本文介绍如何验证域名归属权。 客户在天翼云控制台新增域名时，需通过域名归属权验证。具体可根据如下方法一、方法二，任意选择一种方式进行操作验证即可。 方法一：DNS解析验证 本文以加速域名www.ctcdn.cn为例，为您介绍如何通过DNS解析验证来验证域名归属权。 1.客户需在自己的域名解析服务商（例如：腾讯云、新网等），操作本次要新增域名的【主域名】解析记录，添加天翼云控制台返回的TXT记录值（如下记录值仅为示例）。 注意： 主域名：一级域名，例如：www.ctcdn.cn的主域名为：ctcdn.cn（具体值以添加域名时控制台或API返回的主域名或domainzone值为准）。 主机记录：为固定值：dnsverify。 TXT记录值为根据域名随机生成： 记录类型 主机记录 记录值 TXT dnsverify 202207060000002jar4fb2hc79iwjq5cdid87t7rci1sgp33exuyvez4kwonobxt 2.域名解析操作完成后，等待（建议10分钟）DNS解析生效后即可进行解析验证。 Linux系统解析命令：dig dnsverify.ctcdn.cn txt。 3.如解析出来的txt值和天翼云控制台返回的TXT记录值一致，则表示配置正确。 确认配置正确后，可前往天翼云控制台，在新增域名界面点击验证，验证通过就可以正常操作新增域名。

此小节介绍勒索防护 云平台推荐HSS+CBR的勒索防护最佳实践，帮助企业打好事前、事中、事后的勒索攻防“组合拳”。 事前：安全能力前置，勒索入口“早发现、早治疗” 根据云平台安全历史入侵事件数据表明，90%的勒索攻击入口集中在弱口令、漏洞利用、基线风险配置，提前识别风险并修复可显著提升系统防御能力。 企业主机安全能帮助您快速识别风险入口，提供便捷一键修复功能降低企业运维成本。 弱口令检测详细操作请参见“查看基线检查详情”章节。 漏洞检测详细操作请参见“查看漏洞详情”章节，漏洞的修复与验证操作请参见“漏洞修复与验证”章节 基线检查风险修复操作请参见“基线检查风险项修复与验证”章节。 事中：及时阻断攻击，实时检测、隔离勒索攻击 在应对勒索攻击时，及时识别并隔离勒索攻击和备份、恢复业务数据的重要性进一步凸显。 企业主机安全首创防入侵、防加密、防扩散的三防勒索检测引擎和动态诱饵欺骗技术，实现勒索病毒秒级查杀，业务数据分钟级备份和恢复，勒索防治竞争力业界领先。 勒索病毒防护策略配置操作请参见“勒索病毒防护策略管理”章节。 查看勒索防护备份操作请参见“查看勒索病毒防护”章节，修改备份策略操作请参见“查看勒索病毒防护”章节。 勒索病毒事件处理操作请参见“处理主机告警事件”章节。

场景3：利用海外或公有云IP发起CC攻击 在CC攻击中，经常出现攻击来源于海外IP、公有云IP和IDC机房IP的情况。我们可以通过识别这些IP防止CC攻击。 您可以使用访问控制功能，限制指定地理位置的IP对网站访问，如：限制除中国地区外的其他地区不可访问，从而阻止来自海外IP的攻击。 此外，WAF提供的Bot防护功能，可针对常见IDC IP库的IP进行访问拦截，如您需要开通此功能，可提交工单申请。 场景4：针对关键接口的CC攻击 关键接口CC攻击是指通过大量恶意请求网页环境的关键接口，如登录、注册等从而使服务不可用的攻击手段。针对此类攻击您可以使用WAF的账户安全防护功能（撞库防护、暴力破解），对指定接口进行防护，具体配置操作请参考：安全防护配置账户安全防护。 场景5：大规模扫描和爬取行为 大规模的恶意扫描行为会给服务器带来很大压力，除了限制访问请求频率外，您还可以使用以下几种防护配置加强防护效果： 攻击挑战：攻击挑战功能可发现在短时间内发起多次请求的IP，并在一段时间内阻断该IP的所有请求，具体配置操作请参考：安全配置防护高级防护攻击挑战。 扫描器访问拦截：该功能可自动封禁来自常见扫描工具访问请求，如您需要开通此功能，可提交工单申请。 Bot防护：Bot防护可限制对网站的大规模爬取行为，如您需要开通此功能，可提交工单申请。

