计费模式 大模型安全护栏采用按调用次数后付费模式，根据检测类型分别计费，无最低消费要求，不使用则不产生费用。 产品价格 检测类型 计费单位 单价 文本检测（输入检测 + 输出检测） 每万次调用 25 元 图片检测 每万次调用 40 元 计费规则 以实际成功调用次数为计费依据，调用失败（接口返回非 200 状态码）不计费。 文本输入检测与文本输出检测按相同单价合并计费。 在线测试每月有 10 次免费额度，免费额度内不计费。 费用按自然天结算，每日凌晨3点出上日账单。 计费示例 某企业某月调用文本输入检测 50 万次、文本输出检测 30 万次、图片检测 10 万次，当月费用计算如下： 文本检测费用：(50 + 30) × 25 80 × 25 2,000 元 图片检测费用：10 × 40 400 元 合计：2,400 元

配置基线检测策略 基线检测设置分为一键检测和定时检测。当您需要进行基线检测时，先设置您需要的基线策略。 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“风险管理 > 基线检测”，进入基线检测页面。 3. 单击“策略管理”，进入策略管理页面。 该页面展示了已经设置好的基线策略，包括策略名称、检测周期、检测服务器数、创建日期、策略开关和操作。可以新建、编辑和删除基线策略。 4. 单击“新建策略”，页面右侧弹出新建基线策略窗口。 5. 设置策略名称、检查时间、选择基线名称和服务器。 6. 设置完成后，单击“确认”即可完成新建基线策略。 开启弱口令定时检测 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“风险管理 > 弱口令检测”，进入弱口令检测页面。 3. 单击定时扫描右侧的“设置”，页面右侧弹出定时检测设置窗口，可进行定时检测设置。 4. 设置选项包括检测周期、弱口令分类、设置生效范围，详细参数说明如下。 参数 说明 定时扫描 开启或关闭定时扫描。 检测周期 设置后会在周期选定的时间点开始定期检测。 扫描周期：选择每天、3天或7天。 扫描时间：默认为02:00，可以手动选择一天中的任一整点时间。 弱口令分类 支持“应用弱口令”和“系统弱口令”。 设置生效范围 选择检测哪些服务器。可以选择“全部服务器”或“自选服务器”。 选择“自选服务器”时，您可以通过区域、服务器名称、服务器IP搜索需要检测的服务器。 说明 以下服务器不能被选中执行弱口令检测： 使用“基础版”的服务器。 非“运行中”状态的服务器。 Agent状态为“离线”的服务器。

本节介绍如何查看自定义类型。 约束与限制 系统内置的类型和子类型不支持关联布局、编辑、删除、启用和禁用。 自定义类型新增成功后，不支持修改“数据类”、“类型名称”、“类型标识”。 子类型新增成功后，不支持修改“数据类”、“类型名称”、“类型标识”、“子类型标识”。 查看已有的自定义类型/子类型 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“安全编排 > 运营对象”，进入运营对象的数据类页面后，选择“类型管理”页签，进入类型管理页面。 5. 在类型管理页面，选择“自定义类型”页签，进入自定义类型管理页面后，查看已有自定义类型/子类型的详细信息。 左侧显示类型列表，展示已有的类型。 如需查看某个类型的详细信息，请单击左侧类型列表中类型的名称，右侧将展示类型的详细信息。具体信息如下： 目标类型的基本信息：名称、创建人、创建时间、关联布局。 子类型列表：已有子类型、子类型名称、子类型关联的布局等信息。

本页介绍天翼云TeleDB数据库数据库安装环境的安全。 数据库安装环境的安全，建议应该参考信息安全等级保护（三级）标准进行建设，例如： 数据库应该安装在与互联网网络隔离的安全网络中，不应对外暴露数据库的具体物理位置、IP信息。 日常运维全过程应该进行有效控制，避免运维安全风险，除配置数据的安全功能外，还建议配置堡垒机对整个运维过程进行有效管理。 除数据库本身外，使用方应该保护应用通信流和所有相关的应用资源免受利用Web协议发动的攻击，包括SQL注入、跨站脚本、网页篡改和挂马等，同时提供防病毒功能，对各种病毒、蠕虫、木马进行检测和过滤等。以避免应用资源和网络被攻破后导致数据库内核心数据的泄露。 数据库安装的物理（虚拟）环境、操作系统等，应有效保障其安全，有效管理。

本文介绍对网站加速及防护的产品价值。 业务特点 网站承载了企业业务的重要线上流量，官网一般承担着企业品牌宣传的重要作用，但许多网站目前还面临着诸如访问不通、访问慢、内容加载不全、网站入侵、数据信息泄露、至网站开发部署安全规范建设等的业务挑战。 客户痛点 网页访问速度慢：静态内容分发瓶颈、回源请求传输不稳定、HTTPS性能消耗大、业务高峰源站压力大。 业务安全风险：恶意爬虫威胁、Web应用攻击、DDoS流量攻击、劫持问题频发。 运营维护困难：硬件安全设备扩容慢、存在单点故障风险、存在单点故障风险、缺少全面的监测机制。 产品价值 智能加速：通过多级缓存，就近响应用户请求；实时探测，选择最优路径动态回源；IPv6一键开启。 一体化安全+防护：提供安全加速的同时，赋能安全防护能力，对威胁访问实时追踪，及时发现进行拦截，DDoS服务为大流量攻击提供保驾护航。 智能调度，快速扩容：海量资源+智能化调度支撑，724小时一对一运营支撑，提供网站整体业务及安全状况的可视化大屏分析。 企业接入访问基于最小授权原则，规避供应链四方人员导致的安全隐患。

