虚拟私有云产品为您提供优质的服务体验,本文带您了解虚拟私有云的产品优势。 简单易用 您可以通过控制台、API 等方式，快速创建、管理虚拟私有云，创建完成后，系统会自动为其创建默认路由表。您可以根据自己的应用需求轻松创建和配置虚拟私有云网络拓扑结构，包括子网、安全组、路由表等。 安全可靠 虚拟私有云之间通过隧道技术实现逻辑隔离，不同虚拟私有云之间默认不能通信。另外，我们还为您提供为您提供安全组、网络ACL等不同层面的网络访问控制方式，采用多重防护策略，让您的网络环境更安全。 灵活配置 虚拟私有云为您提供了强大的网络管理能力，您可以自定义网段，按需划分子网，并通过灵活配置路由表和路由规则，定制化地部署您的云上业务。并且支持云专线、VPN等多种方式接入。 通过自定义私有网络，您可以按需划分子网来合理规划IP地址资源；通过配置路由表来管理私有网络的流量走向；通过配置安全访问控制策略来进行安全防护等。 互联互通 虚拟私有云提供丰富的接入方式，可以满足您在云上的通信需求： 访问其它虚拟私有云：默认情况下，两个虚拟私有云之间是不能通信访问的，通过对等连接使不同VPC之间的云主机或物理机互相访问。 访问Internet：默认情况下，虚拟私有云与公网是不能通信访问的，通过弹性IP、NAT网关、弹性负载均衡等多种方式连接公网。 访问本地数据中心：您可以使用VPN 连接、云专线来访问本地数据中心。 为企业提供多种连接选择，以满足云上多业务需求，助力轻松部署企业应用，同时减少企业IT运维成本。

云防火墙的应用场景及限制。 约束限制 CFW ALG标签功能受限。 CFW默认不开启网络层流量类型DDoS攻击与IP欺骗防御功能。 域名防护依赖于用户配置的域名服务器。默认域名服务器可能存在域名解析对应的IP地址不全，建议优先使用自定义域名服务器。 CFW长连接业务场景限制，配置策略的时候需要同时开启双向放通的安全策略，如果只开启单向策略，部分场景（开启和关闭防护、扩容引擎）需要客户端重新发起连接。 外部入侵防御 通过云防火墙，对已开放公网访问的服务资产进行安全盘点，可一键开启入侵检测与防御。 主动外联管控 云防火墙支持基于域名的访问控制，可对主动外联行为进行精准管控。 VPC间互访控制 云防火墙支持VPC间流量的访问控制，实现内部业务互访活动的可视化与安全防护。 等保合规 云防火墙可满足《网络安全等级保护2.0》中对区域边界防护、网络入侵防范、网络访问控制、安全日志审计等检查要求。

此小节介绍企业主机安全支持的云服务器类型和操作系统。 支持的云服务器类型 弹性云主机（Elastic Cloud Server，ECS） 支持的操作系统 企业主机安全服务的Agent可运行在CentOS、EulerOS等Linux系统以及Windows 2012、Windows 2016等Windows系统的主机上。 已停止服务的Linux系统版本或者Windows系统版本，与Agent可能存在兼容性问题，建议重装或者升级为Agent支持的操作系统版本，以便获得主机安全更好的服务体验。 CentOS 6.x版本由于Linux官网已停止更新维护，主机安全平台也不再支持CentOS 6.x及以下的系统版本，谢谢您的理解！ 说明 部分操作系统版本下的个别子版本存在不支持的情况，会陆续上线支持，感谢您的理解与支持。 HCE 2.0当前暂不支持漏洞检测和配置检测功能，将会根据后续版本迭代上线。 操作系统类型 系统架构 支持的操作系统版本 Linux X86 CentOS 7.4、7.5、7.6、7.7、7.8、7.9、8.0、8.1、8.2、9（64位） Debian 9、10、11.0.0、11.1.0（64位） EulerOS 2.2、2.3、2.5、2.7、2.9（64位） Fedora 28（64位） OpenSUSE: 15.3 (64bit) Ubuntu 16、18、20.03、20.04、22.04（64位） RedHat 7.4、7.6、8.0、8.7（64位） OpenEuler 20.03 LTS、22.03 SP3 LTS、22.03（64位） AlmaLinux 9.0（64位）RockyLinux 8.4、8.5、9.0（64位） HCE 2.0（64位） Linux ARM CentOS 7.4、7.5、7.6、7.7、7.8、7.9、8.0、8.1、8.2、9（64位） EulerOS 2.8、2.9（64位） Fedora 29（64位） OpenSUSE: 15 64bit with ARM(40GB) Ubuntu 18（64位） kylin V7、V10（64位） NeoKylin: V10 (aarch64bit) HCE 2.0（64位） 统信UOS V20（64位） Windows X86 Windows Server 2019 数据中心版 64位英文(40GB) Windows Server 2019 数据中心版 64位简体中文(40GB) Windows Server 2016 标准版 64位英文(40GB) Windows Server 2016 标准版 64位简体中文(40GB) Windows Server 2016 数据中心版 64位英文(40GB) Windows Server 2016 数据中心版 64位简体中文(40GB) Windows Server 2012 R2 标准版 64位英文(40GB) Windows Server 2012 R2 标准版 64位简体中文(40GB) Windows Server 2012 R2 数据中心版 64位英文(40GB) Windows Server 2012 R2 数据中心版 64位简体中文(40GB) 说明 若服务器安装了第三方安全防护软件，请先停止第三方安全防护软件的防护功能，待Agent安装完成后再开启。

