用户使用手册 天翼云安全专区终端安全EDR用户使用指南.pdf 天翼云安全专区云防火墙用户使用指南.pdf 天翼云安全专区云堡垒机用户手册使用指南.pdf 天翼云安全专区云数据库审计用户使用指南.pdf 天翼云安全专区云日志审计用户使用指南.pdf 天翼云安全专区安全管理中心用户使用指南.pdf

风险等级 描述 致命 致命级别的告警表示系统已经受到严重的攻击，可能导致数据丢失、系统崩溃或者长时间的服务中断。例如，发现勒索加密行为或恶意程序感染。建议您立即处理，避免对系统造成更严重的损害。 高危 高危级别的告警表示系统可能正在受到攻击，但尚未造成严重的损害。例如，检测到未授权的登录尝试或执行了危险命令（如删除关键系统文件或修改系统设置的命令）。建议您及时调查并采取措施，以防止攻击蔓延。 中危 中危级别的告警表示系统存在潜在的安全威胁，但目前没有明显遭受攻击的迹象。例如，检测到文件或目录的异常修改，表明系统可能存在潜在的攻击路径或配置错误。建议您进一步分析并采取适当的防范措施，以确保系统的安全。 低危 低危级别的告警表示系统存在轻微的安全威胁，不会对系统的正常运行产生显著影响。例如，检测到一些端口扫描行为，这些行为通常是攻击者尝试寻找系统漏洞的前奏。这类告警可以在合适的时间进行处理，不需要立即采取紧急措施。如果您的资产安全等级要求较高，可以关注该等级的安全告警。 提示 对应资源存在潜在的错误可能影响到业务。如果您对您的资产的安全等级要求较高，可以关注该等级的安全告警。

本页面介绍云数据库ClickHouse的功能特性。 云数据库ClickHouse具备丰富的功能特性，包括灵活配置、极简快速部署、便捷运维和安全可靠性。 灵活配置 云数据库ClickHouse提供了灵活的配置选项，让用户能够根据具体业务需求进行定制。通过在线选择单副本或双副本架构，以及按需扩容云数据库ClickHouse节点和磁盘，用户能够灵活应对不同规模和性能要求的业务场景。 极简快速部署 借助云数据库ClickHouse控制台，用户可以快速搭建云数据库ClickHouse集群，无需关注底层设施和繁琐的部署流程。这种部署方式降低了学习成本，大大提高了生产效率，让用户能够更快地开始数据分析工作。 便捷运维 云数据库ClickHouse控制台提供了直观的可视化监控功能，使用户能够实时查看集群的运行状况。此外，用户还可以通过控制台轻松查看和分析集群中的SQL查询语句，帮助优化查询性能和调整数据库配置，从而实现更加便捷的运维管理。 安全可靠 云数据库ClickHouse采用多租户资源隔离策略，确保数据的安全性和隐私性。它提供了企业级的安全功能，包括身份验证、访问控制和数据加密等。此外，云数据库ClickHouse还具备针对人为错误的故障安全机制，以及VPC私有网络隔离，为数据访问提供多重安全保障，保证数据的安全可靠性。 综上所述，云数据库ClickHouse通过灵活配置、极简快速部署、便捷运维和安全可靠性等特性，为用户提供了强大而可信赖的数据分析解决方案。无论是处理大规模数据还是保障数据安全，云数据库ClickHouse都能够满足用户的需求，并提供卓越的性能和可靠性。

步骤2：域名接入WAF 此步骤需要进入WAF控制台，添加加速域名并配置 CNAME，操作详情请参考： 操作指导WAF接入。 步骤3：域名管理 对资源文件的回源地址进行管理以及配合源站实际业务场景进行更高级的配置，包括源站配置、缓存配置等，操作详情请参考：操作指导域名管理。 步骤4：配置防护策略 如上图所示，域名接入WAF后，您可根据网站业务需求选择合适的防护策略。 安全基础配置 选择适合您的网站防护模式，默认为告警模式；漏洞防护配置一般情况下建议选择敏感防护规则集，适用于常规网站，且允许少量误报的业务场景。更多配置详情请参考：设置规则防护。 高级防护 提供WAF的高级防护功能，包括CSRF防护、cookie防护、敏感词防护、攻击挑战、广告防护、网页防篡改等，高级防护功能默认为关闭状态，您可以根据业务需要选择开启响应的防护功能。配置详情请参考：安全防护配置。 账户安全防护 账户安全防护提供对网站账户的防护，包括撞库防护、暴力破解防护。配置详情请参考：安全防护配置账户安全防护。 访问控制 访问控制可针对IP,IP段，URI，METHOD，请求地区，请求参数，请求头部，请求协议进行组合，设置白名单和黑名单，对请求进行拦截和放行， 保证客户网站不受未知访问的攻击 。配置详情请参考：安全防护配置访问控制。 合规检测 合规检测功能可以根据用户实际配置的条件，检查HTTP协议头部，对HTTP请求信息中的方法以及参数长度等信息进行检测，对不符合要求的请求项进行拦截或告警。配置详情请参考：安全防护配置合规检测策略。 域名规则配置 使用基于正则的规则防护引擎和基于机器学习的 AI 防护引擎，进行 Web 漏洞和未知威胁防护， 您可以查看对应的防护规则 ，根据您的业务需求选择开启或关闭规则。 CC配置 CC防护根据访问者的URL，频率、行为等访问特征，迅速智能得识别CC攻击并进行拦截，在大规模CC攻击时可以避免源站资源耗尽，保证企业网站的正常访问。配置详情请参考：安全防护配置CC配置。