本小节介绍管理告警白名单。 白名单管理提供告警白名单的展示与删除功能，用户可以通过配置告警白名单避免大量告警误报的发生，提升安全事件告警质量。 告警白名单用于忽略告警，把当前告警事件加入告警白名单后，当再次发生相同的告警时不再进行告警。 在“安全告警事件”页面处理告警事件时，如果告警为误报，您可以将告警加入告警白名单。告警加入白名单后，后续主机安全平台不会再对该事件进行告警和统计。 约束限制 需开启旗舰版、网页防篡改版、容器版任一防护版本。 添加告警白名单 添加方式 说明 加入告警白名单 处理告警事件时，将告警事件加入到告警白名单。 以下类型的告警事件加入“告警白名单”： 反弹Shell 勒索软件 恶意程序 Webshell 进程异常行为 进程提权 文件提权 高危命令执行 恶意软件 关键文件变更 文件/目录变更 异常Shell Crontab可疑任务 非法系统帐号 一般漏洞利用 查看告警白名单 加入告警白名单后，您可以查看已添加的告警白名单，操作步骤如下所示。 1、登录管理控制台。 2、在页面左上角单击 ，选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在左侧导航树中，选择“入侵检测 > 白名单管理”，进入“白名单管理”页面。 4、选择“告警白名单”页签，查看已添加的告警白名单列表，参数说明如表79所示。 告警白名单列表参数说明 参数名称 参数说明 告警类型 白名单的告警类型名称。 SHA256 目标文件哈希。 路径 服务器文件路径。 数据来源 目标白名单的来源方式。

本文向您介绍弹性IP服务的基本概念。 独享带宽 当您购买EIP时，无论是哪种计费模式，只要没有加入共享带宽，那么您的EIP使用的是独享带宽。 您可以根据业务需求随时调整独享带宽大小，带宽大小的修改即时生效。 独享带宽支持对单个EIP进行限速，该EIP只能被一个云资源（弹性云主机、NAT网关、弹性负载均衡等）使用。一般情况下，如果所有IP业务都是同时间进行公网访问，建议使用独享带宽。 共享带宽 共享带宽可以实现多个EIP共同使用一条带宽，针对多个EIP进行集中限速。 同一区域下的所有已绑定EIP的ECS、ELB等实例共用一条带宽资源，实现VPC和区域级别的带宽统一管理，同时方便运维统计和运营成本结算。 区域和可用区 什么是区域、可用区 区域和可用区用来描述数据中心的位置，您可以在特定的区域、可用区创建资源。 区域（Region）指物理的数据中心。每个区域完全独立，这样可以实现最大程度的容错能力和稳定性。资源创建成功后不能更换区域。 可用区（AZ，Availability Zone）是同一区域内，电力和网络互相隔离的物理区域，一个可用区不受其他可用区故障的影响。一个区域内可以有多个可用区，不同可用区之间物理隔离，但内网互通，既保障了可用区的独立性，又提供了低价、低时延的网络连接。

本文主要介绍关系数据库PostgreSQL版的日志配置。 关系数据库PostgreSQL版日志配置管理可以将PostgreSQL错误日志和慢日志的采集配置纳入管理，将其采集到云日志服务中，满足用户日志处理需求。云日志服务提供一站式日志采集、秒级搜索、海量存储、结构化处理、转储等功能，满足应用运维、网络日志分析、等保合规和运营分析等应用场景。 日志配置管理操作 授权操作 授权访问日志服务操作 1. 在天翼云官网首页的顶部菜单栏，选择 产品 > 数据库 > 关系型数据库 > 关系数据库PostgreSQL版 ，进入关系数据库PostgreSQL产品页面。然后单击 管理控制台 ，进入TeleDB数据库概览页面。 2. 在左侧导航栏，选择 PostgreSQL>实例管理 ，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 点击列表页上方按钮“日志配置管理”。 4. 单击需要配置日志管理的实例记录对应的 配置访问日志 。 5. 单击 授权访问日志服务 ，完成授权操作。 管理日志项目 1. 点击"查看日志项目"进入“云日志服务”，选择需要操作的“资源池”。 2. 创建“日志项目”，在对应日志项目下，点击项目名称下拉三角符号，并“创建单元”。 配置慢日志或错误日志 1. 进入关系数据库PostgreSQL版 控制台，点击"日志配置管理"进入日志配置管理列表界面。 2. 点击需要配置日志管理的实例记录对应的“配置访问日志”按钮。 3. 选择日志类型“慢日志”或“错误日志”。 4. 下拉选择“日志项目”，然后选择“日志单元”。 5. 点击“确认”，等待配置下发完成（约1~2分钟）。 6. 当日志配置管理列表对应实例的”LTS慢日志配置“或”LTS错误日志配置“状态为“运行中”，表示日志配置成功。 注意 如果没有“日志项目”或“日志单元”，先点击"查看日志项目"进入“云日志服务”，创建“日志项目”和“日志单元”。

