指标 说明 拨测工具 第三方监测工具听云。 源站所在地 江西省。 拨测覆盖地区 全国各主要省市。 拨测覆盖运营商 覆盖三大运营商：移动、联通、电信。 拨测文件大小 791kb。 拨测时间 2023年8月28日15：0017：00。 拨测说明 针对同一个资源进行拨测，对比通过全站加速和直接访问源站的效果。

当您的防护网站以独享模式部署到WAF后，您可以在WAF管理控制台上通过升级操作，将WAF独享引擎实例升级到最新版本，以获取独享引擎实例最新防护性能。为了提升业务的高可靠性，请您参照以下操作指导完成独享引擎实例升级操作。 说明 对于可靠性要求较高的业务，建议您至少购买2个独享引擎实例部署为双活或多活高可靠架构。如果业务部署单引擎实例，当实例对应的ECS发生故障时，WAF将不可用。 前提条件 防护网站以“独享模式”接入WAF。 单独享引擎实例节点升级 如果您的业务只部署了一个独享引擎实例，请参照以下操作升级实例。 步骤 1 购买一个新的独享引擎实例。 新购买的独享引擎实例为最新版本。当实例为最新版本时，“升级”按钮为灰化状态。 确保新购买的实例，虚拟私有云，子网，安全组等配置，与原实例一致。在这些参数都一致的情况下，新实例会自动同步原实例的所有WAF防护配置。 步骤 2 在原独享引擎实例所属VPC下的任一台ECS上，执行curl命令，验证业务是否正常。 HTTP业务 curl http:// WAF独享引擎实例IP : 业务端口H "host：业务域名 " H "UserAgent: Test" HTTPS业务 curl https:// WAF独享引擎实例IP : 业务端口 H "host：业务域名" H "UserAgent: Test 检查业务是否正常，如果业务正常，请执行步骤3；如果业务异常，请参照业务中断排查排查故障后，再执行步骤3。 说明 执行curl命令的主机需要满足以下条件： 网络通信正常。 已安装curl命令。Windows操作系统的主机需要手动安装

本文介绍CDN加速资源包的选购指导。 当前天翼云CDN加速支持订购面向中国内地和全球（不含中国内地）的流量包，客户可按实际业务需求选购额度匹配的规格。 选购案例 客户需要为一个小型的电商平台做加速，以解决其电商网站商品信息加载失败、加载慢的问题。 应用场景：静态小文件（图片类为主）。 加速区域：中国内地。 搭配产品：使用天翼云媒体存储来负责网站的图片存储。 流量 业务额度评估 CDN加速下行流量 下行流量：200TB/年 媒体存储传输到天翼云CDN所产生的回源流量 选择媒体存储作为源站，CDN从媒体存储获取所需要的资源所产生的流量。这部分流量的收费，详情请见：媒体存储计费项。 流量包选购 如下为CDN加速（中国内地）流量包对应的规格和标准资费。 流量包规格（GB） 流量包标准资费（元/个） 100 17 500 85 1000 170 5000 850 10000 1700 50000 7650 200000 25500 1000000 127500 根据客户业务额度预估的下行流量——200TB/年，列出三种可选择购买的流量包规格及个数的组合。 直接订购1个200TB的下行流量包，标准资费为25500元。 订购4个50TB的下行流量包，总计标准资费为4765030600元。 订购20个10TB的下行流量包，总计标准资费为20170034000元。 综上所述，推荐客户直接购买一个200TB的流量包，总计的下行流量费用是最优惠的，可以看出大额度规格的流量包享受的优惠力度相对更大。如需了解CDN加速流量包更多优惠活动，详情请见：天翼云官网最新活动。

本节主要介绍如何配置防盗链。 OBS提供同时支持允许白名单访问和阻止黑名单访问的配置，防止盗链。 前提条件 已经配置了静态网站托管。 操作步骤 步骤 1 在桶列表单击待操作的桶，进入“对象”页面。 步骤 2 在左侧导航栏，单击“概览”，进入“概览”页面。 步骤 3 在“基础配置”区域下，单击“防盗链”卡片，系统跳转至“防盗链”界面。 步骤 4 单击“白名单Referer”/“黑名单Referer”后的，输入白名单/黑名单。 Referer规则如下： 白名单Referer/黑名单Referer输入的字节数不能超过1024个字符。 Referer格式： Referer可以设置多个，多个Referer换行隔开； Referer参数支持通配符（）和问号（?），通配符可代替0个或多个字符，问号可代替单个字符； 如果下载时Referer头域包含了http或https，则Referer设置必须包含http或https。 白名单Referer为空，黑名单Referer不空时，允许所有黑名单中指定网站以外的其他网站的请求访问目标桶中的数据。 白名单Referer不为空，黑名单Referer为空或不空时，只允许白名单中指定网站的请求访问目标桶中的数据。 说明 当白名单Referer与黑名单Referer内容一样时，黑名单生效。例如：当白名单Referer与黑名单Referer输入框中的referer字段都为“ 黑名单Referer与白名单Referer都为空时，默认允许所有网站的请求访问目标桶中的数据。 判断用户是否有对桶及其内容访问的四种权限（读取权限、写入权限、ACL读取权限、ACL写入权限）之前，需要首先检查是否符合referer字段的防盗链规则。 步骤 5 单击保存设置。