本文主要介绍如何查看辅助弹性网卡基本信息。 操作场景 您可以在控制台查看您所拥有的辅助弹性网卡基本信息，包括ID、所属弹性网卡、VLAN、所属VPC、所属子网、私网IP、绑定的弹性IP、MAC地址及关联的安全组等信息。 操作步骤 1. 登录管理控制台。 2. 在页面左上角单击图标，打开服务列表，选择“网络 > 虚拟私有云”。进入虚拟私有云列表页面。 3. 在左侧导航栏选择“弹性网卡”。 4. 在“弹性网卡”页面，选择“辅助弹性网卡”页签。 5. 在辅助弹性网卡列表中，单击需要查看详情的辅助“私有IP地址”，打开辅助弹性网卡的详情页。 1. “基本信息”页签：显示辅助弹性网卡的ID、所属弹性网卡、VLAN、所属VPC、所属子网、服务地址、MAC地址等信息。 2. “关联安全组”页签：显示辅助弹性网卡关联的安全组及其规则。 其他操作 在辅助弹性网卡详情页可以修改以下信息： 在“基本信息”页签，可以修改辅助弹性网卡的“描述”信息，以及变更绑定的弹性IP。 在“关联安全组”页签，可以修改关联的安全组。

快速部署DeepSeek系列模型并使用Ollama运行 创建VPC 登录智能边缘云ECX控制台，菜单栏点击【边缘网络>虚拟私有云>VPC和子网】，点击按钮【+创建虚拟私有云】。 根据您的目标用户所在地域，就近选择业务部署的地域，并按需修改VPC名称、VPC网段、子网网段等，若无特殊需求，按照默认设置即可，勾选协议并点击【立即创建】。 完成后即可在VPC和子网列表看到刚刚创建的VPC。 创建安全组 登录智能边缘云ECX控制台，菜单栏点击【边缘网络>访问控制>安全组】，点击按钮【新建安全组】。 切换【入方向规则/出方向规则】，点击【添加规则】按需设置应用的安全组策略，在本方案中，需确保设置“11434,18080”入方向规则，点击【确定】保存安全组策略。

本节介绍了申请须知。 在购买DRDS实例之前，您需要先做一系列的准备操作，包括评估实例规格，确定VPC及可用区，申请账号等。 注册账号后，如果需要对资源进行精细管理，请使用IAM服务创建IAM用户及用户组，并授权为IAM用户分配具体的操作权限。 评估实例规格 为了使所申请的DRDS服务能更好地满足应用需求，您需要先评估应用所需的计算能力和存储能力，结合业务类型及服务规模，选择合适的实例规格，主要包括：CPU、内存。 确定虚拟私有云（VPC） VPC为网络访问提供了逻辑隔离。您可以在创建VPC时，定义安全组、VPN、子网等网络特性。通过VPC方便地管理、配置内部网络，进行安全、快捷的网络变更。 DRDS实例必须与应用程序、RDS for MySQL实例处于相同的VPC，以保证网络连通。 建议DRDS实例与应用程序、RDS for MySQL实例选择相同的安全组，三者网络访问不受限制。如果选择了不同的安全组，请注意添加安全组访问规则，开通网络访问。 确定可用区 建议将应用程序和数据库服务（DRDS、RDS）配置在相同可用区，减少网络时延。

建议购买数据库的同时，购买对应的数据库安全服务。 数据库安全服务（Database Security Service，DBSS）是一个智能的数据库安全服务，基于机器学习机制和大数据分析技术，提供数据库审计，SQL注入攻击检测，风险操作识别等功能，保障云上数据库的安全。 建议使用DBSS来提供扩展的数据安全能力，详情请参考数据库安全服务。 优势 助力企业满足等保合规要求。 满足等保测评数据库审计需求。 满足国内外安全法案合规需求，提供满足数据安全标准（例如SarbanesOxley）的合规报告。 支持备份和恢复数据库审计日志，满足审计数据保存期限要求。 支持风险分布、会话统计、会话分布、SQL分布的实时监控能力。 提供风险行为和攻击行为实时告警能力，及时响应数据库攻击。 帮助您对内部违规和不正当操作进行定位追责，保障数据资产安全。 数据库安全审计采用数据库旁路部署方式，在不影响用户业务的提前下，可以对数据库进行灵活的审计。 基于数据库风险操作，监视数据库登录、操作类型（数据定义、数据操作和数据控制）和操作对象，有效对数据库进行审计。 从风险、会话、SQL注入等多个维度进行分析，帮助您及时了解数据库状况。 提供审计报表模板库，可以生成日报、周报或月报审计报表（可设置报表生成频率）。同时，支持发送报表生成的实时告警通知，帮助您及时获取审计报表。

配置检测规则 1. 登录大模型安全卫士实例。 2. 在菜单栏选择“主机安全 > 风险账户检测”。 3. 选择“字典匹配”页签，新增自定义规则或使用内置弱口令规则。 风险账户检查 1. 登录大模型安全卫士实例。 2. 在菜单栏选择“主机安全 > 风险账户检测”。 3. 选择“风险账户检查”页签，选择检查范围及检查类型后，单击“立即检查”。 4. 如下图所示，可显示风险账户及弱口令检测结果。

