如何设置安全组规则？ 安全组规则支持入方向和出方向。 针对入方向规则，限制源地址为安全组或者网段（CIDR），对于可用区资源池来说，源地址若为安全组，则仅可以选同一VPC下的安全组；对于地域资源池来说，源地址若为安全组，则可以选择该资源池内所有可用安全组。 针对出方向规则，限制目的地址为安全组或网段（CIDR），对于可用区资源池来说，目的地址若为安全组，则仅可以选择同一VPC下的安全组；对于地域资源池来说，目的地址若为安全组，则可以选择该资源池内所有可用安全组。源地址和目的地址是否支持安全组的情况以控制台展现为主。 两个相同优先级的安全组规则，一个规则拒绝、一个规则允许，哪条规则生效？ 在安全组规则优先级相同的情况下，一个规则拒绝、一个规则允许，拒绝优于允许，默认拒绝（drop）规则生效。 当云服务器绑定一个或多个安全组的时候，存在多条安全组规则，安全组规则的排序策略是： 1. 首先，考虑规则的优先级，安全组规则优先级可选范围为1100，默认值为1，即最高优先级。优先级数字越小，级别越高。安全组规则的优先级支持修改，具体请参考“修改安全组规则”。请您合理设置安全组规则的优先级。 2. 其次，在相同优先级时,考虑授权策略，遵循拒绝（Drop）规则优先原则，授权策略为拒绝（Drop）的规则总是排在授权策略为允许（Accept）的规则之前。 3. 最后，流量按照协议、端口、远端地址等信息匹配每条规则，如果成功匹配某条规则，将会对流量执行规则授权策略指定的动作，允许或拒绝流量通行。 4. 当规则优先级且授权策略相同时，如果存在安全组规则远端地址重叠的情况，安全组取其并集生效。例如，您配置一条策略为允许、端口为22、IP地址为0.0.0.0/0的入向安全组规则及一条策略为允许、端口为22、IP地址为192.168.0.0/32的入向安全组规则，那么安全组的生效策略是允许端口为22的全部网段流量进入云服务器。

本文介绍了边缘安全加速平台安全与加速服务API防护模块下接口滥用拦截的使用方法。 功能介绍 攻击者常通过脚本、工具频繁调用某个接口完成账号暴力破解、批量注册等恶意行为。 高频的请求不仅不符合用户正常的操作行为，并且也容易导致接口高负载出现不稳定。 接口滥用拦截可识别客户端的异常高频的API请求，并进行实时拦截，防止接口被恶意滥用。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 注意 未订购“API安全”扩展能力，接口滥用拦截功能设置“关闭”、“告警”动作，无法设置“拦截”动作。 操作步骤 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【安全能力】，进入【API安全】菜单，并在左侧域名列表选择您要防护的域名。 3. 进入安全防护【接口滥用拦截】详细设置页。 配置说明

日志菜单 日志说明 当SWG高阶网关检测存在安全威胁时将实时进行告警，您可通过对应防护日志进行查询处置情况。 介绍安全报表模块，支持查看六个月内、最长时间跨度为一个月的已防护域名的安全报表。在SWG高阶网关场景，仅需关注Web安全报表，您可以在这里查看实时或历史的攻击防护情况。

本节介绍如何查看基线整体检查通过率和单个基线检查项的通过结果，并支持导出某个基线的检查结果。 查看基线整体检查通过率 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“安全合规”，进入安全合规页面。 3. 查看基线管理列表，包括基线名称、适用版本、基线版本、基线检查项和检测通过率等，可通过检测率的条形图查看检查通过率的百分比。 查看单个检查项通过结果 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“安全合规”，进入安全合规页面。 3. 在安全合规页面单击“基线名称”，进入基线详情页面，可查看单个基线检测项是否通过检查。 导出检查结果 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“安全合规”，进入安全合规页面。 3. 在安全合规页面单击“基线名称”，进入基线详情页面。 4. 点击列表右上方的“导出”按钮，该导出任务会添加至“任务中心 > 下载任务管理”，开始生成Excel格式的基线合规检查结果报表。 5. 在“任务中心 > 下载任务管理”中，找到对应下载任务，待下载文件生成完毕后，单击“下载”按钮即可下载至本地。

本文介绍边缘安全加速平台计费项。 服务 计费构成 计费说明 安全与加速 计费概述 安全与加速的计费总体说明，详见安全与加速计费概述。 安全与加速 基础套餐 您可以根据您的企业规模和需求，按需购买不同规格套餐获得相应标准的安全与加速服务，具体请见安全与加速套餐资费。 安全与加速 套餐外超出 如有流量、带宽、请求数需求，可购买相应扩展服务，具体计费请参考安全与加速套餐超出资费。 安全与加速 扩展服务 如有域名扩展、DDoS需求，可购买相应扩展服务，具体计费请参考安全与加速扩展服务资费。 零信任服务 基础套餐 按需购买不同规格套餐获得相应标准的安全与加速服务，具体请见零信任服务计费模式。 零信任服务 扩展服务 如有终端、流量扩展需求，可购买相应扩展服务，具体计费请参考零信任服务计费模式。 终端管理 基础套餐 终端管理按照设备端点数进行收费，可购买多个端点数，具体请见终端管理计费模式 边缘接入 计费概述 边缘接入的计费总体说明，详见：边缘接入计费概述。 边缘接入 基础套餐 您可以根据企业规模和需求，按需购买不同规格套餐获得相应标准的边缘接入服务，具体请见：边缘接入套餐资费。 边缘接入 套餐外超出 如有流量需求，可按需计费；如有域名、端口数等需求，可购买相应扩展服务，具体计费请参考：边缘接入套餐超出资费。 开发者平台 基础套餐 您可以根据企业规模和需求，按需购买不同规格套餐获得相应标准的开发者平台服务，具体详见：[开发者平台套餐资费](

