业版镜像 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在左侧导航栏选择“资产管理 > 容器管理”，进入容器管理界面。 说明 如果您的服务器已通过企业项目的模式进行管理，您可选择目标“企业项目”后查看或操作目标企业项目内的资产和检测信息。 4、选择“容器镜像 > 企业版镜像（SWR）”，查看企业版镜像信息。 您可以查看企业版镜像的版本、大小、所属组织、安全风险、拥有者等相关信息。 更新企业版镜像：单击“从SWR更新企业版镜像”，更新企业版镜像列表信息。 筛选最新版本的镜像：勾选“仅关注最新版本的镜像”，可筛选所有不同镜像的最新版本镜像。 SWR企业版镜像安全扫描 您可以手动执行全量、批量或单镜像的安全扫描。安全扫描的时长主要取决于镜像的大小。一般情况下扫描一个镜像可以在三分钟之内完成，扫描完成后，单击“安全报告”查看安全报告。 SWR企业版镜像支持的安全扫描项如下： 扫描项 说明 漏洞 检测镜像中存在系统漏洞、应用漏洞。 恶意文件 检测镜像中存在的恶意文件。 软件信息 统计镜像中的软件信息。 文件信息 统计镜像中的文件信息。 基线检查 配置检查：检测CentOS 7、Debian 10、EulerOS和Ubuntu16镜像的系统配置项、检测SSH应用配置项。 弱口令检查：检测镜像中存在的弱口令。 口令复杂度检查：检测镜像中不安全的口令复杂度策略。 敏感信息 检测镜像中含有敏感信息的文件。 默认不检测的路径如下： /usr/ /lib/ /lib32/ /bin/ /sbin/ /var/lib/ /var/log/ 任意路径/nodemodules/ 任意路径/任意名称.md 任意路径/nodemodules/ 任意路径/test/任意路径 /service/iam/examplestest.go 任意路径/grafana/public/build/任意名称.js 说明 任意路径：指当前路径为自定义值，可以是系统中任意名称的路径。 任意名称：指当前路径的文件名称为自定义值，可以是系统中以.md或.js后缀结束的任意名称。 可在安全报告 > 敏感信息页面，单击“敏感文件过滤路径管理”，设置不需要检测的Linux路径，最多可添加20个路径。 不检测的场景如下： 文件大于20MB。 文件类型为二进制、常用进程和自动生成类型。 软件合规 检测不允许使用的软件和工具。 基础镜像信息 检测未使用基础镜像构建的业务镜像。 1、登录管理控制台，进入企业主机安全页面。 2、在左侧导航栏选择“资产管理 > 容器管理”，进入容器管理界面。 3、选择“容器镜像 > 企业版镜像（SWR）”。 4、为单个镜像或多个镜像执行安全扫描。 说明 多架构镜像不支持批量扫描、全量扫描操作。 全量扫描时间较长，且开始全量扫描后无法中断扫描，请谨慎操作！ 单个镜像安全扫描：在目标镜像所在行的“操作”列，单击“安全扫描”，为单个目标镜像执行安全扫描。 批量镜像安全扫描：勾选所有目标镜像并单击镜像列表上方的“批量扫描”，为多个目标镜像执行安全扫描。 全量镜像安全扫描：单击镜像列表上方的全量扫描，为所有镜像执行安全扫描。 5、在弹出的提示框中，单击“确定”，启动扫描任务。 全量扫描任务启动后，您可将鼠标悬停在置灰的全量扫描按钮上查看扫描进度。 6、当镜像“扫描状态”更新为“扫描完成”，且“最近一次扫描完成时间”更新为最近任务执行时间，表示镜像安全扫描完成。