支持审计的关键操作列表 操作事件 字段 同步资产 SYNCASSETS 卸载agent UNINSTALLAGENT 切换版本 SWITCHVERSION 开启防护 OPENPROTECT 关闭防护 CLOSEPROTECT 基线检测 BASELINEDETECT 基线策略管理 BASELINERULEMANAGEMENT 基线白名单管理 BASELINEWHITELISTMANAGEMENT 弱口令检测 WEAKPASSDETECTION 弱口令定时检测设置 WEAKPASSTIMINGDETECTIONSETTING 病毒检测 VIRUSDETECTION 病毒文件操作 VIRUSFILEOPERATION 病毒定时检测设置 PERIODICVIRUSDETECTIONSETTING 漏洞扫描 VULNERABILITYSCANNING 漏洞操作 VULNERABILITYOPERATION 漏洞白名单管理 VULNERABILITYWHITELISTMANAGEMENT 漏洞定时扫描设置 VULNERABILITYTIMINGSCANSETTINGQUERY 异常登录操作 ILLEGALLOGINOPERATION 异常登录白名单管理 ILLEGALLOGINWHITELIST 暴力破解白名单管理 BRUTEFORCEWHITELIST 后门检测操作 BACKDOORDETECTIONOPERATION 后门检测白名单管理 BACKDOORDETECTIONwhitelistmanagement 可疑操作审核 SUSPECTOPERATIONAUDIT 可疑操作自定义规则配置 SUSPECTOPERATIONUSERDEFINEDRULES 网页防篡改告警忽略 TAMPERPROOFALARMIGNORE 网页防篡改防护管理 TAMPERPROOFPROTECTIONMANAGEMENT 网页防篡改配额管理 TAMPERPROOFQUOTAMANAGEMENT 服务器安全卫士配额管理 QUOTAMANAGEMENT 同步资产设置 SYNCASSETSSETTING 用户登录 USERLOGIN 用户下线 USERLOGOUT 修改基本信息 MODIFYBASICINFO 修改密码 MODIFYPASS 用户管理操作 USERMANAGEMENT 资产收集 ASSERTCOLLECTION 安全配置开关配置 SECURITYCONFIGSWITCH 告警中心告警处理 ALERTCENTERHANDLE 告警中心白名单处理 ALERTCENTERWHITE 安全配置异常登录规则配置 SECURITYCONFIGSSH 安全配置暴力破解规则配置 SECURITYCONFIGBRUTE 业务分组配置 BUSINESSGROUP 主机业务分组修改 BUSINESSGROUPMOVE 主机私有IP修改 HOSTIPUPDATE 自动绑定配额开关配置 AUTOBINDQUOTA 主机实例名称修改 EDITDISPLAYNAME 主机删除 HOSTDELETE 告警通知配置 ALERTCONFIG 安全配置防勒索配置 SECURITYCONFIGBLACKMAIL 安全配置自定义检测规则配置 SECURITYCONFIGCHECKRULE 通知联系人配置 ALERTUSERCONFIG 发送联系人验证信息 SENDVERIFYCODE 验证联系人验证信息 CHECKVERIFYCODE 云安全中心配置 CSCLOGCONFIG 文件隔离箱操作 FILEQUARANTINEHANDLE 文件一致性保护配置 INTEGRITYPROTECTIONCONFIG 文件一致性保护事件处理 INTEGRITYPROTECTIONHANDLE 安全配置端口蜜罐配置 SECURITYCONFIGPORTSCAN 安全配置webshell配置 SECURITYCONFIGWEBSHELL 基线检测应用凭证配置 APPPROOFRULE IP拦截记录处理 IPBLOCKHANDLE

对比项 虚拟私有云 传统IDC 部署周期 用户无需工程规划，布线等复杂工程部署的工作。 用户基于业务需求在华为云上自主规划私有网络、子网和路由。 用户需要自行搭建网络并进行测试，整个周期很长，而且需要专业技术支持。 总成本 天翼云网络服务提供了多种灵活的计费方式，加上客户无需前期投入和后期网络运维，整体上降低了总体拥有成本（Total Cost of Ownership，TCO）。 用户需要机房、供电、施工、硬件物料等固定重资产投入，也需要专业的运维团队来保障网络安全。随着业务变化，资产管理成本也会随之上升。 灵活性 天翼云提供多种网络服务，用户可以根据具体需求搭配服务。当业务发展需要更多的网络资源（如带宽资源）时，可以方便快捷地进行动态扩展。 业务部署需要严格遵守前期网络规划，当业务需求发生变化时，无法便捷地动态调整网络。 安全性 VPC逻辑隔离，结合网络控制网络ACL、安全组功能和DDoS等安全服务，保障了云上资源的安全使用。 网络很难得到专业维护，安全性较差，需要配置专业的网络安全人员来看护。

监控指标 说明 证书到期预警 按证书到期时间统计域名证书： 已到期证书 到期时间<30天 到期时间>30天 证书未知：统计未绑定证书的域名、域名信息配置错误的域名数量。 SSL漏洞扫描 支持统计如下类型的漏洞： 高风险漏洞 中风险漏洞 低风险漏洞 合规检测 统计ATS和PCI DSS合规情况： ATS（应用程序安全传输，App Transport Security）为Apple ATS规范，是苹果在iOS 9中首次推出的隐私安全保护功能。从2017年1月1日起，所有提交到App Store的App必须强制开启ATS。启用ATS后，它会屏蔽明文HTTP资源加载，强制App通过HTTPS连接网络服务，对传输数据进行加密，保障用户数据安全。 PCI DSS（支付卡协会数据安全标准，Payment Card Industry Data Security Standard）为支付卡行业安全标准，是目前广受国际认可的数据安全标准。PCI DSS要求在开放的公共网络上传输持卡人数据，需使用高强度加密算法对数据进行保护。 域名安全等级分布 共支持如下9个等级，A+为最高级。