本节介绍如何查看集群安全检查结果。 查看统计信息 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“集群安全 > 安全检查”，进入安全检查页面。 3. 点击数据统计切换按钮，可分别查看个检查项的数据统计图和环形图占比。 查看检查结果 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“集群安全 > 安全检查”，进入安全检查页面。 3. 在安全检查页面下方，可查看各项检查项的检查结果。 安全检查信息参数说明： 参数 解释说明 检查项 检查项的名称。 分类 检查项所属类型，包括信息泄露、危险访问、远程代码执行、特权升级、拒绝服务等多种类型。 描述 检查项的描述信息。 危害级别 危害级别分为高危、中危、低危。 影响节点数量 受该安全漏洞影响的节点数量。 点击数量，可查看受影响的节点名称。 检查是否通过 集群在该项安全检查中是否通过。

本节介绍漏洞扫描服务支持扫描哪些漏洞。 漏洞扫描服务支持扫描的漏洞有： 前端漏洞 SQL注入、XSS、CSRF、URL跳转等。 信息泄露 端口暴露，目录遍历，备份文件，不安全文件，不安全HTTP方法，不安全端口。 Web注入漏洞 命令注入，代码注入，XPATH注入，SSRF注入，反序列化等注入漏洞。 文件包含漏洞 任意文件读取、任意文件包含、任意文件上传、XXE。

本文详细介绍AOne边缘安全加速平台支持资源包的购买方式。 购买说明 资源包与按量付费相比，资源包享有更高的折扣优惠，您可以根据业务的实际需要来选购最适合您的资源包。 有效期限 自购买起1年内有效，资源包到期则不可使用，为保障业务稳定“资源包用尽”或“资源包到期”前，请及时购买资源包。 退订说明 未使用的资源包均可进行退订，资源包使用后剩余流量不允许退订。 使用限制 对应产品服务套餐处于服务中才可使用该资源包，建议先进行购买对应产品服务。 操作说明： 1. 登录天翼云官网，访问边缘安全加速平台控制台，进入计费详情。 2. 选择资源包，进入资源包购买。 3.点击资源包订购，可进行安全与加速流量资源包、安全与加速动态请求数资源包、零信任流量资源包的订购。 4.提交订单并支付，立即生效。

参数 参数说明 可用区 选择集群工作区域下关联的可用区。 可用区是使用独立电源和网络资源的物理区域。通过内部网络互联，再以物理方式进行隔离，提高了应用程序的可用性。建议您在不同的可用区下创建集群。 虚拟私有云 VPC即虚拟私有云，是通过逻辑方式进行网络隔离，提供安全、隔离的网络环境。 选择需要创建集群的VPC，单击“查看虚拟私有云”进入VPC服务查看已创建的VPC名称和ID。如果没有VPC，需要创建一个新的VPC。 子网 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全。 选择需要创建集群的子网，单击“查看子网”可查看所选子网的详细信息，若VPC下未创建子网，请在VPC服务控制台单击“创建子网”进行创建。网络ACL出规则配置请参考 说明 创建MRS集群需要的IP数量和集群节点和组件个数相关，集群类型不影响IP数量。 MRS集群部署默认需要的IP数量为：集群节点数量+2（Manager+DB），如果部署集群时选择Hadoop、Hue、Sqoop或Loader、Presto组件，则每一个组件需要再加一个IP。若单独创建ClickHouse集群则需要的IP数量为：集群节点数量+1（Manager）。 安全组 安全组是一组对弹性云主机的访问规则的集合，为同一个VPC内具有相同安全保护需求并相互信任的弹性云主机提供访问策略。 用户创建集群时，可自动创建安全组，也可选择下拉框中已有的安全组。 说明 选择用户自己创建的安全组时，请确保入方向规则中有一条全部协议，全部端口，源地址为可信任的IP访问范围的规则，源地址请勿使用0.0.0.0/0，否则会有安全风险。若用户不清楚可信任的IP访问范围，请选择自动创建。 弹性公网IP 通过将弹性公网IP与MRS集群绑定，实现使用弹性公网IP访问Manager的目的。 用户创建集群时，可选择下拉框中已有的弹性公网IP进行绑定。若下拉框中没有可选的弹性公网IP，可以单击“管理弹性公网IP”进入弹性公网IP服务进行创建。 说明 弹性公网IP必须和集群在同一区域。

系统角色/策略名称 描述 类别 依赖关系 HSS Administrator 主机安全（HSS）管理员，拥有该服务下的所有权限。 系统角色 依赖Tenant Guest角色。 Tenant Guest：全局级角色，在全局项目中勾选。 购买HSS防护配额需要同时具有ECS ReadOnlyAccess和BSS Administrator角色。 ECS ReadOnlyAccess：系统策略，弹性云服务器的只读访问权限。 BSS Administrator：系统角色，费用中心（BSS）管理员，拥有该服务下的所有权限。 HSS FullAccess 主机安全所有权限。 系统策略 购买HSS防护配额需要具有BSS Administrator角色。 BSS Administrator：系统角色，费用中心（BSS）管理员，拥有该服务下的所有权限。 HSS ReadOnlyAccess 主机安全服务的只读访问权限。 系统策略 无

本章节介绍印刷文字识别（OCR) 安全相关的常见问题与解答。 是否可以设置IP白名单呢？ OCR是API服务，暂不支持白名单设置，您可以在自己的服务器上调用我们的服务。 OCR传输的数据是否经过加密呢？ 天翼云印刷文字识别采用天翼云官网标准EOP网关，数据传输过程有全链路安全保障。若您的数据比较敏感、安全保密性要求高的话，可考虑使用私有化部署。 使用OCR服务，图片数据是否会存储？ 因相关规定限制，印刷文字识别公有云服务数据不落盘，用户的图片数据和识别数据均不保留。使用OCR服务后，图片数据就会立即释放，不会存储。