为保障您的账户安全、避免额外损失,请务必仔细阅读安全风险提示的全部内容。 OpenClaw 是运行于系统级环境的通用 AI Agent，支持文件读写、代码执行、多步任务编排，可通过聊天工具接收指令执行对应操作。因其具备较高系统操作权限，强烈建议您仅在隔离、可控的云端环境中部署运行。 天翼云提供的 OpenClaw 软件环境来源于第三方或开源社区，仅供您参考与合规使用。您需自行评估使用相关的全部风险，因部署、配置、使用该镜像及相关软件产生的任何直接或间接损失、安全与合规责任，天翼云不承担相关责任。请您确保所有使用行为符合国家法律法规、监管要求及对应开源许可协议。 请您结合自身业务需求与安全要求，合理配置系统与权限策略，保障运行环境安全可控。为降低潜在安全风险，请您重点关注以下使用注意事项： 1. 及时更新版本 定期升级OpenClaw 及相关组件，避免因已知漏洞带来安全风险。 2. 加强数据备份 建议建立定期备份机制，防止因系统故障或误操作导致数据丢失。 3. 控制网络暴露面 非必要情况下，不建议将OpenClaw 服务端口直接暴露至互联网，可通过安全组、内网访问或代理方式进行访问控制。 4. 遵循最小权限原则 仅启用必要的工具和功能，避免授予OpenClaw 过高的系统权限或无限制的自主执行能力。 5. 使用可信来源的Skills插件 建议优先使用官方或经过安全验证的Skills，避免使用来源不明的插件，以降低安全风险。 6. 部署主机安全防护措施 建议安装主机安全防护软件。天翼云为云主机提供免费的主机安全卫士，建议在创建实例时启用相关安全服务。 7. 妥善保护访问凭证 对API Key、Token 等敏感凭证进行安全存储与加密管理，避免泄露。 8. 开启日志与审计机制 建议启用操作日志与行为审计功能，以确保关键操作可记录、可追溯。

为保障您的账户安全、避免额外损失,请务必仔细阅读安全风险提示的全部内容 OpenClaw 是运行于系统级环境的通用 AI Agent，支持文件读写、代码执行、多步任务编排，可通过聊天工具接收指令执行对应操作。因其具备较高系统操作权限，强烈建议您仅在隔离、可控的云端环境中部署运行。 天翼云提供的 OpenClaw 软件环境来源于第三方或开源社区，仅供您参考与合规使用。您需自行评估使用相关的全部风险，因部署、配置、使用该镜像及相关软件产生的任何直接或间接损失、安全与合规责任，天翼云不承担相关责任。请您确保所有使用行为符合国家法律法规、监管要求及对应开源许可协议。 请您结合自身业务需求与安全要求，合理配置系统与权限策略，保障运行环境安全可控。为降低潜在安全风险，请您重点关注以下使用注意事项： 1. 及时更新版本 定期升级OpenClaw 及相关组件，避免因已知漏洞带来安全风险。 2. 加强数据备份 建议建立定期备份机制，防止因系统故障或误操作导致数据丢失。 3. 控制网络暴露面 非必要情况下，不建议将OpenClaw 服务端口直接暴露至互联网，可通过安全组、内网访问或代理方式进行访问控制。 4. 遵循最小权限原则 仅启用必要的工具和功能，避免授予OpenClaw 过高的系统权限或无限制的自主执行能力。 5. 使用可信来源的Skills插件 建议优先使用官方或经过安全验证的Skills，避免使用来源不明的插件，以降低安全风险。 6. 部署主机安全防护措施 建议安装主机安全防护软件。天翼云为云主机提供免费的主机安全卫士，建议在创建实例时启用相关安全服务。 7. 妥善保护访问凭证 对API Key、Token 等敏感凭证进行安全存储与加密管理，避免泄露。 8. 开启日志与审计机制 建议启用操作日志与行为审计功能，以确保关键操作可记录、可追溯。

