本文简述如何查询指定IP是否为天翼云IP。 功能介绍 天翼云应用加速产品提供一种IP地址检测工具，您可以使用该工具检测某IP地址是否为天翼云节点IP，同时获取IP所属城市、运营商、机房地址、节点层级等信息。 应用场景 场景一：配置应用加速产品后，可通过该工具验证客户端的请求是否成功到达天翼云节点IP。如果不是天翼云节点IP，则代表应用加速配置未生效；如果是，则可以继续验证请求是否正常。 场景二：当您的应用访问异常时，可通过该工具查询用户访问的IP是否为天翼云节点IP，来排查应用异常的原因。如果IP地址是天翼云IP，您可以继续排查问题原因或者反馈给我们处理。如果IP地址不是天翼云IP，则要查看CNAME是否配置正确，DNS解析是否正常等。 使用方法 您可以使用查询IP所属城市，运营商，机房地址，节点层级接口检测IP是否属于天翼云IP。

远程登录开发机开启后,用户能够在本地或者其他设备上,使用终端或者VSCode远程登录开发机实例,通过SSH稳定且快速的建立连接。 前提 申请白名单：当前远程登录开发机暂未全网开放，需要联系平台增加账户白名单方可正常使用。 私有化版本：私有化版本平台需要确保部署了负载均衡和EIP，能够支持远程登录开发机功能。 镜像准备：当前仅支持平台预置的三款预装ssh相关组件的镜像进行远程登录操作。 状态：开发机处于运行中，且开发机成功绑定带EIP（弹性公网IP）的负载均衡ELB。 余额：平台会为您开启EIP，需要账号有足够余额能够满足EIP的开通，只有当所有开发机被删除后EIP才会被退订。 远程登录开发机 添加白名单：客户需要向平台申请加入运营后台开发机管理的白名单，添加进白名单的客户账号及其子账号可见平台远程登录的开关。需要提供相关信息给平台, 参数 说明 账户名 添加白名单后当前租户及其所有子账号可以开启开发机远程登录开关。 IP网段 输入当前用户的IP网段，例如：10.243.0.0/16。 本机生成密钥对：在本机上通过指令”sshkeygen“生成密钥对，生成的文件在”~/.ssh“文件夹下。 shell sshkeygen 选择带有SSH标签的系统预置镜像，镜像中预置了SSH登录所需要的ssh依赖，目前仅支持带有SSH标签的预置镜像开启远程登录开发机功能： 序号 镜像名称 1 ubuntu22.04teleformerscann8.2.rc1npu:v0.2.0.telechat25.post1.ssh 2 ubuntu22.04teleformerscann8.2.rc1npu:v0.2.0.post1.ssh 3 ubuntu22.04teleformerscuda12.4gpu:v0.5.ssh 配置SSH访问：当创建开发机时开启了"启用SSH"，可以通过详情页查看远程登录的访问配置。只有当开发机在运行中状态且EIP绑定成功时可以复制访问指令，绑定中可以通过点击“刷新”按钮获取最新的绑定状态，绑定失败时可以通过点击“刷新“按钮重试。 参数 说明 启用SSH 开关，默认关闭，开启后会产生EIP费用。 SSH公钥 输入框，最多可输入10个需要用分号分隔。 启用SSH后，开发机进入运行中状态且EIP绑定成功时可以查看公网访问指令： shell ssh i 这里填私钥地址 root@ip p port

本文简述OCSP Stapling功能的概念、使用前提和配置方法。 功能介绍 OCSP（Online Certificate Status Protocol）即在线证书状态协议，是一种互联网协议，用于验证SSL证书的有效性，以确保它未被吊销。开启OCSP Stapling功能后，将由边缘安全加速平台安全与加速服务器完成OCSP信息的查询工作。边缘安全加速平台安全与加速服务器通过较低频率的查询，将结果缓存到本地服务器中（默认缓存时间1小时）。当客户端与边缘安全加速平台安全与加速服务器进行TLS握手时，边缘安全加速平台安全与加速服务务器将本地缓存的OCSP信息以及证书一起发送给客户端，供客户端验证，客户端无需再查询数字证书认证机构（CA），极大地节省了客户端验证证书有效性的时间。 注意事项 使用OCSP Stapling功能前需先开启HTTPS。 OCSP Stapling功能默认关闭。 OCSP Stapling功能默认缓存1个小时，缓存过期后第一个访问请求OCSP Stapling不生效。 确保您的客户端支持OCSP扩展字段，如客户端不支持OCSP扩展字段，则此功能不生效。 配置了HTTPS加速的域名，可启用或者关闭OCSP Stapling功能，删除证书配置后，OCSP Stapling功能会同步失效。 配置说明 1.登录边缘安全加速平台控制台。 2.在域名基础配置页面，点击目标域名。 3.进入HTTPS配置页面，单击“编辑配置” 4.变更“OCSP Stapling”从关闭改为开启。