挂起投递任务 数据投递新增并授权成功后，投递任务状态自动更新为投递中，如需停止投递，可挂起目标投递任务。 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“日志审计 > 安全数据”，进入安全分析页面后，选择“数据投递管理”页签，进入数据投递管理页面。 5. 在数据投递管理页面，单击目标投递任务所在行“操作”列的“挂起”。 挂起后，投递任务状态更新为“挂起”，则表示挂起投递任务成功。 启动投递任务 数据投递任务停止投递后，如需重启投递，可启动目标投递任务。 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“日志审计 > 安全数据”，进入安全分析页面后，选择“数据投递管理”页签，进入数据投递管理页面。 5. 在数据投递管理页面，单击目标投递任务所在行“操作”列的“启动”。 启动后，投递任务状态更新为“投递中”，则表示启动投递任务成功。

本节介绍翼甲控制台的IPsec VPN操作。 IPsec VPN 是采用IPSec协议来实现远程接入的一种VPN技术，IPSec全称为Internet Protocol Security，是由Internet Engineering Task Force (IETF) 定义的安全标准框架，在公网上为两个私有网络提供安全通信通道，通过加密通道保证连接的安全——在两个公共网关间提供私密数据封包服务。 IPsec协议为IP层上的网络数据安全提供了一整套安全体系结构，包括安全协议AH（Authentication Header，认证头）和ESP（Encapsulating Security Payload，封装安全载荷）、IKE（Internet Key Exchange，互联网密钥交换）以及用于网络认证及加密的一些算法等。其中，AH协议和ESP协议用于提供安全服务， IKE协议用于密钥交换。 IPsec VPN隧道 （1）添加IPsec VPN隧道：点击“添加”可添加IPsec VPN隧道。 启用：配置完成，保存翼甲云防火墙配置后立即生效 描述：输入IPsec连接的描述。 连接类型：可选隧道模式和传输模式。 IKE版本：可选IKEv1和IKEv2。 接口：单带宽时选择外网口会自动补全外部IP，也可选择自定义外部IP。 外部IP：翼甲云防火墙外网口IP。 远程主机：对端公网IP。 本地网络：输入翼甲云防火墙侧VPC所属网段。 远程网络：输入本地网关设备侧的网段。 共享密钥：输入共享密钥，该值必须与本地网关设备的预共享密钥一致。 阶段1 IKE/ISAKMP手动配置：手动配置阶段1参数，该值必须与本地网关设备的参数一致。 阶段2 ESP手动配置：手动配置第2阶段参数，该值必须与本地网关设备的参数一致。 在创建IPsec连接页面，根据页面信息配置IPsec参数，然后点击完成。 至此翼甲云防火墙侧的IPSec vpn配置完毕。 步骤2：配置安全组 确保vpc的桌面安全组规则允许本地网络网段访问。 步骤3：配置本地网关设备侧IPSec vpn （2）刷新：点击“刷新”可刷新并查看当前IPsec VPN隧道激活情况。 （3）导出：点击“导出”，可将IPsec VPN隧道以JSON文件的形式进行导出。 （4）导入：将IPsec VPN隧道以JSON文件的格式编辑后，点击“批量删除”，可批量导入静态DNS条目。 （5）删除：点选IPsec VPN隧道并点击“批量删除”，可对所选条目进行批量删除；在单条IPsec VPN条目最右侧操作列点击“删除”可删除当前条目。 （6）编辑：在已创建隧道的最右侧操作列，点击“编辑”，可对单条内容配置进行编辑。 （7）复制：在已创建隧道最右侧操作列，点击“复制”，将会弹出复制确认框，用户可基于当前条目的字段进行二次编辑，点击确认后可创建条目。

本文将介绍Web应用防火墙（边缘云版）流量访问流程。 Web应用防火墙（边缘云版）的流量访问流程如下图所示： 流量访问流程主要分为以下几个步骤： 1. Web应用防火墙（边缘云版）把安全能力赋能在所有边缘节点，用户的访问流量可就近接入安全边缘节点。 2. 安全边缘节点(WAF防护引擎)会解析访问请求报文，根据防护规则判断访问请求是否为恶意请求。 3. 如果是恶意请求，防护节点会根据客户配置的策略进行处理，比如阻断请求直接响应拦截信息给请求客户端。 4. 如果是正常业务请求，安全边缘节点会通过智能调度系统将请求转发到客户源站。对于请求客户端来讲源站服务器是隐身的。

