个人用户 主体信息 未满十八周岁不能备案。 负责人手机号码需为本省号码。 主体负责人手机号码不得与应急号码重复，其中有一个手机归属地是外地的也可以但手机号一定要是本人的管局会核验。 网站信息 首页网址只能填写一个。 个人不能选空间/博客。 每次只能备案1个网站/域名，如备案主体之前备案成功的网站个数超过1个，则需要提供网站建设方案书，单位备案需盖公章后扫描为PDF文档。 网站建设方案书的内容至少包含以下内容： 网站服务内容介绍（包含网站内容截图或设计图、网站栏目及内容介绍、多网站/域名用途和域名扩展使用情况）。 组网方案（包含设备配置、组网结构、使用技术及部署情况）。 网络安全与信息安全管理制度（包含网络安全防御措施、信息安全管控制度和应急处理方案）。 承诺如发现主体信息有误、网站实际开办内容与备案信息一致、域名有交易行为、网站内容涉及九不准等违法违规问题，接受接入服务商关闭网站、主管部门注销备案并列入黑名单的处罚。 已取得备案号的域名必须可以访问，网站标签页及内容与已备案网站名称、性质一致，且网站下方须有主体备案号标识，主体备案号单击后需跳转工信部，且必须与实际主体备案号一致。 电子材料 域名证书。 个人有效证件原件彩色电子版。 变更备案 个人性质备案不可以变更为其他个人，当已备案成功的个人是单位法定代表人时，可以从个人性质备案变更为单位性质。 新增接入 不接受先通过再变更，无主体的新增接入和新增网站，备案的信息一定要跟原备案信息一致，如不一致需找原接入商变更后再提交，或者注销后重新备案。

应用场景 当您的网站类业务部署在华为云ECS上时，您可以为网站业务配置“DDoS原生高级防护+WAF”联动防护，即网站业务接入独享模式WAF后将WAF独享引擎的ELB绑定的公网IP添加到DDoS原生高级防护实例进行防护，实现DDoS原生高级防护和WAF双重防护，同时防御四层DDoS攻击和七层Web攻击、CC攻击等，大幅提升网站业务的安全性和稳定性。 网站业务部署“DDoS原生高级防护+WAF”联动防护后，所有业务流量经过WAF独享引擎进行安全清洗后，攻击流量（包括DDoS攻击、Web攻击、CC攻击等）被丢弃，正常的业务流量被WAF转发到源站服务器。

应用场景 当您的网站类业务部署在华为云ECS上时，您可以为网站业务配置“DDoS原生高级防护+WAF”联动防护，即网站业务接入独享模式WAF后将WAF独享引擎的ELB绑定的公网IP添加到DDoS原生高级防护实例进行防护，实现DDoS原生高级防护和WAF双重防护，同时防御四层DDoS攻击和七层Web攻击、CC攻击等，大幅提升网站业务的安全性和稳定性。 网站业务部署“DDoS原生高级防护+WAF”联动防护后，所有业务流量经过WAF独享引擎进行安全清洗后，攻击流量（包括DDoS攻击、Web攻击、CC攻击等）被丢弃，正常的业务流量被WAF转发到源站服务器。