《天翼云账号注销条款》（“本条款”）系您与中国电信就您主动注销您的天翼云网门户账号（“天翼云账号”）相关事宜订立的有效协议。 特别提示： 《天翼云账号注销条款》（“本条款”）系您与中国电信就您主动注销您的天翼云网门户账号（“天翼云账号”）相关事宜订立的有效协议。 请您在提交账号注销申请前务必仔细阅读本条款及《注销提醒》，如有任何疑问，请您通过客服电话：400 810 9889联系咨询中国电信。 您勾选本条款并提交账号注销申请，即视为您已充分阅读、理解并同意本条款的全部内容。如果您不同意本条款的任何内容或者无法准确理解本条款任何内容，请不要提交账号注销申请。 自您提交账号注销申请时起，天翼云网门户将按照本条款对您的申请进行检查。对于不符合天翼云账号注销条件的，天翼云网门户将拒绝您的账号注销申请。 1. 账号注销条件 您申请注销天翼云账号应当满足下面全部条件： 1.1 拟注销的天翼云账号不存在下列任一情形，或者您已就相关事宜与天翼云达成一致： 欠费、欠票、待付费用，或者有可用余额； 尚未履行完毕的合同，生效中的订单、服务项目任何其他申请中的业务（包含但不限于正在申请新订单、正在申请退订/提现等）； 与任何天翼云代理商/服务商/分销商账号建立了关联关系； 与任何企业主账号、企业子账号建立了关联关系； 主用户账号下有关联子用户。 1.2 拟注销的天翼云账号不存在未缴纳的税款及其他依照法律法规要求应当履行而未履行的义务等情形； 1.3 您使用拟注销的天翼云账号以及通过该账号做出的一切行为和活动，不存在任何违反法律法规规定或违反您与中国电信约定的情形； 1.4 您拟注销的天翼云账号不存在被他人投诉，或被国家机关调查，或正处于诉讼、仲裁程序中的情形。 2. 注销方式 2.1 自助注销。为了保护您的天翼云账号安全，天翼云网门户仅向满足条件的用户提供自助注销服务。满足本条款第1条账号注销条件的用户可以通过本条款第3条列明的步骤自助注销天翼云账号。 2.2 其他方式注销。当您的天翼云账号不满足注销条件或因其他原因您无法自助注销天翼云账号的，而您又希望注销天翼云账号的，敬请联系天翼云网门户咨询和处理。 3. 自助账号注销步骤 3.1 您的自查 您提交账号注销申请前，请您自查是否满足本条款第1条的全部条件，否则您的账号注销申请可能因不满足注销条件而被拒绝。 3.2 账号注销应当由账号实名登记的用户本人提出。任何通过天翼云账号登录并提交的账号注销申请均被视为用户本人作出的行为。 3.3 您同意并确认，截至账号注销申请提交时，中国电信已按您与中国电信之间的《中国电信天翼云用户协议》及相关规则、具体产品/服务协议（含订单）的约定提供服务，不存在任何违约情形。 3.4 提出注销申请 在满足账号注销条件的前提下，您可以通过登录天翼云网门户，在 账号中心安全设置 页面点击“注销账号”、阅读并接受本条款，提交账号注销申请。 您应当保证，您注销天翼云账号并非为了规避、逃避正在或即将发生的纠纷，或主管部门的监管或执法机关的执法行动，或法律法规的相关规定等。 3.5 初次检查 （1）您提交账号注销申请后，天翼云网门户将实时、自动对您的申请是否满足注销条件进行系统内初次检查。 （2）初次检查结果将在天翼云网门户初次检查结果页面显示。 提示：天翼云网门户对申请仅进行初步、形式检查，您的账号注销申请通过天翼云网门户的初步检查，不代表中国电信放弃其依法或者根据相关合同约定而应享有的权利，也不意味着中国电信同意豁免、减轻或放弃追究账号注销前通过账号作出的所有行为而产生的责任，包括但不限于您因拟注销账号下存在的任何欠费、未缴纳税款而产生的责任。 （3）初次检查通过 对于通过初次检查的申请，经您在初次检查结果页面点击“确认”后，将进行身份验证，以确保是您本人操作。验证通过将进入下一步注销进程（见第4条）。但是，初次检查通过至注销完毕期间，如果您的天翼云账号出现不满足账号注销条件的任何情形，天翼云网门户有权拒绝您的账号注销申请、自行终止您账号注销进程而无需您同意。 （4）初步检查不通过 对于未通过初次检查的申请，初次检查结果页面将显示未通过检查的项目。账号注销申请未通过初次检查的，账号注销进程终止。如果您希望继续注销天翼云账号的，应当重新提起账号注销申请。 4. 关闭期 4.1 初次检查通过后并经您在初次检查结果页面点击“确认”和身份验证后，账号即进入48小时关闭期。 4.2 关闭期内，天翼云网门户将会对您的申请进行最终检查，再次检查您的申请是否满足注销条件。您可以在48小时关闭期届满后在天翼云网门户最终检查结果页面查看结果，并手动选择立即注销。 提示：天翼云网门户仅对您的申请进行形式检查，您的账号注销申请通过天翼云网门户的最终检查，不代表中国电信放弃其依法或者根据相关合同约定而应享有的权利，也不意味着中国电信同意豁免、减轻或放弃追究账号注销前通过账号作出的所有行为而产生的您的责任，包括但不限于您因拟注销账号下存在的任何欠费、未缴纳税款而产生的责任。 4.3 账号关闭期间，除以下服务外，您将无法使用天翼云网门户的服务（包括但不限于不可进行充值、订购、提现、下单、实名认证和变更等业务操作）： 登录天翼云网门户、查看账号信息和历史费用信息等； 浏览天翼云网门户内容，使用自助工具，如文档、智能客服。 4.4 关闭期内，您无法自助终止注销进程、恢复账号功能。您仅可以通过提交工单的方式联系天翼云网门户并经天翼云网门户同意后方可以终止注销进程、恢复账号功能。 5. 保留期 5.1 关闭期满账号即进入90天保留期。 5.2 账号保留期内，除以下服务外，您将无法使用天翼云网门户的服务（包括但不限于不可进行充值、订购、提现、下单、实名认证和变更等业务操作，云服务资源会被系统释放）： 登录天翼云网门户、查看账号信息和历史费用信息等； 浏览天翼云网门户内容，使用自助工具，如文档、智能客服。 5.3 保留期内，您可以通过点击“恢复账号”按钮自助终止注销进程、恢复账号功能。 5.4保留期内，您可以选择立即注销账号。您选择立即注销账号后，账号将被立即注销，账号注销的后果请见本条款第6条。 5.5 保留期届满，账号立即注销, 账号注销的法律后果请见本条款第6条。 5.6 注销后的账号关联信息（手机、邮箱等），在遵守《中国电信天翼云用户协议》及相关规则的前提下可以用于重新注册新账号。 6. 账号注销的后果 6.1 账号注销后（包括保留期满注销、您在保留期内选择立即注销以及通过其他方式注销账号的情形）的后果包括但不限于如下： 您将无法再次以此账号登录天翼云网门户、使用天翼云网门户的服务； 您将无法进行基于账号权限进行的其他操作； 您将无法找回该账号下的数据，包括但不限于用户信息、交易记录、业务数据、历史信息等； 天翼云网门户通过账号向您提供的服务终止。 6.2账号注销不代表您在业务注销前的所有相关行为和责任得到豁免或减轻。 6.3账号一旦注销即无法找回 。在提交账号注销申请前，您应当确保天翼云账号相关的所有数据（包括但不限于账号关联的用户信息、交易记录以及存储在天翼云网门户上的业务数据）均已迁出并妥善备份，或您同意完全放弃保留和找回该等数据的权利。您的账号注销后，天翼云网门户将根据《中国电信天翼云隐私政策》和法律法规要求，采取合理步骤以安全的方式销毁与您账号相关的数据或使其不可识别并不可被再次编辑、修改、使用，您将不能找回该等数据且无权要求天翼云网门户找回、恢复该等数据。因您未进行数据备份而造成数据或信息丢失的，天翼云网门户不承担任何责任。 7. 其他 7.1 本条款构成《中国电信天翼云用户协议》不可分割的一部分，本条款未约定的事项，应当以中国电信与您签订的《中国电信天翼云用户协议》或其他合同为准。 7.2本条款仅适用于您主动申请的情形，但不适用于天翼云网门户根据《中国电信天翼云用户协议》约定或法律法规要求注销账号的情形。