前置条件 执行本文操作之前， 请完成以下准备工作： 注册天翼云账号，并完成实名认证。您可以登录天翼云控制中心，并前往实名认证查看是否完成实名认证。 天翼云账户余额需要大于100元。您可以登录天翼云管理中心，并前往账户总览页面查看账户余额。 开通以下产品或服务： 产品或服务 本文示例 备注 边缘安全加速平台>安全与加速服务 开通服务：免费版至旗舰版 支持IPv6访问功能 支持IPv6支持度检测功能 边缘安全加速平台>安全与加速服务 开通服务：基础版至旗舰版 支持IPv6访问功能 支持IPv6支持度检测功能 支持IPv6外链改造功能 注意： 本方案仅作为实践演示，具体环境以用户实际需求为准。 开通边缘安全加速平台安全与加速服务 步骤1 注册并登录天翼云官网。 步骤2 未实名认证的用户请按提示完成实名认证才能开通服务。 步骤3 实名认证后从产品—网络与CDN—CDN与边缘，找到边缘安全加速平台，点击进入产品详情页快速了解产品，并单击【立即开通】，进入产品开通页面。 步骤4 在订购/升级页面选择安全与加速基础版及以上版本，支持IPv6访问、IPv6外链改造、IPv6检测等功能，勾选并阅读服务协议，确认无误后点击“立即开通”，边缘安全加速平台—安全与加速服务（边缘云版）服务即开通。 步骤5 边缘安全加速平台—安全与加速服务（边缘云版）服务开通后，便可以边缘安全加速平台控制台进行新增域名的操作。 新增域名

本文介绍安全加速计费类问题。 停用安全加速服务后，为什么仍有一部分费用产生？ 造成该情况的原因主要有以下两种： 1. 在停用安全加速服务后，若客户LocalDNS服务器中缓存未过期，LocalDNS会继续把访问已停用安全加速域名的请求解析到加速节点，造成少量安全加速流量计费。 2. 一些下载类软件也存在LocalDNS缓存，在这部分缓存过期前，下载类软件也会把访问已停用安全加速域名的请求解析到加速节点上，造成少量安全加速流量计费。 安全加速中基础带宽方式中日流量计费和日带宽峰值计费是否支持互相变更计费方式？ 此两种计费方式之间可以自由切换，新的计费方式将在下一个计费周期生效。需需要注意的是，一个计费周期内，仅能变更一次。 安全加速的收费项都有哪些？ 安全加速主要有两大功能项：waf防护功能和CC流量清洗功能，每个功能项下面会有不同的计费项 当用户开通了waf防护功能时： 计费项包括：waf防护包+上行+下行总带宽的日峰值带宽/流量+防护请求数+静态https请求数，按日扣费 当用户开通了CC流量清洗功能时： 计费项包括：CC流量清洗包+弹性带宽阶梯+上行+下行总带宽的日峰值带宽/流量+静态https请求数+动态请求数 当用户同时开通waf防护功能和CC流量清洗功能时： 计费项包括：waf防护包+上行+下行总带宽的日峰值带宽+防护请求数+CC流量清洗包+弹性带宽阶梯+静态https请求数，按日扣费 安全加速，但是没有开启https的功能，是否需要收费安全加速，但是没有开启https的功能，是否需要收费 使用安全加速，但是没有使用https的功能，是不会针对https的请求数去费用的。

任务 说明 创建虚拟私有云基本信息和默认子网 必选任务。创建虚拟私有云的基本信息及默认子网后还需要根据您的实际网络需求， 继续创建虚拟私有云中的其他网络资源。 为虚拟私有云创建新的子网 可选任务。当默认子网不能满足您的需求时，您可以创建新的子网。 此处创建的子网就是创建弹性云主机时添加的网卡。 创建安全组 必选任务。您可以创建安全组，将虚拟私有云中的弹性云主机划分成不同的安全域， 以提升弹性云主机访问的安全性。创建安全组成功后，具备默认的访问规则。 默认规则是在出方向上的数据报文全部放行，安全组内的弹性云主机无需添加规则即可互相访问。 当默认访问规则可以满足需求时，则无需单独再为该安全组添加安全组规则。 添加安全组规则 可选任务。安全组创建成功后，具备默认的访问规则。默认规则是在出方向上的数据报文全部放行， 安全组内的弹性云主机无需添加规则即可互相访问。当默认访问规则可以满足需求时， 则无需单独再为该安全组添加安全组规则。

查看网页防篡改防护列表 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全>企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、在“主动防御>网页防篡改>防护配置”界面，查看服务器的防护状态。 说明 切换至新版后，在总览页左上角单击“返回旧版”，可切换至主机安全（旧版）。 状态说明 参数名称 说明 防护状态 防护中：HSS为该服务器提供静态网页防篡改防护。 动态防篡改状态 动态网页防篡改的状态。 已开启动态网页防篡改。 未开启动态网页防篡改。开启动态网页防篡改功能，要重启Tomcat才能生效。 静态防篡改攻击 检测静态网页文件被攻击、被篡改的行为次数。 动态防篡改攻击 检测web应用的漏洞利用、注入攻击等行为次数。 主机列表导出 1、登录管理控制台。 2、在页面左上角单击，选择“区域”，选择“安全>企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 注意 切换至新版后，在总览页左上角单击“返回旧版”，可切换至主机安全（旧版）。 4、选择“资产管理>主机管理”，选择“云服务器”界面。 5、在云服务器列表右上角单击，导出云服务器列表详情。 注意 当前云服务器详情导出单次最大支持1000台服务器。