本文介绍域名出现备案阻断的可能原因及处理方式。 详细说明 域名备案阻断的原因可能有多种，包括但不限于以下几种： 域名未备案或备案信息不完整。 域名备案信息与实际情况不符。 域名备案信息过期或被注销。 域名因以下原因被列入黑名单或被封禁： 违法违规行为：如果您的网站存在违法违规内容，例如涉黄、涉赌、涉毒、传播谣言等，那么您的域名可能会被列入备案黑名单或被封禁。 安全问题：如果您的网站存在安全问题，例如存在漏洞、遭受黑客攻击、被恶意软件感染等，那么您的域名可能会被列入备案黑名单或被封禁。 备案信息不真实或不完整：如果您的备案信息不真实或不完整，例如域名所有人信息不真实、网站备案信息与实际情况不符等，那么您的域名可能会被列入备案黑名单或被封禁。 其他原因：除了上述原因外，还可能存在其他原因导致域名被列入备案黑名单或被封禁，例如政策调整、技术问题等。 如果您的域名出现备案阻断，可以按照以下步骤进行解决： 1. 确认备案信息是否完整、准确。 2. 联系您的域名注册商或主机服务商，确认备案信息是否完整、准确，并及时进行备案。 3. 联系相关部门进行申诉。 4. 如果备案信息已经完整、准确，但仍然出现备案阻断的情况，或者发现您的域名被列入备案黑名单或被封禁。建议您及时联系相关部门进行申诉并配合进行处理，以尽快恢复域名的正常使用。同时，建议您加强网站安全防护，遵守相关法律法规，保证备案信息真实完整，以避免域名被列入备案黑名单或被封禁的风险。 总之，域名备案是一项非常重要的工作，如果您的域名出现备案阻断，直播将无法为其加速，一定要及时解决，以免影响您的网站访问和业务发展。

在开通和使用天翼云多活容灾服务平台之前，您需要先注册天翼云门户的账号。本节将介绍如何进行账号注册，如果您拥有天翼云的账号，可登录后直接开通多活容灾服务平台。 1. 打开天翼云门户网站，点击"免费注册"。 2. 在注册页面，选择短信注册或账号注册，并填写相应的信息。点击获取验证码，如1分钟内手机未收到验证码，请再次点击“获取验证码”按钮。 3. 阅读并勾选协议，点击“注册” 按钮。 4. 注册成功后，可到邮箱激活您的账号，即可体验天翼云。 5. 如需实名认证，请参考会员服务实名认证。

本小节介绍如何进行文件验证。 按照CA中心的规范，如果您申请了SSL证书，则必须完成域名验证（又称验证域名所有权）来证明待申请证书要绑定的域名属于您。 文件验证，是指您手动从证书管理服务控制台获取证书验证文件，然后在服务器的网站根目录下创建指定文件。CA机构验证文件路径可以被访问，则表示验证通过。 注意 目前CA中心仅支持向80、443端口发起验证请求，因此您的业务需开放80、443端口。 天翼云仅支持绑定IP域名和单域名类型证书使用文件验证。 验证步骤 获取验证信息 提交证书申请后，单击“证书验证”，获取证书验证信息。如下图所示。 您可以直接单击“操作”列的“导出文件”，将需要上传的文件导出至本地。 创建文件 1. 登录您的服务器，并且确保域名已指向该服务器并且对应的网站已正常启用。 2. 在现有网站目录的根目录下，创建指定的文件。该文件包括文件目录、文件名、文件内容。 说明 网站根目录是指您在服务器上存放网站程序的文件夹，大致有这几种表示名称：publichtml、htdocs、assets、logs等。请您根据实际环境进行操作。 1. 依次执行以下命令，在服务器的Web根目录（Nginx服务默认为/var/www/html/） 下创建文件验证目录（ .wellknown/pkivalidation/）。 plaintext cd /var/www/html mkdir p .wellknown/pkivalidation 2. 在 /var/www/html/.wellknown/pkivalidation/目录下，创建fileauth.txt 文件，fileauth.txt 为验证信息中显示的文件名。在fileauth.txt文件中把验证信息中的文件内容复制粘贴上去。 说明 您可以直接在控制台选择“导出文件”，直接将文件上传至相关目录。 3. 打开浏览器，根据验证的域名类型，访问对应的链接地址，确保访问链接地址可获取到文件内容。 链接地址格式为： 4. 成功配置文件验证信息后，等待CA中心对文件验证信息进行审核，审核通过后，证书变为“已签发”状态。

版本列表 版本列表 版本说明 TeleChat12B 星辰语义大模型TeleChat开源的12B参数版本，支持deepspeed微调和多轮对话能力，在外推能力和长文生成方面展现出优异表现。其开源版本包括12B模型的int8和int4量化版本。 声明、协议、引用 声明 不要使用TeleChat模型及其衍生模型进行任何危害国家社会安全或违法的活动，不要将TeleChat模型用于没有安全审查和备案的互联网服务。希望所有使用者遵守上述原则，确保科技发展在合法合规的环境下进行。 中电信尽可能确保模型训练过程中使用的数据的合规性，由于模型和数据的复杂性，仍有可能存在一些无法预见的问题。因此，如果由于使用TeleChat开源模型而导致的任何问题，包括但不限于数据安全问题、公共舆论风险，或模型被误导、滥用、传播或不当利用所带来的任何风险和问题，中电信不承担任何责任。 协议 社区使用 TeleChat 模型需要遵循《TeleChat模型社区许可协议》。 TeleChat模型支持商业用途，如果您计划将 TeleChat 模型或其衍生品用于商业目的，您需要通过以下联系邮箱 teleai@chinatelecom.cn，提交《TeleChat模型社区许可协议》要求的申请材料。审核通过后，将特此授予您一个非排他性、全球性、不可转让、不可再许可、可撤销的商用版权许可。