参数 参数说明 类型 选择kerberos。 认证信息名称 所创建的跨源认证信息名称。 名称只能包含数字、英文字母和下划线，但不能是纯数字，且不能以下划线开头。 输入长度不能超过128个字符。 建议名称中包含MRS安全集群的名称，便于区分不同集群的安全认证信息。 用户名 安全集群的登录用户名。 krb5conf路径 上传“krb5.conf”文件的OBS路径。 说明 “krb5.conf”中需移除[libdefaults]下的“renewlifetime”配置项，否则可能会遇到“Message stream modified (41)”问题。 keytab路径 上传“user.keytab”文件的OBS路径。

（二）十字符病毒 1. 故障现象 名称由随机10字符组成的进程，运行时占用大量CPU资源，伴有网络流量较大、占满带宽的现象，无法通过kill命令终止该进程。 2. 排查思路 确认占用CPU资源的进程，分析该进程对应的程序，同时查看计划任务、启动脚本等，排查是否存在可疑文件，并根据文件内容确认恶意脚本程序。 3. 排查过程 查看进程列表，确认占用CPU资源的主要进程。 由于病毒通常具有自动运行机制，因此常常藏身于计划任务中。查系统计划任务中是否存在可疑脚本，并对脚本进行进一步分析核查，可确认系统被感染病毒，病毒本体是/lib/libudev.so。 4. 解决方法： 终止病毒进程（强制终止该进程后，病毒程序还会自动拉起一个新的进程运行。 删除恶意程序脚本。 杀掉病毒进程。 清理计划任务内容。 删除病毒本体。 检查开机自启动项等内容，彻底清理病毒痕迹。 三，系统加固操作建议 针对Linux云主机，建议您绑定Linux开放22端口安全组，移除默认安全组，单独开放需要的端口，使用复杂密码并定期更换，同时定期对您的云主机制作私有镜像，操作方法请参考下列文档： 安全组概述 实例加入/移出安全组 配置安全组规则 修改云主机默认远程端口 通过云主机创建Linux系统盘镜像

配置安全策略 出入向地址转换策略配置完成后，需针对流量进行安全检测，该功能由安全策略实现。 打开菜单栏，“策略→安全策略→策略”，单击“新建 > 策略”，新建策略。 参数 说明 名称 自定义名称。 源安全域 安全域可根据业务情况选择。 源地址 源地址可根据业务情况选择。 目的地址 目的地址地址可根据业务情况选择，请输入防火墙网卡地址。 服务 根据业务主机开放端口选择服务。 配置出向路由和平台默认路由 登录云防火墙：【网络→路由→源路由】，单击“新建”。 参数 说明 源IP 需要访问互联网的地址或网段。 下一跳 需要使用访问互联网的防火墙网卡接口。 网关 防火墙网卡的网关地址。 登录云平台控制台，虚拟私有云→VPC→路由表→新建，下一跳地址输入云防火墙（原生版）N100型实例网卡地址即可。

背景介绍 为避免过期版本实例存在的安全和稳定性风险，同时保证您业务的连贯性，应用服务网格CSM支持对实例进行金丝雀升级，您可以在升级过程中仅变更部分数据面进行效果验证。验证符合预期后再进行全量升级，如果不符合预期，CSM支持对此次升级进行回滚。 相关概念 概念 说明 金丝雀升级 通过先运行一个金丝雀部署的新控制平面来完成 Istio 的升级，从而允许您在将所有流量迁移到新版本之前以一小部分工作负载监视升级的效果。金丝雀升级过程中支持回退。 控制平面 控制平面（Control Plane）是一组系统服务，这些服务配置网格或者网格的子网来管理工作负载实例之间的通信。 单个网格中控制平面的所有实例共享相同的配置资源。 数据平面 数据平面（Data Plane）当前常见的Sidecar模式， 通常是与主应用程序一起运行以提供附加功能的容器。 在 Istio 中，它同时运行一个Envoy代理 Pod，可以进行流量治理，安全策略管理，可观测上报等，无需对业务进行侵入性修改。 升级时机 istio开源社区在不断迭代，天翼云应用服务网格会不定期跟进社区的功能更新和漏洞修复。服务网格实例版本过于落后时，可能会存在安全和稳定性风险，建议您及时进行升级操作。 大版本的更新需要您主动进行升级，及时升级可以： 降低安全和稳定性风险：CSM版本的迭代，会及时跟进修复社区已知的安全及稳定性漏洞，给你的业务带来安全和稳定性的提升。 享受更好的维护支持：对于落后太多的实例版本（往往是3个大版本以上），CSM不再提供维护和技术支持，使用新版本能够让您享受更好的技术支持和答疑服务。 使用新版本的前沿功能：随着社区Istio版本的演进，新版本包含新的功能和改进，CSM也将适配新版本，可以使用更丰富的功能，跟进最新的性能优化也有助于您减少资源消耗。

态势感知的工作原理。 态势感知（专业版）（Situation Awareness，SA）是可视化威胁检测和分析的平台。利用大数据分析技术，态势感知可以对攻击事件、威胁告警和攻击源头进行分类统计和综合分析，为用户呈现出全局安全攻击态势。 工作原理 态势感知通过采集全网流量数据和安全防护设备日志信息，并利用大数据安全分析平台进行处理和分析，态势感知检测出威胁告警，实时为用户呈现完整的全网攻击态势，进而为安全事件的处置决策提供依据。