本文介绍了认证与访问控制相关说明。 RDSPostgreSQL支持CTIAM身份认证与多种访问控制，多维度保障您云数据库的安全。 身份认证 CTIAM 统一身份认证（Identity and Access Management， 简称：CTIAM），是提供用户进行权限管理的基础服务，可以帮助您安全的控制天翼云服务和资源的访问及操作权限，包括：用户身份认证、权限分配、访问控制等功能。 您可以创建IAM用户，并为其设置RDSPostgreSQL实例权限，该用户就可以通过用户名和密码访问授权的实例资源。 访问控制 权限控制 购买RDSPostgreSQL实例之后，您可以使用CTIAM为企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，通过CTIAM进行精细的权限管理。 VPC和子网 虚拟私有云（Virtual Private Cloud，VPC）为RDSPostgreSQL构建隔离、私密的虚拟网络环境，提升数据库的安全性，并简化用户的网络部署。您可以完全掌控自己的专有网络，VPC丰富的功能帮助您灵活管理云上网络，包括创建子网、设置安全组和网络ACL、管理路由表、申请弹性公网IP和带宽等。 通过子网与其他网络隔离，独享网络资源，提高网络安全性。 具体内容请参见虚拟私有云用户指南创建虚拟私有云和子网。 白名单管理 白名单管理中，用户可对实例设置可访问的IP地址或IP段，控制数据库的安全访问，来保证保障其访问来源的安全性。 具体请参见关系数据库PostgreSQL版用户安全数据安全白名单管理。 安全组 安全组是一个逻辑上的分组，可以为同一个虚拟私有云内具有相同安全保护需求并相互信任的数据库实例提供相同的访问策略。您可以通过为数据库实例设置安全组，开通需访问数据库的IP地址和端口，来保证保障其运行环境的安全性和稳定性。 具体请参见关系数据库PostgreSQL版快速入门步骤二：设置安全组规则。

物理机是否可以关联多个安全组？ 弹性裸金属支持关联多个安全组。 通过将弹性裸金属添加到不同的安全组中，您可以为其应用多个安全规则，以提供更灵活和细粒度的网络访问控制。这样可以实现不同层次、不同需求的安全隔离和保护。通过合理配置安全组规则，可以限制入站和出站流量，控制来源和目标IP地址、端口以及协议类型等，从而加强对物理机的网络安全防护。 说明：当弹性裸金属同时属于多个安全组时，它将同时遵循所有安全组规则。因此，在管理和配置安全组规则时，需要确保规则之间的协调和一致，以避免可能引发的网络通信故障。 安全组为什么无法绑定到物理机上？ 只有弹性裸金属支持关联安全组，标准裸金属不支持关联安全组。 标准裸金属不支持关联安全组，怎么解决网络端口无法访问的问题？ 参考关闭及禁用防火墙操作文档。 为什么有的子网不支持VPC和子网切换？ 多az资源池的标准裸金属不支持VPC/子网切换，建议您在多az资源池创建标准裸金属前，提前做好网络规划。 物理机可以和同一VPC内的弹性云主机通信吗？ 可以。 当物理机和弹性云主机在同一个子网内时，它们可以直接相互通信，无需经过路由器。建议在安全组规则中配置允许物理机和弹性云主机之间通信的策略。

本文将介绍针对命中安全能力防护策略产生的攻击日志。 当安全与加速检测存在安全威胁时将实时进行告警，您可通过对应防护日志进行查询处置情况。 操作步骤 1. 登录边缘安全加速控制台。 2. 在左侧导航栏，选择运营管理>日志服务>安全攻击日志。 3. 安全防护日志的记录范围为：命中安全与加速服务中Web攻击、Bot攻击、API攻击、CC攻击、访问控制、频率控制策略的攻击请求。 4. 可针对需求进行查询相关日志情况。 注意 需开通安全与加速服务，已开启对应安全能力并产生攻击请求时才可查看到相应防护数据。 最多支持查询或导出180天数据，若有长时间导出日志需求，可 。 字段说明 字段 字段说明 攻击时间 攻击请求发生的时间 请求方式 客户端的请求方法 URI 请求的URI REQUESTURI 请求的URI（包含问号（？）后面的部分） 攻击ID 攻击请求命中的防护规则ID 攻击IP 发起请求的客户端IP 源端口 发起请求的客户端源端口 域名 攻击的目标域名 攻击类型 发生安全事件详细的攻击类型 状态码 响应的状态码 处理动作 即针对攻击请求作出的处理动作，通常为告警、拦截、丢弃等，具体依照安全策略配置而定 攻击详情 点击序号左侧的展开按钮，能够查看攻击客户端IP的详细属性，比如地域归属、UA等