套餐规格 标准资费（元/月/端点） 套餐主要内容 套餐版本能力 基础版 10 端点数授权数10个起购，每次购买步长为10，基础版10元/端点/月 支持终端资产管理、终端防病毒、合规检测、外设管控、漏洞检测及修复、上网行为管理、效能分析、软件管理、弹窗拦截、问题软件检测能力 企业版 25 端点数授权数10个起购，每次购买步长为10，企业版25元/端点/月 支持终端资产管理、终端态势大屏、终端防病毒、合规检测、外设管控、漏洞检测及修复、上网行为管理、效能分析、软件管理、弹窗拦截、问题软件检测、威胁检测与响应、AI 安全检测、勒索专项防护、网络攻击防护能力

SSL VPN是否支持HTTP2.0？ 目前HTTP2.0对SSL来说只影响Web资源，TCP和L3VPN资源只要服务端支持即可，目前HTTP2.0还没有大规模应用，在大规模应用之前Web资源也会支持。 使用SSL VPN能够避免哪些攻击？哪些是HTTPS解决不了的？ SSL VPN： 能降低用户身份仿冒攻击，在业务系统本身的认证之外增加了认证环境，且VPN的认证具备密码策略管理，可以强制密码复杂度、试错次数、防爆破、防自动化脚本攻击等。 增加了端点安全策略，能降低黑客通过合法客户端作为跳板进行攻击。 传输上支持更为安全的国家商用密码算法（硬件加密卡）。 对外只开放VPN服务端口，不开放业务服务器端口，避免了对服务器的入侵攻击，黑客如果要入侵系统，只能够先攻击VPN，控制VPN的前提下，才有可能对业务系统攻击。 HTTPS+认证： 只是业务系统本身传输的加密和认证，对攻击者来说，直接攻击的还是服务器本身（可以对服务器账号密码进行爆破、撞库、SSL中间人攻击等）。 不具备端点安全能力，如果合法用户的电脑已经被控制，很容易在使用业务系统的时候被进行跳板攻击。 服务器端口直接暴露在互联网，黑客可以对服务器进行各种攻击探测。 VPN设备本身的安全性： 设备每一个版本在生产销售过程中都经过各种检测，并有国家权威机构的检测证明。 设备本身作为一个安全产品，产品业务逻辑相比业务系统本身更安全，安全成熟度高。 SSL VPN在大量金融、公检法单位使用，这些单位安全要求很高，VPN每年都会多次经历安全检查。

本小节整体介绍 云下一代防火墙入门所需各项操作步骤。 操作步骤 操作步骤 概述 订购云主机 按需订购加载云墙镜像云主机，并为云主机绑定空闲可用弹性IP 查询序列号 登录云墙查看云墙序列号 订购云墙实例 按需订购云墙，单节点/主备、规格、功能等 云墙业务部署 按需进行初始化配置及安全防护策略配置 云墙上线风险 预知云墙上线操作及上线风险 说明 本表格仅输出当前平台侧操作，梳理工作需线下进行。 操作流程说明

本节为您介绍云迁移服务CMS 成本评估任务列表查看。 云迁移服务CMS平台可以查看当前用户发起的成本评估任务基本信息，如任务编号、任务名称、源端类型、目标端区域、任务状态、调研方式、创建时间、操作等信息。如图所示。

本文主要介绍了在天翼云上如何使用弹性云主机的Linux实例手工搭建LNMP平台的web环境 简介 本文主要介绍了在天翼云上如何使用弹性云主机的Linux实例手工搭建LNMP平台的web环境。该指导具体操作以CentOS 7.2 64位操作系统为例。 Linux实例手工部署LNMP环境具体操作步骤如下： 1.安装nginx。 2.安装MySQL。 3.安装PHP。 4.浏览器访问测试。 前提条件 1.弹性云主机已绑定弹性公网IP。 2.弹性云主机所在安全组添加了如下表所示的安全组规则，具体步骤参见为安全组添加安全组规则。 表 安全组规则 方向 协议/应用 端口/范围 源地址 入方向 HTTP(80) 80 0.0.0.0/0 操作步骤 1.安装nginx。 a.登录弹性云主机。 b.执行以下命令，下载对应当前系统版本的nginx包。 wget c.执行以下命令，建立Nginx的yum仓库。 rpm ivh nginxreleasecentos70.el7.ngx.noarch.rpm d.执行以下命令，安装Nginx。 yum y install nginx e.执行以下命令，启动Nginx并设置开机启动。 systemctl start nginx systemctl enable nginx f.查看启动状态。 systemctl status nginx.service g.使用浏览器访问“ 图 测试访问nginx