安全组规则修改（可选） 该解决方案使用22端口用来远程登录弹性云服务器 ECS，默认对该方案创建的VPC子网网段放开，请参考修改安全组规则，配置IP地址白名单，以便能正常访问服务。 安全组实际是网络流量访问策略，包括网络流量入方向规则和出方向规则，通过这些规则为安全组内具有相同保护需求并且相互信任的云服务器、云容器、云数据库等实例提供安全保护。 如果您的实例关联的安全组策略无法满足使用需求，比如需要添加、修改、删除某个TCP端口，请参考以下内容进行修改。 添加安全组规则：根据业务使用需求需要新开放某个TCP端口，请参考添加安全组规则添加入方向规则，打开指定的TCP端口。 修改安全组规则：安全组规则设置不当会造成严重的安全隐患。您可以参考修改安全组规则，来修改安全组中不合理的规则，保证云服务器等实例的网络安全。 删除安全组规则：当安全组规则入方向、出方向源地址/目的地址有变化时，或者不需要开放某个端口时，您可以参考删除安全组规则进行安全组规则删除。 MES软件安装进度查看，打开华为云服务器控制台，选择您在参数配置时所填ecs_name的云服务器，登录到云服务器中，查看日志/tmp/tmp.log，显示如下表示安装成功。（注：此步骤大约用时30分钟，完成之后方可进行重置密码，登陆网站的操作。） 图1 安装进度查看 重置密码。打开华为云服务器控制台，勾选3.1快速部署-步骤2创建的弹性云服务器，单击“关机”，关机成功后，单击“重置密码”，根据提示重置密码，单击“确定”后，开机即可正常使用。 图2 修改密码 查看创建的弹性云服务器实例EIP，访问MES系统网站。打开华为云服务器控制台，选择您在参数配置时所填ecs_name的云服务器，查看弹性公网IP，或者复制3.1 步骤8中所看到的MES系统网站访问地址，在浏览器打开。 图3 查看EIP 访问部署的网站。打开浏览器，输入“http://EIP:8000”，即可访问网站，租户id: 000000，账号admin，密码：admin。 图4 MSE网站界面

特性 特性 说明 灵活大规模组网 基于EVPN协议的隧道方案，引入独立的分布式控制组件RR，增加拓扑编排组件，实现每个VPN不同的拓扑编排功能，增大规模组网能力。 IPv4 over IPv6 在Underlay网络为IPv6时，站点LAN侧IPv4业务可以通过SD-WAN EVPN建立的overlay隧道互通。 基于应用的智能选路 凭借强大的应用识别引擎和链路质量探测引擎，实现了基于应用优先级、链路质量、负载均衡、带宽占用率的智能选路，选择最优链路进行业务转发，保障关键业务质量，充分利用带宽，实现负载均衡。 基于FEC技术的音视频优化 FEC（Forward Error Correction，前向错误纠正）技术通过配置流策略的方式，对报文丢包进行优化。FEC通过流分类拦截指定数据流，增加携带校验信息的冗余包，并在接收端进行校验。如果网络中出现了丢包或者报文损伤，则通过冗余包还原报文，从而提升音视频应用体验。 多路包复制（双发选收）抗丢包技术 发送端CPE对数据包进行复制，把原始包和复制包通过多条链路中的两条一起发送。如果一条链路上有丢包，则接收端CPE通过另一条链路上的冗余包还原，从而不用重传。适用流量小，可靠性要求高的业务，例如紧急呼叫，付款业务，工业场景PLC业务。 逐包负载分担是提升链路利用率的技术 逐包负载分担技术可以将单条流的报文分担到多条链路上，充分使用多条链路。在站点有多条出口链路时，可以加速大文件传输。适用FTP/HTTP下载大文件，数据备份等业务。 丰富的北向API iMaster NCE-Campus支持丰富的北向API，满足客户对于SD-WAN方案的集成和灵活定制Portal界面的需要。 完全零配置开局 支持邮件开局、U盘开局、DHCP开局、注册查询中心开局、自动开局，网关设备自动注册到iMaster NCE-Campus，自动获取离线配置，完成网络部署。 全网应用质量可视 提供丰富的质量统计信息，可以实时查看站点内、站点间的链路质量、应用质量、吞吐量等情况，统计数据图形化动态展示，网络情况一目了然。 高性价比CPE 推出高性价比的NetEngine AR系列企业路由器款型。 简单易用的iMaster NCE-Campus系统界面 提供基于模板批量配置、导航式策略配置、页面简洁、表达丰富统计内容的iMaster NCE-Campus系统界面。 iMaster NCE-Campus集群系统异地容灾 支持在两个地域部署两套独立的iMaster NCE-Campus集群系统，系统之间建立心跳、数据通信链路，主集群的数据实时备份到备集群。在主集群发生重大故障无法恢复的时候，可以把备集群切换成新的主集群，从而继续提供业务服务。 Overlay隧道自动化编排 采用EVPN实现站点间Overlay隧道的动态建立，用户只需要完成Underlay网络的WAN侧链路配置和虚拟网络配置，iMaster NCE-Campus根据WAN侧链路配置自动完成隧道编排，无需用户手动配置，大大简化了网络部署配置。 多租户高性能GW 支持运营商部署多租户高性能的CPE作为GW设备，为企业租户提供与传统专线网络对接业务和POP组网业务。 系统安全部署 支持CPE的证书安全存储和证书更换、更新等安全机制；支持CPE与iMaster NCE-Campus、CPE与RR之间双向证书认证；支持CPE与CPE之间的数据平面中IPSec SA动态协商机制；支持对故障设备进行隔离。安全防护功能，支持IPS、AV、URL远程查询。 SD-WAN IPv6场景 支持在站点WAN侧为IPv4、IPv6或双栈的Underlay网络上构建SD-WAN网络，支持站点LAN侧部署IPv4和IPv6业务。 SD-WAN云部署 支持SD-WAN站点通过IPSec接入公有云VPN Gateway。支持Host VPC方式在公有云部署vCPE，支持Transit VPC方式在公有云部署vCPE。