本小节介绍DDoS高防IP实例列表。 收到公测申请创建成功的通知后，重新登录天翼云控制中心下的高防IP，点击【高防IP】菜单，页面显示客户购买的高防IP防护实例。购买后的实例可以续订及退订，用户新增高防IP防护时必须选择已经购买的实例ID。 用户购买高防IP实例后，天翼云通过接口把数据传送给高防IP自服务。相关信息通过实例列表进行展示。 具体字段如下： 参数 说明 实例ID 用户购买的实例ID。 服务带宽 用户购买的防护带宽。 回源业务带宽 用户购买的回源带宽。 业务类型 分为网站类和非网站类。 接入方式 静态防护，即非BGP节点，为单节点高防 IP。 动态防护，即BGP节点，在多个高防中心（华北1、华东1、华东2、华南）都会生成一个IP（同一个IP），可以实现高防IP负载调度的近源清洗。 高防节点 包括华北地区、华东地区1、华东地区2、华南地区。 购买时间 实例购买时间。 到期时间 实例的到期时间。 端口（限制） 源站IP限制为20个以内含20个。 源站端口有如下限制： 网站类业务：80、8080、8081、443、7443、8443。 非网站类业务：除80、443端口外可以选择任意端口进行转发。

本文帮助您了解通过弹性IP访问公网的弹性云服务器VPC配置方式。 当弹性云主机需要访问公网时，例如用于搭建网站时允许接受访客通过网络访问的业务节点，可以通过绑定弹性IP来实现。具体的配置流程如下图所示。 图 配置网络功能 配置网络流程图说明如下表所示。 表 配置流程说明 任务 说明 创建虚拟私有云基本信息和默认子网 必选任务。该任务是创建一个完整的虚拟私有云的第一步。 创建虚拟私有云的基本信息及默认子网后还需要根据您的实际网络需求， 继续创建虚拟私有云中的其他网络资源。 为虚拟私有云创建新的子网 可选任务。当默认子网不能满足您的需求时，您可以创建新的子网。 此处创建的子网就是创建弹性云主机时添加的网卡。 申请和绑定弹性IP 必选任务。可以通过申请弹性IP并将弹性IP绑定到上，实现弹性云主机访公网的目的。 创建安全组 必选任务。您可以创建安全组，将虚拟私有云中的弹性云主机划分成不同的安全域， 以提升访问的安全性。创建安全组成功后，具备默认的访问规则。 默认规则是在出方向上的数据报文全部放行，安全组内的无需添加规则即可互相访问。 当默认访问规则可以满足需求时，则无需单独再为该安全组添加安全组规则。 添加安全组规则 可选任务。安全组创建成功后，具备默认的访问规则。 默认规则是在出方向上的数据报文全部放行，安全组内的无需添加规则即可互相访问。 当默认访问规则可以满足需求时，则无需单独再为该安全组添加安全组规则。

本文为您介绍将网站域名接入Web应用防火墙（原生版）实例时，域名/端口相关的常见问题。 为什么要进行域名备案？ 为了规范互联网信息服务活动，促进互联网信息服务健康有序发展，根据国务院令第292号《互联网信息服务管理办法》和工信部令第33号《非经营性互联网信息服务备案管理办法》规定，国家对经营性互联网信息服务实行许可制度，对非经营性互联网信息服务实行备案制度。未取得许可或者未履行备案手续的，不得从事互联网信息服务，否则就属于违法行为。详细法规如下： 根据 《非经营性互联网信息服务备案管理办法》第五条规定：在中华人民共和国境内提供非经营性互联网信息服务，应当依法履行备案手续。未经备案，不得在中华人民共和国境内从事非经营性互联网信息服务。本办法所称在中华人民共和国境内提供非经营性互联网信息服务，是指在中华人民共和国境内的组织或个人利用通过互联网域名访问的网站或者利用仅能通过互联网IP地址访问的网站，提供非经营性互联网信息服务。第十九条规定：互联网接入服务提供者应当记录其接入的非经营性互联网信息服务提供者的备案信息。 详情见工信部备案管理系统《非经营性互联网信息服务备案管理办法》（信息产业部令第33号）