本文向您介绍安全组和安全规则配额。 安全组相关配额限制请参考文档：VPC及安全组相关使用限制 如果当前配额数量不满足您的需求，请您提交工单申请配额扩大。

本节介绍如何扫描基线。 支持扫描全部、部分基线，也支持对基线中的部分检查项进行扫描。 扫描基线 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“安全合规”，进入安全合规页面。 3. 单击列表右上角的“扫描基线”。 4. 在弹出的扫描窗口中设置基线范围和扫描对象。 5. 设置完成后，单击“确认”即可开始扫描。 扫描基线检查项 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“安全合规”，进入安全合规页面。 3. 在安全合规页面单击“基线名称”，进入基线详情页面。 4. 单击列表右上角的“扫描”，即可开始扫描检查相应容器、镜像和节点是否符合该基线的安全规则。

本文详细介绍安全与加速计费模式。 计费构成 安全与加速免费版（停止新购）、基础版、高级版、企业版、旗舰版计费由三个部分构成：基础套餐+套餐外超量费用+扩展服务。 基础套餐（必选）：您可以根据需求，购买不同规格套餐获得相应标准的安全与加速服务，具体请见安全与加速基础套餐资费。 套餐外超量费用（超量计费）：如果套餐内流量/带宽等用尽，可订购资源包或者开通按需，具体计费请参考安全与加速套餐超出资费。 扩展服务（可选）：如果套餐内包含的能力不能满足您的需求，如需要增加域名数等，您可以选择订购扩展服务，具体计费请参考安全与加速扩展服务资费。 计费描述 安全与加速计费详细描述如下： 计费构成 计费方式 计费项 计费描述 参考链接 基础套餐 预付费包月 流量计费 流量和带宽计费方式二选一。 按照实际流量计费，按下行流量与上行流量相加。 仅对防护清洗后的干净流量计费，DDoS攻击产生的流量不计费。 安全与加速服务套餐资费详见安全与加速基础套餐资费 基础套餐 预付费包月 月峰值带宽计费 流量和带宽计费方式二选一。 带宽计费暂不支持官网订购，如果您有需要，可通过提交工单或拨打4008109889热线电话联系客服进行咨询。 在一个自然月内，对每日的峰值进行排序，最大的那个峰值作为计费值。 安全与加速服务套餐资费详见安全与加速基础套餐资费 基础套餐 预付费包月 DDoS防护次数 在一个自然月内，如果您订购了高级版，则支持防护攻击带宽峰值不超过40Gbps的DDoS攻击2次。 发生DDoS攻击当天（自然天）的攻击算一次。 安全与加速服务套餐资费详见安全与加速基础套餐资费 套餐外超量费用 预付费流量包 流量包 一次性付费，流量包有效期一年。 资费详见安全与加速套餐超出资费 套餐外超量费用 预付费请求数包 动态请求数包 一次性付费，动态请求数包，有效期一年。 您可以通过控制台开启动态能力，开启动态能力后付费 资费详见安全与加速套餐超出资费 套餐外超量费用 动态请求数按需 动态请求数 对所有的动态优化请求进行计费，包含http动态优化请求和https动态优化请求。 资费详见安全与加速套餐超出资费 套餐外超量费用 流量按需 流量计费 按照实际流量计费，按下行流量与上行流量相加。 仅对防护清洗后的干净流量计费，DDoS攻击产生的流量不计费。 资费详见安全与加速套餐超出资费 套餐外超量费用 带宽按需 月峰值带宽计费 在一个自然月内，对每日的峰值进行排序，最大的那个峰值作为计费值。 若未开通带宽按需，当实际使用带宽超过订购带宽峰值时，则触发限速，将导致超过带宽峰值部分的请求被拦截。 资费详见安全与加速套餐超出资费 扩展服务 预付费包月 域名扩展包、DDoS防护带宽、高级Bot管理、API安全、态势感知大屏、专家服务 如果扩展服务与套餐订购时间一致，到期时间与套餐一致；如果扩展服务订购时间晚于套餐服务，开始计费时间为扩展服务订购日期，到期时间与套餐一致。 资费详情见安全与加速扩展服务资费 扩展服务 按需 内容审核 内容审核按日收费。 资费详情见安全与加速扩展服务资费 扩展服务 按需 DDoS弹性防护 在订购扩展服务DDoS防护带宽的基础上，可开启DDoS弹性防护；未开启扩展服务DDoS防护带宽，不允许开启DDoS弹性防护。 弹性峰值攻击峰值DDoS防护带宽， 弹性防护根据弹性峰值进行阶梯计费，按日收费。 资费详情见安全与加速扩展服务资费

临时安全凭证的优势 在给外部联邦用户授权时，临时安全凭证的优势尤为明显，您不必给外部联邦用户授予需要定时轮换，主动撤销的永久安全凭证，而是给这些外部联邦用户授予即时使用，定时过期的临时安全凭证，提高帐号的安全性，遵循权限最小化的安全实践原则。 临时安全凭证的使用方法 临时安全凭证包括临时AK/SK和SecurityToken，临时AK/SK和SecurityToken必须同时使用，临时安全凭证与永久安全凭证的使用方法几乎相同，使用临时安全凭证进行鉴权时，请求头中需要添加“xsecuritytoken”字段。

本文介绍防护请求数资费。 销售品名称 规格（万次） 标准资费价格 安全加速WAF防护请求数包 100 16元 安全加速WAF防护请求数包 1000 154元 安全加速WAF防护请求数包 10000 1530元 安全加速WAF防护请求数包 100000 15300元 安全加速WAF防护请求数包 1000000 153000元