操作步骤 购买WAF独享模式。 配置WAF独享引擎实例安全策略。 进入ECS管理控制台，更改1中创建的WAF独享引擎实例安全组，入方向放开TCP、HTTP等端口。 详细操作，请参见更改安全组。 添加防护网站。 添加防护网站时选择“独享模式”，请注意： 防护对象：填写ECS实例的域名。 是否已使用代理：选择“是”。 WAF独享引擎实例配置负载均衡。 为弹性负载均衡绑定弹性公网IP。 购买DDoS原生高级防护实例。 区域：选择与ECS实例相同的区域（例如，华北-北京四） 进入DDoS原生高级防护实例列表页面，如图2所示。 图2 DDoS原生高级防护实例列表页面 在目标实例所在框的右上方，单击“设置防护对象”。 在弹出的“设置防护对象”对话框中，勾选5中ELB的EIP后，单击“确定”。 成功添加防护对象后，您可以为防护对象配置防护策略。DDoS原生高级防护将为ECS源站服务器提供DDoS攻击全力防护能力，在业务遭受DDoS攻击时，自动触发流量清洗。 有关配置防护策略的详细操作，请参见配置防护策略。

名词解释 认证测试中心 CTC：是结合华为30年安全经验积累，并结合企业与机构的安全合规与防护需求，帮助企业与机构满足国家及行业法律法规要求，同时实现对安全风险与安全事件的有效监控，并及时采取有效措施持续降低安全风险，消除安全事件带来的损失。 云防火墙服务 CFW：是新一代的云原生防火墙，提供云上互联网边界和VPC边界的防护，包括：实时入侵检测与防御，全局统一访问控制，全流量分析可视化，日志审计与溯源分析等，同时支持按需弹性扩容，是用户业务上云的网络安全防护基础服务。 企业主机安全 HSS：是服务器贴身安全管家，通过资产管理、漏洞管理、基线检查、入侵检测、程序运行认证、文件完整性校验，安全运营、网页防篡改等功能，帮助企业更方便地管理主机安全风险，实时发现黑客入侵行为，以及满足等保合规要求。 Web应用防火墙 WAF：对网站业务流量进行多维度检测和防护，结合深度机器学习智能识别恶意请求特征和防御未知威胁，全面避免网站被黑客恶意攻击和入侵。 SSL证书 SCM：是华为联合全球知名数字证书服务机构，为您提供一站式证书的全生命周期管理服务，实现网站的可信身份认证与安全数据传输。 态势感知 SA：为用户提供统一的威胁检测和风险处置平台。帮助用户检测云上资产遭受到的各种典型安全风险，还原攻击历史，感知攻击现状，预测攻击态势，为用户提供强大的事前、事中、事后安全管理能力。 威胁检测服务 MTD：威胁检测服务持续发现恶意活动和未经授权的行为，从而保护账户和工作负载。该服务通过集成AI智能引擎、威胁黑白名单、规则基线等检测模型，识别各类云服务日志中的潜在威胁并输出分析结果，从而提升用户告警、事件检测准确性，提升运维运营效率，同时满足等保合规。 漏洞扫描服务 VSS：集Web漏洞扫描、操作系统漏洞扫描、资产及内容合规检测、安全配置基线检查、弱密码检测、开源合规及漏洞检查、移动应用安全检查七大核心功能为一体，自动发现网站或服务器在网络中的安全风险，为云上业务提供多维度的安全检测服务，满足合规要求，让安全弱点无所遁形。