本小节介绍域名无忧应用场景。 长久以来，域名劫持事件频繁发生，受影响的企业遭受到经济和名誉的双重损失，无数网民也深受其害。大多数域名劫持事件的影响持续数个小时或更久，但是真正的故障时间并没有那么长。不过，由于各层服务器缓存受到根服务器影响，在电信运营商没有对递归DNS手动刷新的情况下，影响可持续数个小时。 域名实施监控场景 DNS污染的数据包并不是在网络数据包经过的路由器上，而是在其旁路产生的。所以DNS污染并无法阻止正确的DNS解析结果返回，但由于旁路产生的数据包发回速度较国外DNS服务器发回速度快，操作系统认为第一个收到的数据包就是返回结果，从而忽略其后收到的数据包，从而使得DNS污染得逞。天翼云域名无忧会实时监控域名的解析结果与预设置的解析结果进行比对，如果检测到域名异常，则生成域名告警信息。 域名一键刷新场景 网域的局域域名服务器的缓存受到污染，就会把网域内的域名引往错误的服务器或服务器的网址，导致正确域名无法访问，给企业或个人带来不可估量的损失。天翼云域名无忧可以有效解决此问题，天翼云域名无忧实时监控电信所有省份DNS服务的解析结果，用户发现DNS解析异常，可以手动执行域名刷新操作，使域名快速恢复至可用状态。

安全体检的频率应该是多久一次？ 安全体检的频率取决于组织的具体需求和安全政策。一般而言，建议至少每月进行一次安全体检，特别是在重大系统变更、新项目上线或发现重大安全事件之后。对于关键系统或高风险环境，可能需要更频繁地进行安全体检。 企业内部团队是否可以自己执行安全体检？ 企业内部团队完全可以执行安全体检，但前提是他们具备必要的技能和经验。如果内部团队缺乏相关知识或资源，可以考虑购买专业的安全服务，如托管检测与响应服务。专业团队不仅拥有专业的工具，还具备丰富的经验和专业知识，能够更有效地识别和解决问题。 安全体检可以扫描哪些对象？ 可以选定天翼云账号上面开通的云主机的公网IP，不支持扫描线下/私有云上的公网IP，不支持扫描网站。

本节介绍天翼云电脑在移动终端的登录模块说明。 用户注册 用户可以在天翼AI云电脑应用内进行自助注册，或者前往当地的电信营业厅购买AI云电脑并开通账户。 APP内自助注册的方法： 1. 查看“我”的页面，点击“登录/注册”按钮进入登录页面； 2. 点击“免费注册"进入新用户注册页面； 3. 输入手机号和验证码，同意并阅读相关协议后，点击“下一步”按钮； 4. 进入设置密码页面，设置密码完成后，点击“确认”即完成注册。 账号登录 打开AI云电脑客户端，登录页可以看到账号登录，支持AI云电脑账号，手机号码和邮箱登录（手机号码或邮箱登录的前提是用户已绑定手机或邮箱）。 免密登录 如果本机号码已注册AI云电脑账号，可以通过本机号码免密登录AI云电脑。其中免密登录可以支持本机号码一键登录/短信验证码登录。 忘记密码 登录页可以看到“忘记密码“，目前可以通过手机找回，邮箱找回两种方式找回密码。

天翼云云解析平台提供网站可用性监测和自动切换服务。监测服务依托平台在各大运营商部署的探测节点，通过采集、分析探测数据帮助用户及时了解网站可用性情况。当网站不可用时，平台提供“暂停解析”、“切换IP”等处置策略。启用“切换IP”策略时，平台将根据策略信息自动将域名解析切换至可用IP，确保用户网站安全、稳定运行。 监控原理 监控任务下所有探测节点向用户监控任务中的IP发送http请求，当且仅当所有探测节点连续两次无法接收到应答时，平台判定服务器宕机，从而执行监控任务中的处置策略。 监控规则 目前仅支持对A记录的监测。 新增或变更监控任务生效时间为一小时。 基础版与高级版域名可支持配置10条监控任务，旗舰版域名可支持配置20条监控任务。 故障处置策略 平台提供三种处理策略，分别是不响应、暂停解析、切换记录。 不响应：平台不做任何处理。 暂停解析 故障IP是分线路智能解析记录，若同主机名下仍有默认线路解析记录，暂停故障记录。 故障IP是默认线路解析记录，若同主机名下有其它可用的默认线路解析记录，暂停故障记录。 故障IP是默认线路解析记录，若同主机名下无可用默认线路解析记录，平台不做任何处理。 切换记录：用户配置监控任务时对监控记录设置一个备用IP，故障时切换到可用的备用IP。若切换时备用IP不可用，平台不做任何处理。

Web应用防火墙（边缘云版）依托天翼云云安全节点形成云安全边缘网络，区别于传统WAF需要在源站前端部署，Web应用防火墙（边缘云版）把安全能力赋能在所有边缘节点，利用分布式节点部署使计算能力更强，有效降低源站计算压力，提升了用户访问质量的同时保护了源站数据的安全。本节介绍了Web应用防火墙（边缘云版）产品的优势。 自主可控的安全防护能力 基于 AI+ 规则双引擎的 Web 攻击识别，构建一体化应用业务安全防护。 业务流量识别与分析，自定义规则匹配用户业务，避免误拦截、漏拦截。 支持Bot流量管理和智能CC防护。 弹性扩容无惧突发风险 分布式集群防护，单点故障自动转移，确保网站的高可用性。 动态调整边缘节点，无缝扩展QPS 防护能力，可达亿级别防护规模。 利用大平台优势，基于全网、全行业流量的攻击数据，结合机器学习算法，构建一套智能防护体系。 便捷的运营与管理 零部署、零运维，支持多云、混合云环境，一键CNAME接入，云端安全专家配置策略。 集中监控和分散维护相结合，NOC 工程师7×24小时集中监控，网络工程师 7×24 小时在线支持，节点现场服务工程师进行服务保障。 支持一键开启IPv6功能，无缝处理IPv4和IPv6流量。 提供可视化报表、态势感知大屏，深入分析安全隐患，清晰把控全局。 敏感的威胁情报感知 0day漏洞快速修复，天翼云安全团队724小时监测，主动发现新型攻击并24小时内响应，帮助用户抵御最新威胁。