参数 描述 实例名称 实例名称长度最小为4字符，最大为64个字符，如果名称包含中文，则不超过64字节（注意：一个中文字符占用3个字节），必须以字母或中文开头，区分大小写，可以包含字母、数字、中划线、下划线或中文，不能包含其他特殊字符。 设置密码 现在设置（默认），如果您选择创建实例时设置，请填写账户对应的密码。 创建后设置，系统不会为您设置初始密码。 注意： 您在登录数据库前，需要先通过重置密码的方式设置密码，否则实例创建成功后，无法登录数据库。 管理员帐户名 数据库的登录名默认为root。 管理员密码 所设置的密码长度为8~32个字符，至少包含大写字母、小写字母、数字、特殊字符三种字符的组合，其中允许输入 ~ ! @ $ % ^ + ? , ( ) & . 如果您提供的密码被系统视为弱密码，您将收到错误提示，请提供更高强度的密码。 请妥善保管您的密码，因为系统将无法获取您的密码信息。 实例创建成功后，如需重置密码，请参见 确认密码 必须和管理员密码相同。 虚拟私有云 关系型数据库实例所在的虚拟网络环境，可以对不同业务进行网络隔离。您需要创建或选择所需的虚拟私有云。如何创建虚拟私有云，请参见“创建虚拟私有云基本信息及默认子网”。 如果没有可选的虚拟私有云，关系型数据库服务默认为您分配资源。 注意： 目前RDS实例创建完成后不支持切换虚拟私有云，请谨慎选择所属虚拟私有云。 子网 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全性。子网在可用区内才会有效，创建关系型数据库实例的子网默认开启DHCP功能，不可关闭。 IPv4地址： 创建实例时RDS会自动为您配置IPv4内网地址，您也可输入子网号段内未使用的IPv4内网地址。实例创建成功后该内网地址可修改。 IPv6地址： 选择支持IPv6地址的CPU和内存规格后，才能创建内网地址为IPv6的实例。 创建实例时RDS会自动为您配置IPv6内网地址，不支持指定IPv6内网地址。实例创建成功后该内网地址也不支持修改。 数据库端口 数据库端口默认为3306，实例创建成功后可修改。 RDS for MySQL数据库端口设置范围为1024～65535（其中12017、33071、33062被RDS系统占用不可设置）。 安全组 安全组限制实例的安全访问规则，加强关系型数据库服务与其他服务间的安全访问。请确保所选取的安全组允许客户端访问数据库实例。 创建实例时，可以选择多个安全组（为了更好的网络性能，建议不超过5个）。此时，实例的访问规则遵循几个安全组规则的并集。 如果不创建安全组或没有可选的安全组，关系型数据库服务默认为您分配安全组资源。

本节主要介绍编辑登录规则和清除登录规则。 点击“访问控制”>“安全设置”，进入“安全设置”页面，在“登录安全设置”处可以进行编辑登录规则和清除登录规则。 登录策略是一组规则，定义IAM用户可以设置的登录类型，该规则将应用于IAM用户设置登录规则。 编辑登录规则 在“登录安全设置处”点击“编辑登录规则”，可以对IAM用户登录规则进行重新设置。 项目 描述 :: 限定登录时长 登录失败次数的限定时间。如果在限定登录时长内IAM用户达到登录失败次数后，会被锁定一段时间，锁定时间结束后，才能重新登录。 取值：整数形式，[15, 60]，单位是分钟。 登录失败次数 IAM用户在限定时间内允许连续登录失败的次数。 取值：整数形式，[5, 10]。 锁定时间长度 IAM用户被锁定的时间。 取值：整数形式，[15, 60]，单位是分钟。 是否允许单用户同时多点登录 是否允许IAM用户同一时刻在多个客户端登录。当配置为不允许时，则IAM用户不能同时在多个客户端登录，即最后一次的登录会保持，之前的登录将被强制下线。系统默认配置为允许。 登录Session过期时间长度 IAM用户登录控制台后，在无任何操作时，保存会话的时间长度。 取值：整数形式，[10, 30]，单位是分钟。 清除登录规则 在“登录安全设置”处点击“清除登录规则”，改为默认登录规则。默认登录规则为： 限定时间长度：15分钟。 登录失败次数：5。 锁定时间长度：15分钟。 是否允许单用户同时单点登录：允许。 登录Session过期时间长度：30分钟。

本文介绍如何通过配置访问控制规则，进行零信任服务的访问控制限制。 企业使用远程零信任办公服务，部分场景下，需要对访问的来源进行控制，远程零信任办公服务支持对客户端访问来源、访问IP、用户粒度、访问时间等进行访问控制，实现更灵活和安全的企业远程办公访问体验。 操作步骤 1. 登录边缘安全加速控制台。 2. 在左侧导航栏，选择AOne零信任安全访问控制。 3. 在访问控制页面，单击新增。 4. 在新增面板，按照如下表格说明，填写对应字段信息。 字段 字段说明 规则名称 规则的名称，建议使用便于记忆的名称。例如根据使用场景进行命名。 防护状态 支持按钮开启防护状态或者关闭防护。 规则描述 规则的说明。 匹配条件 配置对应的匹配字段、逻辑符、匹配内容。 匹配字段包含：客户端IP、客户端IPS、客户端IPR、客户端端口、目的IPS、目的IPR、目的IP、目的端口、协议、域名、用户、生效时间段(周期性)、地区、设备ID等。 逻辑符为：包含、不包含。 匹配内容为：根据对应匹配字段渲染出来的填写框，支持下拉勾选，填写精确内容等方式。 处置动作 支持对访问进行拦截、监控、丢弃、加白操作。 监控：请求命中访问控制策略后，不对其拦截，仅记录攻击日志。 加白：请求命中访问控制策略后，将对其进行加白，请求不经过任意安全防护策略。 拦截：提示由于您企业配置了访问控制策略，您此次的访问不符合访问条件，请确认是否存在非法IP地址、不合规时间或者非法地区访问等情况。 丢弃：拦截后不会响应页面，会减少带宽。