步骤四： 配置OSPF动态路由 完成以下操作，通过配置OSPF动态路由自动更新路由表信息，从而提高网络的可靠性和扩展性。 1. 登录天翼云SDWAN控制台，选择“智能网关”，单击需要配置OSPF路由的目标智能网关实例名称，进入智能网关实例详情页。 2. 单击“OSPF”。启用OSPF协议，然后单击“编辑配置”，配置OSPF接口IP和协议字段。 3. 根据页面提示填写OSPF协议参数。具体参数配置如下： 参数 描述 OSPF接口IP 支持CIDR格式，例如192.168.0.1/16。 Area ID 区域ID，取值范围1~65535。 Area Type NSSA Router ID 路由器ID，例如192.168.1.1。 Hello Time 取值范围: 1~65535 Dead Time 取值范围: 1~65535 认证类型 可选不认证、MD5认证。 4. 单击“确定”，完成OSPF配置。 步骤五：设置OSPF主备 完成以下操作，将两台设备配置为主备模式，保证高可用性。 1. 登录天翼云SDWAN控制台。 2. 选择“OSPF路由备份”，单击“创建主备关系”。 3. 根据页面提示，添加需要建立主备关系的两个设备。主设备优先级默认为1，备设备优先级默认为2。 4. 单击“确定”，完成建立OSPF路由备份。 步骤六：绑定天翼云SDWAN实例 完成以下操作，通过将智能网关实例加载到SDWAN网络中，实现组网。 1. 登录天翼云SDWAN控制台。 2. 选择“智能网关”，单击主备目标智能网关“操作”列的“绑定网络实例”。 3. 根据页面提示，选择要加入的天翼云SDWAN实例。 4. 单击“确定”，将两台智能网关实例都绑定到同一个天翼云SDWAN实例中。

跨云平台迁移 场景说明 当用户存在多云战略需求时，需要将部分或全部资源迁移到天翼云。 场景痛点 迁移操作时可能面临数据丢失、数据不一致等风险，还需要解决不同类型资源的迁移问题，不同云厂商之间可能存在软件和服务不兼容的问题，这些问题都可能导致应用程序无法正常运行。 产品优势 云迁移服务CMS实现将源平台的架构平行迁移至目标平台。通过可视化界面一键迁移，降低了迁移难度，有效解决服务器、数据库、对象存储迁移中的各种难点。 最大程度支持服务器、数据库、对象存储应用调用第三方服务接口的切换。 针对市面主流的云计算厂商跨云迁移，具有良好的的兼容性。 场景架构 搭配使用产品 弹性云主机 对象存储 弹性IP 传统企业上云 场景说明 随着本地业务运行810年后，大部分企业或者政府机构会将这部分设备进行退网处理，同时随着设备退网，企业原有的服务器、数据库以及对象存储等资源也面临上云迁移的需求。 场景痛点 迁移过程中面临业务无法长时间中断、数据量大、业务情况复杂、人员更迭等因素导致应用重部署难度高甚至无法实现等情况。

本文说明天翼云全站加速有没有海外加速能力，以及如何开通海外加速，如何计费。 海外加速能力说明 天翼云全站加速具有海外加速能力。依托遍布全球的CDN优质节点及线路，通过智能调度及传输优化等核心自研技术，为企业跨国、跨境访问提供一站式全球加速服务。满足出海企业本地化节点覆盖当地用户的迫切需求，保障跨国网络访问的高速、稳定和安全，助力企业拓展全球化业务。 海外加速计费及开通 需要注意的是，开启海外加速需要额外付费，若选择按量计费，详见：按量计费。若选择资源包计费，详见：资源包计费（预付费）。 如果您需要开通海外加速功能，可以通过：变更加速区域，来开通海外加速服务。

接口功能介绍 统计所有漏洞白名单列表。 接口约束 已经签约安全卫士服务协议 URI POST /v1/vulnerability/whitelist 路径参数 无 Query参数 无 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String ContentType application/json 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 currentPage 否 Integer 当前页，不传则默认1 1 pageSize 否 Integer 每页条数，不传则默认10 10 title 否 String 漏洞名称（模糊查询） Python audioop模块多个整数溢出漏洞 cve 否 String CVE编号（模糊查询） CVE20101634 响应参数 参数 参数类型 说明 示例 下级对象 statusCode String 状态码 200成功 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 成功 returnObj Object 返回对象 map 表 map 参数 参数类型 说明 示例 下级对象 total Integer 记录总数 5 pageSize Integer 页大小 10 pageNum Integer 当前页 1 pages Integer 总页数 1 list Array of Objects 漏洞列表信息 serverlist 表 serverlist 参数 参数类型 说明 示例 下级对象 title String 漏洞名称 Python audioop模块多个整数溢出漏洞 severity String 漏洞等级： 低危 中危 高危 超危 超高危 中危 count Integer 加入白名单服务器 7 osType String 操作系统类型 Linux cve String CVE编号 CVE20101634

本文介绍IPv6功能和配置规则。 功能介绍 天翼云全站加速节点已经支持接收IPv6协议的请求，新增域名时默认开启IPv6，当您的用户处于IPv6环境，客户端可以通过IPv6协议访问天翼云全站加速节点，支持关闭IPv6。 配置说明 新增域名： 1. 登录客户控制台。 2. 单击左侧导航栏【域名管理】【域名列表】，点击【添加域名】。 3. 添加域名时，ipv6开关是默认开启的，如您不需要IPv6可选择关闭。 修改IPv6解析： 1. 登录客户控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，找到目标域名【IPv6解析】列。 4. 单击【】，弹出提示框。 5. 单击【确定】，完成配置。

到期预警 包年/包月RabbitMQ实例在到期前第7天内，系统将向用户推送到期预警消息。预警消息将通过邮件、短信和站内信的方式通知到天翼云账号的创建者。 到期后影响 当您的包年/包月RabbitMQ实例到期未续费，首先会进入宽限期，RabbitMQ实例状态变为“已过期”。宽限期内您可以正常访问RabbitMQ实例，但以下操作将受到限制：变更实例规格。 如果您在宽限期内仍未续费包年/包月RabbitMQ实例，那么就会进入保留期，资源状态变为“已冻结”，您将无法对处于保留期的包年/包月RabbitMQ实例执行任何操作。 保留期到期后，若包年/包月RabbitMQ实例仍未续费，那么RabbitMQ实例将被释放，数据无法恢复。