本节介绍N100操作类常见问题。 N100如何开启防护功能？ 1. 登录管理界面：首先，使用管理员凭据登录到N100的管理界面，可以在Web浏览器中输入设备的管理方式来访问N100管理界面。 2. 导航到防护功能：在管理界面对象中，找到防护功能（IPS、AV、URL、OQS、僵尸网络防御、云沙箱）进行防护功能模版的配置。 3. 启用防护策略：选择外网卡的安全域（网络安全域）或安全策略，然后开启且调用所需的安全功能模板。 4. 监控和日志记录：启用监控和日志记录功能（监控日志编辑对应日志开启日志缓存），以跟踪安全事件、威胁检测以及系统性能。这有助于实时监视和分析潜在的威胁。 5. 测试和优化：在启用防护功能后，建议进行测试以确保其正常运行，并进行必要的优化，以适应业务需求。 N100无法启动或连接怎么办？ 首先确认N100所防护的业务是否正常，如果正常可以先排查一下N100管理EIP是否被解绑（解绑了会无法通过公网进行管理），是否调整了安全组限制了管理端口（安全组限制会导致公网机内网进行管理）。如果业务不正常，急需恢复业务，请将云主机的EIP从N100上解绑，绑至对应业务云主机上，让VPC南北向流量绕过N100，进行业务的恢复（如果此时业务云主机修改了网关为N100的地址，那么请修改VPC内所有业务云主机的网关为默认网关，网关还请参照虚拟私有云（VPC）内的子网信息）。 其次，天翼云控制台云主机列表找到N100主机，进行远程登录，看是否能打开正常运行，查看配置是否正常。 最后，如果依旧存在问题，请联系客服。

托管检测与响应服务（原生版）具备100%处置闭环率、持续保障、快速响应、标准化服务等核心优势。 100%处置闭环率 自动处置能力联动全网威胁情报，实时处置高级威胁，结合云端专家处置升级策略，保证重大事件处置闭环率100%。 持续安全保障 提供N × 24小时的安全保障，持续对云上资产进行告警分析、安全事件监测、漏洞情报捕获。 快速响应及时止损 第一时间介入安全事件发生的环境，对安全事件进行处置，避免类似情况再次发生，防止数据遭受泄露造成经济损失。 标准化服务内容 依托顶尖服务团队及行业标准，提供标准化服务流程和交付内容，保证服务质量。

状态“可用”的微服务引擎专享版，绑定公网IP后可提供公网访问微服务引擎专享版的能力。 须知： 未开启安全认证的微服务引擎无认证鉴权能力，开放到公网面临安全风险，增加系统的脆弱性。如：配置、服务信息等数据资产可能会被窃取。 请不要在生产环境和安全要求较高的网络环境中使用该功能。 开启公网访问 步骤 1 登录ServiceStage控制台，选择“微服务引擎 CSE”。 步骤 2 单击待开启公网访问的微服务引擎名称，进入微服务引擎的“基本信息”页面。 步骤 3 开启“公网访问”开关，在弹出的对话框勾选“我已知晓安全风险”，单击“确定”。 步骤 4 单击“弹性IP地址”后的下拉框。在下拉框中选择可用弹性IP，单击下拉框后侧的“√”。 若下拉框中无可用弹性IP，请单击“创建弹性IP”，根据界面提示创建。 关闭公网访问 步骤 1 登录ServiceStage控制台，选择“微服务引擎 CSE”。 步骤 2 单击待关闭公网访问的微服务引擎名称，进入微服务引擎的“基本信息”页面。 步骤 3 关闭“公网访问”开关。 步骤 4 在弹出对话框单击“确定”。

本节主要介绍如何查看已有布局模板。 操作场景 布局中已有 告警管理 、 事件管理 、 漏洞管理 、 分析报告 、 情报管理 、安全大屏页面布局的管理页和详情页面模板。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“安全编排 > 布局管理”，进入布局管理页面后，选择“模板”页签，进入布局模板页面。 5. 在布局模板页面，查看模板信息。 可以通过“布局类型”、“页面类型”，并输入关键字来搜索指定布局模板。 可以查看当前已有模板的名称、页面类型、创建时间等信息。 可以对已有模板的名称、模板内的布局进行编辑。 可以删除已有模板。

本节介绍云智手机的计费说明。 订购渠道 云智手机支持通过云智手机APP、中国电信营业厅两个渠道订购。 1. 云智手机APP（推荐）： 用户范围：全网用户。 订购路径：云智手机APP > 购买云智手机。 支付方式：互联网支付（翼支付、微信支付、支付宝支付）、话费支付。 2. 中国电信营业厅： 用户范围：电信号卡用户。 订购路径：线下中国电信营业厅咨询办理 / 线上拨打10000号咨询办理。 支付方式：话费支付。 计费规则 云智手机支持包月计费，不同支付方式计费规则不同。 1. 互联网支付（推荐）：支持订购、续订、规格变更、退订。 计费周期：以非自然月为计费单位，到期需主动续订，如用户在2026年1月8日12:00:00购买并开通一台云智手机，购买时长为2个月，则该云智手机到期时间为2026年3月8日11:59:59。 续订规则：服务到期前用户可对其进行续订操作（已退订或已释放的资源不可续订），暂不支持自动续订。 规格变更：服务到期前用户可对其进行升降配操作，升降配费用订单剩余可用天数（原规格天价格目标规格天价格）。 退订规则：提交退订申请后，3个工作日内审核，审核结果将通过短信通知；退订成功后，资源将立即删除，订单剩余金额将实时退还至用户的天翼云账户中（代金券支付部分不予退还），退订费用订单总金额÷总天数剩余可用天数（不含退订当天）退订手续费。 2. 话费支付：支持订购、续订、退订，不支持规格变更。 计费周期：以自然月为计费单位，到期自动续订，如用户在2026年1月8日12:00:00购买并开通一台云智手机，则该云智手机到期时间为2026年1月31日23:59:59；订购当月费用按当月实际天数计扣，费用四舍五入到分（如标准版29元/月，用户在1月8日订购，则收取费用22.45元29元÷31天24天）。 续订规则：到期自动续订，与话费套餐保持一致。 退订规则：退订后权益次月失效，不退当月费用。

