本节介绍如何处置风险容器。 操作场景 企业主机安全支持检测容器安全风险，并将容器安全风险分为以下几类： 致命：恶意程序等 高危：勒索攻击、恶意程序、反弹shell、逃逸攻击、危险命令等 中危：Webshell、异常启动、进程异常、敏感文件访问等 低危：暴力破解等 为避免有中危及以上安全风险容器影响其他容器的正常运行和使用，您可以通过隔离、暂停或杀容器的方式处置风险容器。 约束限制 仅HSS容器版支持该功能。 仅支持Linux容器。 仅有中危及以上安全风险的容器支持处置操作。 操作步骤 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在左侧导航树选择“资产管理 > 容器管理” ，进入“容器管理”页面。 说明 如果您的服务器已通过企业项目的模式进行管理，您可选择目标“企业项目”后查看或操作目标企业项目内的资产和检测信息。 4、选择“容器”，进入容器页签。 5、在容器列表上方搜索框中输入“有风险”并单击搜索按钮 ，筛选有安全风险的容器。 6、在目标风险容器所在行的“操作”列，选择需要执行的处置操作。 对于集群容器支持杀容器操作，对于单机容器支持隔离、暂停、杀容器操作。 说明 仅有中危及以上风险的容器支持处置操作，您可以将鼠标滑动至目标风险容器所在行的安全风险列，查看安全风险分布。 隔离容器：容器被隔离后，在容器运行时，您将无法访问容器，且容器也无法访问主机的挂载目录以及容器自身的根系统文件。 1. 单击“隔离”。 2. 在弹出的对话框中确认信息无误后，单击“确认”。 暂停容器：冻结容器中运行的进程。 1. 单击“暂停”。 2. 在弹出的对话框中确认信息无误后，单击“确认”。 杀容器：终止运行中的容器进程，使容器处于终止状态，如果容器配置了AutoRemove，将无法恢复运行。 1. 单击“杀容器”。 2. 在弹出的对话框中确认信息无误后，单击“确认”。

创建安全组 说明 仅Redis 3.0实例需要安全组。 步骤 1 登录虚拟私有云管理控制台。 步骤 2在左侧导航选择“访问控制 > 安全组”，单击“创建安全组”。根据界面提示创建安全组。如无特殊需求，界面参数均可保持默认。 创建安全组时，“模板”选择“自定义”。 安全组创建后，请保留系统默认添加的入方向“允许安全组内的弹性云主机彼此通信”规则和出方向“放通全部流量”规则。 使用DCS服务要求必须添加下表所示安全组规则，其他规则请根据实际需要添加。 表 安全组规则 方向 协议 端口 源地址 说明 入方向 TCP 6379 0.0.0.0/0 通过内网访问Redis 3.0。 结束 申请弹性公网IP（可选） 说明 仅创建Redis 3.0实例，且需要通过公网访问DCS时，需要申请弹性公网IP，否则不需要申请弹性公网IP。 步骤 1 登录管理控制台。 步骤 2 单击页面上方的“服务列表”，选择“网络 > 弹性公网IP”。 步骤 3 单击“购买弹性IP”。 结束

此小节介绍企业主机安全文件完整性管理。 查看文件完整性管理 约束限制 未开启旗舰版、网页防篡改版、容器版防护不支持文件完整性相关操作。 操作步骤 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、选择“主动防御 > 文件完整性管理”，进入文件管理界面，选择“云服务器”和“变更文件”页签可查看对应的变更详情。 进入文件管理 查看云服务器变更详情 约束限制 未开启旗舰版、网页防篡改版、容器版防护不支持文件完整性相关操作。 操作步骤 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、左侧选择“主动防御 > 文件完整性管理 > 云服务器”，进入服务器页面。 进入云服务器 5 单击服务器名称进入服务器变更详情页。 变更参数说明 参数名称 参数说明 取值样例 文件 发现变更的文件名称。 du 路径 发现变更文件所在的路径。 变更内容 变更的情况描述。 鼠标放置变更内容可查看详情。 将SHA2560ba0c4b5e48e55a6改为4f6079f5b37d1513 变更类型 变更的文件类型。 文件 变更类别 变更文件的类别。 新增 、 修改 、 删除 修改 变更时间 目标文件发生变更的时间。

本节为您介绍关闭安全引流服务的操作步骤。 操作场景 用户关闭安全引流业务。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已启用安全引流业务。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“网络”，单击“天翼云SDWAN”，进入天翼云SDWAN总览页面。 4. 选择“安全引流”，单击对应目标智能网关实例“操作”列的“关闭安全引流”。 5. 单击“确定”，关闭安全引流服务。 6. 然后单击该智能网关实例“操作”列的“删除”，单击“确定”，即可删除不再需要引流的智能网关实例。