本小节介绍渗透测试术语解释。 后门 攻击者为了对主机进行长期的控制，在机器上终止的一段程序或留下的一个“入口”。 WebShell 通过Web入侵后留下的后门工具，可以在受感染的Web服务器上创建一个命令执行环境，从而允许攻击者在受感染的服务器上执行各种操作。 Exp 即Exploit，漏洞利用程序的简称。漏洞利用程序，简单讲就是一段可以发挥漏洞价值的程序，比如：目标存在一个SQL注入漏洞，然后被你知道了，然后你编写了一个程序，通过这个SQL注入漏洞，拿到了目标的权限，那么这个程序就是所谓的Exp了。当然，如果你没有使用这个漏洞，它就这么放着，那么这个漏洞，对你来说可以认为是没有价值的。 Payload 指攻击载荷，指成功exploit之后，真正在目标系统执行的代码或指令。 POC 即Proof of Concept（概念验证），用于验证漏洞的存在代码。 0day 指尚未公开披露的漏洞，攻击者可以利用它来渗透系统。 1day 指已经被公开披露但未被厂商修补的漏洞，攻击者可以尝试利用它来渗透系统。 nday 指已经公开披露并且已经被厂商修补的漏洞。 提权 指攻击者通过利用漏洞或其他手段从低权限提权系统管理员权限。

操作场景 本服务现已对接天翼云云审计服务，云审计服务提供对各种云资源操作的记录和查询功能，用于支撑合规审计、安全分析、操作追踪和问题定位等场景，同时提供事件跟踪功能，将操作日志转储至对象存储实现永久保存。 云审计可提供的功能服务具体如下： 记录审计日志：支持用户通过管理控制台或API接口发起的操作，以及各服务内部自触发的操作。 审计日志查询：支持在管理控制台对7天内操作记录按照事件类型、事件来源、资源类型、筛选类型、操作用户和事件级别等多个维度进行组合查询。 审计日志转储：支持将审计日志周期性的转储至对象存储服务（ZOS）下的ZOS桶。 使用限制 云审计服务本身免费，包括时间记录以及7天内时间的存储和检索。若您使用云审计提供的转储功能，需要开通对象存储服务并支付产生的费用，该费用以对象存储产品的计费为准，参考计费说明对象存储。 用户通过云审计能查询到多久前的操作事件：7天。 用户操作后多久可以通过云审计查询到数据：5分钟。 其它限制请参考使用限制云审计。 关键操作列表 操作事件 字段 创建数据密钥 generateDataKey 创建数据密钥（无明文） generateDataKeyWithoutPlaintext 导出数据密钥 exportDataKey 创建并导出数据密钥 generateAndExportDataKey 数据加密 encrypt 数据解密 decrypt 禁用主密钥 disableKey 启用主密钥 enableKey 创建主密钥 createKey 计划删除密钥 scheduleKeyDeletion 取消计划删除密钥 cancelKeyDeletion 密钥删除保护 deleteProtect 取消密钥删除保护 cancelDeleteProtect 转加密 reEncrypt 创建默认密钥 createDefaultKey 非对称签名 asymmetricSign 非对称验签 asymmetricVerify 非对称加密 asymmetricEncrypt 非对称解密 asymmetricDecrypt 获取公钥 getPublicKey 获取密钥列表 listAliasKeys 获取密钥详情 describeKey 更新密钥描述 updateKeyDescription 获取对称密钥详情 listSymmetricKeys 查询数据密钥详情 getDataKey 创建非对称密钥版本 createKeyVersion 查询密钥版本列表 listKeyVersions 获取密钥版本详情 describeKeyVersion 更新密钥轮转策略 updateRotationPolicy 创建密钥别名 createAlias 更新密钥别名 updateAlias 删除密钥别名 deleteAlias 获取别名列表 listAlias 获取密钥别名 listAliasByUuid 计算hmac hmaccompute 计算SM3摘要 messageDigest 获得导入密钥材料 getParametersForImport 导入密钥 importKeyMaterial 删除导入密钥材料 deleteKeyMaterial 证书公钥加密 certificatePublicKeyEncrypt 证书私钥解密 certificatePrivateKeyDecrypt 证书私钥签名 certificatePrivateKeySign 证书公钥验签 certificatePublicKeyVerify 获取随机数 getRandom Ukey证书公钥验签 certificatePublicKeyVerifyForUsbKey 创建证书csr createCertificate 更新证书状态 updateCertificateStatus 删除证书 deleteCertificate 获取证书详情 describeCertificate 获取证书链详情 describeCertificateChain 查询证书 getCertificate 导入证书 importCertificate 导入PKCS12证书 importCertificateByPKCS12 导出证书私钥 exportCertificatePrivatkey 查询证书列表 listCertificate 导入Ukey证书 importCertificateForUK 查询Ukey证书列表 listCertificateForUk 获取Ukey证书详情 describeCertificateForUk 查询Ukey证书信息 getCertificateForUk 更新Ukey证书状态 updateCertificateStatusForUk 删除Ukey证书 deleteCertificateForUk 获取vpc列表 listVpc 获取子网列表 listSubnet 创建应用接入点 createApplicationAccessPoint 查询接入点的接口权限列表 listAllUri 获取接入点的接口权限详情 listPointUriPolicy 接入点的接口权限变更 changePointUriPolicy 删除应用接入点 deleteApplicationAccessPoint 查询应用接入点列表 listApplicationAccessPoint 接入点的资源权限变更 changePointResourcePolicy 查询接入点的资源权限列表 listPointResourcePolicy 获取接入点的资源权限详情 describeResourcePolicy 关闭接入点权限控制 closePolicyCheck 检查接入点是否开启权限控制 policyCheckIsOpen 添加终端节点白名单 addEndpointWhitelist 查询终端节点白名单列表 showEndpointWhitelist 云产品关联检测 detectAssociation 创建租户ak createUserAk 启用租户ak enableUserAk 禁用租户ak disableUserAk 删除租户ak deleteUserAk 查询租户ak列表 listUserAk 查询资源信息 resourceInfo