本章节主要介绍如何添加安全组规则。 安全组的默认规则是在出方向上的数据报文全部放行，安全组内的物理机无需添加规则即可互相访问。安全组创建后，您可以在安全组中定义各种访问规则，当物理机加入该安全组后，即受到这些访问规则的保护。 说明 在创建物理机时只能添加一个安全组。物理机创建完成后，可以在详情页面修改每个网卡对应的安全组。 当需要从安全组外访问安全组内的物理机时，需要为安全组添加相应的入方向规则。建议将不同公网访问策略的物理机划分到不同的安全组。 说明 源地址默认的IP地址0.0.0.0/0是指允许所有IP地址访问安全组内的物理机。 1．登录天翼云，进入控制中心。 2．在系统首页，单击“计算 > 物理机服务”。 3．在物理机列表，单击待变更安全组规则的物理机名称，系统跳转至该物理机详情页面。 4．选择“安全组”页签，并单击 ，查看安全组规则。 5．单击安全组ID，系统自动跳转至安全组页面。 6．单击“添加规则”，添加安全组规则，相关参数说明如下表所示。 参数 说明 取值样例 协议 网络协议，取值范围为：TCP，UDP，ICMP，Any。 TCP 方向 安全组规则生效的方向，取值范围：入方向，出方向。入方向指从外表进入安全组的流量，出方向指从安全组内出去的流量。 Inbound 端口范围 规则的端口范围，取值范围为：0～65535。 22或2230 源地址 当方向为入方向时，需要填入此参数。源地址可以是IP地址，也可以是安全组。 0.0.0.0/0 目的地址 当方向是出方向时，需要填入此参数。目的地址可以是IP地址，也可以是安全组。 0.0.0.0/0

为了进一步提升云服务的安全性，加强实例访问的默认保护机制，对新创建RocketMQ实例的默认安全组策略进行优化调整。 调整内容 自本公告发布之日起，新开通RocketMQ实例使用的安全组未配置vpc内入方向安全组规则，将默认禁止同VPC内访问RocketMQ实例服务端口。此变更旨在遵循最小权限安全原则，降低因配置疏忽导致的安全风险。 影响说明 若您使用的安全组未进行额外配置，新建的实例将无法被同VPC内的云主机访问。 应对措施 如需恢复VPC内访问，请您手动配置安全组规则，具体操作如下： 在安全组入方向规则中添加以下策略： 授权策略：允许。 协议类型：TCP。 端口范围：RocketMQ实例服务端口。 源地址：您的VPC网段（如：192.168.0.0/16）。 配置完成后，同VPC内的云主机即可正常访问RocketMQ实例服务。 建议 为保障业务安全，建议您根据实际需求精确设置访问源IP或网段，避免开放不必要的访问权限。 此次调整仅影响新创建的实例，已有实例的访问策略保持不变，不受此次调整影响。感谢您对云服务安全的支持与理解。如有疑问，请联系技术支持。 特此公告。

本文将向您介绍安全分析报表模块，在此模块可以查看WAF安全报表与CC安全报表的攻击数据，帮助您了解站点的安全情况。 功能介绍 可以通过安全报表，可以查询Web安全、CC安全两个维度的攻击数、攻击趋势、威胁类型分布、攻击IP TOP 10、TOP攻击URL等报表，并且支持导出报表。 前提条件 已开通Web应用防火墙（边缘云版） 已新增域名并成功接入WAF，具体操作请见WAF接入 新增域名后，边缘云WAF将会自动为域名开启域名防护规则功能，一旦识别到攻击行为，将产生攻击日志，并将攻击数据统计在安全报表中 查看安全报表 1. 登录Web应用防火墙（边缘云版）控制台，在左侧导航栏中选择【安全分析】模块 2. 根据您的安全数据查看需求，选择WAF攻击报表或者CC攻击报表页面 Web安全报表说明 数据指标 说明 请求数 展示所选域名的请求数 攻击数 展示所选域名的攻击请求数 攻击源 展示所选域名的攻击来源个数 攻击网站数 展示所选域名中被攻击的域名个数 攻击趋势 展示所选域名的受攻击次数趋势 威胁类型分布 展示所选域名被攻击的类型的分布，包括：SQL注入、代码执行等 攻击地域来源TOP 10 展示所选域名攻击来源分布最多的10个地区 攻击IP TOP 10 展示所选域名收到攻击最多的10个IP