建站常见问题 使用弹性云服务器搭建网站过程中，由于各种原因可能会遇到一些问题，常见问题及处理方法如下： 服务器登录问题 云服务器登录前的准备工作有哪些？ 无法登录到Windows云服务器怎么办？ 无法登录到Linux云服务器怎么办？ 更多登录类问题请参见弹性云服务器登录类常见问题。 安全组问题 变更安全组规则和网络ACL规则时，是否对原有流量实时生效？ 弹性云服务器加入安全组过后能否变更安全组？ 更多安全组问题请参见安全组常见问题。 网络类问题 弹性云服务器IP获取不到时，如何排查？ EIP连接出现问题时，如何排查？ 弹性云服务器的网卡绑定虚拟IP地址后，该虚拟IP地址无法ping通时，如何排查？ 更多网络类问题请参见VPC常见问题。 操作系统问题 Windows云服务器带宽和CPU利用率高问题排查方法 Linux云服务器带宽和CPU占用率高问题排查方法 更多操作系统问题请参见操作系统类常见问题。 DNS常见问题 怎么测试域名解析是否生效 解析不生效有哪些原因 更多DNS问题请参见DNS常见问题。 其它常见问题 无法访问ECS实例上运行的网站 云服务器端口不通怎样排查？

操作步骤 购买WAF独享模式。 配置WAF独享引擎实例安全策略。 进入ECS管理控制台，更改1中创建的WAF独享引擎实例安全组，入方向放开TCP、HTTP等端口。 详细操作，请参见更改安全组。 添加防护网站。 添加防护网站时选择“独享模式”，请注意： 防护对象：填写ECS实例的域名。 是否已使用代理：选择“是”。 WAF独享引擎实例配置负载均衡。 为弹性负载均衡绑定弹性公网IP。 购买DDoS原生高级防护实例。 区域：选择与ECS实例相同的区域（例如，华北-北京四） 进入DDoS原生高级防护实例列表页面，如图2所示。 图2 DDoS原生高级防护实例列表页面 在目标实例所在框的右上方，单击“设置防护对象”。 在弹出的“设置防护对象”对话框中，勾选5中ELB的EIP后，单击“确定”。 成功添加防护对象后，您可以为防护对象配置防护策略。DDoS原生高级防护将为ECS源站服务器提供DDoS攻击全力防护能力，在业务遭受DDoS攻击时，自动触发流量清洗。 有关配置防护策略的详细操作，请参见配置防护策略。

允许某些协议端口的访问 在本示例中，假设子网内的某个弹性云服务器做Web服务器，入方向需要放通HTTP 80和HTTPS 443端口，出方向全部放通。当子网开启网络ACL时，需要同时配置网络ACL和安全组规则。 网络ACL配置 需要添加的网络ACL入方向、出方向规则如表2所示。 表2 网络ACL规则 方向 动作 协议 源地址 源端口范围 目的地址 目的端口范围 说明 入方向 允许 TCP 0.0.0.0/0 1-65535 0.0.0.0/0 80 允许所有IP地址通过HTTP协议入站访问子网内的弹性云服务器的80端口 入方向 允许 TCP 0.0.0.0/0 1-65535 0.0.0.0/0 443 允许所有IP地址通过HTTPS协议入站访问子网内的弹性云服务器的443端口 出方向 允许 全部 0.0.0.0/0 全部 0.0.0.0/0 全部 允许子网内所有出站流量的数据报文通过 安全组配置 需要添加的安全组入方向、出方向规则如表3所示。 表3 安全组规则 方向 协议/应用 端口 源地址/目的地址 说明 入方向 TCP 80 源地址：0.0.0.0/0 允许所有IP地址通过HTTP协议入站访问安全组内的弹性云服务器的80端口 入方向 TCP 443 源地址：0.0.0.0/0 允许所有IP地址通过HTTPS协议入站访问安全组内的弹性云服务器的443端口 出方向 全部 全部 目的地址：0.0.0.0/0 允许安全组内所有出站流量的数据报文通过 网络ACL相当于一个额外的保护层，就算不小心配置了比较宽松的安全组规则，网络ACL规则也仅允许HTTP 80和HTTPS 443的访问，拒绝其他的入站访问流量。