本节介绍如何扫描基线。 支持扫描全部、部分基线，也支持对基线中的部分检查项进行扫描。 扫描基线 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“安全合规”，进入安全合规页面。 3. 单击列表右上角的“扫描基线”。 4. 在弹出的扫描窗口中设置基线范围和扫描对象。 5. 设置完成后，单击“确认”即可开始扫描。 扫描基线检查项 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“安全合规”，进入安全合规页面。 3. 在安全合规页面单击“基线名称”，进入基线详情页面。 4. 单击列表右上角的“扫描”，即可开始扫描检查相应容器、镜像和节点是否符合该基线的安全规则。

本章节介绍开源组件Fastjson远程代码执行漏洞的最佳实践。 漏洞介绍 开源组件Fastjson存在远程代码执行漏洞，此漏洞为2017年Fastjson 1.2.24版本反序列化漏洞的延伸利用，可直接获取服务器权限，危害严重。 影响的版本范围 漏洞影响的产品版本包括：Fastjson 1.2.51以下的版本，不包括Fastjson 1.2.51版本。 安全版本 Fastjson 1.2.51版本及以上的版本。 官方解决方案 建议用户将开源组件Fastjson升级到1.2.51版本或者最新的1.2.58版本。 防护建议 Web应用防火墙内置的防护规则支持对该漏洞的防护，参照以下步骤进行防护： 步骤 1 申请WAF独享引擎。 步骤 2 将网站域名添加到WAF中并完成域名接入，详细操作请参见网站接入域名。 步骤 3 将Web基础防护的状态设置为“拦截”模式，详细操作请参见配置Web基础防护规则。

本节介绍了操作系统更新的相关内容。 云数据库 TaurusDB实例需要适时进行操作系统更新，以提高数据库性能和数据库的整体安全状况。 实例内核版本升级时，云数据库 TaurusDB会根据操作系统的实际情况，决定是否更新以及更新适合的操作系统冷补丁版本。 操作系统更新不会更改数据库实例的版本或数据库实例信息。 此外，云数据库 TaurusDB会在用户设置的运维时间段内，通过热补丁方式及时修复影响重大的操作系统漏洞。

第一章 概述 第一条 为了更好的规范天翼云平台的安全管理，维护天翼云产品稳定有序的运营环境，提升用户使用天翼云产品及服务的体验，依据《中华人民共和国网络安全法》、《互联网信息服务管理办法》、《中华人民共和国反电信网络诈骗法》等相关法律法规，以及《天翼云网站服务条款》和天翼云产品条款等相关规则、协议，特制定“云平台安全规则”（以下简称 “本规则”）。 第二条 本规则是指用户在使用天翼云产品过程中，针对所发布、存储、指向的信息以及所产生网络行为，均需遵循的规则。 第三条 本规则适用于所有天翼云用户（包括渠道伙伴等）。 第四条 用户需严格遵守国家法律法规以及行政法规等规范性文件，依据相关法律法规，向对应对象合法提供产品及服务，切实履行各项义务，并自行承担由此产生的全部责任（包括但不限于履行信息网络安全管理义务、建立健全各项网络安全管理制度，以及全面落实各项安全保护技术措施）。 第五条 对任何涉嫌违反国家法律、行政法规等规范性文件的行为，本规则已有规定的，适用本规则；本规则尚无规定的，天翼云有权依照规范性文件和《天翼云网站服务条款》的要求进行处理。在本规则以外，以"声明"、"通知"、"规则"、“公告”等形式由天翼云在官网（www.ctyun.cn）上发布的，对用户在使用天翼云产品时提出的要求（如"禁止使用天翼云服务从事虚拟货币相关活动的声明"），可适用本规则进行处理。 天翼云有权变更本规则并在官网上予以公告生效。若用户不同意相关变更，应立即停止使用天翼云的相关服务或产品。天翼云有权对用户行为及应适用的规则进行单方认定，并据此处理。