本章节介绍如何部署Demo微服务应用到ECS 概述 在微服务云应用平台中接入您的应用进行发布，所支持的介质类型大体上可分为制品（JAR/WAR/TAR包等）、镜像等，您可以按实际需求选择接入的方式。 为了帮助您快速体验将微服务应用托管到ECS。微服务云应用平台提供了官方Demo应用，您可以将该Demo应用托管到ECS中。本文介绍部署两个Demo应用：consumer和provider应用，并验证consumer调用provider。 托管Demo微服务应用 前提条件 1.您已开通微服务云应用平台 2.您已订购2台ECS虚机实例 3.您已订购一个nacos注册中心实例 4.您已开通微服务治理中心 【可选】 5.您已开通应用性能监控 【可选】 注意 一台ECS机器只能部署一个应用实例副本，订购ECS时请根据部署应用所需资源选择规格订购。 目前支持ECS发布的资源池如下：华东1、华北2、华南2、西南1、西安7。 目前只支持导入CPU架构为x86或ARM, 以及操作系统是64位, 且是以下版本:ctyunos2.0.1和centos7.x的ECS。 创建环境和导入资源 说明 环境：即我们常说的开发环境、生产环境，是用于应用部署和运行的计算、网络、中间件等资源的集合。 例如可以把同VPC下的云容器引擎、注册中心、数据库等实例组成一个环境。 资源：是支撑应用运行的设施，资源可以导入到环境里供应用使用。例如常用资源包括：云容器引擎、ECS、注册中心、微服务治理中心、应用性能监控、数据库实例等。 在左侧导航栏，选择环境管理。在环境列表左上角点击创建环境。 进入环境详情，将nacos注册中心导入到环境。在环境里创建ECS集群，将ECS导入到ECS集群。

查看并处理Access Key泄露检测事件的方式方法 数据安全中心DSC可以检测git代码库中包含访问密钥ID（AK）和秘密访问密钥（SK）的访问密钥泄露，并将检测结果在列表中展示。您可根据需要对异常事件进行查看和处理。 前提条件 已获取管理控制台的登录帐号与密码。 操作步骤 1. 单击左上角的，选择区域或项目。 2. 在左侧导航树中，单击，选择“安全 > 数据安全中心”，进入数据安全中心总览界面。 3. 在左侧导航树中选择“数据风险检测 > Access Key泄漏检测”，进入“Access Key泄露检测”页面。 Access Key泄露检测参数列表： 参数名称 参数说明 Access Key ID 访问密钥ID。 可单击“去Access Key管理”，管理（创建、编辑、启用/停用、删除）访问密钥。 情报来源 该Access Key泄露检测事件的来源。如github。 受影响账户 该Access Key泄露检测事件可能会影响到的帐户。 泄露类型 Accesskey 首次发现时间 首次爬取到该泄露事件的时间。 处理状态 根据事件详情对事件进行判断和处理后，有以下状态： 待处理：还未处理。 已处理（已手动删除）：已登录GitHub手动删除/隐藏已泄露的Access Key及相关内容。 已处理（已手动禁用）：已进入Access Key控制台，禁用并重置Access Key（或直接删除）。 已处理（加入白名单）：该事件加入白名单后，该Access Key在相同源链接中再次出现时，将不再进行告警，请慎重选择。 4. 在目标事件的“操作”列，单击“查看”，可查看“Access Key泄露详情”、“代码片段”、“相关推荐”。 5. 可根据事件的推荐策略，对事件进行处理。并在目标事件的“操作”列，单击“处理”。 6. 在弹出的对话框，选择“处理方式”，并单击“确定”。 处理方式为： 手动删除：已登录GitHub手动删除或隐藏已泄露的Access Key及相关内容。 禁用Access Key：已进入Access Key控制台，禁用并重置Access Key（或直接删除）。 加入白名单：该事件不存在风险，不进行处理，加入白名单后，该Access Key在相同源链接中再次出现时，将不再进行告警。