操作步骤 购买市场镜像 登录华为云官网。 单击菜单栏的“云市场”，进入“华为云市场”页面。 在页面右上角的搜索框中，输入“Drupal”。 在搜索结果中，选择市场镜像“Drupal内容管理系统（LAMP）”，进入对应市场镜像的购买页面。 在本文中，购买的市场镜像规格如图1所示。“虚拟私有云”设置为关联预先创建的“vpc-drupal” 图1 购买市场镜像 根据需要设置市场镜像规格后，单击“立即购买”。 确认订单详情，并设置云主机的登录密码。 图2 设置云主机登录密码 勾选“我已阅读并同意《华为云市场服务协议》”，单击“提交订单”。 当弹性云服务器处于“运行中”后，表示市场镜像购买成功。 设置弹性云服务器 在弹性云服务器列表中，单击购买成功的弹性云服务器，查看详细信息。 设置安全组。 弹性云服务器使用系统默认的安全组“Sys-default”，要想通过网站访问方式登录弹性云服务器，需要新增一条安全组规则，详细内容请参见添加安全组规则。 单击“安全组”页签，并展开系统默认的“Sys-default”安全组。 单击“更改安全组规则”，进入“Sys-default”安全组详细信息页面。 在“入方向规则”页签，单击“添加规则”。 根据表1完成设置。 单击“确定”。 表1 安全组规则 方向 协议/应用 端口 源地址 入方向 HTTP(80) 80 0.0.0.0/0 绑定弹性公网IP。 要想通过网站访问方式登录弹性云服务器，需要为弹性云服务器绑定弹性公网IP，详细内容请参见为弹性云服务器申请和绑定弹性公网IP。 单击“弹性公网IP”页签。 单击“查看弹性公网IP”，进入“弹性公网IP”页面。 （可选）若没有可用的弹性公网IP，则单击“购买弹性公网IP”进行购买。 在弹性公网IP列表中，单击待绑定弹性公网IP“操作”列的“绑定”，完成操作。 Drupal安装准备 在浏览器中输入“http://弹性云服务器公网IP/9panel”，进行Websoft运维面板。 （可选）为Drupal注册一个域名，并配置域名到弹性公网IP的解析记录。 若您想要通过域名进行网站应用程序的安装，需要执行本步骤。 如果您想要选择华为云作为您的域名注册商，可以参考域名注册完成网站域名的注册，并通过华为云云解析服务的快速添加网站域名解析完成解析记录的配置。 修改数据库初始密码。 数据库默认用户为root，默认密码为123456。为保证数据库安全，执行本步骤修改数据库初始密码。 单击“第二步：修改数据库密码”的“马上修改”，进入“phpMyAdmin”页面。 在“常规设置”区域单击“修改密码”。 完成新密码的设置后，单击“执行”完成数据库初始密码的修改。 安装Drupal 回到Websoft运维面板中，单击导航栏的“应用安装”。 单击“第三步：完成安装向导”的“马上安装” 设置语言为“简体中文”，单击“Save and continue”。 图3 设置网站语言 选择“标准”安装方式，单击“保存并继续”。 图4 选择安装方式 安装网站。 此过程无需设置，等待完成“安装网站”和“安装翻译”两步。 设置网站。 设置站点信息、站点维护帐号信息以及区域信息，请妥善保存帐号和密码。 单击“保存和继续”，开始更新配置翻译。 体验Drupal 安装完成，自动跳转到Drupal后台，您可以在此对您的网站进行管理和维护。 图5 Drupal后台