本页为本地MySQL迁移到RDS for MySQL的网络和准备工作概述。 网络通信方式 当前阶段，本地MySQL迁移至天翼云RDS for MySQL，需通过公网网络进行网络打通，包括数据库实例具备公网IP，天翼云DTS实例具备公网IP。 准备工作 1. 准备公网IP 如果存在可用的公网IP，则可跳过本环节，否则用户需先自行通过天翼云官网购买对应资源池（目前支持上海36/华东1/西南1/华北2/长沙42/杭州7）的EIP资源，相关操作可参考申请弹性IP文档。 2. 准备RDS for MySQL 如果存在可用的RDS for MySQL实例，则可跳过本环节，否则用户需先自行通过天翼云官网购买对应资源池（目前支持上海36/华东1/西南1/华北2/长沙42/杭州7）的数据库实例，相关操作可参考天翼云关系数据库MySQL版创建实例文档。 3. 本地数据库绑定公网IP 用户本地数据库绑定公网IP，具体操作步骤及方法取决于用户本地网的架构，天翼云不做具体说明。 4. 本地数据库添加白名单 本地数据库需要添加DTS实例配置的公网IP远程访问数据库的权限。本地数据库添加白名单的方法取决于用户本地网的架构，天翼云不做具体说明。

高频Web攻击场景 你可以配置攻击挑战策略，针对短时间内发起高频大量web攻击（触发规则防护）的客户端ip，阻止该IP一段时间内的所有请求。使用该策略可以快速拦截恶意攻击Web的IP，快速应对恶意扫描、Web攻击威胁，提高攻防对抗效率。 BOT爬虫防护 当您的域名存在爬虫问题时，可以通过边缘安全加速平台的BOT防护模块配置针对性的防护策略来保护您的网站免受爬虫问题困扰。 严格防护模式 当您的业务需要严格的安全防护模式，不管任何请求进来时宁可被误拦截，也不允许进入系统内部时。您可以通过以下方式配置严格的防护策略。 在新增域名时，可以选择拦截模式，同时选择漏洞防护集合选择全量防护规则集合。 如果您已经完成新增域名，可以在域名管理中，选中需要配置策略的域名，然后进入【安全能力】——【Web应用防火墙】——【防护规则引擎】页面，配置全量防护规则集，并且调整防护模式为拦截。 您同时可根据业务、流量特征信息，配置高级防护、访问控制、CC配置等其他特殊的防护配置内容，如：您的域名只允许国内访问，则可以通过访问控制，封禁海外IP内容，只允许国内IP进行访问。 注意：使用严格防护模式的配置策略后，可能会产生大量误报内容，您可以通过分析攻击日志信息，利用加白、配置规则等方式对可信任的请求进行放行减少误报的情况。

本小节介 云解析其它平台解析域名无缝迁移至云解析（平滑迁移）最佳实践。 提供域名解析的服务商都要求修改DNS，但修改DNS是存在解析中断的风险的。为了避免风险，凡计划使用云解析的用户，我们建议用户做如下操作。 准备工作 1. 联系原DNS服务商导出解析记录。 2. 从云解析平台下载《导入解析记录模板》，按模板填写要求，将整理后的解析记录类型为A、AAAA、CNAME的记录填写在模板中。 1. 登录云解析平台，在“记录管理”界面，点击页面右上方“域名设置”进入域名设置界面。界面最下方为“解析记录批量操作”功能模块。 2. 点击“下载模板”下载《导入解析记录模板》。 3. 根据模板格式填写主机名、记录类型、线路类型、记录值、TTL等信息。 操作步骤 1. 通过天翼云购买解析服务。 2. 在天翼云控制中心找到云解析产品列表，点击“解析管理”进入域名维护页面。 1. 在“记录管理”界面，点击页面右上方“域名设置”进入域名设置界面。 2. 将《导入解析记录模板》数据批量导入云解析平台。点击“上传文件”将填写好的模板文件上传至平台，平台将根据操作情况反馈上传结果。 3. 手动添加无法批量导入的解析记录。 3. 检查解析记录是否同原数据一致，避免遗漏。 4. 修改DNS。解析记录设置完成后，需要到域名所在注册商处，将DNS修改为云解析指定的DNS服务器。 5. 等待解析生效。预计4872小时完成缓存刷新，这是由于各地Localdns服务器的域名缓存失效时间长短不一，需要等各地Localdns服务器主动来更新该域名最新DNS服务器地址，才可逐步实现全网生效。 6. 在缓存刷新的4872小时内，DNS解析仍有可能向原DNS发起DNS查询，所以原DNS服务商中的解析记录数据建议保留一周后删除。

本页介绍了文档数据库服务在安全上的表现。 文档数据库服务是天翼云提供的一款安全、可信的文档数据库服务。文档数据库服务支持多种架构，同时拥有云上高可用、高可靠、高安全、扩缩容、快速备份恢复、监控等数据库关键能力，为客户提供完善的性能监控体系和多重安全防护措施，并配备专业的数据库管理平台，让用户能够轻松设置、操作和扩展文档数据库服务。 为了保障操作安全、数据安全及服务运行安全，支撑客户安全有序开展业务活动，天翼云禁止运维人员删除资源时同时删除实例和备份数据，禁止运维人员未经客户书面授权，接入客户数据库实例，禁止运维人员对客户数据进行处理和转移。 文档数据库服务为保障租户数据库的可靠性和安全性提供了多个特性，如VPC、安全组、权限设置、SSL连接、自动/手动备份、跨可用区部署等功能。这些特性可以帮助租户更好地管理和保护其数据库。 网络隔离 文档数据库服务实例运行在独立的 VPC 内，该VPC不与其他实例共享。在创建完实例后，文档数据库服务会为租户分配此子网的 IP 地址，用于连接数据库。文档数据库服务实例运行在租户独立的虚拟私有云内，可提升文档数据库服务实例的安全性。 存储隔离 存储资源按照租户维度进行分配，每个租户的实例与其他租户的实例是相互独立的，并且有资源隔离，互不影响。