功能名称 功能描述 资产管理 提供对资产运行状态、资产指纹、资产分类情况的查看，同时可按照主机、容器的维度查看或管理目标服务器，实现主机全量资产的统一可视管理。 包含资产概览、资产指纹管理、主机管理、容器管理功能。 漏洞管理 提供检测Linux软件漏洞、Windows系统漏洞和WebCMS漏洞、应用漏洞，帮助用户识别潜在风险。 基线检查 扫描主机系统和关键软件含有风险的配置、弱口令、口令复杂度策略。 支持的检测基线包含云安全实践和等保合规基线，且可自定义选择检测的子基线项。 支持对检测风险的修复和验证。 容器镜像安全 扫描镜像仓库与正在运行的容器镜像，发现镜像中的漏洞、恶意文件等并给出修复建议，帮助用户得到一个安全的镜像。 应用防护 为运行时的应用提供安全防御。您无需修改应用程序文件，只需将探针注入到应用程序，即可为应用提供强大的安全防护能力。 当前只支持操作系统为Linux的服务器，且仅支持Java应用接入。 网页防篡改 实时发现并拦截篡改指定目录下文件的行为，并快速获取备份的合法文件恢复被篡改的文件，从而保护网站的网页、电子文档、图片等文件不被黑客篡改和破坏。 勒索病毒防护 支持已知勒索病毒检测能力，支持自定义勒索备份恢复策略。 文件完整性管理 检查Linux系统、应用程序软件和其他组件的文件，帮助用户及时发现发生了可能遭受攻击的更改。 主机入侵检测 识别并阻止入侵主机的行为，实时检测主机内部的风险异变，检测并查杀主机中的恶意程序，识别主机中的网站后门等。 容器入侵检测 实时监控容器节点运行状态，发现挖矿、勒索等恶意程序，发现违反容器安全策略的进程运行和文件修改，以及容器逃逸等行为并给出解决方案。 白名单管理 可以通过加入告警白名单避免大量告警误报的发生，提升安全事件告警质量。将当前告警事件加入告警白名单后，当再次发生相同的告警时不再进行告警。 策略管理 提供灵活的策略管理能力，可以根据需要自定义安全检测规则，并可以为不同的主机组或主机/容器应用不同的策略，以满足不同应用场景的主机/容器安全需求。 安全配置 提供配置常用登录地、常用登录IP、SSH登录IP白名单，恶意程序自动隔离查杀功能，满足不同应用场景的主机/容器安全需求。

其他操作 编辑风险检测任务 新增任务的状态默认为未扫描，检测范围默认为基线检测、漏洞扫描、敏感数据。弱口令由于扫描耗时较长，不在默认检测范围内。 您可以在操作列单击“编辑”，修改检测范围。 执行风险检测任务 确认检测范围后，在任务列表中勾选若干任务，单击“立即扫描”，任务状态变为“扫描中”。 终止风险检测任务 单击操作列“终止”，可以终止扫描中的风险检测任务。

管理BGP 操作 步骤 修改BGP 1、在专线网关客户侧路由页签，选择目标BGP路由，在操作列中单击【修改】。 2、在修改客户侧路由，修改以下配置参数后，单击【确定】。 客户侧子网：修改专线网关要转发的目的网段。 BGP邻居名称：修改BGP邻居名称。 网络检测：选择是否开启网络检测功能。 MD5认证：选择是否开启MD5认证和设置密钥。 删除BGP 1、在专线网关客户侧路由页签，选择目标BGP路由，在操作列中单击【删除】。 2、在弹出的对话框，单击【确定】。 多路径 1、登录云专线控制台，在左侧导航栏中，单击【专线网关】。 2、在专线网关页面，选择目标专线网关，在操作列中单击【详情】。 3、在专线网关客户侧路由页签，单击【多路径】，配置以下参数信息，然后单击【确定】。 配置 说明 IP负载线路数 选择开启或关闭IP负载线路数，如需BGP路由支持负载，请选择开启，否则选择关闭。 开启后，可实现不同下一跳相同目的网段的BGP路由负载。 说明 BGP多路径使用条件需满足：客户侧路由中至少有两个相同IP类型的下一跳。

此小节介绍企业主机安全漏洞管理。 漏洞管理概览 HSS提供漏洞管理功能，检测Linux漏洞、Windows漏洞、WebCMS漏洞、应用漏洞，提供漏洞概览，包括主机漏洞检测详情、漏洞统计、漏洞类型分布、漏洞TOP5和风险服务器TOP5，帮助您实时了解主机漏洞情况。 漏洞检测分为自动检测和手动检测，自动检测按照系统预设时间在每日凌晨自动执行，若需要查看目标服务器的漏洞情况或查看服务器当前漏洞情况可选择手动检测。 检测原理 漏洞检测原理 漏洞分类 原理说明 检测周期 Linux漏洞 通过与漏洞库进行比对，检测出系统和软件（例如：SSH、OpenSSL、Apache、MySQL等）是否存在的漏洞，将存在风险的结果上报至管理控制台，并为您提供漏洞告警。 每日凌晨自动检测 手动检测 Windows漏洞 通过订阅微软官方更新，判断服务器上的补丁是否已经更新，并推送微软官方补丁，将存在风险的结果上报至管理控制台，并为您提供漏洞告警。 WebCMS漏洞 通过对Web目录和文件进行检测，识别出WebCMS漏洞，将存在风险的结果上报至管理控制台，并为您提供漏洞告警。 应用漏洞 通过检测服务器上运行的软件及依赖包发现是否存在漏洞，将存在风险的漏洞上报至控制台，并为您提供漏洞告警。 1次/周（每周一凌晨05：00左右） 手动检测 注意 漏洞管理显示24小时内检测到的结果。若检测到主机存在漏洞后，您修改了主机的名称，检测结果会显示原主机名称。