本节介绍态势感知的威胁告警功能简介。 背景信息 态势感知威胁告警功能汇集了多个安全服务的告警能力，按照告警类型和等级统一维度呈现，可以准确实时监控云上威胁攻击、检测您资产中的安全告警事件。 同时，通过威胁分析，从攻击源和受攻击资产两个维度，帮助您及时发现资产中的安全威胁、实时掌握您资产的安全态势。 态势感知威胁告警支持以下功能项： 告警列表：通过“实时监控”云上威胁告警事件，并接入HSS、WAF等服务上报的告警事件，提供告警通知和监控，记录近180天告警事件详情。 威胁分析：从“攻击源”或“被攻击资产”查询威胁攻击，统计威胁攻击次数或资产被攻击次数。 告警类型 目前SA支持检测8类威胁告警事件，共包括200+种子告警类型。 DDoS事件 “实时检测”互联网主机的DDoS攻击。 共支持检测100+种子类型的DDoS威胁。 网络层攻击：NTP Flood攻击、CC攻击等。 传输层攻击：SYN Flood攻击、ACK Flood攻击等。 会话层攻击：SSL连接攻击等。 应用层攻击：HTTP Get Flood攻击、HTTP Post Flood攻击等。 暴力破解事件 “实时检测”入侵资产的行为和主机资产内部的风险，检测SSH、RDP、FTP、SQL Server、MySQL等账户是否遭受的口令破解攻击，以及检测资产账户是否被破解异常登录。 共支持检测22种子类型的暴力破解威胁。 支持检测的暴力破解威胁 包括SSH暴力破解（2种）、RDP暴力破解、MSSQL暴力破解、MySQL暴力破解、FTP暴力破解、SMB暴力破解（3种）、HTTP暴力破解（4种）、Telnet暴力破解。 接入的HSS服务上报的告警事件 包括SSH暴力破解、RDP暴力破解、FTP暴力破解、MySQL暴力破解、IRC暴力破解、Webmin暴力破解、其他端口被暴力破解、系统被成功爆破事件。

天翼AI云电脑是不是和正常电脑用起来一样的？ 天翼AI云电脑和正常电脑的使用体验接近，使用天翼云电脑客户端登录您的帐号，可以快速登录使用了，所有软件及文件数据存在云端，更安全便捷。 其他运营商的网络能否接入？ 只要能接入互联网，不管是手机、宽带、WIFI都可以接入，但是建议您优先使用中国电信的网络，质量和体验更有保障。 是否可以设置计算机账户和密码？ 您可以在天翼AI云电脑“控制面板”中的“用户帐户”中设置计算机账户和密码。但天翼AI云电脑连接时默认选择administrator帐户登录。 移动客户端APP是否支持指纹识别安全登录？ 可以在“我”页面中的“账号与安全”，进入账号与安全页面。 开通指纹识别的设置后，退出应用后再次打开则需要指纹识别安全登录。 天翼AI云电脑的单台出口带宽不够，感觉什么也干不了？ 天翼AI云电脑（政企版）的上行带宽是通过用户自行开通或分配带宽大小，默认提供300M下行带宽，购买超过300M上行带宽时上下行对称。 天翼AI云电脑登录提示"无法连接服务器，请稍后再试"怎么办？ 排查方法： 1. 若为互联网登录请检查本地外网访问是否正常。 2. 若为专线接入，请telnet 专线接入地址 8810是否通，如专线接入地址：10.125.78.16 ，可以使用Windows系统下的“命令提示符”软件，输入“telnet 10.125.78.16 8810” 确认结果是否是否通，若不通请排查网络。

本文介绍零信任服务态势大屏。 背景说明 零信任态势大屏功能可协助企业快速查看对应的办公态势，内容包括企业终端安全、风险设备数、软件运行情况、设备资产、内网应用访问情况、内网安全防护、用户分布。 操作步骤 1. 登录边缘安全加速平台控制台，进入【零信任】控制台。 2. 在左侧导航栏，单击【态势大屏】。 功能说明 注意 零信任态势大屏功能需零信任服务套餐版本为企业版，详细版本差异可查看 基本设置 管理员可选择统计周期，刷新间隔，支持切换到边缘安全加速平台其他产品的态势大屏。 终端安全 统计企业终端设备的安全情况，展示合规检测、待处理病毒个数。 风险设备数 软件运行情况

section79c424056eee864f) 用户需开通服务，才能使用服务器安全卫士（原生版）对云主机进行防护。 步骤二：接入防护 查看防护状态 购买防护配额 切换版本 开通服务后，需要在服务器列表页面确认云主机资产的防护状态，确保所有待防护的云主机已开启防护，且Agent状态为“在线”，防护状态为“防护中”。 购买企业版配额并切换防护版本为企业版后，才能正常使用企业版对云主机进行防护。 步骤三：防护配置 配置入侵检测：配置异常登录白名单 开启定时漏洞扫描 配置基线检测策略 开启弱口令定时检测 开启定时扫描病毒 当云主机接入防护后，用户还需要根据业务需求进行防护配置。 其中入侵检测已默认开启防护，无特殊需求，无需再手动配置。避免异常登录误报，建议将常用登录IP、登录用户名、登录地区、登录时间等添加到白名单。 步骤四：通知设置 [开启告警通知](

通过控制台“AI风险概览”为您呈现推理安全、语料安全、环境安全的风险态势。 操作场景 AI风险概览实时为您呈现大模型合规态势，支持大模型的数据语料风险运营、推理业务风险运营和环境安全风险运营，实时呈现大模型的风险概览，助您识别大模型风险和潜在威胁。 推理安全：基于WAF攻击日志和访问日志，分析呈现大模型接口的调用请求次数、调用请求命中防护策略数、以及命中防护策略数排名前5的推理模型域名和数量、提示词注入的攻击分布、推理模型攻击类型分布等。 语料安全：基于DSC告警日志，分析呈现大模型中的语料风险类别和数量、TOP5语料风险资产分布等。 环境安全：基于态势感知（专业版）基线检查、漏洞管理、告警管理功能，分析呈现当前工作空间的TOP5合规检查风险、TOP5漏洞风险、TOP5告警和最近攻击列表。 前提条件 推理安全 依赖Web应用防火墙 WAF服务，在使用AI风险概览的推理安全功能模块前需要确保Web应用防火墙 WAF服务在有效使用期内，且仅WAF云模式支持。 语料安全 依赖数据安全中心DSC服务，在使用AI风险概览的语料安全功能模块前需要确保大模型数据安全防护在有效使用期内。 已经在态势感知（专业版）控制台接入“WAF攻击日志”，“WAF访问日志”和“DSC告警日志”。接入云服务日志请参见接入日志数据。 仅态势感知（专业版）专业版支持。

本节介绍如何通过安全看板查看IPS防护信息。 您可通过安全看板快速查看攻击防御功能（IPS、反弹Shell、敏感目录扫描、病毒防御）的防护信息，及时调整IPS防护。 通过安全看板查看IPS防护信息 1. 登录管理控制台。 2. 在左侧导航栏中，单击左上方的，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在左侧导航栏中，选择“攻击防御> 安全看板”，进入“安全看板”页面。 5. 在页面上方，选择“互联网边界”或“VPC边界”页签。 6. 查看防火墙实例下防护规则的统计信息，您可以在下拉框中选择查询时间。 安全看板：IPS检测到的攻击总数、放行/拦截的总数、被攻击的端口个数。 攻击趋势：IPS阻断或放行的流量次数。 可视化统计：IPS检测/拦截到的攻击参数TOP 5的排行，参数说明如下。单击单条数据查看攻击事件详情。 参数名称 参数说明 攻击类型 攻击的类型。 TOP内部攻击来源IP 云内资产攻击外部IP时，云内资产的IP。 TOP外部攻击来源IP 外部IP攻击云内资产时，外部的IP。 TOP外部攻击来源地区 外部IP攻击云内资产时，外部IP的来源地区。 TOP攻击目的IP 攻击事件中的目的IP。 TOP被攻击端口 攻击事件中受到攻击的端口。 TOP攻击统计： 查看指定时间段内IPS检测/拦截中攻击次数TOP 50信息。 TOP攻击来源统计：来源IP、来源类型等信息。 TOP攻击目的统计：目的IP、目的端口、目的应用等信息。 说明 该IP地址是正常数据：单击“操作”列的“加白名单”，快速将该IP地址加入至白名单中，后续CFW将直接放行该IP地址的流量。 该IP地址是恶意攻击：单击“创建为地址组”或“添加到地址组”快速将多个IP地址添加至地址组中，添加后手动配置阻断的防护规则拦截恶意攻击，配置防护规则请参见“通过添加防护规则拦截/放行流量”。