漏洞描述 Linux kernel是美国Linux基金会发布的开源操作系统Linux所使用的内核。 Linux kernel中的mm/mempolicy.c文件的‘dogetmempolicy’函数存在安全漏洞。本地攻击者可借助特制的系统调用利用该漏洞造成拒绝服务（内存错误引用）。 基本信息 · CVE编号：CVE201810675 · 漏洞类型：拒绝服务攻击 · 危险等级：高危 · 受影响应用版本：(不同操作系统影响的应用版本不同，具体以检测结果为准) · 检测方式：版本对比 · 是否加入全局：是 · 公布时间： 20180502 · 风险特征：内核风险 · CVSS评分： 7 · CVSS详情： AV:L/AC:L/Au:N/C:C/I:C/A:C 修复建议 1.将漏洞检测结果中的软件包升级到对应漏洞修复版本及以上，内核补丁修复可能存在风险，修复需谨慎，建议测试验证无误后进行升级操作。 2.参照安全补丁功能中该漏洞的修复命令进行升级，或者参照以下修复命令进行升级： CentOS/RHEL/Oracle Linux : sudo yum update y 需要升级的软件包名(参考检测结果) SUSE : sudo zypper update y 需要升级的软件包名(参考检测结果) Ubuntu/Debian : sudo aptget update && sudo aptget install onlyupgrade y 需要升级的软件包名(参考检测结果) 例：若漏洞的检测结果中主机系统为CentOS 7，软件包名称为 kerneltools，则漏洞修复命令为 sudo yum update y kerneltools

本节介绍为什么任务扫描中途就自动取消了。 如果一个任务扫描到一半被系统自动取消了，可能有以下两个原因： 没有配置“网站登录设置”信息。用户没有配置“网站登录设置”信息，VSS无法进行深入的访问，任务就会自动取消。 建议设置“网站登录设置”信息后，重新扫描。 扫描过程中，出现了网络问题。网络异常，VSS将无法访问网站，任务就会自动取消。建议网络正常后，重新扫描。

托管检测与响应服务（原生版）应用场景介绍，帮助您了解如何选购本产品。 日常安全运营支撑 监控用户资产安全状况，发现各类安全威胁进行及时响应；提供产品咨询、技术支持、产品联动处置问题支持、产品故障/BUG解决等服务。 安全运营托管场景 基于丰富的云安全运营经验积累，面向云环境提供持续的安全监测和全面的保护服务，有效发挥云原生安全能力，集威胁分析、攻击面梳理、漏洞管理、应急响应等功能于一体，为用户及时发现、有效分析、闭环处理安全问题，有效防护威胁，降低用户运营成本，为用户资产提供持续有效的安全保障。 关键时期重保场景 为确保重大活动期间，业务系统的平稳安全运行，政企单位需提高网络安全保障强度，开展重要时期网络安全保障工作。包括：监测分析、应急处置、攻击反制、设备布防、漏洞加固、基线评估、弱口令评估、敏感信息评估、安全意识培训、蜜罐运营等。 应急响应场景 针对网络安全事件进行应急处置，保证相关业务的连续性和可用性，同时将攻击带来的破坏程度降到最低。在客户已知或怀疑系统被攻击的情况下，可委托我方工程师对系统进行排查和处置。

云间高速(标准版)支持多个区域间云上资源的互通,实现全内网高速访问。本文帮助您快速构建自己的云间高速互通网络。 应用场景 某公司在北京与上海的天翼云资源池上均部署了VPC。为满足业务对两地VPC网络互通的需求，可建立一条云间高速网络，将两地的VPC接入此网络。该云间高速网络的云企业路由器负责在两个资源池的VPC间转发流量，实现高效互联。 组网拓扑 配置步骤 1. 创建云间高速网络和云企业路由器 1. 创建云间高速网络 云间高速的创建，具体操作请参见：创建云间高速（标准版）实例云间高速 2. 创建云企业路由器 分别创建北京云企业路由器和上海云企业路由器。 具体操作请参见：创建云企业路由器实例云间高速 2. 分别在2个云企业路由器中加载网络实例（VPC） 1. 选择步骤二创建的云企业路由器，单击名称进入云企业路由器详情页面。 2. 单击“加载本地网络实例”。 3. 在加载本地网络实例弹窗中，根据页面提示，分别选择北京和上海云企业路由器加载相应的VPC及子网。注意，加载的子网网段不能冲突。 4. 单击“确定”，完成网络实例加载。