本文介绍了AOne平台子用户管理概述。 需求场景 AOne边缘安全加速平台包含多种服务，如安全与加速、边缘接入、零信任、开发者平台等；同时某些服务（如安全与加速），还可能涉及不同的域名资源。 某些用户场景，需要多个可访问AOne平台控制台的账号，并且针对不同的账号设置不同访问的权限，常见的需求包括： 添加子用户A，具有AOne所有的访问、编辑权限（所有菜单、所有域名）。 添加子用户B，只具有AOne安全与加速服务控制台的访问权限，不可访问零信任、边缘接入等其他服务控制台。 添加子用户C，只具有AOne安全与加速服务控制台的可查看权限，不具备编辑权限。 添加子用户D，只具有AOne安全与加速服务控制台部分域名的配置权限，不可查看、配置其他域名资源。 …… 总结：用户需要能够设置不同角色，从子用户可访问的菜单、子用户可访问的域名、子用户的可读/可写权限三个维度进行授权。 最佳实践 AOne边缘安全加速平台已对接CDN+ IAM组件，可实现在CDN+平台的工作区创建子用户，并为子用户分配不同的角色。 AOne边缘安全加速平台包含三种内置角色，内置角色的权限策略用户不编辑，此外支持定制角色实现更复杂的访问控制场景。 内置角色 角色说明 边缘安全加速平台管理者 最高权限，具备该角色的用户可查看配平台所有菜单、所有域名，并且具备编辑权限。 边缘安全加速平台参与者 查看权限，具备该角色的用户可查看平台所有菜单，但是无法查看任何域名并且不具备安全与加速服务控制台的编辑权限 边缘安全加速平台查看者 查看权限，具备该角色的用户可查看平台所有菜单、所有域名，但是不具备安全与加速服务控制台的编辑权限。 说明 边缘安全加速平台参与者与查看者角色，当前仅针对安全与加速服务控制台的可编辑权限进行了限制，其余服务控制台暂未进行限制，仍具备编辑权限。 当内置角色的权限能够满足用户授权需求时，可直接给子用户赋予内置角色。操作步骤参考：新增子用户关联内置角色。 当内置角色的权限不能满足用户授权需求时，可创建定制角色后，给子账号赋予定制角色。操作步骤参考：新增子用户关联定制角色。

购买 安全专区按套餐购买，用户可根据自身业务规模选购对应的组件规格，具体请参照价格。 安全专区根据用户开通的套餐及规格自动在用户指定开通的VPC内新开相应的功能承载虚机。根据等级保护的要求，安全能力组件需要独立的网管网段。 注意 强烈建议购买开通之前，用户在VPC内新创建一个子网作为安全专区的开通子网段，然后在订购页面选定新子网进行业务开通。 安全专区开通后，不能对安全专区的承载虚机进行任何手动操作。 升级 用户可以点击升级操作，增加安全组件的规格。 续订 用户可以通过续订，延长产品服务有效时间。 退订 本产品不支持退订。

本文帮助您快速熟悉弹性云主机的安全组的查看的操作场景和操作流程。 操作场景 安全组主要是为了限制云主机/物理机的网络访问，保护云主机/物理机的安全。您可以查看云主机/物理机所关联的安全组的相关信息并根据业务需求做相应的调整。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成弹性云主机的创建。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择广东广州6。 3. 依次选择“计算”，单击“弹性云主机”；进入云主机控制台页面。 4. 在“弹性云主机”界面，选择需要操作的云主机，点击名称进入详情页； 5. 在弹性云主机详情页，选择“安全组”页签，查看弹性云主机所属的安全组详情； 6. 支持对安全组进行更改、编辑、删除等操作，同时可以查看安全组规则，对并规则进行添加、删除、修改等操作。

本节介绍了容器镜像安全扫描(个人版)的用户指南。 容器镜像服务CRS支持所有基于Linux的容器镜像安全扫描，识别镜像中所有已知的漏洞信息，并对漏洞信息进行风险评估。本文介绍如何指定镜像版本扫描和指定目标命名空间的容器镜像扫描，如何获取镜像漏洞信息。 概述 在云原生平台中，容器镜像安全是云原生应用交付安全的重要一环，为了保障部署的服务安全性，防止服务因镜像漏洞被恶意攻击， 容器镜像服务CRS提供了对镜像进行安全扫描功能，不仅提升了容器整体的安全性，保护服务的安全。您可以在容器镜像服务页面中触发扫描，安全扫描的时长主要取决于镜像的大小，一般情况下扫描一个镜像可以在三分钟之内完成。当前镜像安全扫描服务基于开源Trivy 方案，相关漏洞信息来自官方漏洞库，并定期保持同步。 注意 受扫描引擎限制，建议镜像单层大小不要超过3GB，否则可能出现扫描失败。 操作步骤 1. 进入容器镜像服务控制台。 2. 点击已开通个人版实例名称。 3. 左侧导航栏点击镜像仓库。 4. 在镜像仓库页面点击目标仓库名，进入镜像版本列表页面。 5. 点击需要扫描的镜像版本右侧的安全扫描按钮，后台会创建一个扫描任务。 6. 等待扫描完成后，可在漏洞栏查看扫描结果。 7. 点击镜像版本 Digest 名称，可在镜像详情页中查看漏洞的具体信息。