此小节介绍企业主机安全漏洞管理。 漏洞管理概览 HSS提供漏洞管理功能，检测Linux漏洞、Windows漏洞、WebCMS漏洞、应用漏洞，提供漏洞概览，包括主机漏洞检测详情、漏洞统计、漏洞类型分布、漏洞TOP5和风险服务器TOP5，帮助您实时了解主机漏洞情况。 漏洞检测分为自动检测和手动检测，自动检测按照系统预设时间在每日凌晨自动执行，若需要查看目标服务器的漏洞情况或查看服务器当前漏洞情况可选择手动检测。 检测原理 漏洞检测原理 漏洞分类 原理说明 检测周期 Linux漏洞 通过与漏洞库进行比对，检测出系统和软件（例如：SSH、OpenSSL、Apache、MySQL等）是否存在的漏洞，将存在风险的结果上报至管理控制台，并为您提供漏洞告警。 每日凌晨自动检测 手动检测 Windows漏洞 通过订阅微软官方更新，判断服务器上的补丁是否已经更新，并推送微软官方补丁，将存在风险的结果上报至管理控制台，并为您提供漏洞告警。 WebCMS漏洞 通过对Web目录和文件进行检测，识别出WebCMS漏洞，将存在风险的结果上报至管理控制台，并为您提供漏洞告警。 应用漏洞 通过检测服务器上运行的软件及依赖包发现是否存在漏洞，将存在风险的漏洞上报至控制台，并为您提供漏洞告警。 1次/周（每周一凌晨05：00左右） 手动检测 注意 漏洞管理显示24小时内检测到的结果。若检测到主机存在漏洞后，您修改了主机的名称，检测结果会显示原主机名称。

本文主要介绍如何接入Mysql日志。 关系数据库MySQL版日志配置管理可以将MySQL错误日志和慢日志的采集配置纳入管理，将其采集到云日志服务中，满足用户日志处理需求。云日志服务（CTLTS，Log Tank Service）提供一站式日志采集、秒级搜索、海量存储、结构化处理、转储等功能，满足应用运维、网络日志分析、等保合规和运营分析等应用场景。 日志配置管理操作 授权操作 授权访问日志服务操作 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入TeleDB数据库概览页面。 2. 在左侧导航栏，选择MySQL >实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 点击列表页上方按钮“日志配置管理”。 4. 单击需要配置日志管理的实例记录对应的配置访问日志。 5. 单击授权访问日志服务，完成授权操作。 管理日志项目 1. 点击"查看日志项目"进入“云日志服务”，选择需要操作的“资源池”。 2. 创建“日志项目”，在对应日志项目下，点击项目名称下拉三角符号，并“创建单元”。 配置慢日志或错误日志 1. 进入Mysql控制台，点击"日志配置管理"进入日志配置管理列表界面。 2. 点击需要配置日志管理的实例记录对应的“配置访问日志”按钮。 3. 选择日志类型“慢日志”或“错误日志”。 4. 下拉选择“日志项目”，然后选择“日志单元”。 5. 点击“确认”，等待配置下发完成（约1~2分钟）。 6. 当日志配置管理列表对应实例的”LTS慢日志配置“或”LTS错误日志配置“状态为“运行中”，表示日志配置成功。 注意：如果没有“日志项目”或“日志单元”，先点击"查看日志项目"进入“云日志服务”，创建“日志项目”和“日志单元”。

检测项 说明 常规检测 防护SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等攻击。其中，SQL注入攻击主要基于语义进行检测。 说明 开启“常规检测”后，WAF将根据内置规则对常规检测项进行检测。 Webshell检测 防护通过上传接口植入网页木马。 说明 开启“Webshell检测”后，WAF将对通过上传接口植入的网页木马进行检测。 深度检测 防护同形字符混淆、通配符变形的命令注入、UTF7、Data URI Scheme等深度反逃逸。 说明 开启“深度检测”后，WAF将对深度反逃逸进行检测防护。 header全检测 默认关闭。关闭状态下WAF会检测常规存在注入点的header字段，包含UserAgent、Contenttype、AcceptLanguage和Cookie。 说明 开启“header全检测”后，WAF将对请求里header中所有字段进行攻击检测。

如何将一个帐号的云主机迁移至另一个帐号的其他区域？ 云迁移服务（CTCMS，Cloud Migration Service）是天翼云自主研发的一种P2V/V2V迁移平台，您可以使用云迁移将物理服务器、私有云、公有云平台上的单台或多台源主机迁移到天翼云。 如何备份云主机当前状态，方便以后系统故障时进行恢复？ 您根据您的需求和具体情况选择使用系统盘镜像、系统盘快照，或两者结合使用： 1. 制作系统盘镜像： 将云主机的系统盘制作成镜像，这可以包含操作系统、应用程序和设置。当云主机遇到故障或需要进行恢复时，您可以使用这个系统盘镜像创建一个新的云主机，使其恢复到镜像创建时的状态。 2. 创建系统盘快照： 对云主机的系统盘进行快照操作，这将记录系统盘在特定时刻的状态。如果云主机发生故障，您可以回滚到这个快照的状态，恢复云主机到快照创建时的状态。 两种方法都提供了备份和恢复的手段，但请注意以下几点： 1. 镜像通常更适用于全新的实例，而快照则更适用于已有实例的状态备份。 2. 制作系统盘镜像可能需要一些时间，因为它包含了整个操作系统和应用程序。但在恢复时，您可以获得一个全新的、与之前相同配置的实例。 3. 创建系统盘快照是一种更快速的备份方式，但它通常会记录一个特定时间点的状态，因此并不是适用于持续更新的备份需求。 4. 无论使用镜像还是快照，您应该定期测试备份的可用性，以确保在实际需要时能够成功恢复。