漏洞描述 Sudo是一套用于类Unix操作系统下并允许用户通过安全的方式使用特殊的权限执行命令的程序。 Sudo存在缓存区溢出漏洞，该漏洞由于Sudo错误地在参数中转义了反斜杠导致堆缓冲区溢出，允许攻击者通过sudoedit s和以单个反斜杠字符结尾的命令行参数将权限提升为root。并非所有存在漏洞的Sudo版本都能利用成功，glibc>2.27只能说明漏洞利用难度较小，低版本的glibc也能利用成功，只是漏洞利用难度增加。 基本信息 · CVE编号：CVE20213156 · 漏洞类型：本地提权 · 危险等级：高危 · 检测方式：POC验证 · 是否加入全局：是 · 公布时间： 20210126 · 风险特征：存在EXP本地提权 · CVSS评分： 7 · CVSS详情： AV:L/AC:L/Au:N/C:C/I:C/A:C 漏洞利用链接 修复建议 1.Sudo系统软件包安装的参照以下修复命令进行升级： CentOS/RHEL/Oracle Linux : sudo yum update y sudo SUSE : sudo zypper update y sudo Ubuntu/Debian : sudo aptget update && sudo aptget install onlyupgrade y sudo 2.Sudo源码编译安装的将 Sudo 升级到 1.9.5p2 及以上版本，下载地址：

本章节为您介绍敏感数据资产的相关内容 若数据库、表、字段的名称或类型发生改变，请及时对所属资产重新扫描，否则容易造成您配置的部分规则失效。 自主扫描 数据库安全网关自主扫描通过配置资产的数据库连接信息，自动获取数据库中的元数据（如库、表、字段等），并对这些数据进行分级和分类。 在数据库安全网关开始扫描前，您可以选择性的在“规则配置 > 敏感数据发现”页面自定义一些敏感数据的发现规则，这将丰富扫描出的敏感数据类型。 1.登录数据库安全网关。 2.在左侧菜单栏选择“资产 > 敏感数据 > 敏感数据扫描”进入敏感数据扫描任务页面。 3.单击“新增”按钮，在弹出的“新增敏感数据扫描任务”页面编辑相关信息后。 选择需要扫描的资产或是Oralce集群，配置登录信息，单击“获取扫描配置”按钮，系统将自动检索并显示“ Schema/数据库名”的列表，同时还会显示每个数据库所包含的数据表数量。 说明 新增敏感数据扫描任务时，若选择已配置默认数据源的资产（默认数据源在“新增资产”时配置），系统会自动识别并填充相应的用户名和密码。 4.勾选需要扫描的“Schema/数据库名”，系统将自动检索出数据库下的所有数据表。 配置项 说明 名称 非必填项，不填则自动生成。填写必须为中文字符、字母、数字、“”、“ .”或“ ” ，长度不超过 64 字符。 所属资产 设置数据来源所隶属的资产。 数据库环境 （仅限MySQL资产填写）根据实际情况选择原生环境或分片环境。 用户名 填写数据库的用户名。 密码 填写数据库的密码。 数据库名 填写数据库名。 获取扫描配置 点击获取扫描配置，系统将自动检索并显示“Schema/数据库名”的列表。 扫描配置 展示所属资产的“Schema/数据库”和“数据表”信息。 5.勾选需要扫描的数据表 ，单击“保存并启动”。保存敏感数据扫描任务配置并立即执行任务。任务状态为“扫描中”。 说明 有且仅有一个敏感数据扫描任务在扫描中，若同时存在多个扫描任务则排队扫描。 6.元数据获取完成后，任务状态会显示“扫描完成”，元数据将保存在“敏感数据管理” 中。 7.单击敏感数据扫描任务条目中的“配置敏感数据列的数字”，将会跳转到“资产 > 敏感数据 > 敏感数据管理”页面 ，且默认带上“扫描任务”和“是否敏感数据”两个查询条件。

云游戏的常见问题。 云游戏是什么？ 云游戏是一种以云计算和串流技术为基础的在线游戏技术。由云游戏服务器端进行游戏计算，并将渲染完成的游戏画面，编码成视频流，通过网络传输到本地终端进行视频呈现。云游戏采用远程渲染技术，大幅降低了对用户的终端性能要求。中国电信天翼云游戏，是为用户精心打造的提供全网络接入、高清正版内容、多终端沉浸式体验的游戏服务，让游戏玩家通过即点即玩的方式，全场景快速便捷地体验游戏乐趣。主要面向中国电信移动用户和宽带用户，在家庭和个人娱乐场景下提供基于云端运行的游戏产品，支持手机、平板电脑、电视大屏和各类头戴式显示器等多终端跨屏应用。 玩云游戏需要怎样的网络条件？会消耗多少流量？ 为了获得最佳体验，我们建议您在WiFi 5Ghz频段或5G移动网络环境下使用。稳定的宽带网络延迟可低至20ms以下。速率要求：建议下行速率稳定在20Mbps以上，可享受高清画质；流量消耗：以高清画质为例，每小时大约会消耗12GB流量。请注意，在移动网络下长时间游玩会消耗大量流量，建议您留意套餐余额。 使用云游戏对我的手机设备有什么要求？ 无需高端CPU和GPU，近几年出厂的安卓智能手机基本均可使用。