人脸识别是天翼云自研AI平台提供的产品之一，通过自主研发人脸识别算法模型，提供人脸系列API服务，包括人脸检测、人脸属性识别、人脸比对等能力。通过订购天翼云人脸识别产品，可将此服务快速高效的部署到您的应用中，为开发者和企业提供高性能的在线API服务和解决方案，针对图片进行分析，可应用于人脸识别和认证、安防考勤等各种场景。 本说明提供了人脸识别产品API的描述、语法、参数说明及示例等内容。

正常响应示例 { "code": 100000, "message": "success", "result": [ { "cdnip": "true", "nodelevel": " ", "ipv6": "xxx:xxx:xxx:xxx::xxx", "roomaddress": " ", "areacnname": "呼和浩特市", "ispName": "电信", "areaenname": "huhehaote" }, { "cdnip": "true", "nodelevel": " ", "ipv4": "xx.xx.xx.xx", "roomaddress": " ", "areacnname": "通州区", "ispName": "电信", "areaenname": "tongzhou" } ] }

本节主要介绍智能视图服务的产品优势。 天翼云智能视图服务具有以下优势： 就近接入 资源节点遍布全国，服务就近接入、高效稳定。 云原生架构 按需接入，弹性扩缩容，服务即开即用，免运维。 高可用 全网业务多级调度，高可用服务保障。 接入广泛 支持海量设备纳管、支持多厂商设备、支持丰富的接入协议。 高效视频云存储 流直存云服务技术，视频云端存储更高效。 AI能力丰富 一体化的智能视图分析服务，丰富的算法模型。 开放生态 提供开放接口，可灵活对接业务平台，加速场景落地。 数据安全 支持专线接入，保障客户数据与互联网物理隔绝。

CMSAgent为何无法启动？ 检查网络：源机与平台之间通讯是否成功。 具体步骤请参见检测目标机。 Windows Agent双击无法运行 问题描述 安装Windows Agent，双击CMSAgent安装程序没有响应，无法进入安装向导。 问题分析 系统设置的安全策略锁定了该文件，需要解除对该文件的锁定。 解决方案 右键单击CMSAgentpy.运行程序查看属性，勾选“解除锁定”，单击“确定”，然后重新运行。 CMSAgent（Windows）安装提示“缺少json.dll文件，Agent启动失败”，应当如何处理？ 1. 确认CMSAgent（Windows）的程序是否已解压。如果没有解压，请将其解压并重新启动程序。 2. 检查json.dll文件是否被误删除。若是，请重新于平台测下载程序安装包。 3. 检查防火墙是否误认为该程序有风险，并对其进行了查杀。如果是，请将CMSAgent加入白名单，或将防火墙关闭后重新启动程序。 4. 如果上述步骤均未能解决问题，建议重新从平台侧下载并解压CMSAgent程序后再进行启动。 Linux安装Agent 输入AK/SK提示“The host has been bound by another user;Installation failed!”如何处理？ 原因：该设备已被别的平台注册。 处理方式： 原注册cms服务平台删除此设备任务 登录迁移源端输入指令进行删除：rm rf /etc/.moveclouduuid。 注意 rm操作具有一定风险，请确认操作影响后执行。 Windows 2008 Agent启动后无法粘贴AK/SK该如何处理？ 您可以使用crt、xshell等终端软件粘贴命令进行粘贴。

此小节介绍企业主机安全支持的云服务器类型和操作系统。 支持的云服务器类型 弹性云主机（Elastic Cloud Server，ECS） 支持的操作系统 企业主机安全服务的Agent可运行在CentOS、EulerOS等Linux系统以及Windows 2012、Windows 2016等Windows系统的主机上。 已停止服务的Linux系统版本或者Windows系统版本，与Agent可能存在兼容性问题，建议重装或者升级为Agent支持的操作系统版本，以便获得主机安全更好的服务体验。 CentOS 6.x版本由于Linux官网已停止更新维护，主机安全平台也不再支持CentOS 6.x及以下的系统版本，谢谢您的理解！ 说明 部分操作系统版本下的个别子版本存在不支持的情况，会陆续上线支持，感谢您的理解与支持。 HCE 2.0当前暂不支持漏洞检测和配置检测功能，将会根据后续版本迭代上线。 操作系统类型 系统架构 支持的操作系统版本 Linux X86 CentOS 7.4、7.5、7.6、7.7、7.8、7.9、8.0、8.1、8.2、9（64位） Debian 9、10、11.0.0、11.1.0（64位） EulerOS 2.2、2.3、2.5、2.7、2.9（64位） Fedora 28（64位） OpenSUSE: 15.3 (64bit) Ubuntu 16、18、20.03、20.04、22.04（64位） RedHat 7.4、7.6、8.0、8.7（64位） OpenEuler 20.03 LTS、22.03 SP3 LTS、22.03（64位） AlmaLinux 9.0（64位）RockyLinux 8.4、8.5、9.0（64位） HCE 2.0（64位） Linux ARM CentOS 7.4、7.5、7.6、7.7、7.8、7.9、8.0、8.1、8.2、9（64位） EulerOS 2.8、2.9（64位） Fedora 29（64位） OpenSUSE: 15 64bit with ARM(40GB) Ubuntu 18（64位） kylin V7、V10（64位） NeoKylin: V10 (aarch64bit) HCE 2.0（64位） 统信UOS V20（64位） Windows X86 Windows Server 2019 数据中心版 64位英文(40GB) Windows Server 2019 数据中心版 64位简体中文(40GB) Windows Server 2016 标准版 64位英文(40GB) Windows Server 2016 标准版 64位简体中文(40GB) Windows Server 2016 数据中心版 64位英文(40GB) Windows Server 2016 数据中心版 64位简体中文(40GB) Windows Server 2012 R2 标准版 64位英文(40GB) Windows Server 2012 R2 标准版 64位简体中文(40GB) Windows Server 2012 R2 数据中心版 64位英文(40GB) Windows Server 2012 R2 数据中心版 64位简体中文(40GB) 说明 若服务器安装了第三方安全防护软件，请先停止第三方安全防护软件的防护功能，待Agent安装完成后再开启。