本小节介绍容器安全切换至企业主机安全控制台。 您可将原容器安全迁移至企业主机安全控制台实现服务器负载的统一管理，同时可享受新增的功能特性。 新版&旧版功能说明 目前容器安全服务已整合至企业主机安全控制台进行统一管理，优化了既有功能的能力，同时新增了部分新功能。 功能项 CGS旧版（原CGS） CGS新版（HSS新版） 容器资产指纹管理 × √ 容器节点管理 √ √ 私有镜像管理 √ √ 本地镜像管理 √ √ 官方镜像管理 √ × 共享镜像管理 × √ 镜像漏洞检测 √ √ 镜像恶意文件检测 √ √ 镜像基线检查 √ √ 漏洞逃逸攻击 √ √ 文件逃逸攻击 √ √ 容器进程异常 √ √ 容器配置异常 √ √ 容器异常启动 √ √ 容器恶意程序 √ √ 高危系统调用 √ √ 敏感文件访问 √ √ 容器软件信息 √ √ 容器文件信息 √ √ 白名单管理 √ √ 容器策略管理 √ √

本节介绍智算安全专区常见问题。 Q1. 大模型安全卫士是什么？ 大模型安全卫士是一款专为大模型安全设计的一站式防护产品，提供从开发、训练、部署到运营的全生命周期安全闭环，保护用户的智算基础设施。 Q2. 开通大模型安全卫士需要哪些要求？ 大模型安全卫士需要部署在和安装大模型的云主机所在的同一个虚拟私有云（VPC）内。 Q3. 大模型安全卫士能解决智算场景下哪些安全问题？ 有效拦截大模型推理过程中的潜在违规内容，对输入和输出的语义进行深度分析和检测，防止模型被利用进行恶意攻击或生成有害内容，强化了模型推理过程中的安全保障。 代理RAG业务系统请求，解析文件进行内容检测。保障语料库及生成内容的安全性、合规性，防止恶意攻击（如数据投毒、提示注入）、敏感信息泄露及生成有害内容。 支持开启模型推理的情况下检测聊天内容中的隐私信息并脱敏。

本文为您介绍启用安全引流服务的操作步骤。 操作场景 用户选择需要引流的智能网关实例，并开启安全引流。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经开通安全引流业务。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“网络”，单击“天翼云SDWAN”，进入天翼云SDWAN总览页面。 4. 选择“安全引流”，单击“添加智能网关”。 5. 选择需要引流的智能网关实例。 6. 单击“确定”，完成添加目标智能网关实例。 7. 添加成功后，单击“操作”列的“开启安全引流”，即可为该智能网关实例启用安全引流服务。

本章节介绍了所依赖的资源及创建指导。 概述 在购买RocketMQ实例前，您需要提前准备相关依赖资源，包括虚拟私有云（Virtual Private Cloud，以下简称VPC）、子网和安全组，并配置安全组策略。每个RocketMQ实例都部署在某个VPC中，并绑定具体的子网和安全组，通过这样的方式为RocketMQ提供一个隔离的、用户自主配置和管理的虚拟网络环境以及安全保护策略，提升实例的安全性。 准备依赖资源 RocketMQ实例所需资源的具体要求和创建指导如表1所示。 表1 RocketMQ实例依赖资源 准备资源 要求 创建指导 VPC和子网 不同的RocketMQ实例可以重复使用相同的VPC和子网，也可以使用不同的VPC和子网，请根据实际需要进行配置。在创建VPC和子网时应注意如下要求：·创建的VPC与使用的分布式消息服务RocketMQ应在相同的区域。·创建VPC和子网时，如无特殊需求，配置参数使用默认配置即可。 创建VPC和子网的操作指导请参考创建虚拟私有云和子网，若需要在已有VPC上创建和使用新的子网，请参考为虚拟私有云创建新的子网。 安全组 不同的RocketMQ实例可以重复使用相同的安全组，也可以使用不同的安全组，请根据实际需要进行配置。在创建安全组时应注意如下要求：·创建安全组时，“模板”选择“自定义”。·创建安全组后，请保留系统默认添加的入方向“允许安全组内的弹性云服务器彼此通信”规则和出方向“放通全部流量”规则。·使用分布式消息服务RocketMQ必须添加表2所示安全组规则，其他规则请根据实际需要添加。 创建安全组的操作指导请参考创建安全组，为安全组添加规则的操作指导请参考添加安全组规则。 表2 安全组规则 方向 协议 端口 源地址 说明 入方向 TCP 8100 0.0.0.0/0 VPC内访问元数据节点的端口 入方向 TCP 8200 0.0.0.0/0 公网访问元数据节点的端口 入方向 TCP 1010010199 0.0.0.0/0 访问业务节点的端口