本文解释当出现解析记录冲突时的处理方法。 背景说明 使用CDN加速时，需要网站将域名CNAME至天翼云权威DNS。DNS解析过程中，各记录类型之间是有优先级的，所以在主机记录相同、解析线路相同的情况下，有几种记录类型是不能共存使用的，否则会给用户造成配置风险，导致业务不可用的情况发生。 问题一：添加记录时，提示A和CNAME记录冲突 相同主机记录，相同线路下，A记录和CNAME记录不支持同时添加，此时，您可以删除A记录的同时配置CDN厂商的CNAME记录。（A记录删除不影响网站的访问，因为在您成功添加CDN加速域名后，系统已经为您分配一个CNAME域名，您在域名解析服务商处将服务域名的DNS解析记录指向该CNAME域名，客户端的访问请求会被转发到CDN加速节点上，实现加速的效果。） 问题二：添加记录时，提示MX和CNAME记录冲突 相同主机记录，相同线路下，MX记录和CNAME记录也不支持同时添加。MX记录为邮件交换记录，一般主机记录为形如ctyun.cn的域名。此类域名如同时添加CNAME记录，因CNAME记录优先级最高，会将邮件交换请求引导至CNAME地址，而CNAME地址如不支持此类服务，将会影响邮件业务。建议网站的加速域名与邮箱域名规划时要区分开来，避免造成此类风险。 如发生MX记录和CNAME记录冲突，您可以通过如下方式来解决： 1. 以ctyun.cn域名为例，可添加该域名的MX记录，同时添加该域名的A记录，解析到网站IP，具体如下： 域名 记录类型 记录值 ctyun.cn MX 5 mail.ctyun.cn ctyun.cn A 1.1.1.1 2. 在ctyun.cn解析到的网站IP上，配置ctyun.cn域名301/302跳转至www.ctyun.cn。 3. 对子域名www.ctyun.cn添加CNAME解析。

什么是恶意网站警告？ 系统通过国家信誉库自动同步恶意网站数据，对访问该列表网站的用户进行警告提示，同时运维管理员可自定义添加恶意网站。 大型企业，架设了多个防火墙，是否需要对本设备放过拦截？ 根据防火墙策略而定，协议识别和漏洞扫描都需要发送很多数据包（TCP/UDP层的），但是这些包并不是攻击包；如果发送这些包也会拦截，就需要在防火墙将设备IP加入到白名单，如果防火墙没有拦截就不需要（结合业务优化调测）。 资产漏洞的风险值是如何计算的？ 单条漏洞的风险值为该漏洞的CVSS分值。 资产漏洞风险值 为该资产所有漏洞当中CVSS值最高前十的总和，即资产漏洞风险值 SUM (TOP10 漏洞CVSS评分）。 资产威胁的风险值是如何计算的？ 单条威胁的风险值 可信度转换系数 关键程度 10 其中： 可信度转换系数：规则库中定义的高中低可信度，分别对应系数1、0.8、0（高：应用层协议有请求响应，且响应成功的，中：有双向报文的，低：只有单向报文的） 关键程度：规则库中根据严重级别定义的，取值区间为110（低风险：13，中风险：46，高风险：710） 资产威胁风险值 为该资产所有威胁风险值的平均值，即资产威胁风险值AVG(所有威胁风险值）。

本文为您介绍网站防护配置最佳实践。 网站接入WAF实例后，您可以按照以下推荐防护模块对已接入的网站进行防护策略配置。 Web基础防护 一般情况下，建议选用“拦截”模式，并选用“正常规则组”防护策略。 防护规则组：可选择宽松规则组、正常规则组、严格规则组。 正常规则组：中等宽松规则组，该规则组综合考虑误报和漏报策略检测情况，选择均衡的规则策略进行匹配，一般情况下，该种策略为默认推荐规则，建议用户选择正常策略。 宽松规则组：该规则组更关注精准攻击拦截度，对于疑似攻击行为的访问请求将会认定为安全从而放行，如需减少误拦截，可选用该规则组。 严格规则组：该规则组关注攻击拦截的覆盖程度，会全面拦截攻击和疑似攻击行为，如需尽可能保证业务的安全性，可选用该规则组。 处置动作：可选择拦截、观察两种动作。 拦截：将会拦截掉所有攻击行为，并产生告警拦截日志。 观察：会放行所有攻击行为，但会产生告警日志。 说明 业务接入WAF防护一段时间后（一般为2~3天），如果出现网站业务的正常请求被WAF误拦截的情况，您可以通过设置自定义规则组的方式提升Web防护效果。相关操作，请参见自定义防护规则组，提升Web攻击防护效果。