本文介绍云主机错误状态及解决方案。 一、引言 随着云计算技术的快速发展，云主机已经成为企业、个人和开发者们进行互联网应用的首选。然而，使用云主机的过程并非完全顺利，可能会遇到各种错误状态。本文将详细探讨云主机错误状态的类型、原因以及解决方案，帮助用户更好地管理和维护自己的云主机。 二、云主机错误状态类型 1. 网络错误。 网络错误是云主机使用过程中最常见的错误类型之一。网络错误可能包括网络连接超时、无法连接到远程云主机或网络连接中断等。这些错误通常是由于网络配置问题、网络设备故障或网络拥堵等原因引起的。 2. 云主机错误。 云主机错误通常包括云主机启动失败、运行异常、过载等。这类错误可能是由于云主机硬件故障、软件问题、操作系统故障或云主机资源不足等原因引起的。 3. 应用程序错误。 应用程序错误是指运行在云主机上的应用程序出现错误。这类错误可能包括应用程序崩溃、运行缓慢、内存泄漏等。这些错误可能是由于应用程序本身的问题，如代码错误、不兼容性或配置问题等引起的。 4. 安全错误。 安全错误是指与安全相关的错误，如身份验证失败、权限问题或安全策略冲突等。这些错误可能是由于用户名或密码错误、权限配置错误或安全策略设置不当等原因引起的。 三、云主机错误状态原因分析 1. 网络问题。 网络问题可能是由于网络设备故障、网络连接问题或网络配置不当等原因引起的。例如，如果云主机的网络设备出现故障，或者网络连接被中断，那么就会出现网络错误。此外，如果网络配置不正确，例如DNS解析不正确，也可能会导致无法连接到远程云主机。 2. 云主机硬件故障。 云主机硬件故障可能是由于云主机硬件设备出现故障或云主机资源不足等原因引起的。例如，如果云主机的硬盘出现故障，那么云主机可能无法启动或运行异常。此外，如果云主机的资源不足，例如内存不足或CPU过载，也可能会导致云主机运行异常。 3. 应用程序问题。 应用程序问题可能是由于应用程序本身的问题，如代码错误、不兼容性或配置问题等引起的。例如，如果应用程序的代码存在错误，那么应用程序可能无法正常运行。此外，如果应用程序的配置不正确，例如数据库连接不正确或文件路径错误，也可能会导致应用程序运行异常。 4. 安全问题。 安全问题可能是由于身份验证失败、权限问题或安全策略冲突等原因引起的。例如，如果用户名或密码不正确，那么身份验证可能会失败。此外，如果权限配置不正确，例如权限设置过于宽松或过于严格，也可能会导致权限问题。另外，如果安全策略设置不当，例如过于宽松的安全策略或过于严格的安全策略，也可能会导致安全问题。

本文介绍动态授权的适用场景和配置方法。 功能介绍 动态授权基于零信任永不信任持续验证的理念，会根据用户访问行为和环境的不断变化而作出新的策略。基于终端的设备基线、安全风险、数据风险、合规风险、行为基线、地理位置、时间等因素对终端进行动态可信分析，提供对风险人员、风险终端告警通知、阻断内网访问、注销登录等处置能力。系统内置多个动态授权配置模板，您可以通过引用现有的策略或者进行调整后的自定义策略，来实现对办公场景的管控。 持续动态评估：基于零信任多维度综合分析引擎，根据采集和上报的不同指标数据，对用户访问行为进行可信评估并实时联动处置。 阻断恶意访问：零信任网关能将内网请求和用户身份进行绑定，根据用户的访问可信评分和综合分析引擎下发的处置动作，实时阻断恶意的内网访问，可通过配置策略，配置处置动作进行处置。 可视化处置能力：通过上方点击威胁事件数tab，企业可查看当前被处置中的异常账号和异常设备记录，并提供检测详情协助企业管理员对处置事件进行审计追溯 ，满足企业管理员可视化处置管理需求。具体功能说明见处置记录。 操作步骤 1. 登录边缘安全加速控制台。 2. 在左侧导航栏AOne零信任安全动态授权，查看动态授权的配置和管理。 3. 可根据业务需求进行相关配置。

导入流程 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“安全编排 > 剧本编排”，进入剧本管理页面后，选择“流程”页签，进入流程管理页面。 5. 在流程管理列表右上角单击“导入”，弹出导入流程窗口。 6. 单击“添加文件”，并选择待导入文件。 7. 单击“上传”。 导出流程 说明 支持导出“流程状态”为“已启用”的流程。 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“安全编排 > 剧本编排”，进入剧本管理页面后，选择“流程”页签，进入流程管理页面。 5. 在流程管理页面中，勾选需导出的流程，并单击列表右上角的，弹出导出流程确认框。 6. 在弹出的确认框中，单击“确认”，系统将导出流程信息到本地。

如何处理反弹Shell告警？ 您可以通过以下方式处理反弹Shell告警： 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航中选择“入侵检测 > 反弹Shell”。 3. 在反弹shell页面，找到被定义为反弹shell的记录，您可以根据服务器的IP、端口、进程等进行查询。 4. 处理反弹Shell告警。 加入白名单：在右侧操作栏中，单击“加入白名单”，即可将此反弹Shell告警加入白名单，后续相同来源IP的相同操作将不会产生告警。 标记为已处理：单击“标记已处理”，即可将本条告警记录标记为已处理，后续相同来源IP的相同操作将仍然会产生告警。 云主机遭受攻击为什么没有检测出来？ 若云主机在安装服务器安全卫士Agent之前就已被攻击，服务器安全卫士可能无法检测出来。 若云主机安装Agent之后，未开启防护，服务器安全卫士可能无法检测出来。 服务器安全卫士防护的是主机层面的入侵，若攻击为Web层面，服务器安全卫士无法检测防护，可以使用WAF等其他安全产品。 检测到入侵行为时，是否能够自动对安全事件进行处理？ 不能，服务器安全卫士（原生版）检测到入侵行为后会第一时间告警，处置行为由相关管理员进行，以避免处置行为与正常业务进程相冲突。 使用产品过程中，是否只开启病毒检测就可以了？ 在开启病毒检测功能的同时，安全管理员可使用入侵检测功能预防异常登录/暴力破解等非法攻击行为，防止攻击者使用非法手段投放病毒，同时可使用基线管理功能，优化云主机安全基线，预防病毒感染。