本文介绍终端管理。 AOne终端管理是什么 边缘安全加速平台提供终端安全管理能力，通过整合防病毒、漏洞修复、软件与外设管控、AI安全检测等能力，依托智能中台实现统一策略管理，精准解决资产不可视、风险难追溯、处置效率低等核心痛点，打破安全与业务效率的对立僵局，成为企业数字化转型的一站式终端安全防护与提效平台。 AOne终端管理的优势 高效防护：病毒防护为基础，以主动实时防御为核心，联动漏洞自修复引擎自动闭环高危风险，形成‘监测阻断修复’的一体化防御链路，助力企业缩减终端暴露面，提升威胁响应速度。 身份追踪：终端安全身份追踪能精准锁定终端设备中每个身份的操作轨迹，基于身份与设备实时监测、深度溯源与高效防控，管理员可轻松识别风险设备和员工。 DeepSeek接入：凭借DeepSeek先进的自然语言处理与推理能力，帮助企业精准分析终端安全威胁并提供优化策略，无需登录也可以轻松使用。 持续生长：丰富的终端安全能力融合在一个轻量客户端中，可持续生长零信任访问、混合办公等能力，增强办公效率，无需替换客户端极简交付。

本文简述了边缘安全加速平台如何批量启用、停用、删除域名。 前提条件 已经订购边缘安全加速平台安全与加速服务，并且套餐支持的域名数量未超过限制。 若服务区域选择“中国内地”或者“全球”，域名需要完成ICP备案，才可以接入边缘安全加速平台安全与加速服务。 操作步骤说明 1.登录边缘安全加速控制台。 2.进入安全与加速工作台域名域名管理页面。 3.点击列表上方的【批量操作】。 4.单击【批量启用】，您可以选择多个域名，调整域名状态为启用。 5..单击【批量停用】，您可以选择多个域名，调整域名状态为停用。 6.单击【批量删除】，您可以选择多个域名删除。 注意 批量操作限制单次最多操作20个域名，如您有多个域名需要启用、停用或删除，可以分多次批量操作。

本文介绍批量新增域名的方式使客户快速、便捷的接入多个配置相同的域名。 前提条件 已经订购边缘安全加速平台安全与加速服务，并且套餐支持的域名数量未超过限制。 若服务区域选择“中国内地”或者“全球”，域名需要完成ICP备案，才可以接入边缘安全加速平台安全与加速服务。 操作步骤说明 1、登录边缘安全加速控制台，选择安全与加速进入工作台域名域名管理页面。您可以在该页面查看已添加的域名信息，包括域名、CNAME、状态、开启/关闭IPv6解析。单击【批量新增】。 2、【新增域名】按钮默认置灰，第1个域名填写完成且域名归属权校验通过后，才可以点击【新增域名】按钮继续添加域名。需要填写网站基础信息、网站安全配置。 注意 限制单次最多新增20个域名，如您有多个域名需要新增，可以分多次批量操作。 同一批次批量新增的域名会下发相同的配置。

本小节介绍安全专区组建管理。 组件管理作为安全专区的核心区域，展示云防火墙、云日志审计、云堡垒机、终端安全EDR、云数据库审计等组件产品的状态信息，作为安全专区组件的入口，满足单点登录、统一管理的功能。 组件管理提供详细的安全组件信息，包括安全产品的产品规格、可存储空间、所属地域、所属VPC组、许可信息时间、版本信息及在线状态。 操作方法 1.点击【操作】下的设置，即自动进入云日志审计web管理界面。 2.如果需要选择恢复组件管理的配置，可选择点击【操作】→【配置恢复】，点击配置恢复按钮（只有终端安全EDR、云防火墙、云数据库审计才有恢复功能），显示组件的备份记录，选择所需恢复状态。 3.点击【恢复】，确定提交即可，则可成功恢复到备份时状态。

本文介绍若同时具备加速及安全防护需求,该如何选择开通安全与加速服务还是开通边缘接入服务。 当客户存在加速需求时，可以参见：边缘接入服务里的应用加速与安全与加速服务里的加速的区别是什么来选择开通合适的服务。 当客户存在安全防护需求时，可以参见：边缘接入服务里的DDoS与安全与加速服务里的DDoS高防的区别是什么来选择开通合适的服务。

大模型安全测评一站式服务 提供安全测评到优化建议的一站式服务。同时，我们可以根据客户的业务需求和安全目标提供测评方案。无论是针对特定行业的大模型应用，还是特定场景下的安全需求，提供精准的测评服务，帮助客户解决实际问题。 大模型安全护栏 全链路防护 同时覆盖文本输入、文本输出、图片三个检测维度，实现从用户输入到大模型输出的端到端安全闭环，无死角守护大模型应用安全。 低侵入快速接入 基于标准 REST API，无需改造现有业务架构与模型部署方式，开发者仅需在调用大模型前后各增加一次 API 调用，即可完成安全护栏的嵌入。 自定义安全策略 支持企业自定义黑名单词库（精准拦截特定词语）与白名单词库（豁免特定词语），以及为不同风险类型配置个性化代答话术，满足不同行业、不同业务场景的定制化需求。 实时日志审计 所有检测请求均实时记录日志，支持按服务类型、建议动作、时间范围等多维度筛选查询，并可导出备份，满足企业合规审计要求。 在线即时体验 控制台内置在线测试功能，提供丰富的预设风险场景用例，无需编写任何代码即可快速验证检测效果，降低接入门槛。 多应用隔离管理 支持为不同业务线创建相互独立的应用，各应用拥有独立的 API 调用凭证与策略配置，实现权限隔离与用量独立统计。