本章节主要介绍安全认证原理和认证机制。 功能 开启了 Kerberos认证的安全模式集群，进行应用开发时需要进行安全认证。 Kerberos这一名词来源于希腊神话“三个头的狗——地狱之门守护者”，后来沿用作为安全认证的概念，使用Kerberos的系统在设计上采用“客户端/服务器”结构与AES等加密技术，并且能够进行相互认证（即客户端和服务器端均可对对方进行身份认证）。可以用于防止窃听、防止replay攻击、保护数据完整性等场合，是一种应用对称密钥体制进行密钥管理的系统。 结构 Kerberos的原理架构如下图所示，各模块的说明如下图所示。 原理架构 模块说明 模块 说明 Application Client 应用客户端，通常是需要提交任务（或者作业）的应用程序。 Application Server 应用服务端，通常是应用客户端需要访问的应用程序。 Kerberos 提供安全认证的服务。 KerberosAdmin 提供认证用户管理的进程。 KerberosServer 提供认证票据分发的进程。 步骤原理说明： 应用客户端（Application Client）可以是集群内某个服务，也可以是客户二次开发的一个应用程序，应用程序可以向应用服务提交任务或者作业。 1. 应用程序在提交任务或者作业前，需要向Kerberos服务申请TGT（TicketGranting Ticket），用于建立和Kerberos服务器的安全会话。 2. Kerberos服务在收到TGT请求后，会解析其中的参数来生成对应的TGT，使用客户端指定的用户名的密钥进行加密响应消息。 3. 应用客户端收到TGT响应消息后，解析获取TGT，此时，再由应用客户端（通常是rpc底层）向Kerberos服务获取应用服务端的ST（Server Ticket）。 4. Kerberos服务在收到ST请求后，校验其中的TGT合法后，生成对应的应用服务的ST，再使用应用服务密钥将响应消息进行加密处理。 5. 应用客户端收到ST响应消息后，将ST打包到发给应用服务的消息里面传输给对应的应用服务端（Application Server）。 6. 应用服务端收到请求后，使用本端应用服务对应的密钥解析其中的ST，并校验成功后，本次请求合法通过。

本节为您介绍迁移网络与时长相关问题。 CMS迁移的网络需要具备哪些条件？ 源机、目标机需要能访问平台； 源机需要能够访问目标机； 由于迁移环境在公网上，可能会遭遇DDoS攻击，导致目标机PE系统内存溢出，目标机需要配置安全组策略，目标机入方向需放通8000（数据）、8001（控制）端口； 源机无需开通端口，但建议源端检查出方向是否放通所有端口。 具体步骤请参见检测目标机。 如何配置安全组 1. 进入安全组配置界面。 2. 展开安全组并单击“添加规则”。 3. 配置目标机入方向8000端口。 4. 再次单击“添加规则”按钮，配置目标机入方向8001端口。 5. 可以查看创建好的安全组规则。 为什么绑定目标机时提示：错误信息xx：源机IP(xx)：与目标机通信时出错：获取部署结果超时,检查目标机系统是否为linux x8664PE系统？ 您需要检查目标机系统是否正确； 您需要检查安全组是否放通，具体步骤请参见检测目标机。

可修改项 说明 实例名称 填写实例的名称，根据规划自定义。 描述 填写实例的描述信息。 时间窗 指允许云服务技术支持对实例进行维护的时间段。如有维护需要，技术支持会提前与您沟通确认。 建议选择业务量较少的时间段。 安全组 安全组用于设置端口访问规则，定义哪些端口允许被外部访问，以及允许访问外部哪些地址与端口。 例如，后端服务部署在外部网络，则需要设置相应的安全组规则，允许访问后端服务地址与API调用监听端口。 说明： 更换安全组时，新的安全组须满足专享版实例的前端API调用以及访问后端服务所需出入规则。 如果开启公网入口，安全组入方向需要放开80（HTTP）和443（HTTPS）端口的访问权限。 弹性IP地址 指允许外部服务通过弹性IP地址，调用专享版实例创建的API。开启“公网入口”，需要绑定一个“弹性IP地址”。 您需要使用独立域名/子域名访问，使用子域名访问时存在单日访问次数限制。 可在创建API分组后，为分组绑定独立域名，独立域名需要解析到专享版实例的弹性IP。 出口地址 指允许专享版实例API的后端服务部署在外部网络，API网关为实例开启公网出口。公网出口可随时关闭或开启。 出公网带宽 出公网带宽可配置范围为1~2000Mbit/s，费用按小时计算，以弹性公网IP服务的价格为准。

网站无法访问怎么办？ 无法访问弹性云主机实例中运行的网站的原因较多，此处列举较为常见的问题原因，具体原因以现场的排查结果为准。 TCP 80端口不可用。 Web服务不可用。 网站未备案。 网站资源或后端服务存在异常。 以CentOS 7.6系统为例，为大家介绍排查思路： 1. 检查80端口配置 plaintext netstat ntulp grep 80 如果端口被正常监听，请执行检查安全组规则。 如果端口没有被正常监听，请检查Web服务进程是否启动或者正常配置。 2. 检查安全组配置 如果安全组没有网站访问使用的端口，需要在云主机实例对应的安全组中添加放行该端口的规则。 1. 在弹性云主机控制，单击主机名称。 2. 选择“安全组”页签，展开安全组规则。 3. 单击“更改安全组规则”。 4. 根据网站使用的端口配置新的安全组规则，放行网站使用的端口。 3. 检查防火墙配置 1. 使用iptables nvL linenumber命令查看已配置的防火墙策略。 2. 依次执行以下命令放行80端口。 3. plaintext iptables A INPUT p tcp dport 80 j ACCEPT 4. plaintext iptables A OUTPUT p tcp sport 80 j ACCEPT 5. 使用service iptables save命令保存添加的规则。 6. 使用service iptables restart命令重启iptables。 7. 使用iptables nvL linenumber命令查看增加的规则是否生效。 8. 关闭防火墙后，重新测试网站访问是否正常。 4. 检查云主机CPU利用率 可以通过云监控查看云主机负载情况，您可以创建告警任务，当CPU或带宽利用率高时，系统会自动发送告警给您。使用Top命令查看系统运行状态，排查异常进程并终止，再次尝试访问。 5. 检查网站备案及域名解析是否正常 无论网站是通过IP地址还是通过域名对外提供服务，都需要进行备案。请检查您的备案信息是否正常。 如果域名已备案，但未正确配置域名解析也可能会导致域名无法Ping通。您可以在域名提供商的控制台查看解析详情。 如果上述排查都没能成功访问网站，请提交工单，联系技术支持人员帮助解决。