WAF转发和Nginx转发有什么区别？ WAF转发和Nginx转发的主要区别为Nginx是直接转发访问请求到源站服务器，而WAF会先检测并过滤恶意流量，再将过滤后的访问请求转发到源站服务器，详细说明如下： WAF转发 网站接入WAF后，所有访问请求将先经过WAF，WAF通过对HTTP(S)请求进行检测，识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击流量后，将正常流量返回给源站，从而确保Web应用安全、稳定、可用。 图1 网站接入WAF防护原理 Nginx转发 即反向代理（Reverse Proxy）方式转发。反向代理服务器接受客户端访问请求后，直接将访问请求转发给Web服务器，并将从Web服务器上获取的结果返回给客户端。反向代理服务器安装在网站机房，代理Web服务器接收访问请求，并对访问请求进行转发。 反向代理可以防止外网对内网服务器的恶性攻击，缓存以减少内网服务器压力，还可以实现访问安全控制和负载均衡。 图2 Nginx转发原理

名词解释 基本概念、云服务简介、专有名词解释： 认证测试中心CTC：是结合华为30年安全经验积累，并结合企业与机构的安全合规与防护需求，帮助企业与机构满足国家及行业法律法规要求，同时实现对安全风险与安全事件的有效监控，并及时采取有效措施持续降低安全风险，消除安全事件带来的损失。 云防火墙服务CFW：是新一代的云原生防火墙，提供云上互联网边界和VPC边界的防护，包括：实时入侵检测与防御，全局统一访问控制，全流量分析可视化，日志审计与溯源分析等，同时支持按需弹性扩容，是用户业务上云的网络安全防护基础服务。 企业主机安全HSS：是服务器贴身安全管家，通过资产管理、漏洞管理、基线检查、入侵检测、程序运行认证、文件完整性校验，安全运营、网页防篡改等功能，帮助企业更方便地管理主机安全风险，实时发现黑客入侵行为，以及满足等保合规要求。 Web应用防火墙WAF：对网站业务流量进行多维度检测和防护，结合深度机器学习智能识别恶意请求特征和防御未知威胁，全面避免网站被黑客恶意攻击和入侵。 云证书管理服务CCM：是华为联合全球知名数字证书服务机构，为您提供一站式证书的全生命周期管理服务，实现网站的可信身份认证与安全数据传输。 态势感知SA：为用户提供统一的威胁检测和风险处置平台。帮助用户检测云上资产遭受到的各种典型安全风险，还原攻击历史，感知攻击现状，预测攻击态势，为用户提供强大的事前、事中、事后安全管理能力。 威胁检测服务MTD：威胁检测服务持续发现恶意活动和未经授权的行为，从而保护账户和工作负载。该服务通过集成AI智能引擎、威胁黑白名单、规则基线等检测模型，识别各类云服务日志中的潜在威胁并输出分析结果，从而提升用户告警、事件检测准确性，提升运维运营效率，同时满足等保合规。 漏洞扫描服务VSS：集Web漏洞扫描、操作系统漏洞扫描、资产及内容合规检测、安全配置基线检查、弱密码检测、开源合规及漏洞检查、移动应用安全检查七大核心功能为一体，自动发现网站或服务器在网络中的安全风险，为云上业务提供多维度的安全检测服务，满足合规要求，让安全弱点无所遁形。 数据库安全服务DBSS：是一个智能的数据库安全服务，基于机器学习机制和大数据分析技术，提供数据库审计，SQL注入攻击检测，风险操作识别等功能，保障云上数据库安全。 云堡垒机CBH：提供主机管理、权限控制、运维审计、安全合规等功能，支持Chrome等主流浏览器随时随地远程运维，保障运维安全高效。