本节主要介绍OBS服务协议。 自2021年11月11日起，新版对象存储服务协议生效，详情请参见这里。 中国电信天翼对象存储系统服务协议 历史版本（2012年11月10日）

本节介绍了如何创建所需的VPC和安全组。 创建VPC和安全组，为创建云数据库GaussDB 实例准备网络资源和安全组。 创建VPC 1. 登录天翼云控制台。 2. 单击管理控制台左上角的，选择区域。 3. 单击左侧的服务列表图标，选择“网络 > 虚拟私有云”。 进入虚拟私有云信息页面。 4. 单击“创建虚拟私有云”购买VPC。 5. 单击“立即创建”。 6. 返回VPC列表，查看创建VPC是否创建完成。 当VPC列表的VPC状态为“可用”时，表示VPC创建完成。 创建安全组 1. 登录天翼云控制台。 2. 单击管理控制台左上角的，选择区域。 3. 单击左侧的服务列表图标，选择“网络 > 虚拟私有云”。 进入虚拟私有云信息页面。 4. 选择“访问控制”>“安全组”。 5. 单击“创建安全组”。 6. 填写安全组名称等信息。 7. 单击“确定”。 8. 返回安全组列表，单击安全组名称“sgd1ce”。 9. 选择“入方向规则”，单击“添加规则”。 10. 配置入方向规则，添加源库的IP地址。

托管检测与响应服务（原生版）的主要应用场景有哪些？ 主要包含4个场景： 日常运营：对整体安全防护效果有要求，但是缺乏专业安全人员能承担日常的安全管理工作，希望能通过服务提升整体安全防护体系能力。 重保合规：重大活动、会议、节假日等重要时期安全值守，保证不出安全事件；参加国家攻防演练活动希望取得好的成绩。 安全加固：发生安全事件或者被监管机构通报，希望能发现网络脆弱性并加固提升安全能力。 应急响应：发生重大安全事件时，需要专业人员帮助用户快速解决问题，恢复业务，并能定位出问题的根源并加固。 托管检测与响应服务（原生版）可以给企业带来哪些价值？ 降低安全风险：国内高水平的渗透攻击能力团队，助力客户全面和深度发现漏洞，及时进行修复与防护，降低业务面临的安全风险。 协助解决问题：全面的过程记录、测试报告，协助用户复测验证修复情况，确保机构能够清晰了解问题修复方法以及修复情况。 符合监管要求：面对公安部、网信、银监会等各行业标准化机构不定期进行突击检查，罚款额度高昂，可以帮助机构发现系统脆弱性，先于监管检查发现问题。 安全运营全闭环：事前实现精准预警，事中快速响应对抗，事后协助恢复和溯源加固，降本增效，提高安全能力水位线。

简述天翼云边缘安全加速平台安全与加速服务的HTTPS相关功能及配置方法。 什么是HTTPS？ HTTPS（全称：Hyper Text Transfer Protocol over Secure Socket Layer），是以安全为目标的HTTP通道，简单讲是HTTP的安全版。HTTPS相当于在HTTP下加入SSL层，HTTPS的安全基础是SSL，因此加密的详细内容就需要SSL。它是一个URI scheme（抽象标识符体系），句法类同HTTP体系。用于安全的HTTP数据传输。 HTTPS也叫安全的超文本传输协议，使用TCP端口443，他的数据会用PKI中的公钥进行加密，这样抓包工具捕获到的数据包也没有办法看到包中的内容，安全性大大提高，要解密数据的话就要用到PKI中的私钥。所以一些安全性比较高的网站如：网上银行，电子商务网站都需要用HTTPS访问。 HTTPS配置概述 HTTPS配置模块主要介绍如何配置开启HTTP2.0、OCSP Stapling、HSTS，如何选择TLS协议版本，以及HTTPS Keyless加速方案和边缘安全加速平台支持哪些国密算法。 相关功能 功能 说明 国密HTTPS 简述边缘安全加速支持的国密算法及配置方法。 HTTP2.0配置 简述HTTP2.0的定义和配置方法。 配置OCSP Stapling 简述OCSP Stapling功能的概念、使用前提和配置方法。 配置HSTS 简述HSTS功能和配置方法。 配置TLS协议版本 简述安全与加速服务支持的TLS协议版本和配置方法。 批量HTTPS证书配置 简述批量关联域名启用HTTPS加速服务的配置方法。 强制跳转 简述强制跳转的场景及配置方法。包括HTTP强制跳转HTTPS，HTTPS强制跳转HTTP。 HTTPS无私钥驻留加速方案 简述边缘加速节点无需部署私钥的情况下如何加速HTTPS业务。 支持的SSL/TLS加密套件 天翼云边缘安全加速支持的SSL/TLS加密套件及对应套件支持的最低版本的SSL/TLS协议。