混合云统一安全管理 面向操作系统开发，能够提供跨平台（任何基础架构的公有云、私有云、混合云）、跨介质（物理机、虚拟机、容器）的统一安全管理能力。 支持任何基础架构技术构建的云平台，包括OpenStack、VMware、KVM、Docker等； 实现混合环境下，不同介质的内部流量统一监控、安全策略统一管理； 支持阿里云、青云、Ucloud、Azure等公有云平台； 支持Red Hat、CentOS、Ubuntu、Windows等常见操作系统版本。

本文介绍边缘接入服务里的DDoS与安全与加速服务里的DDoS高防的区别。 边缘接入服务中的DDoS防护，是通过四层接入，因此DDoS防护支持TCP、UDP、ICMP网络协议防护，如SYN Flood、ACK Flood、空连接等；但不提供七层防护能力，如CC防护。 而安全与加速服务中的DDoS防护，是通过七层接入，因此DDoS防护支持L37层防护能力。

本小节介绍安全专区云堡垒机运维账号创建账号方法。 通过安全专区创建“运维人员”账号，运维账号会自动同步到云堡垒机，但需要进行密码修改。 1.点击【运维管理】→【用户】，进行密码编辑。 2.更改“运维人员”账户密码。

前提条件 已开通Web应用防火墙（边缘云版） 已新增域名并成功接入WAF，具体操作请见WAF接入 开通套餐为体验版及以上版本，支持使用规则防护引擎功能 操作步骤 1. 登录Web应用防火墙（边缘云版）控制台 2. 在左侧导航栏中选择【域名管理】—【域名列表】，选择您要防护的域名，单击操作列【安全防护】 3. 进入【域名规则】页面 配置说明 开启或者关闭单条规则 1、登录web应用防火墙（边缘云版）控制台，在左侧导航栏中选择【域名管理】—【域名列表】，单击域名列表操作【安全防护】进入域名规则配置页面； 2、在“域名规则”页签内，可基于域名实现对单条规则的开启与关闭； 相关文档 添加服务域名 安全基础配置

此小节介绍企业主机安全创建策略组。 您可根据自己服务器不同使用情况创建对应的策略组，创建后可对目标服务器进行更有力的扫描检测。 约束限制 需开启高级版、企业版、旗舰版、网页防篡改版、容器版中任一版本。 前提条件 已购买旗舰版。 注意 目前仅支持对旗舰版的策略组进行自定义创建，若没有开启旗舰版防护的主机，创建后不会生效。 创建策略组 以下以旗舰版的Linux策略为例。 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、在左侧导航栏，选择“安全运营 > 策略管理”，进入“策略管理”界面，查看显示的策略组，字段说明如表所示。 说明 tenantlinuxcontainerdefaultpolicygroup：容器版linux系统预置策略，仅可被查看，不可复制和删除。 tenantlinuxenterprisedefaultpolicygroup：企业版linux系统预置策略，仅可被查看，不可被复制和删除。 tenantwindowsenterprisedefaultpolicygroup：企业版windows系统预置策略，仅可被查看，不可被复制和删除。 tenantlinuxpremiumdefaultpolicygroup：旗舰版linux系统预置策略，可通过复制该策略组来创建新的策略组。 tenantwindowspremiumdefaultpolicygroup：旗舰版windows系统预置策略，可通过复制该策略组来创建新的策略组。 可在列表右上角单击 ，手动刷新当前列表。 可单击关联服务器数的数量，查看策略组关联的服务器。 策略组列表字段说明 字段 说明 策略组名称 策略组的名称。 ID 策略组的ID号，对策略组的唯一标识。 描述 对策略组的描述。 支持的版本 策略组支持的主机安全的版本。 5、选择tenantlinuxpremiumdefaultpolicygroup或tenantwindowspremiumdefaultpolicygroup策略组，单击该策略组“操作”列的“复制”。以下以Linux策略组为例。 复制策略组 6、在弹出的对话框中，输入“策略组名称”和“描述”。 策略组的名称不能重复，如果尝试通过复制来创建一个同名的策略组，将会失败。 “策略组名称”和“描述”只能包含中文、字母、数字、下划线、中划线、空格，并且首尾不能为空格。 创建策略组 7、单击“确认”，将会创建一个新的策略组。 8、单击已创建的策略组名称，进入策略组的策略页面。 Linux策略组详情 9、单击策略名称，修改具体的策略内容，详细信息请参见8.1.3 编辑策略内容。 10、策略内容修改完成后，单击策略所在行的“开启”或者“关闭”，开启或者关闭对应的策略。