本页介绍了如何编辑实例安全组。 文档数据库服务支持修改实例的安全组，步骤如下： 1. 进入TeleDB数据库控制台。 2. 点击“DDS”>“实例管理”菜单，进入实例列表页。 3. 选择需要修改的实例，点击该实例的实例ID，进入实例详情。 4. 在“网络”栏中找到“安全组”信息，点击“编辑”按钮（部分资源池为“修改”按钮）。 5. 在“编辑用户安全组”弹窗中，选择需要修改的安全组，点击“确定”按钮，即可完成安全组修改。

本节介绍服务器安全卫士（原生版）如何快速掌握服务器安全态势。 服务器安全卫士（原生版）是一个用于保障主机整体安全的安全服务，能实时监测主机中的风险并阻止非法入侵行为、一键核查漏洞及基线、全面识别主机中的信息资产，帮助您管理主机的安全状态。 查看风险统计数据 在左侧导航栏选择“安全概览”，进入安全概览界面，可查看已开启防护的服务器风险统计，包括最近7日待处理风险、防护状态、风险趋势和实时动态，帮助您实时了解云主机的安全状态和存在的安全风险。 风险统计 说明 最近7日待处理风险 您可以查看入侵检测、病毒文件、漏洞风险、安全基线、网页防篡改及对应的风险主机情况。 防护状态 您可以查看用户资产情况，包括主机总数、企业版防护、基础版防护、防护中、已关闭、已离线、未安装客户端的云主机台数。 风险趋势 您可以查看近7天、14天、30天的风险趋势图。 实时动态 您可以查看当前最新发现的风险事件详情。

本章节向您介绍如何快速添加多条安全组规则与在安全组中一键放通常见端口。 快速添加多条安全组规则 操作场景 通过安全组快速添加功能，您可以快速添加部分常用端口协议对应的规则，包括远程登录和ping测试、常用Web服务和数据库服务所需的端口协议。 操作步骤 1. 登录管理控制台，进入“虚拟私有云>访问控制>安全组”。 2. 在安全组列表中，单击目标安全组所在行的操作列下的“配置规则”，进入安全组规则配置页面。 3. 在“入方向规则”页签，单击“快速添加规则”，弹出“快速添加入方向规则”对话框。 4. 根据界面提示，设置入方向规则参数。 5. 入方向规则设置完成后，单击“确定”，返回入方向规则列表，可以查看添加的入方向规则。 6. 在“出方向规则”页签，单击“快速添加规则”，弹出“快速添加出方向规则”页签。 7. 根据界面提示，设置出方向规则参数。 8. 出方向规则设置完成后，单击“确定”，返回出方向规则列表，可以查看添加的出方向规则。 下表是入、出方向规则参数说明表。 参数 说明 取值样例 优先级 安全组规则优先级。 优先级可选范围为1100，默认值为1，即最高优先级。优先级数字越小，规则优先级级别越高。 1 常见协议端口 提供常用的协议端口供您快速设置，选择类型如下： 远程登录和ping Web服务 数据库 SSH（22） 入方向 策略 安全组规则策略，支持的策略如下：如果“策略”设置为允许，表示允许源地址访问安全组内云主机的指定端口。 如果“策略”设置为拒绝，表示拒绝源地址访问安全组内云主机的指定端口。 安全组规则匹配流量时，首先按照优先级进行排序，其次按照策略排序，拒绝策略高于允许策略。 允许 出方向 策略 安全组规则策略，支持的策略如下：如果“策略”设置为允许，表示允许安全组内的云主机访问目的地址的指定端口。 如果“策略”设置为拒绝，表示拒绝安全组内的云主机访问目的地址的指定端口。 安全组规则匹配流量时，首先按照优先级进行排序，其次按照策略排序，拒绝策略高于允许策略。 允许 类型 支持的IP地址类型，如下： IPv4 IPv6 IPv4 入方向 协议端 安全组规则中用来匹配流量的网络协议类型，目前支持TCP、UDP、ICMP和GRE协议。 