开源组件Fastjson拒绝服务漏洞，攻击者可以利用该漏洞，构造恶意请求发给使用了Fastjson的服务器，使其内存和CPU耗尽，最终崩溃，造成用户业务瘫痪。本章节介绍开源组件Fastjson拒绝服务漏洞的最佳实践。 漏洞简介 攻击者可以利用该漏洞，构造恶意请求发给使用了Fastjson的服务器，使其内存和CPU耗尽，最终崩溃，造成用户业务瘫痪。 影响的版本范围 漏洞影响的产品版本包括：Fastjson 1.2.60以下版本，不包括Fastjson 1.2.60版本。 安全版本 Fastjson 1.2.60版本。 官方解决方案 建议用户将开源组件Fastjson升级到1.2.60版本。 防护建议 WAF支持对该漏洞的检测和防护，步骤如下： 步骤 1 申请WAF独享引擎。 步骤 2 将网站域名添加到WAF中并完成域名接入，详细操作请参见网站接入WAF。 步骤 3 将Web基础防护的状态设置为“拦截”模式，详细操作请参见配置Web基础防护规则。

本文介绍对象存储文件下载方式工具的使用方法。 对象存储ZOS提供文件下载方式工具。您可以在界面中，选择合适的文件下载方式，查询对应的解决方案。 使用方法 使用网络异常工具的步骤如下： 1. 点击进入文件下载方式工具。 2. 点击“对象存储文件下载方式”中的具体下载方式。 使用天翼云控制台下载：用户可以通过登录到网页形式的控制台来下载对象存储中的文件。 使用windows客户端工具下载：用户可以使用S3 Browser将ZOS上的文件下载到本地。S3 Browser是一个支持S3接口服务的免费windows客户端工具。 使用命令行工具zosutil下载：用户可以使用zosutil工具将ZOS上的文件下载到本地。zosutil是一款用于管理天翼云对象存储服务的命令行工具。 使用API/SDK下载：对象存储提供多种语言的SDK包，支持下载对象。对象存储也支持通过CTAPI生成下载文件的临时预签名链接。 3. 可以看到对应的解决方案。

告警支持通过短信、邮箱、翼连等方式将告警信息通知给对应接收人 概述 告警支持通过短信、邮箱、翼连等方式将告警信息通知给对应接收人，我们可以在通知组中设置接收人信息。 1. 在左边菜单栏选择“应用监控>告警管理>通知组”，进入”通知对象”，设置通知基本信息 具体使用说明可参考天翼云官网的应用性能监控>用户指南>告警管理>通知对象的文档

本文为您介绍什么是云专线。 云专线提供用户本地数据中心与天翼云VPC虚拟私有云之间的连接服务。云专线产品在充分利用中国电信云网融合优势的同时，依托现有的IT基础设施，灵活搭建云上云下高速、低时延、稳定安全的专属连接通道。 产品架构 云专线服务的物理专线一端连接本地数据中心的本地网关设备，一端连接云专线的专线网关，将客户本地数据中心的内部局域网连接到天翼云的接入点，对接天翼云上的虚拟专有网络VPC，实现安全、可靠、高速的内网级通信质量。 云专线服务的产品架构如下图所示： 云专线服务和VPN连接区别 云专线服务和VPN连接都是用于连接用户本地网络与天翼云平台之间的网络连接方式，但它们有一些区别。下表是它们之间的对比： 对比项 云专线服务 VPN连接 网络质量 云专线是通过专用线路物理专线来连接用户本地数据中心与天翼云数据中心，提供更可靠、低延迟的连接。 VPN是通过公共网络（如互联网）创建一个安全的加密通道，使得用户可以在不同地点之间建立私密的连接。 传输带宽 云专线兼容底层IPRAN、MSTP、MPLS VPN、OTN等多种线路类型，支持1G/10G/100G等多种端口带宽规格；同时提供端口聚合和链路能力，实现专线带宽随选和弹性扩容。 受限于公共网络的带宽，即互联网带宽为多少则VPN连接最大传输带宽是多少。 安全性 与互联网物理隔离，用户可以选择独享物理专线，用户独占一个物理端口资源，无数据泄露风险，安全性高。 基于互联网的加密通信，可以满足一般用户的网络传输安全性需求。 适用场景 云专线适用于需要大量带宽、稳定性和可扩展性的连接，比如大规模数据迁移、持续性数据传输等。 VPN连接适用于临时、小规模的连接需求。

本节介绍扫描任务有哪些状态。 扫描任务的状态如下表所示。 状态 含义 已完成 扫描完成。 进行中 正在进行扫描。 等待中 任务正在等待执行。 说明 如果没有设置开始扫描时间，且此时服务器没有被占用，则创建的任务可立即开始扫描，任务状态为“进行中”；否则进入等待队列中等待，任务状态为“等待中”。 已取消 任务被取消。 说明 任务在“进行中”或“等待中”才可以被取消。 任务可能经历的状态历程。 等待中→进行中→已完成 等待中→已取消 等待中→进行中→已取消

本小节介绍如何购买第三方证书部署服务。 操作场景 已上传的第三方证书支持一键部署到天翼云上弹性负载均衡 、Web应用防火墙（原生版） 、CDN加速相关产品，提升业务便捷性。 操作步骤 1. 登录证书管理服务控制台。 2. 单击“购买证书”，进入到证书管理服务产品购买页面。 3. 服务类型选择“第三方证书部署服务”。 4. 选择第三方证书部署服务的购买数量，单次最多可购买200个。 5. 阅读并同意天翼云证书管理服务的服务协议和服务等级协议后，单击“立即购买”下单。 6. 单击“提交订单”，在弹出的“订单详情”页确认订单信息。 7. 单击“立即支付”，完成第三方证书部署服务的购买。