防护规则 说明 Web基础防护规则 覆盖OWASP（Open Web Application Security Project，简称OWASP）TOP 10中常见安全威胁，通过预置丰富的信誉库，对恶意扫描器、IP、网马等威胁进行检测和拦截。 CC攻击防护规则 可以自定义CC防护规则，限制单个IP/Cookie/Referer访问者对您的网站上特定路径（URL）的访问频率，WAF会根据您配置的规则，精准识别CC攻击以及有效缓解CC攻击。 精准访问防护规则 精准访问防护策略可对HTTP首部、Cookie、访问URL、请求参数或者客户端IP进行条件组合，定制化防护策略，为您的网站带来更精准的防护。 黑白名单规则 配置黑白名单规则，阻断、仅记录或放行指定IP的访问请求，即设置IP黑/白名单。 地理位置访问控制规则 针对指定国家、地区的来源IP自定义访问控制。 网页防篡改规则 当用户需要防护静态页面被篡改时，可配置网页防篡改规则。 网站反爬虫规则 动态分析网站业务模型，结合人机识别技术和数据风控手段，精准识别爬虫行为。 防敏感信息泄露规则 该规则可添加两种类型的防敏感信息泄露规则： 敏感信息过滤。配置后可对返回页面中包含的敏感信息做屏蔽处理，防止用户的敏感信息（例如：身份证号、电话号码、电子邮箱等）泄露。 响应码拦截。配置后可拦截指定的HTTP响应码页面。 全局白名单规则 针对特定请求忽略某些攻击检测规则，用于处理误报事件。 隐私屏蔽规则 隐私信息屏蔽，避免用户的密码等信息出现在事件日志中。

本文主要介绍抗D功能。 DDoS防护 支持TCP、UDP网络协议防护，如syn flood ，ack flood，空连接等，通过对数据报文的实时检测和分析，过滤畸形包、判断报文合法性、进行丢弃异常请求，进而高效阻断攻击。 CC防护 CC防护根据访问者的URL、频率、行为等访问特征，快速且智能识别CC攻击并进行拦截，在大规模CC攻击时可以避免源站资源耗尽，保证企业网站的正常访问。 访问控制 可针对IP，IP段，URI，CI，METHOD，请求地区，请求参数，请求头部，请求协议等维度进行组合，设置白名单和黑名单，对请求进行拦截和放行，保证客户网站不受未知访问。 可视化报表 提供可视化报表展示、定时报表服务，可获取攻击事件的攻击趋势图、防护带宽、攻击类型、TOP攻击IP等数据，实时掌握网站安全情况。 告警通知 可设置CC攻击、网络层攻击不同维度攻击的告警，灵活设置攻击告警的阈值、通知地址，告警内容包含攻击事件详情，让客户对攻击事件了如指掌。

vCPU 弹性云主机的处理器运用超线程技术，CPU会在每个物理内核上公开两个执行上下文。一个物理内核包含两个“逻辑内核”，可以处理不同的软件线程。 例如，10核的物理CPU包含20个vCPU（线程）。 独享型实例和共享型实例 维度 独享型实例 共享型实例 CPU分配策略 当前实例独享CPU，实例间无CPU资源争抢。 多实例共享CPU，实例间可能出现CPU资源争抢。 特点 高性能独享且稳定的计算、存储、网络资源高成本。 高负载时性能不稳定共享的计算、存储、网络资源低成本。 适用场景 对业务稳定性有高要求的企业场景。 对建设成本有要求的中小网站或个人场景。 实例规格 除“通用型”和“通用入门型”之外的实例规格。 “通用型”和“通用入门型”。

本节内容为您介绍购买弹性云主机的方式,以及购买前注册天翼云账户并实名认证的操作步骤。 购买方式简介 说明 自定义购买弹性云主机：自定义购买可以灵活地选择计费模式、配置项，针对不同的应用场景，可以选择不同规格的弹性云主机，全方位贴合您的业务诉求。 我们以自定义购买方式、创建密码鉴权方式的弹性云主机为例，以“图+文字”的形式为您介绍弹性云主机创建流程： 新手入门： 注册天翼云并实名认证 如果您已有一个天翼云帐户，请跳到下一个任务。如果您还没有天翼云帐户，请参考以下步骤创建。 1. 打开天翼云网站 2.在注册页面，请填写“邮箱地址”、“密码”、“确认密码”、“手机号码”，并点击“同意协议并提交”按钮，如1分钟内手机未收到验证码，请再次点击“重新获取短信验证码”按钮。 注册成功后，系统会自动跳转至您的个人信息界面。 3、选择一种账号类型。 4、以个人认证身份证认证为例，选择身份证认证方式。 5、使用天翼云APP扫描二维码，按照提示完成认证。

本节介绍态势感知相关概念。 安全风险 安全风险是对资产安全状况的综合评估，反映了一段时间内资产遭受的安全风险。安全风险通常体现为一个量化的数值，便于用户理解目前资产的安全状况，数值大小并不代表资产的绝对安全或危险，仅作为资产遭受攻击严重程度的参考。 威胁告警 广义的威胁告警是指由于自然因素、人为因素或软硬件本身的原因，对信息系统造成危害的事件，或对社会造成负面影响的威胁。对于态势感知来讲，威胁告警泛指根据大数据分析检测出的，对用户资产产生威胁的安全事件。 云服务基线 云服务基线是应用在云场景下，帮助用户检测云产品上存在的风险配置项，并提供修复建议。 攻击类型 暴力破解 暴力破解法是一种密码分析方法，基本原理是在一定条件范围内对所有可能结果进行逐一验证，直到找出符合条件的结果为止。攻击者通常使用暴力破解的方式猜测远程登录的用户名和密码，一旦破解成功，即可实施攻击和控制。 Web攻击 Web攻击是针对用户上网行为或网站服务器等设备进行攻击的行为。常见的Web攻击方式包括SQL注入攻击、跨站脚本攻击、跨站请求伪造攻击等。