本节介绍了容器镜像安全扫描(企业版)的用户指南。 容器镜像服务CRS支持所有基于Linux的容器镜像安全扫描，识别镜像中所有已知的漏洞信息，并对漏洞信息进行风险评估。本文介绍如何指定镜像版本扫描和指定目标命名空间的容器镜像扫描，并获取镜像漏洞信息。 概述 在云原生平台中，容器镜像安全是云原生应用交付安全的重要一环，为了保障部署的服务安全性，防止服务因镜像漏洞被恶意攻击， 容器镜像服务CRS提供了对镜像进行安全扫描功能，不仅提升了容器整体的安全性，保护服务的安全。您可以在容器镜像服务页面中触发扫描，安全扫描的时长主要取决于镜像的大小，一般情况下扫描一个镜像可以在三分钟之内完成。当前镜像安全扫描服务基于开源Trivy 方案，相关漏洞信息来自官方漏洞库，并定期保持同步。 注意 受扫描引擎限制，建议镜像单层大小不要超过3GB，否则可能出现扫描失败。 操作步骤 1. 进入容器镜像服务控制台。 2. 点击已开通的企业版实例名称。 3. 左侧导航栏点击 "容器镜像" "镜像仓库"。 4. 在镜像仓库页面点击目标仓库名，进入镜像版本列表页面。 5. 点击需要扫描的镜像版本右侧的安全扫描按钮，后台会创建一个扫描任务。 6. 等待扫描完成后，可在漏洞栏查看扫描结果。 7. 点击镜像版本 Digest 名称，可在镜像详情页中查看漏洞的具体信息。

约束限制 仅支持开启网页防篡改版防护后才支持防篡改相关操作。 前提条件 云服务器的“Agent状态”为“在线”且“防护状态”为“开启”。 操作步骤 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、在“主动防御 > 网页防篡改 > 防护配置”页面，单击目标服务器“操作”列的“查看报告”。 查看防护报告 5、在查看报告界面，查看防护记录详情。 网页防篡改防护记录 查看网页防篡改防护事件 开启静态网页防篡改防护后，主机安全服务将立即对您添加的防护目录执行全面的安全检测。您可以查看所有主机防护文件被非法篡改的记录。 约束限制 仅支持开启网页防篡改版防护后才支持防篡改相关操作。 前提条件 云服务器的“Agent状态”为“在线”且“防护状态”为“开启”。 已开启静态网页防篡改。 操作步骤 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3 、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 说明 切换至新版后，在总览页左上角单击“返回旧版”，可切换至主机安全（旧版）。 4、在“主动防御 > 网页防篡改 > 防护事件”页面，查看主机防护文件被篡改记录。 防护事件

本文介绍了如何新增子用户关联内置角色。 使用场景 AOne安全与加速平台内置了边缘安全加速平台管理者、边缘安全加速平台参与者、边缘安全加速平台查看者角色。用户创建子用户后，可直接为子用户赋予内置角色。 内置角色的权限策略不可编辑。 内置角色 角色说明 边缘安全加速平台管理者 最高权限，具备该角色的用户可查看配平台所有菜单、所有域名，并且具备编辑权限。 边缘安全加速平台参与者 查看权限，具备该角色的用户可查看平台所有菜单，但是无法查看任何域名并且不具备安全与加速服务控制台的编辑权限 边缘安全加速平台查看者 查看权限，具备该角色的用户可查看平台所有菜单、所有域名，但是不具备安全与加速服务控制台的编辑权限。 说明 边缘安全加速平台参与者与查看者角色，当前仅针对安全与加速服务控制台的可编辑权限进行了限制，其余服务控制台暂未进行限制，仍具备编辑权限。 当内置角色的权限不能满足用户授权需求时，可创建定制角色后，给子用户赋予定制角色。操作步骤参考：新增子用户关联定制角色。 操作流程 新建子用户 方式一：手动新增 1. 登录CDN+平台，并进入需要进行共享的工作区。 2. 进入子用户管理菜单，左上角点击【新增】按钮。 3. 输入子用户的基本信息，包括登录凭据、显示名称、用户邮箱（非必填）、用户手机（非必填）、登录密码，通过验证码检验之后即可完成添加。完成子用户添加后，您可立即添加角色，也可以稍后再进行添加。

本节介绍云安全中心安全成果展示页面，通过大屏向用户展示数据统计。 用户从日志接收解析到最终形成告警过程全流程的过程重要的数据统计。 前提条件 安全成果展示需要购买态势大屏扩展资源，具体操作请参见购买扩展资源。 查看安全成果展示大屏 1. 登录天翼云控制中心。 2. 在控制台列表页，选择“安全 > 云安全中心”，进入产品服务页面。 3. 在左侧导航栏，选择“安全态势 > 安全成果展示”，进入安全成果展示大屏页面。 在右上角支持选择时间范围，也可以设置定时刷新时间。 单击右上角的图标，进入全屏模式。 单击左上角的图标，返回“安全概览”页面。 设置定时刷新时间 安全成果展示大屏支持定时刷新大屏数据，定时刷新时间最小为5分钟刷新一次，最大为720分钟刷新一次，进入大屏默认为30分钟刷新一次。 您可以执行以下步骤修改定时刷新时间： 1. 在威胁攻击态势大屏页面，单击右上角时间范围。 2. 单击“停止”，间隔时间变为可配置。配置完时间后，再单击“开始”，即可完成修改。

本节介绍如何查看已创建的安全报告及其展示的信息。 查看/下载最新安全报告 1. 登录管理控制台。 2. 在左侧导航栏中，单击左上方的，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在左侧导航栏中，选择“系统管理> 安全报告”，进入“安全报告”页面。 5. 单击目标报告的“获取最新报告”，跳转至“安全报告预览”页，可查看报告信息。 6. 如需下载，单击右下角的“下载”，可获取报告。 查看/下载历史安全报告 1. 登录管理控制台。 2. 在左侧导航栏中，单击左上方的，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在左侧导航栏中，选择“系统管理> 安全报告”，进入“安全报告”页面。 5. 单击目标报告的“历史报告”，弹出“历史报告”，可查看报告列表。 6. 单击“操作”列的“获取报告”，可查看报告信息。 7. 如需下载，单击右下角的“下载”，可获取报告。