本章节主要向您介绍虚拟私有云VPC的功能。 VPC提供丰富的功能供您灵活配置服务，构建多元化组网。 VPC的基本功能：虚拟私有云、子网、路由表和路由、虚拟IP、弹性网卡、辅助弹性网卡。 VPC的网络安全功能：安全组、网络ACL、IP地址组。 VPC的网络连接功能：VPC对等连接。 VPC的网络运维功能：VPC流日志、流量镜像。 功能名称 功能描述 虚拟私有云 虚拟私有云VPC是您在云上的私有网络，为云主机、云容器、云数据库等云上资源构建隔离、私密的虚拟网络环境。VPC丰富的功能帮助您灵活管理云上网络，包括创建子网、设置安全组和网络ACL、管理路由表等。此外，您可以通过弹性公网IP连通云内VPC和公网网络，通过云专线、虚拟专用网络等连通云内VPC和线下数据中心，构建混合云网络，灵活整合资源。 子网 子网是虚拟私有云内的IP地址集，可以将虚拟私有云的网段分成若干块，子网划分可以帮助您合理规划IP地址资源。虚拟私有云中的所有云资源都必须部署在子网内。同一个虚拟私有云下，子网网段不可重复。 路由表和路由 路由表由一系列路由规则组成，用于控制VPC内出入子网的流量走向。VPC中的每个子网都必须关联一个路由表，一个子网只能关联一个路由表，但一个路由表可以同时关联至多个子网。 虚拟IP 虚拟IP（Virtual IP Address）是从VPC子网网段中划分的一个内网IP地址，是一种可以独立申请和删除的内网IP地址，适用于以下场景： 将一个或者多个虚拟IP同时绑定至一个云主机，可以通过任意一个IP地址（私有IP/虚拟IP）访问云主机。通常当单个云主机内同时部署了多种业务，此时可以通过不同的虚拟IP访问各个业务。 将一个虚拟IP同时绑定至多个云主机，虚拟IP需要搭配高可用软件（比如Keepalived），用来搭建高可用的主备集群。 弹性网卡 弹性网卡即虚拟网卡，您可以通过创建并配置弹性网卡，并将其附加到您的ECS实例上，实现灵活、高可用的网络方案配置。 辅助弹性网卡 辅助弹性网卡是一种基于弹性网卡的衍生资源，用于解决单个云主机实例挂载的弹性网卡超出上限，不满足用户使用需要的问题。辅助弹性网卡通过VLAN子接口挂载在弹性网卡上，您可以通过创建辅助弹性网卡，使单个云主机实例挂载更多网卡，实现灵活、高可用的网络方案配置。 安全组 安全组是一个逻辑上的分组，为同一个VPC内具有相同安全保护需求并相互信任的弹性云主机提供访问策略。安全组创建后，用户可以在安全组中定义各种访问规则，当弹性云主机加入该安全组后，即受到这些访问规则的保护。 网络ACL 网络ACL是一个子网级别的可选安全防护层，您可以在网络ACL中设置入方向和出方向规则，并将网络ACL绑定至子网，可以精准控制出入子网的流量。 IP地址组 IP地址组是一个或者多个IP地址的集合，可关联至安全组、网络ACL，用于简化网络架构中IP地址的配置和管理。 VPC对等连接 对等连接是建立在两个VPC之间的网络连接，不同VPC之间网络不通，通过对等连接可以实现不同VPC之间的云上内网通信。对等连接用于连通同一个区域内的VPC，您可以在相同账户下或者不同账户下的VPC之间创建对等连接。 IPv4/IPv6双栈网络 IPv4/IPv6双栈可为您的实例提供两个不同版本的IP地址：IPv6地址在被加入共享带宽后，可以进行公网访问。 VPC流日志 VPC流日志功能可以记录虚拟私有云中的流量信息，帮助您检查和优化安全组和网络ACL控制规则、监控网络流量、进行网络攻击分析等。 流量镜像 VPC流量镜像功能可以镜像弹性网卡符合筛选条件的报文。您需要设置入方向和出方向的筛选条件，经过弹性网卡的流量符合筛选条件时，将被镜像到指定的云主机网卡，适用于网络流量检查、审计分析以及问题定位等场景。

本文将向您介绍如何通过边缘安全加速平台安全与加速服务提供的频率控制功能。 功能介绍 频率控制：通过配置IP,URL,ARGS,HEADER,COOKIE,UA等粒度，进行访问次数限制，防止客户资源被过度消耗。 通过配置频率控制能够实现客户端IP访问域名首页次数限制。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 开通免费版及以上版本，支持使用频率控制功能，不同版本限制规则数不同，具体请见安全与加速服务版本差异对比。 操作步骤 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【安全能力】，进入【访问控制/限流】菜单，并在左侧域名列表选择您要防护的域名。 3. 进入防护能力高级安全防护【频率限制】详细设置。 配置说明 配置项 说明 开关 频率控制策略的开关，支持开启或关闭 处理动作 告警：达到阈值后只记录攻击日志。 跳转：达到阈值后，对请求进行Cookie挑战验证。GET请求响应302，POST请求响应307，其他METHOD请求不适用。 拦截：达到阈值后拦截请求，响应拦截页面。当防护粒度中选择响应头或状态码时，达到阈值后，会拦截匹配响应头、状态码之外其他字段的请求。 丢弃：达到阈值后拦截请求但不会响应页面，以减少带宽。当防护粒度选择响应头、状态码时，不适用于"丢弃"动作。 重定向：达到阈值后，将请求302重定向到指定页面。仅适用于静态类请求。当防护粒度选择响应头、状态码时，不适用于"重定向"动作。 JavaScript挑战：达到阈值后进行JavaScript挑战验证。仅适用于GET请求的HTML静态页面。当防护粒度选择响应头、状态码时，不适用于"JavaScript挑战"动作。 图片验证码：达到阈值后，响应图片验证码进行人机校验。仅适用于GET请求的HTML静态页面。当防护粒度选择响应头、状态码时，不适用于"图片验证码"动作。 源IP封禁：达到阈值后，将源IP封禁（封禁范围为针对该域名的请求，包括匹配静态文件过滤的请求）。仅适用于统计粒度为IP的场景。 规则名称 频率控制策略的规则名称 规则描述 策略的文字描述 统计粒度 支持选择URL、ARGS、HEADER、COOKIE、UA、IP。支持选择单粒度或两个粒度进行组合。 粒度缺失统计 当统计粒度选择两个粒度时，需要配置是否开启粒度缺失统计。选择是，粒度①且粒度②、粒度①、粒度②三种均可统计且均独立统计。选择否，则只支持粒度①且粒度②进行统计。 触发条件 配置一段时间周期，在这个周期内，您可以选择两种触发处理动作的方式。 方式1：统计粒度的请求达到N次时才执行处理动作 方式2：统计粒度的流量达到N （KB、MB、GB）时才执行处理动作 方式1和方式2同时选择，要两种条件同时满足，才会执行处理动作。 处理动作持续时间 处理动作的持续时长 防护范围 支持配置多个防护粒度，多个防护粒度为且关系，满足所有条件时，才触发处理动作 粒度选择：支持选择IP、IPS、地理位置、URI、PATH等十几种粒度 关系：等于/不等于 匹配内容：不同的粒度支持输入不同的匹配内容。一般支持输入多条，多条内容用英文符号;分隔 静态文件过滤 即无需检测的静态文件，需要填写文件后缀，配置后将不针对此类型的文件进行检测