本文带您了解内网DNS的功能特性。 内网域名 内网域名是用于云VPC网络访问目标服务器的一串点分隔的名称，包含了您所管理的域名或子域名的记录集。通过使用内网域名，您可以在云内部快速、安全地进行网络通信和访问。 内网域名可以用于在云环境中标识和定位各种资源，如弹性云主机、物理机、弹性负载均衡等。通过将内网域名与相应的记录集绑定，可以实现在云环境中根据域名进行网络访问。 内网域名解析 内网域名记录了域名和地址之间的映射关系，用于域名解析时在一个或多个VPC 内部进行访问。注册域名以后，您只拥有了这个域名的使用权，但无法通过域名直接访问您的网站，或作为电子邮箱后缀进行邮件收发。原因在于，域名只是为了方便记忆而专门建立的一套地址转换系统，要访问一台互联网上的服务器，必须通过IP地址来实现。而域名解析就是将域名指向IP地址的过程。 关联VPC 内网DNS服务将内网域名与私网IP地址相关联，为天翼云上云服务提供VPC内的域名解析服务。您可以将私有域与一个或多个需要访问的VPC相关联。当确定某些VPC不再需要访问特定的内网域名时，可以将这些VPC解除关联并替换为其他要关联的VPC。解除关联的VPC将不再能够通过内网DNS解析私有域内的资源记录。

本页面介绍云数据库ClickHouse的实践教程。 本页面以UK property prices和Brown University Benchmark数据集为例，演示了如何将测试数据集导入云数据库ClickHouse并进行数据检索与分析。 准备工作 在开始测试之前，需要完成以下准备工作： 1. 创建了目标云数据库ClickHouse实例。详细的操作步骤，请参考创建实例。 2. 创建了用于目标云数据库ClickHouse集群的数据库账号和密码。详细的操作步骤，请参考创建账号。 3. 确保导入数据及执行命令的机器可以连接到云数据库ClickHouse实例。 4. 根据云数据库ClickHouse集群的版本，下载并安装相应版本的clickhouseclient工具。 步骤说明 1. 打开命令行终端，并进入clickhouseclient工具所在的目录。 2. 使用clickhouseclient连接到云数据库ClickHouse集群，使用先前创建的数据库账号进行身份验证。 3. 下载相应数据集，这些数据集可以从开源网站获取。 4. 将数据集导入到云数据库ClickHouse集群中，可以使用clickhouseclient的导入命令进行数据导入。 5. 进行数据分析与查询，可以执行各种查询语句，比较查询性能指标如查询时间、吞吐量等。 通过执行以上步骤，您可以将测试数据集导入到云数据库ClickHouse中，并进行性能测试以评估系统的查询性能和吞吐量。 UK property prices数据集 该数据集包含有关英格兰和威尔士的房地产交易价格的数据，从1995年开始提供，未压缩形式下数据集的大小约为4 GiB（在云数据库ClickHouse中仅占用约278 MiB）。

本文介绍了如何使用Nginx代理天翼云弹性文件服务。 应用场景 Nginx (engine x) 是一个高性能的HTTP和反向代理web服务器。 Nginx是一款轻量级的Web服务器/反向代理服务器及电子邮件（IMAP/POP3）代理服务器，在BSDlike协议下发行。其特点是占有内存少，并发能力强，事实上Nginx的并发能力确实在同类型的网页服务器中表现较好，中国大陆使用Nginx网站用户有百度、京东、新浪、网易、腾讯、淘宝等。 本案例中，使用一台Nginx做反向代理服务器，三台Nginx做负载均衡的代理服务。因为使用用户可能非常多，所以需要做负载均衡。后端使用天翼云的弹性文件服务。天翼云弹性文件服务用于存储文件，如图片、视频、镜像回源文件或者一些用户的静态数据等。不同的Nginx代理服务器之间共享访问文件系统数据。 方案使用云产品 弹性文件服务，弹性云主机 方案架构 配置的架构如下图： 准备工作 在开始之前需要创建一个虚拟机私有云VPC，一个文件系统，四台云主机，其中一台做反向代理服务器，三台做负载均衡的代理服务。具体操作如下： 1. 在需要操作的地域创建虚拟私有云VPC，具体操作步骤参见创建虚拟私有云VPC。 2. 创建该VPC下的弹性云主机，操作系统为Linux，此处以CTyunOS 2.0.1为例演示，具体操作步骤参见创建弹性云主机。 3. 创建该VPC下的文件系统，文件系统的协议类型为NFS，具体操作步骤参见创建文件系统。