接口描述 针对图片中的身份证，进行OCR检测，返回检测到的姓名、身份证号码等信息。 支持识别一张图片中有一个身份证正面或者反面的图像，也支持识别一张图片中有一正一反身份证图像。 当图片中包含两个正面、两个反面、三个（含）以上身份证图像时，会选择像素面积最大的一个身份证图像返回识别结果。 请求方法 POST 接口要求 图片格式限制：目前仅支持 jpg、jpeg、png、bmp 等常见格式 图片大小限制：图片单张大小不超过 10MB，批量请求单次不超过 5张 图片尺寸限制：图片像素尺寸应大于 32x32，小于 5000x5000 URI /v1/aiop/api/2f3os7qq79xc/IdentityCard/ocr/v1/idcard.json 请求参数 1.请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String json 格式 application/json appkey 是 String 平台应用appkey 562b89493b1a40e1b97ea05e50dd8170 ctyuneoprequestid 是 String 用户请求 id，由用户构造，用户可以通过 uuid 等方法自行生成唯一字符串，用于日志请求追踪。 详见文档：Python3调用示例 33dfa732b27b464fb15a21ed6845afd5 eopdate 是 String 请求时间，由用户构造，形如 yyyymmddTHHMMSSZ。 详见文档：Python3调用示例 20211221T163014Z host 是 String 终端节点域名，固定字段 aiglobal.ctapi.ctyun.cn EopAuthorization 是 String 由天翼云官网 accessKey 和 securityKey 经签名后生成，参与签名生成的字段包括天翼云官网 accessKey 、securityKey、平台应用的appkey（非必须），用户请求 id（非必须），请求时间，终端节点域名（非必须）以及请求体内容。 签名逻辑详见文档：认证鉴权和Python3调用示例

产品优势：极简部署、智能防护、可视可溯、丰富生态 极简部署 作为一款云SaaS服务，可以对公网资产、内部资产自动安全盘点，一键开启防护，支持原有安全策略一键导入，可随业务按需动态扩容。 智能防护 AI算法实时检测和拦截恶意流量；并通过自带的入侵防御引擎（IPS），对恶意流量进行实时检测和精准防御。 可视可溯 全场景流量日志、访问日志、入侵攻击日志记录，并通过报表分析呈现，支持审计及高级威胁溯源分析。 丰富生态 支持无缝集成第三方厂家威胁检测分析引擎，云上云下统一生态，客户原线下安全策略资产无缝平移。

安全体检支持增加授权体检IP数量，用户可根据自身需求输入要增加的规格数量。 安全体检支持增加授权体检IP数量，用户可根据自身需求输入要增加的规格数量，然后点击立即升配并支付。 注意 单个规格包含5个互联网IP授权，如果您需要增加6个互联网IP，仅购买2个互联网安全体检即可。 操作步骤 1. 登录产品控制台。 2. 点击控制台增加按钮，跳转到安全体检产品增项页面。 3. 在升配页面，输入互联网安全体检规格订购数量，并点击“立即升配“按钮，跳转到支付页面。 4. 在“支付”页面，请选择付款方式进行付款。 5. 付款成功后，返回产品控制台，查看升配结果。 6. 订购完成后，即可开始录入体检IP及通知信息。

本章介绍SaltStack远程命令执行漏洞。 近日，天翼云关注到国外安全研究人员披露SaltStack存在两个严重的安全漏洞。Saltstack是基于python开发的一套C/S自动化运维工具，此次被爆当中存在身份验证绕过漏洞（CVE202011651）和目录遍历漏洞（CVE202011652），攻击者利用漏洞可实现远程命令执行、读取服务器上任意文件、获取敏感信息等。 天翼云提醒使用SaltStack的用户尽快安排自检并做好安全加固。 漏洞编号 CVE202011651 CVE202011652 漏洞名称 SaltStack远程命令执行漏洞 影响范围 影响版本 ： 低于SaltStack 2019.2.4的版本 低于SaltStack 3000.2的版本 安全版本 ： SaltStack 2019.2.4 SaltStack 3000.2 官网解决方案 目前官方已在最新版本中修复了这两处漏洞，请受影响的用户及时升级到安全版本。下载地址： Salt Master默认监听端口为“4505”和“4506”，用户可通过配置安全组，禁止将其对公网开放，或仅对可信对象开放。 检测与修复建议 天翼云企业主机安全服务对该漏洞的便捷检测与修复。检测相关系统的漏洞，并查看漏洞详情，详细的操作步骤请参见漏洞管理。 漏洞修复与验证，详细的操作步骤请参见漏洞管理。 手动检测漏洞 检测主机是否开放了“4505”和“4506”端口。 如果检测到开放了“4505”和“4506”端口，建议关闭该端口，或者仅对可信对象开放。 开放端口检测 检测利用此漏洞的挖矿木马，并通过控制台隔离查杀挖矿木马。 隔离查杀挖矿木马。 隔离查杀

步骤5：检查配置是否准确 检查网站信息是否填写正确，包括域名、端口、协议、回源IP等内容。 检查是否有特殊端口。如果有特殊端口需求，您可以将需要使用的HTTP/HTTPS访问端口提交工单，由天翼云客服人工配置。只有专业版和旗舰版支持配置特殊端口。 检查上传的HTTPS证书是否正确，证书是否合法有效，证书链是否完整。 检查源站是否有防火墙或访问限制，是否已加白WAF的回源IP。 步骤6：验证业务是否正常 验证在各环境下是否都能正常访问业务系统，观察请求的状态码是否异常。 验证业务系统登录后的会话是否保持正常。 如果有手机端业务，检查是否有SNI兼容问题。 是否有配置只允许WAF回源IP访问源站，防止攻击者绕过WAF直接攻击源站。 步骤7：安全运营 统计分析 您可以通过该模块查看CC攻击报表、WAF攻击报表、业务分析、热门分析等功能，详情请参考：安全运营统计分析。 告警管理 您可以通过该模块配置告警规则及查看告警记录，详情请参考：安全运营告警管理。 日志服务 该模块提供了WAF攻击日志、CC攻击日志的查看与导出功能，以及下载业务的访问日志的功能，详情请参考：安全运营日志服务。 态势感知 通过态势感知模块，您可以实时查看到业务整体的攻击情况，详情请参考：安全运营态势感知。