安全组规则中用来匹配流量的目的端口，取值范围为：1～65535。 在入方向规则中，表示外部访问安全组内实例的指定端口。 端口填写支持下格式： 单个端口：例如22 连续端口：例如2230 多个端口：例如22,2330，一次最多支持20个不连续端口组， 端口组之间不能重复。 全部端口：为空或165535。 TCP 22或2230或20,2230 出方向 协议 安全组规则中用来匹配流量的网络协议类型，目前支持TCP、UDP、ICMP和GRE协议。 安全组规则中用来匹配流量的目的端口，取值范围为：1～65535。 在出方向规则中，表示安全组内实例访问外部地址的指定端口。 端口填写支持下格式： 单个端口：例如22 连续端口：例如2230 多个端口：例如22,2330，一次最多支持20个不连续端口组， 端口组之间不能重复。 全部端口：为空或165535。 TCP 22或2230或20,2230 源地址 在入方向规则中，用来匹配外部请求的源地址，支持以下格式： IP地址 ：表示源地址为某个固定的IP地址。当源地址选择IP地址时，您可以在一个框内同时输入或者粘贴多个IP地址，不同IP地址以“,”隔开。一个IP地址生成一条安全组规则。 单个IP地址：IP地址/掩码。单个IPv4地址示例为192.168.10.10/32；单个IPv6地址示例为2002:50::44/128。 IP网段：IP地址/掩码。IPv4网段示例为192.168.52.0/24；IPv6网段示例为2407:c080:802:469::/64。 所有IP地址：0.0.0.0/0表示匹配所有IPv4地址；::/0表示匹配所有IPv6地址。 安全组 ：表示源地址为另外一个安全组，您可以在下拉列表中，选择同一个区域内的其他安全组。当安全组A内有实例a，安全组B内有实例b，在安全组A的入方向规则中，放通源地址为安全组B的流量，则来自实例b的内网访问请求被允许进入实例a。 IP地址组：表示源地址为一个IP地址组，IP地址组是一个或者多个IP地址的集合。您可以在下拉列表中，选择可用的IP地址组。对于安全策略相同的IP网段和IP地址，此处建议您使用IP地址组简化管理。 IP地址： 192.168.52.0/24，10.0.0.0/24 目的地址 在出方向规则中，用来匹配内部请求的目的地址。支持以下格式： IP地址 ：表示目的地址为某个固定的IP地址。当目的地址选择IP地址时，您可以在一个框内同时输入或者粘贴多个IP地址，不同IP地址以“,”隔开。一个IP地址生成一条安全组规则。 单个IP地址：IP地址/掩码。单个IPv4地址示例为192.168.10.10/32；单个IPv6地址示例为2002:50::44/128。 IP网段：IP地址/掩码。IPv4网段示例为192.168.52.0/24；IPv6网段示例为2407:c080:802:469::/64。 所有IP地址：0.0.0.0/0表示匹配所有IPv4地址；::/0表示匹配所有IPv6地址。 安全组 ：表示源地址为另外一个安全组，您可以在下拉列表中，选择同一个区域内的其他安全组。当安全组A内有实例a，安全组B内有实例b，在安全组A的入方向规则中，放通源地址为安全组B的流量，则来自实例b的内网访问请求被允许进入实例a。 IP地址组 ：表示源地址为一个IP地址组，IP地址组是一个或者多个IP地址的集合。您可以在下拉列表中，选择可用的IP地址组。对于安全策略相同的IP网段和IP地址，此处建议您使用IP地址组简化管理。 IP地址： 192.168.52.0/24，10.0.0.0/24 描述 安全组规则的描述信息，非必填项。描述信息内容不能超过255个字符，且不能包含“ ”。