启用规则 1.在左侧菜单栏选择“规则配置 > 安全规则”进入“安全规则”页面，选择“规则管理”页签，在规则列表中勾选目标规则，单击“启用选中项”。 2.在弹出对话框中勾选需要启用相关规则资产，单击“确定”，则可将已启用的规则直接应用到选择的资产上。 禁用规则 1.在左侧菜单栏选择“规则配置 > 安全规则”进入“安全规则”页面，选择“规则管理”页签，在规则列表中勾选目标规则，单击“禁用选中项”。 2.在弹出对话框中勾选需要禁用相关规则资产，单击“确定”，则可将已禁用的规则直接应用到选择的资产上。 白名单管理 已经匹配到安全规则的审计日志如果符合白名单的条件就不会触发告警。条件包含客户端、服务端、基本信息、结果、行为等。 新增白名单并启用的操作方法如下： 1.在左侧菜单栏选择“规则配置 > 安全规则”进入“安全规则”页面，选择“白名单管理”页签。 2.单击“新增”，进入“新增白名单”页面，编辑相关配置项（配置方法与新增自定义规则的参数配置方法相同，请参考规则管理）。 3.配置完成后，单击“保存”即可完成白名单的新增。 说明 添加白名单后，需在对应的规则上启用该白名单才会生效。 4.在左侧菜单栏选择“规则配置 > 安全规则”进入“安全规则”页面，选择“规则管理”页签。 5.单击“白名单数量”列的数字。 6.在弹出的对话框中，将“状态”列的状态改为“启用”即可启用白名单。 说明 如您需要删除白名单规则，则需要将白名单上启用的所有安全规则禁用后才能删除该白名单。

本节介绍如何订购内容安全检测。 步骤 1 登录管理控制台。 步骤 2 单击管理控制台右上角的，选择区域。 步骤 3 单击页面左上方的，选择“安全> Web应用防火墙 （独享版）”。 步骤 4 在左侧导航栏，选择“高阶功能> 内容安全检测”，进入“内容安全检测”页面。 步骤 4 在页面右上角，单击“购买内容安全检测服务”，进入购买页面。在购买内容安全检测服务页面选择检测类型、填写检测对象、勾选提示后点击立即购买。 参数说明 参数 说明 区域 在下拉框选择区域。 检测类型 “内容安全单次检测（按需）”：针对单个网站或新媒体账号的文字、图片、音频、视频内容进行检测，检测完成后提供一份内容检测报告。 “文本安全监测（按月）”：针对单个网站或新媒体账号的文字内容进行内容安全监测，并在一个自然月后输出内容监测月报。 “文本安全监测（按年）”：针对单个网站或新媒体账号的文字内容进行内容安全监测，并在每一个自然月后输出内容监测月报，一个自然年后输出内容监测年报。 检测对象类型 检测对象类型包含： “新媒体”：支持主流新媒体平台的内容审查，包括文本、图片、音频、视频等。 “网站”：支持网站内容审查，可根据URL检测网站内容，可自行排查检测站内网页、链接内容，包括文本、图片、音频、视频等。 检测对象 “检测对象类型”选择“新媒体”时：输入需要检测的账号名称，并备注新媒体平台。 每一行表示一个新媒体账号，多个新媒体账号以回车换行分割；同一行内的新媒体账号和备注之间以英文逗号分割，每行最多支持500个英文字符（1个中文字符等于2个英文字符）。 “检测对象类型”选择“网站”时：输入被检测网站完整域名与备注信息。 每一行表示一个检测网址，多个网址以回车换行分割；同一行内的网址和备注之间以英文逗号分割，如无备注，可只输入网址，每行最多支持500个英文字符（1个中文字符等于2个英文字符）。 说明 内容安全按“检测对象”的总个数进行收费。同一个对象再次进行扫描时，需要重新收费。例如：单次配置了10个检测对象（新媒体账号或网站网址），每个检测对象检测一次，则需要进行10次收费。 内容安全为一次性扣费服务，下单即开始检测，不支持修改和暂停检测任务。