本小节介绍云下一代防火墙如何开启防护功能? 登录管理界面：首先，使用管理员凭据登录到云下一代防火墙的管理界面，可以在Web浏览器中输入设备的管理方式来访问云下一代防火墙管理界面。 导航到防护功能：在管理界面对象中，找到防护功能（IPS、AV、URL、OQS、IP信誉库、僵尸网络防御、云沙箱）进行防护功能模版的配置，防护功能模版详细操作详见云下一代防火墙WebUI用户手册。 启用防护策略：选择外网卡的安全域（网络安全域）或安全策略，然后开启且调用所需的安全功能模板。 监控和日志记录：启用监控和日志记录功能（监控日志编辑对应日志开启日志缓存），以跟踪安全事件、威胁检测以及系统性能。这有助于实时监视和分析潜在的威胁。 测试和优化：在启用防护功能后，建议进行测试以确保其正常运行，并进行必要的优化，以适应业务需求。

本章节介绍如何访问云硬盘备份产品:管理控制台和API方式。 云硬盘备份提供了Web化的服务管理平台，即管理控制台和基于HTTPS请求的API（Application programming interface）管理方式。 管理控制台方式 除用于二次开发外的其他相关操作，请使用管理控制台方式访问云硬盘备份。如果用户已拥有云服务帐号，可直接登录管理控制台，从主页选择“云硬盘备份”。 API方式 如果用户需要将云服务平台上的云硬盘备份集成到第三方系统，用于二次开发，请使用API方式访问云硬盘备份。

本章节介绍如何访问云主机备份产品:管理控制台和API方式。 云主机备份提供了Web化的服务管理平台，即管理控制台和基于HTTPS请求的API（Application programming interface）管理方式。 管理控制台方式 除用于二次开发外的其他相关操作，请使用管理控制台方式访问云主机备份。如果用户已拥有云服务帐号，可直接登录管理控制台，从主页选择“云主机备份”。 API方式 如果用户需要将云服务平台上的云主机备份集成到第三方系统，用于二次开发，请使用API方式访问云主机备份。

本节为您介绍云迁移服务迁移管理中工具中心。 进入云迁移服务CMS平台，在左侧导航栏中迁移管理选项点击【工具中心】，进入[ 工具中心 ]界面。云迁移服务CMS提供服务器迁移服务（CMSSMS）、数据库迁移服务（CMSDMS）、数据迁移工具（CMSZMS）以及异构迁移工具。如下图所示。

微服务和其他平台服务有什么不同？ 微服务是构建应用系统的架构模式，平台服务是云平台提供给平台用户使用的中间件服务。 在使用上，平台服务需要进行订购流程进行服务开通。对于微服务，需自己开发并使用平台提供的服务发现能力进行服务发现。

本页简要介绍分布式数据库V5.0.0版本更新说明。 V5.0.0版本说明 组件名称 版本号 发布时间 TeleDBXCore 5.0 2022年 12 月 新增和优化功能： 1. 支持重置实例密码，包括查看实例详情和重置实例root用户密码。 2. 支持备份数据加密。 3. 支持表空间管理，包括创建表空间、查看实例所有用户、检测挂载目录可用性、查看表空间列表、删除表空间和修改表空间。 4. 支持创建同规格实例，包括查看实例信息、创建同规格实例、软件包增加blocksize特性解析、升级时增加blocksize筛选、实例开通时提供多个不同的blocksize编译包、。创建实例时增加数据损坏检测和链接实例提供SSL加密功能。 5. 优化Oracle兼容性，包括支持NULLIF函数、支持TRIM函数、支持 physicalattributesclause函数、支持dual虚表、支持查询ORDER BY、允许插入字符串类型的数据（text/varchar.）转换为数字类型的列（int/nuemric）和支持运算符“”等。 6. 支持跨数据库数据访问、跨平台与Oracle数据库数据交换和多模式访问。 修改功能 无。 修复缺陷 无。