本文主要介绍了在天翼云上如何使用Linux轻量型云主机手工搭建LNMP平台的web环境。 实践场景 LNMP是指一组通常一起使用来运行web网站的软件，是目前按网站的主流架构之一，LNMP包含了Linxu系统下Nginx+MySQL+PHP的服务架构架构，为了帮助用户能够快速搭建起web端服务，本文将介绍如何搭建LNMP平台。 准备工作 需要您在天翼云官网创建一台轻量型云主机，创建时的操作系统选择Linux操作系统。 操作步骤 安装nginx 1. 登录天翼云轻量型云主机控制台，点击“远程登录”， 登录到VNC界面。 2. 下载nginx软件包，执行命令。 wget 说明 用户请根据实际情况补充nginx版本。 3. 安装nginx 软件，依次执行命令。 rpm ivh nginxreleasexxxxx.xx.ngx.noarch.rpm yum y install nginx 4. 设置ngnix开机自行启动，依次执行以下命令。 systemctl start nginx systemctl enable nginx 用户可通过以下命令查看nginx运行状态是否正常。 systemctl status nginx.service 5. 验证ngixn是否安装成功。 通过本地浏览器访问ngixn服务地址（主机弹性IP地址），若显示如下图界面则说明安装成功。 安装MySQL 1. 下载MySQL软件包，于主机命令行依次执行以下命令。 wget i c 说明 用户请根据实际情况补充mysql版本。 2. 安装软件，依次执行以下命令。 yum y install mysql57communityreleasexxxx.noarch.rpm yum y install mysqlcommunityserver nogpgcheck 3. 设置mysql开机自行启动，依次执行以下命令。 systemctl start mysqld systemctl enable mysqld 用户可通过以下命令查看mysql运行状态是否正常。 systemctl status mysqld.service 4. 启动服务后，输入以下命令查询mysql的root初始随机密码。 grep 'temporary password' /var/log/mysqld.log 根据命令行回显信息，可获取到随机密码。如下示例。 [Note] A temporary password is generated for root@localhost: 2YY?3uHUA?Ys 5. 设置新密码，执行以下命令。 mysqlsecureinstallation 根据命令行返回信息，设置新的密码。 Securing the MySQL server deployment. Enter password for user root: 输入初始随机密码 The existing password for the user account root has expired. Please set a new password. New password: 设置新的root用户密码 Reenter new password: 再次输入密码 6. 登录mysql，输入以下命令。 mysql uroot p 7. 根据提示输入密码，完成登录。

本小节介绍域名无忧产品定义与优势。 产品定义 域名是互联网业务的入口，域名劫持是通过拦截域名解析请求或篡改域名服务器上的数据，使用户在访问相关域名时返回虚假IP地址或使用户的请求失败。因此域名系统故障、配置错误、恶意篡改将直接造成业务中断，给政府和企业客户信誉带来恶劣影响的同时，还可能造成巨大的经济损失。 天翼云域名无忧为天翼云用户自助实现域名监测、域名告警、域名刷新，通过对电信所有省份的DNS服务器的检测及时发现域名是否被污染，并且提供按次刷新的服务，清除DNS服务器缓存还原原始DNS解析记录。 产品优势 智能监控 实时监控客户域名列表的安全状态，支持对监控指标设置报警规则，提供多种告警方式并及时预警，为客户域名的安全和稳定保驾护航。 秒级刷新 得益于中国电信骨干网络控制能力，实现中国电信全网缓存DNS服务器的秒级刷新，高速解决客户遭遇的域名劫持问题。 便捷操作 客户登录服务平台即可便捷查看各项指标，启动域名修正服务。

功能 基础版 专业版 高级版 企业版 常见Web漏洞检测 √ √ √ √ 端口扫描 √ √ √ √ CVE漏洞扫描 √ √ √ √ 自定义登录方式 √ √ √ √ Web 2.0高级爬虫 √ √ √ √ 网站指纹识别 √ √ √ √ 扫描任务管理 √ √ √ √ 漏洞查看及管理 √ √ √ √ 弱密码检测 × √ √ √ 网页内容合规检测（文字） × √ √ √ 操作系统漏洞扫描 × √ √ √ 操作系统基线检查 × √ √ √ 中间件基线检查 × √ √ √ 查看漏洞修复建议 × √ √ √ 下载扫描报告 × √ √ √ 安全监测（定时扫描） × √ √ √ 网页内容合规检测（图片） × × × √ 网站挂马检测 × × × √ 链接健康检测（死链、暗链、恶意外链） × × × √ 操作系统等保合规检查 × × × √ 支持手动探索文件导入 × × × √

网页防篡改 实时监控网站目录并通过备份恢复被篡改的文件或目录，保障重要系统的网站信息不被恶意篡改，防止出现挂马、黑链、非法植入恐怖威胁、色情等内容。 勒索防护 在系统关键位置投放诱饵文件，实时捕捉勒索病毒攻击行为，可有效阻止勒索病毒对数据的加密。 文件完整性保护 对系统关键文件、文件路径、文件目录进行实时监控，发现文件变更篡改行为后进行告警，帮助用户及时发现可能遭受攻击的文件更改。

本文介绍了备案管家的服务范围。 天翼云备案管家服务根据客户购买的备案网站个数提供相应的服务。 如果您对于网站备案相关知识不清晰，也欢迎免费咨询，了解更多。 天翼云备案管家服务包含备案指导、资料收集、材料加工、人工审核、资料填写与代提交、进度跟踪等服务工作。服务确认开始，如无不可抗力、政策变更等特殊原因，则本产品服务会服务至备案成功或退订为止。