本节介绍态势感知的应用场景。 资产风险管理 云上业务众多，云上资产日益庞大，以及云资产的变化频繁，大大增加了云上安全风险。 态势感知集中呈现云上所有资产安全状况，实时监控云上业务整体安全，让服务器中的漏洞、威胁和攻击情况一目了然，保障所有资产的安全，帮助企业轻松应对资产安全风险。 威胁事件告警 面对云上各类安全威胁，以及不断涌出的新型威胁类型，态势感知通过汇集全网流量数据和安全防护设备日志信息，能够实时检测和监控云上安全风险，实时呈现告警事件的统计信息，并可对各种威胁事件进行汇聚统计。 此外，针对常见的暴力破解、Web攻击、僵尸主机威胁事件，可预制的安全防护策略有效防御威胁风险，提升运维效率。 风险配置管理 支持检测云服务关键配置项，通过执行扫描任务，检查云服务基线配置风险状态，分类呈现云服务配置检测结果，告警提示存在安全隐患的配置，并提供相应配置加固建议和帮助指导。

参数 参数类型 说明 示例 下级对象 securityGroupOid String 安全组id securityGroupName String 安全组名字 osSecurityGroupName String os侧安全组名字 foreignGroupId String 安全组uuid isRelStrategy Boolean 是否关联策略： true:是。 false:否。 remark String 描述 createDate Long 创建时间，unix时间戳（毫秒） updateDate Long 更新时间，unix时间戳（毫秒）

集群创建成功后关闭安全通信 1.登录MRS管理控制台。 2.在现有集群列表中，单击待关闭安全通信的集群名称。 系统跳转至该集群详情页面。 3.单击“通信安全授权”右侧的开关关闭授权，在弹出窗口单击“确定”。 关闭授权后将导致集群状态变更为“网络通道未授权”，集群部分功能不可用，请谨慎操作。 为关闭安全通信的集群开启安全通信 1.登录MRS管理控制台。 2.在现有集群列表中，单击待开启安全通信的集群名称。 系统跳转至该集群详情页面。 3.单击“通信安全授权”右侧的开关开启授权。 开启授权后集群状态变更为“运行中”。 一键修复 当集群中授权的安全组规则不足以支撑MRS集群管理控制台为用户发放、管理和使用大数据组件的操作时，“通信安全授权”右侧出现的提示，请单击“一键修复”按钮进行修复。 1.登录MRS管理控制台。 2.在现有集群列表中，单击待修复安全通信的集群名称。 系统跳转至该集群详情页面。 3.单击“通信安全授权”右侧的“一键修复”。 详见下图：一键修复 4.单击“确定”，完成修复。 详见下图： 修复访问控制策略

本文简述OCSP Stapling功能的概念、使用前提和配置方法。 功能介绍 OCSP（Online Certificate Status Protocol）即在线证书状态协议，是一种互联网协议，用于验证SSL证书的有效性，以确保它未被吊销。开启OCSP Stapling功能后，将由边缘安全加速平台安全与加速服务器完成OCSP信息的查询工作。边缘安全加速平台安全与加速服务器通过较低频率的查询，将结果缓存到本地服务器中（默认缓存时间1小时）。当客户端与边缘安全加速平台安全与加速服务器进行TLS握手时，边缘安全加速平台安全与加速服务务器将本地缓存的OCSP信息以及证书一起发送给客户端，供客户端验证，客户端无需再查询数字证书认证机构（CA），极大地节省了客户端验证证书有效性的时间。 注意事项 使用OCSP Stapling功能前需先开启HTTPS。 OCSP Stapling功能默认关闭。 OCSP Stapling功能默认缓存1个小时，缓存过期后第一个访问请求OCSP Stapling不生效。 确保您的客户端支持OCSP扩展字段，如客户端不支持OCSP扩展字段，则此功能不生效。 配置了HTTPS加速的域名，可启用或者关闭OCSP Stapling功能，删除证书配置后，OCSP Stapling功能会同步失效。 配置说明 1.登录边缘安全加速平台控制台。 2.在域名基础配置页面，点击目标域名。 3.进入HTTPS配置页面，单击“编辑配置” 4.变更“OCSP Stapling”从关闭改为开启。

约束与限制 默认策略不支持删除。 停用策略 1、登录管理控制台。 2、在页面右上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、选择“主动防御 > 动态端口蜜罐”，进入“动态端口蜜罐”界面。 4、（可选）如果您已开通企业项目，可在界面上方的“企业项目”下拉列表中选择目标主机所在的企业项目。 5、在目标防护策略所在行的“操作”列，单击“停用策略”，弹出“停用策略”对话框。 6、确认信息无误后，单击“确认”，完成停用。 启用策略 1、登录管理控制台。 2、在页面右上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、选择“主动防御 > 动态端口蜜罐”，进入“动态端口蜜罐”界面。 4、（可选）如果您已开通企业项目，可在界面上方的“企业项目”下拉列表中选择目标主机所在的企业项目。 5、在目标防护策略所在行的“操作”列，单击“启用策略”，弹出“启用策略”对话框。 6、确认信息无误后，单击“确认”，完成启用。 编辑策略 1、登录管理控制台。 2、在页面右上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、选择“主动防御 > 动态端口蜜罐”，进入“动态端口蜜罐”界面。 4、（可选）如果您已开通企业项目，可在界面上方的“企业项目”下拉列表中选择目标主机所在的企业项目。 5、在目标防护策略所在行的“操作”列，单击“编辑策略”，弹出“编辑防护策略”对话框。 6、配置策略。可修改策略名称、防护端口、源IP白名单。 7、单击“下一步”。 8、选择绑定服务器。 9、单击“确认”，完成编辑。