态势感知（专业版）支持实时检测整体资产的安全状态，评估整体资产安全健康得分。 通过查看安全评分，可快速了解未处理风险对资产的整体威胁状况。 资产安全风险修复后，为降低安全评分的风险等级，目前需手动忽略或处理告警事件，刷新告警列表中告警事件状态。告警事件状态刷新并启动重新检测后，安全评分将更新。 安全评分： 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“风险预防 > 基线检查”，进入基线检查页面，对不合格的基线检查项目进行处理。 5. 在左侧导航栏选择“风险预防 > 漏洞管理”，进入漏洞管理页面，对漏洞进行处理。 6. 在左侧导航栏选择“威胁管理 > 告警管理”，进入全部告警管理页面，对告警事件进行处理。 7. 相应告警事件处理后，返回“态势感知 > 态势总览”页面，单击“重新检测”，检测后可查看更新的安全评分。 说明 由于检测需要一定的时间，请您在单击“重新检测”按钮5分钟后，再刷新页面，查看最新检测的安全评分。

本文介绍域名接入边缘安全加速平台后,如何为域名配置合适的防护策略。 当您首次将域名接入边缘安全加速平台之后，面对各种安全防护配置项，您可能不知道如何进行配置。本文将引导您从不同角色的视角、场景快速熟悉边缘安全加速平台的防护模块和防护规则配置，让您从最紧急、最关注的防护内容入手，了解如何使用安全与加速服务保护您的网站。 操作前提 已经在边缘安全加速平台控制台完成接入域名，并且域名已处于已启用的状态。 操作内容须知 本文描述都是建立在您已经完成域名新增，并且域名状态处于已启用的前提下进行操作，您可以参考功能的描述文档开启并设置相对应的功能。 1. 登录边缘安全加速控制台。 2. 在左侧导航栏，选择域名>域名管理。 本文会根据不同的角色或者业务视角来给您提供网站防护策略的配置建议。您可以根据您的实际需求和您对网站的熟悉程度来了解相关的网站防护配置。 没有安全经验的使用者要如何配置防护策略 您可能出于等保要求或者为了预防Web攻击而购买安全与加速服务，但您之前从未了解过网站安全相关知识或者未使用过安全产品，这种情况可以参考本章内容进行域名的防护配置修改。在根据域名接入指引成功添加域名后（域名状态由配置中 变更为 已启用 ），在“Web防护 > 域名规则”中将域名规则开关置为拦截模式，完成这几部操作后防护引擎就可以帮助您自动识别、拦截绝大部分的Web攻击请求。 同时您也需要多关注概览、安全报表、攻击日志等数据统计分析页面，了解业务流量、数据情况和攻击威胁情况。查看相关数据报表可以让您对域名信息有更详细的了解，同时可以根据这些数据特征，联系天翼云安全专家沟通具体的解决方案，在天翼云安全专家的指导下进一步配置域名防护内容，对域名安全进一步加固。 当您在攻击日志中发现正常的业务请求被误拦截，而您又不会根据误拦截内容进行防护配置变更时，您可以联系天翼云安全专家沟通具体的解决方案，联系方式见服务保障。

安全组 安全组可重复使用，您也可以根据实际情况使用不同的安全组，请根据实际需要进行配置。 创建安全组的操作指导，请参考虚拟私有云创建安全组。 若需要为安全组添加规则，请参考虚拟私有云安全组添加安全组规则。 弹性公网IP（可选） 若需要通过公网访问RabbitMQ实例，则需要申请弹性公网IP，否则不需要申请弹性公网IP。申请弹性公网IP的操作指导请参考购买弹性IP。

安全组 安全组可重复使用，您也可以根据实际情况使用不同的安全组，请根据实际需要进行配置。 创建安全组的操作指导，请参考虚拟私有云创建安全组。 若需要为安全组添加规则，请参考虚拟私有云安全组添加安全组规则。 弹性公网IP（可选） 若需要通过公网访问MQTT实例，则需要申请弹性公网IP，否则不需要申请弹性公网IP。申请弹性公网IP的操作指导请参考购买弹性IP。