扫描能力 通过公网IP直接扫描公网主机 通过跳板机扫描内网主机 操作系统安全补丁扫描 支持 支持 远程服务/协议漏洞扫描 支持 不支持 说明 远程服务/协议类漏洞的扫描依赖于扫描器与被测目标的相关端口直接交互，因此不能通过跳板机完成测试验证。 操作系统安全配置扫描 支持 支持 Web中间件安全配置扫描 支持 支持 等保合规扫描 支持 支持

本节介绍了云数据库GaussDB 的产品优势。 高安全 云数据库GaussDB 拥有TOP级的商业数据库安全特性：数据动态脱敏，TDE透明加密，行级访问控制，密态计算。能够满足政企&金融级客户的核心安全诉求。 健全的工具与服务化能力 云数据库GaussDB 已经拥有云服务商用服务化部署能力，同时支持DAS、DRS等生态工具。有效保障用户开发、运维、优化、监控、迁移等日常工作需要。

参数名称 值 描述 ssl on 默认启用SSL连接，不可修改。 sslcertfile /CA/server.pem SSL服务器证书文件的位置，不可修改。 sslciphers ALL:!ADH:!LOW:!EXP:!MD5:!3DES:!DES:@STRENGTH; 指定一个SSL密码列表，用于安全连接。用户可根据安全要求进行修改。推荐使用 EECDH+ECDSA+AESGCM:EECDH+aRSA+AESGCM:EDH+aRSA+AESGCM:EDH+aDSS+AESGCM:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!SRP:!RC4 sslkeyfile /CA/server.key SSL服务器私钥文件的位置，不可修改。 sslminprotocolversion TLSv1.2 设置要使用的最小SSL/TLS协议版本，用户可根据安全要求进行修改，推荐使用TLSv1.2及以上版本。

产品优势 使用简单 可以通过控制台或者API等方式快速创建和管理VPC。 网络自定义 VPC提供了自定义的网络管理功能，可以按需划分子网，通过配置路由表和路由规则，实现云上网络定制化。 安全隔离 VPC之间基于隧道技术进行隔离，VPC之间默认不互通，同时基于网络ACL和安全组做多重安全防护。 网络扩展 基于不同的业务需求，创建一个或者多个VPC内不同的子网来部署不同的业务类型，同时结合相应的云网络产品实现不同VPC之间互通、VPC与公网互通以及VPC和本地IDC互通，实现网络的扩展。 应用场景 根据业务需求通过VPC创建云上网络环境用于部署云上资源，并通过子网做进一步的网络细化管理，结合自定义路由功能对路由做精确控制，结合安全组和网络ACL做安全访问控制。 通过VPC对等连接或者VPN网关实现同地域下不同VPC或者不同地域下不同VPC的内网互通。 通过弹性公网IP、公网NAT和公网SLB实现VPC和公网之间的互通。 通过云专线或者VPN网关实现VPC和本地IDC之间的互通。 使用限制 限制 说明 VPC网段范围 使用10.0.0.0/8、192.168.0.0/16、172.16.0.0/12及其子网，其中子网最大的掩码支持28。 子网CIDR范围 子网CIDR的掩码范围最小为VPC网段的最小掩码，最大为29。 子网可用IP 每个子网网段中第一个、第二个和最后一个地址为预留地址，其他地址皆为可用地址。

本章节主要介绍DataArts Studio的开发一个Python脚本流程。 本章节介绍如何在数据开发模块上开发并执行Python脚本示例。 环境准备 已开通弹性云主机，并创建ECS，ECS主机名为“ecsdgc”。 说明 本示例主机选择“CentOS 8.0 64bit with ARM(40GB)”的公共镜像，并且使用ECS自带的Python环境，您可登陆主机后使用python命令确认服务器的Python环境。 已开通数据集成增量包，CDM集群名为“cdmdlfpyhthon”，提供数据开发模块与ECS主机通信的代理。 请确保ECS主机与CDM集群网络互通，互通需满足如下条件： − CDM集群与ECS主机同区域情况下，同虚拟私有云、同子网、同安全组的不同实例默认网络互通；如果同虚拟私有云但是子网或安全组不同，还需配置路由规则及安全组规则，配置路由规则请参见《虚拟私有云》帮助文档中的“添加路由信息”章节，配置安全组规则请参见《虚拟私有云》帮助文档中的“安全组 > 添加安全组规则”章节。 − CDM集群与ECS主机处于不同区域的情况下，需要通过公网或者专线打通网络。通过公网互通时，需确保CDM集群已绑定EIP，数据源所在的主机可以访问公网且防火墙规则已开放连接端口。 − 此外，您还必须确保该ECS主机与CDM集群所属的企业项目必须相同，如果不同，需要修改工作空间的企业项目。