梳理网站的历史访问与攻击情况 单用户的访问频率一般有多少，有助于后续制定合适的频率控制策略。 是否遭受过大流量网络层攻击，判断是否需要开通DDoS服务以及开通多少防护规格。 是否遭受过大量高频的CC攻击，有助于提前配置对应的CC防护策略。 域名接入安全与加速服务 新增域名 需要进入边缘安全加速平台控制台的安全与加速服务，添加加速域名成功后，将域名DNS解析到域名的CNAME，具体操作见新增域名。 配置域名基础配置 根据需求针对域名的回源配置、Websocket、HTTPS配置、IPv6等进行更高级的配置，具体操作见基础配置。 配置域名加速配置 根据需求针对域名的缓存相关配置进行配置，具体操作见缓存配置。 配置域名防护策略 域名接入边缘安全加速平台后，您可根据网站业务需求选择合适的防护策略，具体操作见网站防护配置。 安全基础配置 选择适合您的网站防护模式，默认为告警模式；漏洞防护配置一般情况下建议选择敏感防护规则集，适用于常规网站，且允许少量误报的业务场景。 高级防护 安全与加速服务提供高级防护功能，包括CSRF防护、cookie防护、敏感词防护、攻击挑战、广告防护、网页防篡改等，高级防护功能默认为关闭状态，您可以根据业务需要选择开启响应的防护功能。 访问控制 访问控制可针对IP,IP段，URI，METHOD，请求地区，请求参数，请求头部，请求协议进行组合，设置白名单和黑名单，对请求进行拦截和放行， 保证客户网站不受未知访问的攻击 。 合规检测 合规检测功能可以根据用户实际配置的条件，检查HTTP协议头部，对HTTP请求信息中的方法以及参数长度等信息进行检测，对不符合要求的请求项进行拦截或告警。 域名规则配置 使用基于正则的规则防护引擎和基于机器学习的 AI 防护引擎，进行 Web 漏洞和未知威胁防护， 您可以查看对应的防护规则 ，根据您的业务需求选择开启或关闭规则。 CC配置 CC防护根据访问者的URL，频率、行为等访问特征，迅速智能地识别CC攻击并进行拦截，在大规模CC攻击时可以避免源站资源耗尽，保证企业网站的正常访问。

回调消息即需要云通信平台通知客户的消息。例如短信发送之后，接收平台推送的短信发送状态和用户回复的短信内容，随时掌握短信的发送成功率和用户的反馈信息。 配置回调消息接收URL 如果需要接收回执消息，必须先在控制台上开启消息接收。 1. 登录云通信控制台。 2. 在左侧导航栏中选择 消息设置 。 3. 在事件回调配置 中分别配置 状态报告通知URL 、 事件回调URL 、用户回复URL。 回调消息类型 名称 描述 HTTP批量推送模式 ::: smsMo（上行短信消息） 上行短信指用户发送给通信服务提供商的短信，用于定制某种服务、完成某种查询、或是办理某种业务等。通过订阅SmsMo上行短信消息，可以获知终端用户回复短信的内容。 smsMo smsReport（短信状态报告） 与上行短信相对应的是下行短信。下行是指用户收到的短信，例如运营商发送的消息通知、业务提醒等短信。通过订阅SmsReport短信下行状态报告，可以获知每条短信的发送情况，了解短信是否达到终端用户的状态与相关信息。 smsReport eventReport（事件回调消息） 可以查询签名，模板的审核状态。 eventReport

本文带您了解AI Store四大类服务的应用场景。 算力服务 智能算力 聚焦人工智能、大模型训练、科研仿真等“高并发、高浮点、高宽带”的需求，提供GPU/TPU/NPU等异构加速资源，助力AI创新从“可用”走向“好用”。 主要面向客户：大模型预训练、AIGC、多模态理解等AI企业与算法公司，高校与科研院所，自动驾驶团队以及医疗影像AI厂商等客户。 通用算力 面向Web服务、ERP、数据库、开发测试、办公协同等常规业务，以“按需付费、秒级开通”模式提供高性价比的基础算力。 主要面向客户：中小企业、初创团队、政府及事业单位（如一网通办、公共数据平台、政务云开发测试环境）等客户。 模型服务 模型推理 提供高性能的模型调用服务，可以通过标准的API接口将平台提供的大模型服务集成到自己的业务系统中，提供模型推理一站式部署服务。 主要面向用户：各种软件开发商，特别是行业软件开发商，以及科研院所、大专院校和教育机构、政府、金融机构、工业企业、科技单位、医院等行业客户。 模型应用 大模型与插件工具的结合能够有效拓展其在复杂任务中的实用性，支持接入私有知识库增强领域应答，集成联网搜索获取实时信息。 主要面向用户：需要组合模型和工具提供智能办公、智能客服、智能运维能力以及业务主要为知识密集型场景和特定内容生成的企业。 AI应用服务 搭建专属的智能体应用：基于应用广场筛选快速定位所需行业应用，一键部署，简化传统应用安装与配置的复杂流程。实现应用部署、运维和治理的全生命周期管理能力。 主要面向客户：需要快速集成AI能力形成垂直SaaS服务的行业服务集成商，电商/新媒体运营团队，初创公司与个人开发者等客户。 MCP服务 MCP（Model Context Protocol）即模型上下文协议，它为应用程序与大语言模型（LLM）之间的数据、工具和上下文交互提供了统一的接口和标准。 AI Store的MCP市场涵盖内容生成、网页搜索、效率工具等多种类型，全面支撑企业各类智能应用场景。以网页搜索为例，智能体可借助MCP网页搜索功能，通过自然语言提问，就能获取最新的网络信息。 主要面向客户：AI开发者、企业用户、科研人员和普通个人用户等，更有效的利用AI大模型完成各种任务。

本文介绍零信任办公组网。 什么是办公组网 办公组网为边缘安全加速平台网络服务中的一个产品能力，依托中国电信优质的节点资源，是旨在为企业提供安全、高效、智能的网络连接，满足企业分支互访、多云互联等多种场景。 办公组网可以解决什么问题 全球组网 深度融合“零信任安全架构”与CDN全球化网络能力，为企业提供安全高效的组网及加速一体化解决方案，助力企业无缝连接全球业务节点，优化跨境访问体验，保障数据传输的安全性与合规性。 其中，天翼云AOne零信任服务以“安全无界、加速无阻”为核心，为企业全球化发展构建智能、可靠的新型网络基础设施，实现跨境业务安全与效率的双重突破。 云间互联互通 AOne零信任服务支持混合云组网，轻松构建企业分支、私有云、公有云不同地域VPC 、用户IDC 等多云互联。同时天翼云拥有全球2800+个节点，TB级网络，保证大带宽和低时延通信。只需要在私有云或者公有云之间部署连接器，全程数据加密，多路负载均衡，提供云间安全、高速、稳定的专用网络。 办公组网功能优势

本章节主要介绍数据仓库服务在不同场景下的应用。 增强型的ETL+实时BI分析 数据仓库在整个BI（businessintelligence）系统中起到了支柱的作用，更是海量数据收集、存储、分析的核心。为IoT、移动互联网、游戏行业、O2O（Online to Offline）等行业提供强大的商业决策分析支持。 电商场景 电商的数据分析，主要用于支撑营销推荐、运营分析、全文检索、客户分析等业务。 物联网场景 物联网（IoT）所产生的数据，通过构建数据仓库，围绕海量的数据进行实时分析并进行反馈优化。应用在工业IoT、O2O业务系统、车联网等解决方案。