总览 态势感知（专业版）“总览”页面实时呈现云上整体安全评估状况，并联动其他云安全服务，集中展示云上安全，包括资产的安全评估结果、安全监控和安全趋势等信息，可以全面了解资产的安全情况。总览页面实时呈现态势感知（专业版）所有工作空间的整体安全评估结果，查看方法请参见查看总览。 态势总览 “态势总览”页面实时呈现当前工作空间中资源的整体安全评估状况，包括资产的安全评估结果、安全监控和安全趋势等信息，可以全面了解资产的安全情况。目标工作空间的“态势感知> 态势总览”页面呈现当前单个工作空间的安全评估结果，查看方法请参见查看态势总览。 安全风险 安全风险是对资产安全状况的综合评估，反映了一段时间内资产遭受的安全风险。安全风险通常体现为一个量化的数值，便于用户理解目前资产的安全状况，数值大小并不代表资产的安全或危险，仅作为资产遭受攻击严重程度的参考。安全大屏中的可以还原攻击历史，感知攻击现状，预测攻击态势，为用户提供强大的事前、事中、事后安全管理能力，实现一屏全面感知。 安全评分 态势感知（专业版）实时呈现您云上资产的整体安全评估状况，并根据态势感知（专业版）的威胁检测能力，评估整体资产安全健康得分。 安全评分每天凌晨2:00自动更新，也支持通过在页面中单击“重新检测”来进行实时更新。 如下将介绍在安全评分中，不同分值的含义以及扣分项的详细情况。 安全分值 SecMaster根据威胁检测能力，评估整体资产安全健康得分。 风险等级包括“无风险”、“提示”、“低危”、“中危”、“高危”和“致命”。 分值范围为0～100，分值越大表示风险越小，资产更安全。 分值从0开始，每隔20取值范围对应不同的风险等级，例如分值范围40~60对应风险等级为“中危”。 分值环形图不同色块表示不同威胁等级，例如黄色对应“中危”。 资产风险修复，并手动刷新告警事件状态后，安全评分可以通过手动单击“重新检测”进行更新。 说明 资产安全风险修复后，为降低安全评分的风险等级，需手动忽略或处理告警事件，刷新告警列表中告警事件状态。 风险等级 安全分值 分值说明 无风险 100分 恭喜您，您的资产当前安全状况良好。 提示 80≤分值<100 您的资产存在少量的安全隐患，建议您及时加固安全防护体系。 低危 60≤分值<80 您的资产存在较多的安全隐患，建议您及时加固安全防护体系。 中危 40≤分值<60 您的资产防御黑客入侵的能力较弱，建议您立即加固安全防护体系。 高危 20≤分值<40 您的资产存在较高的黑客入侵和病毒感染的风险，建议您立即处理。 致命 0≤分值<20 您的资产很可能遭受到黑客入侵和病毒感染的威胁，建议您立即处理。 安全评分扣分项 安全评分扣分项及其分值情况如下所示： 分类 扣分项 单项扣分值 处理建议 最高扣分上限 安全服务启用 未开启安全相关服务 不扣分 开启安全相关服务 30 合规检查 存在未处理的致命不合规项 10 按照合规修复建议指导进行合规问题修复，修复后重新触发扫描任务，自动刷新评分。 20 合规检查 存在未处理的高危不合规项 5 按照合规修复建议指导进行合规问题修复，修复后重新触发扫描任务，自动刷新评分。 20 合规检查 存在未处理的中危不合规项 2 按照合规修复建议指导进行合规问题修复，修复后重新触发扫描任务，自动刷新评分。 20 合规检查 存在未处理的低危不合规项 0.1 按照合规修复建议指导进行合规问题修复，修复后重新触发扫描任务，自动刷新评分。 20 漏洞 存在未处理的致命漏洞 10 按照漏洞修复建议指导进行漏洞修复，修复后重新触发漏洞扫描任务，自动刷新评分。 20 漏洞 存在未处理的高危漏洞 5 按照漏洞修复建议指导进行漏洞修复，修复后重新触发漏洞扫描任务，自动刷新评分。 20 漏洞 存在未处理的中危漏洞 2 按照漏洞修复建议指导进行漏洞修复，修复后重新触发漏洞扫描任务，自动刷新评分。 20 漏洞 存在未处理的低危漏洞 0.1 按照漏洞修复建议指导进行漏洞修复，修复后重新触发漏洞扫描任务，自动刷新评分。 20 威胁告警 存在未处理的致命告警事件 10 按照威胁事件处置指导建议进行修复，修复后自动刷新评分。 30 威胁告警 存在未处理的高危告警事件 5 按照威胁事件处置指导建议进行修复，修复后自动刷新评分。 30 威胁告警 存在未处理的中危告警事件 2 按照威胁事件处置指导建议进行修复，修复后自动刷新评分。 30 威胁告警 存在未处理的低危告警事件 0.1 按照威胁事件处置指导建议进行修复，修复后自动刷新评分。 30

本文介绍如何为ECI Pod配置独立安全组。 当用户创建ECI Pod（ECI实例）时，需要指定待绑定的安全组信息，使得ECI实例的出向和入向流量得到控制。 背景信息 安全组是一种网络安全防护机制，用于防止未经授权的访问和保护计算机网络免受恶意攻击。它是一种虚拟防火墙，用于限制入向和出向网络流量。安全组工作在网络层和传输层，它通过检查数据包的源地址、目标地址、协议类型和端口号等信息来决定是否允许通过。安全组创建后，用户可以在安全组中定义各种访问规则，当ECI实例绑定安全组后，即受到这些访问规则的保护。 前提条件 确保您已经创建Serverless集群，具体操作请参阅创建Serverless集群。 确保kubectl工具已经连接目标集群。 操作步骤 在pod的annotations中添加注解：k8s.ctyun.cn/ecisecuritygroup，并指定需要使用的安全组。通过kubectl客户端创建nginx.yaml。 shell apiVersion: "apps/v1" kind: "Deployment" metadata: name: "nginxsg" namespace: "default" spec: replicas: 1 selector: matchLabels: name: "nginxsg" template: metadata: annotations: k8s.ctyun.cn/ecisecuritygroup: sgw9f6mehmq0 labels: name: "nginxsg" spec: containers: image: "registryhuadong1.crsinternal.ctyun.cn/opensource/nginx:1.26alpineslim" imagePullPolicy: "IfNotPresent" name: "nginx" resources: limits: cpu: "1" memory: 1Gi 创建pod： plaintext kubectl create f nginx.yaml 在ECI控制台可以看到ECI实例开通成功，并且使用的是指定的安全组：