安全体检产品当前支持按年订购，如开通自动续费，服务到期前，将为您自动续费1年。 到期说明 安全体检产品到期后，如您未开通自动续订，产品将自动冻结，届时您将无法操作体检IP、通知信息、启动体检、下载或预览报告等操作，产品将持续冻结15天，15天后，如您仍未完成续订操作，产品将销毁，您的所有数据将被清除并无法恢复。 续订说明 安全体检产品当前支持包月或包年订购，您可在产品服务到期前，选择续费，或者开通自动续费，服务到期前，将为您自动续费订购时选择的周期时长（例如订购时选择开通5个月，并勾选了自动续订，则开通5个月后到期时为您自动续期5个月）。 续订步骤 1. 登录产品控制台。 2. 点击“续订体检”按钮，跳转到安全体检续订界面。 3. 在续订页面，点击“立即续订“按钮，跳转到支付页面。 4. 在“支付”页面，请选择付款方式进行付款。 5. 付款成功后，返回产品控制台，查看续订结果。

本章节向您介绍弹性云主机的常用端口及用途。 添加安全组规则时，需要您指定通信所需的端口或者端口范围，然后安全组根据策略，决定允许或是拒绝相关流量转发至ECS实例。以通过SSH方式远程登录ECS为例，当安全组检测到SSH请求后，会检查发送请求的设备IP地址、登录所需的22端口是否已在安全组入方向中被放行，只有和安全组入方向规则匹配成功，该请求才会被放行，否则无法建立数据通信。 下表中提供了部分运营商判断的高危端口，这些端口默认被屏蔽。即使您已经添加安全组规则放通了这些端口，在受限区域仍然无法访问，此时建议您将端口修改为其他非高危端口。 协议 端口 TCP 42 135 137 138 139 444 445 593 1025 1068 1433 1434 3127 3128 3129 3130 4444 4789 5554 5800 5900 8998 9995 9996 UDP 135~139 1026 1027 1028 1068 1433 1434 4789 5554 9995 9996 常用端口 弹性云主机常用端口如下表所示。您可以通过配置安全组规则放通弹性云主机对应的端口。关于Windows下更多的服务应用端口说明，请您参考微软官方相关文档。 端口 协议 说明 21 FTP FTP服务开放的端口，用于上传和下载文件。 22 SSH SSH端口，用于远程连接Linux弹性云主机。 23 Telnet Telnet端口，用于通过Telnet协议远程登录弹性云主机。 25 SMTP SMTP服务器开放的端口，用于发送邮件。 80 HTTP 使用HTTP协议访问网站。 110 POP3 使用POP3协议接收邮件。 143 IMAP 使用IMAP协议接收邮件。 443 HTTPS 使用HTTPS服务访问网站。 1433 SQL Server SQL Server的TCP端口，用于供SQL Server对外提供服务。 1434 SQL Server SQL Server的UDP端口，用于返回SQL Server使用了哪个TCP/IP端口。 1521 Oracle Oracle通信端口，弹性云主机上部署了Oracle SQL需要放行的端口。 3306 MySQL MySQL数据库对外提供服务的端口。 3389 Windows Server Remote Desktop Services Windows远程桌面服务端口，通过这个端口可以连接Windows弹性云主机。 8080 代理 同80端口一样，8080 端口常用于WWW代理服务，实现网页浏览。如果您使用了8080端口，访问网站或使用代理服务器时，需要在IP地址后面加上:8080 。安装Apache Tomcat服务后，默认服务端口为8080。 137、138、139 NetBIOS NetBIOS协议常被用于Windows文件、打印机共享和Samba。 137、138：UDP端口，通过网上邻居传输文件时使用的端口。 139：通过这个端口进入的连接试图获得NetBIOS/SMB服务。

本文介绍如何查看容器列表及列表参数说明。 在容器安全的实时监测页面，支持按“节点”和“命名空间”进行分类查看集群中的容器信息。 操作步骤 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“容器安全 > 实时检测”，进入容器实时检测页面。 3. 分类查看容器信息：选择“节点”和“命名空间”页签，可以更直观地分类查看集群中各个节点和各个命名空间上的容器信息。 4. 查看汇总统计信息：容器列表上方汇总展示了当前节点或命名空间中各类型的容器数量，包括运行中容器、特权容器、节点启动容器、有漏洞的容器和有异常行为的容器等，单击想要查看的容器类型，下方容器列表会根据单击选择的条件进行筛选。 5. 随着在左侧树形结构中的选择改动，右侧统计结果将响应式动态变化。 6. 查看容器列表：容器列表内，支持按照“容器名称”、“镜像名称”、“Pod名称”、“容器标签”、“容器IP”、“容器类型”、“运行状态”、“安全状态”等进行筛选查询。 容器列表内各参数说明如下： 参数 说明 容器名称 容器的名称。 容器类型 容器类型分为集群启动容器、节点启动容器和特权容器。 Pod名称 容器所属Pod的名称。 应用 容器所提供的应用服务，如kubernetes、apache、nginx等。 镜像名称 关联镜像是指该容器基于哪个镜像构建的。 运行状态 运行状态分为运行中、停止运行、已暂停、已删除。 安全状态 安全状分为“有异常”和“无异常”，有异常是指触发了安全策略产生告警的容器。 7. 查看图标说明：在容器列表左下角，可查看容器列表中图标的说明信息，前三个图标（节点启动容器、集群启动容器、特权容器）表示的是容器类型，其余图标表示的是容器列表中的应用。