本节介绍服务器安全卫士（原生版）安全概览。 最近7日待处理风险 如下图所示，最近7日待处理风险展示您服务器的入侵检测、病毒文件、漏洞、安全基线和网页防篡改风险，和该项风险对应的服务器数量。 入侵检测 风险主机：展示7日内所有待处理的入侵检测事件个数，点击数字时会跳转到“入侵检测 > 告警中心”页面；风险主机统计7日内有入侵风险的服务器，包括所有的云主机和物理机，同一台服务器有不同的入侵风险时不重复叠加。 病毒文件 风险主机：展示7日内所有待处理的病毒文件个数，点击数字时会跳转到“文件安全 > 病毒查杀”页面；风险主机统计7日内有病毒文件的服务器，包括所有的云主机和物理机，同一台服务器有不同的病毒文件时不重复叠加。 漏洞风险 风险主机：展示7日内所有待处理的漏洞风险个数，点击数字时会跳转到“风险管理 > 漏洞扫描”页面；风险主机统计7日内有漏洞风险的服务器，包括所有的云主机和物理机，同一台服务器有不同的漏洞风险时不重复叠加。 安全基线 风险主机：展示7日内所有未处理的安全基线风险个数，包括基线检测和弱口令检测个数之和，点击数字时会跳转到“风险管理 > 基线检测”页面；风险主机统计7日内有基线风险的服务器，包括所有的云主机和物理机，同一台服务器有不同的基线风险时不重复叠加。 网页防篡改 风险主机：展示7日内所有未忽略的文件异常的事件数，点击数字时会跳转到“网页防篡改（原生版）> 防护状态”页面；风险主机统计7日内有网页篡改事件的服务器，包括所有的云主机和物理机。 说明 网页防篡改为增值服务，需要单独购买。若您未订购网页防篡改（原生版），则统计数字均显示为0。

Apache Log4j远程代码执行漏洞攻击，云防火墙如何启用检测和防御？ Apache Log4j2存在一处远程代码执行漏洞（CVE202144228），在引入Apache Log4j2处理日志时，会对用户输入的内容进行一些特殊的处理，攻击者可以构造特殊的请求，触发远程代码执行。目前POC已公开，风险较高。 12月16日，官方披露低于2.16.0版本除了存在拒绝服务漏洞外，还存在另一处远程代码执行漏洞（CVE202145046）。 Apache Log4j2是一款业界广泛使用的基于Java的日志记录工具。天翼云提醒使用Apache Log4j2的用户尽快安排自检并做好安全加固。 云防火墙CFW已支持检测和拦截Apache Log4j2 远程代码执行漏洞。 漏洞名称 Apache Log4j 远程代码执行漏洞。 影响范围 影响版本：2.0beat9 < Apache Log4j 2.x < 2.16.0（2.12.2 版本不受影响）。 已知受影响的应用及组件：springbootstarterlog4j2/Apache Solr/Apache Flink/Apache Druid。 安全版本： Apache Log4j 1.x 不受影响。 Apache Log4j 2.16.0。 防护建议 登录CFW控制中心，在CFW页面建议操作如下： 1. 需要购买云防火墙CFW服务的标准版，详细操作请参考购买云防火墙。 2. 启用入侵防御的基础防御功能，并开启拦截模式，详细操作请参考配置入侵检测策略。 Spring Framework远程代码执行漏洞攻击，云防火墙如何启用检测和防御？ Spring是一款主流的Java EE轻量级开源框架，面向服务器端开发设计。近日，Spring框架被曝出可导致RCE远程代码执行的漏洞（CVE202222965），该漏洞攻击面较广，潜在危害严重，对JDK 9及以上版本皆有影响。 云防火墙CFW已支持检测和拦截Spring Framework远程代码执行的漏洞攻击。

本文主要介绍流量镜像应用场景。 网络流量检查： 当您需要进行网络入侵检测时，通过流量镜像功能可以镜像您所需的网络流量。获取到流量后，您可以使用安全软件对流量进行全面分析检查，快速查找安全漏洞，确保网络安全。 网络流量审计： 通过流量镜像功能，您可以将流量镜像到指定的平台进行审计分析，适用于金融等对安全性要求比较高的业务场景。 网络问题定位： 通过流量镜像功能，运维工程师直接查看镜像的流量来排查问题，而不用通过业务服务器抓取报文，避免了运维期间可能对业务造成的影响。

产品功能 功能详情 视图接入 设备接入：支持GB28181/GB35114/GA1400/RTMP/RTSP/EHOME等多种标准协议设备直接接入。 平台接入：支持下级GB28181平台级联接入，支持下级GA1400视图库接入。 网关接入：支持局域网内设备通过边缘网关批量上云，支持主流视频厂商私有SDK协议、Onvif标准协议设备接入。 视图存储 录制模板：支持配置录像存储天数、自动录制、按需录制等。 视频存储：支持视频流实时全量存储，按需存储。 图片存储：支持抓拍机/AI设备等多种设备抓拍上传存储。 存储优势：支持纠删码方式进行分布式存储，具备流直存能力。 视图分发 直播分发协议：支持输出RTMP/FLV/HLS/WebRTC协议。 点播分发协议：支持输出HLS协议，MP4录像文件下载。 视频共享：支持向上级GB/T28181平台共享设备视频数据，支持向上级GA/T 1400视图库共享图片数据。 视图分析 算法仓库：支持算法仓库管理，高效的GPU算力资源调度、算法编排，算法与设备灵活绑定。 场景API：支持人脸识别、人体属性检测、车牌识别、城市治理多场景API。 告警回调：支持将分析结果通过回调配置，同步给其他平台。 访问管理 访问控制：管理员可以根据用户职责，创建不同的IAM用户并分配不同的访问权限，包括分配不同的设备访问资源和设备操作权限。 跨账号资源访问：支持委托信任的天翼云账号安全共享设备资源，支持灵活分配共享的资源权限范围。 开放平台 具备OpenAPI接口：平台所有原子化能力可以通过OpenAPI接口提供给应用平台。 具备API Explorer能力：可以通过API Explorer在线调试OpenAPI接口。 视频调阅 实时预览：支持多分屏、云台控制、电子缩放、语音对讲、实时截图。 录像回放：支持多分屏、倍速、同步/异步放像、电子缩放、录像截图、录像下载。 视图查看：支持视图数据查询及基本信息查看。 电子地图：支持平面/3D/卫星地图模式切换、支持多种点位汇聚模式。