接口功能介绍 用户执行基线检测后，展示检测的统计结果。主要展示元素：检测服务器数、检测项、风险项、通过率等 接口约束 此功能为收费功能。确认已经购买系统配额，并且开启基线扫描配置。如果没有购买配额，可按照页面提示进行购买。如果没有开启防护，请在服务器列表页开启机器防护 URI POST /v1/sca/event/baseLevel// 路径参数 参数 是否必填 参数类型 说明 示例 下级对象 pageSize 是 Integer currentNum 是 Integer Query参数 无 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String ContentType application/json 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 scaRuleId 是 Integer 基线策略id 1 scaName 否 String 基线名称 Unix系统基线检测 响应参数 参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 success returnObj Object 返回对象 returnObj traceId String traceId asaadasd11111 statusCode String 状态码 200成功 200 表 returnObj 参数 参数类型 说明 示例 下级对象 agents Integer 检测服务器数 1 totalPassingRate String 检测项通过率 totalPassed/(totalPassed + totalFailed) 1 totalTitle Integer 检测项总数(totalTitle totalPassed + totalFailed) 1 totalPassed Integer 检测项通过数 1 totalFailed Integer 风险项数[未通过数量] 1 baseScaMongoDtoPageInfo Object 分页查询结果 baseScaMongoDtoPageInfo 表 baseScaMongoDtoPageInfo 参数 参数类型 说明 示例 下级对象 total Integer 总数 100 list Array of Objects 结果集 list pageNum Integer 当前页 1 pageSize Integer 每页的数量 10 表 list 参数 参数类型 说明 示例 下级对象 id String 业务id 一级列表[基线模板文件名] 二级列表[agentGuid] 三级列表[检测id] CtyunLinuxBenchmarkTemplate.json passingRate String 检测项通过率 0.92 failed Integer 检测项未通过数 1 relationAgent Integer 未通过的服务器数量 1 itemTotal Integer 检测项总数 1 file String 基线检测文件名 CtyunLinuxBenchmarkTemplate.json passed Integer 检测项通过数 1 strategyId Integer 策略id 1 timestamp String 扫描时间 20200101 00:00:00 scaId Integer 基线模板id 1 name String 基线模板名称 天翼云Linux操作系统安全配置基线 riskInfo Array of Objects 风险信息，按等级分类统计 [{"riskLevel":1,"riskCount":1}] riskInfo 表 riskInfo 参数 参数类型 说明 示例 下级对象 riskLevel Integer 风险等级 1低危 2中危 3高危 1 riskCount Integer 风险数量 1

3. 检验监控告警的有效性 故障的及时发现依赖实时的监控告警，模拟故障发生是检验监控系统能否在第一时间准确告警、应急响应流程是否清晰高效的最佳手段。 场景示例： 模拟调用延迟 ：通过模拟云主机网络延迟场景，验证监控系统能否精准检测“接口P99响应时间”等指标劣化，确保告警策略及时触发。 模拟启动失败 ：通过模拟云主机端口占用场景，验证监控系统对应用部署流程的异常感知能力，确保持续发布（CD）符合运维预期。 模拟连接中断 ：通过模拟缓存实例不可用场景，验证监控系统对中间件连接异常的检测灵敏度，确保告警能精准通知相关人员。 4. 验证应用服务的强弱依赖 随着系统复杂度的提升，服务间的依赖日益庞杂，但也有强弱之分。举例来说，从业务的角度，交易操作对账户余额是强依赖，对附加积分则是弱依赖；从系统的角度，应用对数据库是强依赖，对缓存则是弱依赖。通过故障演练，可以稳定地得到应用间的依赖关系及其强弱程度，提前发现可能因为依赖导致的问题，控制故障的级联效应。 场景示例： 梳理强弱依赖：对于复杂的微服务系统，通过模拟服务不可用的情况，可以帮助应用自动梳理强弱依赖。 限流降级参考：根据经验值来设置限流阈值可能带来偏差，通过依赖验证可以直观地评估限流降级的影响。 系统改造验收：在系统重构升级之后，可以通过依赖验证来确保应用的依赖关系没有发生变化，或重估依赖的影响。

3. 检验监控告警的有效性 故障的及时发现依赖实时的监控告警，模拟故障发生是检验监控系统能否在第一时间准确告警、应急响应流程是否清晰高效的最佳手段。 场景示例： 模拟调用延迟 ：通过模拟云主机网络延迟场景，验证监控系统能否精准检测“接口P99响应时间”等指标劣化，确保告警策略及时触发。 模拟启动失败 ：通过模拟云主机端口占用场景，验证监控系统对应用部署流程的异常感知能力，确保持续发布（CD）符合运维预期。 模拟连接中断 ：通过模拟缓存实例不可用场景，验证监控系统对中间件连接异常的检测灵敏度，确保告警能精准通知相关人员。 4. 验证应用服务的强弱依赖 随着系统复杂度的提升，服务间的依赖日益庞杂，但也有强弱之分。举例来说，从业务的角度，交易操作对账户余额是强依赖，对附加积分则是弱依赖；从系统的角度，应用对数据库是强依赖，对缓存则是弱依赖。通过故障演练，可以稳定地得到应用间的依赖关系及其强弱程度，提前发现可能因为依赖导致的问题，控制故障的级联效应。 场景示例： 梳理强弱依赖：对于复杂的微服务系统，通过模拟服务不可用的情况，可以帮助应用自动梳理强弱依赖。 限流降级参考：根据经验值来设置限流阈值可能带来偏差，通过依赖验证可以直观地评估限流降级的影响。 系统改造验收：在系统重构升级之后，可以通过依赖验证来确保应用的依赖关系没有发生变化，或重估依赖的影响。