简述客户业务接入AOne边缘安全加速各个服务的基本条件。 安全与加速 限制项 具体要求 说明 ::: 加速域名 中国内地： 1.已在天翼云进行实名认证。 2.域名已在工信部备案且备案信息正常有效。 3.域名接入时需要经过内容审核。 加速范围为中国内地、全球的域名必须在工信部备案才能接入AOne安全与加速，否则天翼云无法提供加速服务。 域名额定用量 1.URL刷新：10000条/日。 2.目录刷新：1000条/日。 3.URL预取：2000条/日。 为防止资源滥用，AOne安全与加速限定了各服务资源的额定用量，如果当前用量无法满足使用需要，请提交工单申请扩大额度。 回源 1.请求行&请求头：请求行的最大长度为64k，每个请求头的最大长度为64k，请求行加请求头的大小不能超过256k。 2.超时时间：客户端和网关保持TCP连接的超时时间，默认值 60s。 3.源站端口：http回源端口默认80，支持自定义。https端口默认443，不支持自定义，如需配置非443端口请提交工单申请。 详情请参考[]( 突发带宽限流 若您对AOne安全与加速有突发带宽控制需求，请提前提交工单申请配置全网带宽控制功能。全网带宽控制功能可通过设置单个域名或多个域名的总带宽值来控制带宽总用量，避免因带宽突发带来更多的带宽费用。 带宽控制功能支持全网边缘总带宽限制，支持分时段控制，您可以根据自身带宽需求选择对应的限制策略。带宽超出设置值后，可选择对请求进行限速、拒绝或者重定向操作。 文件 通过AOne安全与加速传输的文件大小默认限制为单个文件最大不超过300MB。支持自定义。 请求方式 支持GET、PUT、POST和HEAD等请求方式。 可以通过回源HTTP请求头功能，改写用户回源请求中的HTTP Header信息，携带特定的参数信息给源站，实现特定业务需求。

本章节主要介绍 鉴权策略。 安全模式 大数据平台用户完成身份认证后，系统还需要根据实际权限管理配置，选择是否对用户进行鉴权，确保系统用户拥有资源的有限或全部权限。如果系统用户权限不足，需要由系统管理员为用户授予各个组件对应的权限后，才能访问资源。安全模式或者普通模式集群均提供鉴权能力，组件的具体权限项在两种模式中相同。 新安装的安全模式集群默认即安装了Ranger服务并启用了Ranger鉴权，用户可以通过组件的权限插件对组件资源的访问设置细粒度的安全访问策略。若不需使用Ranger进行鉴权，管理员可在服务页面手动停用Ranger鉴权，停用Ranger鉴权后，访问组件资源的时系统将继续基于FusionInsight Manager的角色模型进行权限控制。 安全模式集群中，支持使用Ranger鉴权的组件包括：HDFS、Yarn、Kafka、Hive、HBase、Storm、Spark2x、Impala。 从历史版本升级的集群，用户访问组件资源时默认不使用Ranger鉴权，管理员可在安装了Ranger服务后手动启用Ranger鉴权。 安全版本的集群所有组件默认统一对及访问进行鉴权，不支持关闭鉴权功能。 普通模式 普通模式的集群不同组件使用各自原生开源的鉴权行为，详细鉴权机制下表所示。 在安装了Ranger服务的普通模式集群中，Ranger可以支持基于OS用户进行组件资源的权限控制，支持启用Ranger鉴权的组件包括：HBase、HDFS、Hive、Spark2x、Yarn。 普通模式组件鉴权一览表 服务 是否鉴权 是否支持开关鉴权 ClickHouse 鉴权 不支持修改 Flume 无鉴权 不支持修改 HBase 无鉴权 支持修改 HDFS 鉴权 支持修改 Hive 无鉴权 不支持修改 Hue 无鉴权 不支持修改 Kafka 无鉴权 不支持修改 Loader 无鉴权 不支持修改 Mapreduce 无鉴权 不支持修改 Oozie 鉴权 不支持修改 Spark2x 无鉴权 不支持修改 Storm 无鉴权 不支持修改 Yarn 无鉴权 支持修改 ZooKeeper 鉴权 支持修改

限制 说明 VPC对等连接使用范围 同地域下两个VPC之间的内网互通，不支持跨地域，对应VPC可属于同账号或者不同账号。 网段重叠限制 对等连接下的两个VPC网段建议不要重叠。 安全组网段放通 需要在本端关联的安全组放通对端网段，在对端关联的安全组放通本端网段。

平安校园 通过iBox接入高清摄像机，结合深度学习技术，提供人员识别、周界入侵、 离岗检测、车牌识别、烟火识别、吸烟识别、人群聚集、区域入侵等智能化算法，有效防范人员安全隐患、预防校园欺凌，提升事件处置效率，切实解决学校安全难题，提升安全保卫工作效能，构建和谐平安校园，实现校园安全管理智能化、流程化、科学化。 智慧城管 重点面向智慧城管建设中的智能视频分析需求，内置街面秩序、市容环境、沿街广告、突发事件、施工管理等场景AI算法，可切实提高城市治理智能化水平。 加油站作业合规 iBox边缘盒子在加油站场景中提供了关键的边缘AI能力，专注于卸油区、桶装加油和罐装加油的合规检测。它能够实时监控并分析操作流程，确保所有活动符合安全和操作规范，从而有效提升加油站的安全性和管理效率。