事件类型 告警名称 告警说明 企业版 旗舰版 网页防篡改版 加入告警白名单 隔离查杀 恶意软件 恶意程序 恶意程序可能是黑客入侵成功之后植入的木马、后门等，用于窃取数据或攫取不当利益。 例如：黑客入侵之后植入木马，将受害主机作为挖矿、DDoS肉鸡使用，这类程序会大量占用主机的CPU资源或者网络资源，破坏用户业务的稳定性。 通过程序特征、行为检测，结合AI图像指纹算法以及云查杀，有效识别后门、木马、挖矿软件、蠕虫和病毒等恶意程序，也可检测出主机中未知的恶意程序和病毒变种，并提供一键隔离查杀能力。 √ √ √ √ √ 恶意软件 勒索软件 检测来自网页、软件、邮件、存储介质等介质捆绑、植入的勒索软件。 勒索软件用于锁定、控制您的文档、邮件、数据库、源代码、图片、压缩文件等多种数据资产，并以此作为向您勒索钱财的筹码。 × √ √ √ ×（部分支持） 恶意软件 Webshell 检测云服务器上web目录中的文件，判断是否为Webshell木马文件，支持检测常见的PHP、JSP等后门文件类型。 您可以在“策略管理”的“Webshell检测”中配置Webshell检测，HSS会实时检测执行的可疑指令，主机被远程控制执行任意命令等。 × √ √ √ × 恶意软件 反弹Shell 实时监控用户的进程行为，及时发现进程的非法Shell连接操作产生的反弹Shell行为。 支持对TCP、UDP、ICMP等协议的检测。 您可以在“策略管理”的“恶意文件检测”中配置反弹Shell检测，HSS会实时检测执行的可疑指令，主机被远程控制执行任意命令等。 × √ √ √ × 漏洞利用 一般漏洞利用 实时检测利用漏洞入侵主机的行为，对发现的入侵行为进行告警上报。 √ √ √ √ × 系统异常行为 文件提权 当黑客成功入侵主机后，会尝试利用漏洞进行root提权或者文件提权，从而达到非法创建和修改系统帐号的权限或者篡改文件的目的。 HSS检测当前系统的“进程提权”和“文件提权”操作。 检测以下异常提权操作： 利用SUID程序漏洞进行root提权。 利用内核漏洞进行root提权。 对文件的提权。 √ √ √ √ × 系统异常行为 进程提权 检测以下进程提权操作并进行告警： 利用SUID程序漏洞进行root提权。 利用内核漏洞进行root提权。 √ √ √ √ × 系统异常行为 关键文件变更 篡改系统关键文件，通常是黑客入侵成功后进行身份隐藏或者发起下一步攻击的准备工作。 对系统关键文件（例如：ls、ps、login、top等）及目录进行监控，一旦文件被修改就进行告警，提醒用户关键文件存在被篡改的可能。监控的关键文件的路径请参见关键文件变更监控路径。 关键文件变更信息包括“被更改的关键文件路径”、“文件最后修改时间”以及配置文件所在的“服务器名称”。 文件/目录变更信息包括“文件别名”、“被更改的关键文件路径”以及配置文件所在的“服务器名称”。 添加关键文件指纹库，收集关键文件信息，便于清点合法文件信息，检测异常文件。 对于关键文件变更，HSS只检测目录或文件是否被修改，不关注是人为或者某个进程修改的。 √ √ √ √ × 系统异常行为 文件/目录变更 实时监控系统文件/目录，对创建、删除、移动、修改属性或修改内容的操作进行告警，提醒用户文件/目录可能被篡改。 √ √ √ √ × 系统异常行为 进程异常行为 检测各个主机的进程信息，包括进程ID、命令行、进程路径、行为等。 对于进程的非法行为、黑客入侵过程进行告警。 进程异常行为可以监控以下异常行为： 监控进程CPU使用异常。 检测进程对恶意IP的访问。 检测进程并发连接数异常等。 √ √ √ √（部分支持） × 系统异常行为 高危命令执行 您可以在“策略管理”的“高危命令检测”中预置高危命令。 HSS实时检测当前系统中执行的高危命令，当发生高危命令执行时，及时触发告警。 √ √ √ √ × 系统异常行为 异常Shell 检测系统中异常Shell的获取行为，包括对Shell文件的修改、删除、移动、复制、硬链接、访问权限变化。 您可以在“策略管理”的“恶意文件检测”中配置异常Shell检测，HSS会实时检测执行的可疑指令，主机被远程控制执行任意命令等。 √ √ √ √ × 系统异常行为 Crontab可疑任务 检测并列出当前所有主机系统中自启动服务、定时任务、预加载动态库、Run注册表键或者开机启动文件夹的汇总信息。 帮助用户通过自启动变更情况，及时发现异常自启动项，快速定位木马程序的问题。 × × √ √ × 用户异常行为 暴力破解 黑客通过帐户暴力破解成功登录主机后，便可获得主机的控制权限，进而窃取用户数据、植入挖矿程序，DDoS木马攻击等恶意操作，严重危害主机的安全。 检测SSH、RDP、FTP、SQL Server、MySQL等帐户遭受的口令破解攻击。 如果30秒内，帐户暴力破解次数（连续输入错误密码）达到5次及以上，HSS就会拦截该源IP，禁止其再次登录，防止主机因帐户破解被入侵。 SSH类型攻击默认拦截12小时，其他类型攻击默认拦截24小时。 根据帐户暴力破解告警详情，如“攻击源IP”、“攻击类型”和“拦截次数”，您能够快速识别出该源IP是否为可信IP，如果为可信IP，您可以通过手动解除拦截的方式，解除拦截的可信IP。 √ √ √ √ × 用户异常行为 异常登录 检测“异地登录”和“帐户暴力破解成功”等异常登录。若发生异常登录，则说明您的主机可能被黑客入侵成功。 检测主机异地登录行为并进行告警，用户可根据实际情况采取相应措施（例如：忽略、修改密码等）。 异地登录检测信息包括被拦截的“登录源IP”、“登录时间”，攻击者尝试登录主机时使用的“用户名”和“云服务器名称”。 若在非常用登录地登录，则触发安全事件告警。 若帐户暴力破解成功，登录到云主机，则触发安全事件告警。 √ √ √ √ × 用户异常行为 非法系统帐号 黑客可能通过风险帐号入侵主机，以达到控制主机的目的，需要您及时排查系统中的帐户。 HSS检查系统中存在的可疑隐藏帐号、克隆帐号；若存在可疑帐号、克隆帐号等，则触发告警。 √ √ √ √ ×

防火墙网络及策略配置完毕后，需要进行网络割接，把防火墙嵌入南北向流量，才能实现安全检测防御。割接工作主要包括弹性IP迁移，割接过程网络会中断。本小节介绍安全专区云防火墙网络割接方法。 网络割接 云防火墙通过私有IP地址（或虚拟IP地址）与业务的弹性公网IP绑定，并通过服务器映射接入业务网络链路。 弹性IP迁移 1.如果弹性IP已经绑定在业务主机，进入【天翼云控制中心】→【弹性云主机】，点击绑定弹性IP的业务云主机，进入【弹性IP】→【绑定弹性IP】，把弹性IP从业务云主机解绑。 2.点击云防火墙云主机（AQZQAF），进入【弹性IP】→【绑定弹性IP】，将弹性IP重新绑定到防火墙云主机的NIC1主网卡上。（表示主机名称） 3.如有多个弹性IP地址，请通过云防火墙的虚拟IP地址绑定，点击（AQZQAF）的云主机，进入【网卡】→【管理虚拟IP地址】→【绑定弹性IP】。 配置VPC路由 进入【控制中心】→【虚拟私有云】→【路由表】→【添加路由信息】。 目的地址：0.0.0.0/0； 下一跳地址：填写云防火墙eth0的IP地址。 网络测试 从业务服务器Ping互联网IP，测试是否可以Ping通，确认防火墙割接完成。

本小节介绍云下一代防火墙配置平台默认路由。 云下一代防火墙搭建在VPC内，需使用平台网络进行数据交换，因此需要平台实现由云下一代防火墙的路由转发实现，需登录云平台配置默认路由指向云下一代防火墙地址。 打开天翼云官网控制台，【虚拟私有云→VPC→路由表→新建】，下一跳地址输入云下一代防火墙网卡地址即可。