任务 说明 创建虚拟私有云基本信息和默认子网 必选任务。该任务是创建一个完整的虚拟私有云的第一步。 创建虚拟私有云的基本信息及默认子网后还需要根据您的实际网络需求， 继续创建虚拟私有云中的其他网络资源。 为虚拟私有云创建新的子网 可选任务。当默认子网不能满足您的需求时，您可以创建新的子网。 此处创建的子网就是创建弹性云主机时添加的网卡。 申请和绑定弹性IP 必选任务。可以通过申请弹性IP并将弹性IP绑定到上，实现弹性云主机访公网的目的。 创建安全组 必选任务。您可以创建安全组，将虚拟私有云中的弹性云主机划分成不同的安全域， 以提升访问的安全性。创建安全组成功后，具备默认的访问规则。 默认规则是在出方向上的数据报文全部放行，安全组内的无需添加规则即可互相访问。 当默认访问规则可以满足需求时，则无需单独再为该安全组添加安全组规则。 添加安全组规则 可选任务。安全组创建成功后，具备默认的访问规则。 默认规则是在出方向上的数据报文全部放行，安全组内的无需添加规则即可互相访问。 当默认访问规则可以满足需求时，则无需单独再为该安全组添加安全组规则。

本文介绍了边缘安全加速平台安全与加速服务API防护模块下合规性检测的使用方法。 功能介绍 支持根据用户实际配置的规则，对API请求的参数、长度等信息进行检测，对不符合的请求进行拦截或告警。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 操作步骤 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【安全能力】，进入【API安全】菜单，并在左侧域名列表选择您要防护的域名。 3. 进入安全防护【合规性检测】详细设置页。 配置说明 新增检测项 配置项 说明 防护模式 必填，分为三种模式：关闭、告警、拦截。 规则名称 设置规则的名称，仅支持中文、英文、数字和下划线。 规则描述 输入规则的描述。 防护对象 防护对象有三种配置方式：标签、API、URI。 检测行为 检测行为主要分为以下七种：允许HTTP请求方法、上传合规检测、%00检测、chunked攻击检测、请求头参数限制、请求参数限制、请求体限制。 例外 最多支持新增5条例外规则，新增例外为或的逻辑。

本节介绍安全日志中的相关功能。 在“安全日志”菜单，可以查看应用阻止日志、我的申请和处理事项等相关记录。 当桌面处于管控状态，用户可在此查看被阻止运行的应用的历史纪录。 阻止日志 阻止历史 在此页面，可对阻止日志进行类型与状态的筛选，并支持搜索。 发起申请 点击阻止记录右侧的“推荐应用”，可向管理员推荐上架或申请放行该应用 我的申请 用户可以查看当前桌面用户向管理员提交的程序放行与应用推荐记录。 程序放行 在此页面，用户可以看到自己向管理员申请放行的历史记录。 应用推荐 在此页面，可以看到自己向管理员推荐应用的历史记录。 处理事项 管理员可以在这里处理“程序放行”、“应用推荐”和“应用发布”三种类型的申请。

本节介绍了如何在控制台停用域名。 使用场景 如果您需要停止针对某个域名的防护，您可以在边缘安全加速控制台进行停用操作。对域名进行停用操作后，控制台上域名状态将变更为“已停止”。天翼云CDN会将加速域名的CNAME立即解析至不可用地址。 注意： 1、对域名进行停用操作后，边缘安全与加速服务节点会立即删除配置，但仍会在系统数据库中保留原来的配置记录，可再次对域名进行"启用"操作。 2、边缘安全加速平台套餐内默认包含一些流量，若套餐有效期内流量用尽，边缘安全加速平台安全与加速服务将会停止加速服务，将CNAME入口解析至客户源站地址，对域名进行停用操作后，控制台上域名状态将变更为“已停止”。 3、边缘安全加速平台客户退订套餐或套餐到期，边缘安全加速平台安全与加速服务会立即将加速域名的CNAME入口解析至客户源站地址，控制台上域名状态将变更为“已停止，1天后将加速域名的CNAME解析至不可用地址。 前提条件 域名状态为“已启用”。 停用域名前，为了避免停用导致业务中断，客户需要确保已将域名DNS解析记录由原来CNAME至天翼云，调整为解析至其他CNAME或A记录 使用说明 1.登录边缘安全加速控制台。 2.进入安全与加速工作台域名域名管理页面。 3.选择需要停用的域名，在操作栏点击【停用】按钮后，会进行弹窗提示，再次确认后，域名会进入停用流程，域名状态变成“配置中”。 4.进入后台自动化配置流程（正常情况15分钟以内），流程结束后会自动变成“已停止”状态。若“配置中”状态持续时间过长，可创建工单获取支持。

本节介绍如何处置风险容器。 操作场景 企业主机安全支持检测容器安全风险，并将容器安全风险分为以下几类： 致命：恶意程序等 高危：勒索攻击、恶意程序、反弹shell、逃逸攻击、危险命令等 中危：Webshell、异常启动、进程异常、敏感文件访问等 低危：暴力破解等 为避免有中危及以上安全风险容器影响其他容器的正常运行和使用，您可以通过隔离、暂停或杀容器的方式处置风险容器。 约束限制 仅HSS容器版支持该功能。 仅支持Linux容器。 仅有中危及以上安全风险的容器支持处置操作。 操作步骤 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在左侧导航树选择“资产管理 > 容器管理” ，进入“容器管理”页面。 说明 如果您的服务器已通过企业项目的模式进行管理，您可选择目标“企业项目”后查看或操作目标企业项目内的资产和检测信息。 4、选择“容器”，进入容器页签。 5、在容器列表上方搜索框中输入“有风险”并单击搜索按钮 ，筛选有安全风险的容器。 6、在目标风险容器所在行的“操作”列，选择需要执行的处置操作。 对于集群容器支持杀容器操作，对于单机容器支持隔离、暂停、杀容器操作。 说明 仅有中危及以上风险的容器支持处置操作，您可以将鼠标滑动至目标风险容器所在行的安全风险列，查看安全风险分布。 隔离容器：容器被隔离后，在容器运行时，您将无法访问容器，且容器也无法访问主机的挂载目录以及容器自身的根系统文件。 1. 单击“隔离”。 2. 在弹出的对话框中确认信息无误后，单击“确认”。 暂停容器：冻结容器中运行的进程。 1. 单击“暂停”。 2. 在弹出的对话框中确认信息无误后，单击“确认”。 杀容器：终止运行中的容器进程，使容器处于终止状态，如果容器配置了AutoRemove，将无法恢复运行。 1. 单击“杀容器”。 2. 在弹出的对话框中确认信息无误后，单击“确认”。

本文带您了解虚拟私有云的功能特性。 100%安全隔离 不同VPC之间通过Overlay隧道技术实现二层网络隔离、租户间100%隔离，不同VPC之间默认不能通信。隧道技术可以有效的保护业务安全性。 按需灵活规划网络 您可以按照业务规划VPC子网的网段，VPC支持的网段如下：10.0.0.0/828、172.16.0.0/1228、192.168.0.0/1628。子网的网段须在VPC网段范围内，且子网的掩码范围为：子网所在VPC掩码28。部分资源池VPC网段掩码、子网网段掩码支持29，请以控制台实际功能为准。 子网是虚拟私有云内的IP地址块，通过划分子网可以将虚拟私有云的网段分成若干块，子网划分可以帮助您合理规划IP地址资源。虚拟私有云中的所有云资源都必须部署在子网内。同一个虚拟私有云下，子网网段不可重叠。 访问控制，安全规范 安全组是一个逻辑上的分组，为同一个VPC内具有相同安全保护需求并相互信任的云服务器提供访问策略。安全组创建后，用户可以在安全组中定义各种访问规则，当实例加入该安全组后，即受到这些访问规则的保护。 网络ACL是一个子网级别的安全防护功能，通过出方向/入方向规则控制关联子网的出入数据流。网络ACL与安全组类似，都是安全防护策略，当您想增加额外的安全防护层时，就可以启用网络ACL。安全组对云服务器进行防护，网络ACL对子网进行防护，两者结合起来，可以实现更精细、更复杂的安全访问控制。

本节主要介绍修改实例安全组。 操作场景 GeminiDB Influx支持修改安全组。 使用须知 对于进行节点扩容中的实例，不可修改安全组。 该功能目前处于公测阶段，如需使用，请您联系客服申请开通。 操作步骤 1. 登录管理控制台。 2. 在服务列表中选择“数据库 > 云数据库 GeminiDB Influx 接口”。 3. 在“实例管理”页面，选择指定的实例，单击实例名称。 4. 在左侧导航树，单击“连接管理”。 5. 在“内网安全组”区域，单击，选择实例所属安全组。 单击，提交修改。此过程约需1～3分钟。 单击，取消修改。 6. 稍后可在“安全组”区域，查看修改结果。