安全组规则修改（可选） 该解决方案使用22端口用来远程登录弹性云服务器 ECS，默认对该方案创建的VPC子网网段放开，请参考修改安全组规则，配置IP地址白名单，以便能正常访问服务。 安全组实际是网络流量访问策略，包括网络流量入方向规则和出方向规则，通过这些规则为安全组内具有相同保护需求并且相互信任的云服务器、云容器、云数据库等实例提供安全保护。 如果您的实例关联的安全组策略无法满足使用需求，比如需要添加、修改、删除某个TCP端口，请参考以下内容进行修改。 添加安全组规则：根据业务使用需求需要新开放某个TCP端口，请参考添加安全组规则添加入方向规则，打开指定的TCP端口。 修改安全组规则：安全组规则设置不当会造成严重的安全隐患。您可以参考修改安全组规则，来修改安全组中不合理的规则，保证云服务器等实例的网络安全。 删除安全组规则：当安全组规则入方向、出方向源地址/目的地址有变化时，或者不需要开放某个端口时，您可以参考删除安全组规则进行安全组规则删除。 修改初始密码。打开华为云服务器控制台，勾选3.1快速部署-步骤2创建的弹性云服务器，单击“关机”，关机成功后，单击“重置密码”，根据提示重置密码，单击“确定”后，开机即可正常使用。 图1 重置密码 打开浏览器，输入堆栈输出界面，“b 第一步”访问网址，选择试用7天，即可进入。使用正式版请前往迅响响应式建站详情页购买License。 图2 访问网址 在浏览器输入堆栈输出界面，“c 第二步”管理员账号、密码及图形验证码，即可进入迅响后台管理界面 图3 管理员账号密码 配置域名解析。网站解析将域名与3.2快速部署步骤2中弹性公网IP地址相关联，实现通过在浏览器中直接输入域名访问网站。具体解析流程参考快速添加域名解析。 若无备案域名，则需要在本地hosts文件中添加域名解析，找到hosts文件使用记事本打开，添加需要的解析的ip地址及域名。 图4 hosts文件位置 图5 添加ip域名解析信息 通过浏览器访问讯响后台基础使用手册下载地址 http://vc-cms.cloud.coyuns.com.cn/manual.zip，下载完成后解压，获取迅响响应式建站(独立部署后台)基础使用手册，即可根据使用手册进行网站管理操作。 图6 下载网址 图7 下载文件

企业用户 主体信息 主体负责人必须为法定代表人。 特别要求联系方式必须为本人真实号码 ，座机可以找到本人接听 ，手机可以拨通且是本人接听电话 ，接通后配合备案真实性核验。 企业备案个人成立的工作室有营业执照但是没有公章的不可以进行备案，必须要有和营业执照对应的公章盖章才可以。个体工商户都是要有公章的。 主体负责人手机号码不得与应急号码重复，暂无归属地要求。 网站信息 同一网站备案号下多个网站，访问各域名打开首页时，必须与备案系统中域名对应的网址首页保持一致。 首页网址只能填写一个。 域名所有者必须要和备案主体一致。 网站负责人如不是法定代表人，须提供授权书（授权委托书中必须包含授权人姓名、身份证号码、法定代表人签字并加盖公章）。 网站负责人非主体负责人的情况下，手机号码不得与主体负责人手机号码重复，应急号码也不得与主体负责人的所有联系方式重复，无归属地要求。 已备案成功的网站必须正常开放，网站内容必须符合单位性质，备案号须悬挂在网站底部中央位置并正确链接至工信部备案管理系统(beian.miit.gov.cn)。 每次只能备案1个网站/域名，如备案主体之前备案成功的网站个数超过1个，则需要提供网站建设方案书，单位备案需盖公章后扫描为PDF文档。 网站建设方案书的内容至少包含以下内容： 网站服务内容介绍（包含网站内容截图或设计图、网站栏目及内容介绍、多网站/域名用途和域名扩展使用情况）。 组网方案（包含设备配置、组网结构、使用技术及部署情况）。 网络安全与信息安全管理制度（包含网络安全防御措施、信息安全管控制度和应急处理方案）。 承诺如发现主体信息有误、网站实际开办内容与备案信息一致、域名有交易行为、网站内容涉及九不准等违法违规问题，接受接入服务商关闭网站、主管部门注销备案并列入黑名单的处罚。 电子材料 域名证书。 主办单位有效证件彩色电子版。 主体负责人有效证件彩色电子版。 网站负责人有效证件彩色电子版。 涉及前置审批相关行业，必须办理前置审批文件，详情请参见前置审批。 变更备案 单位不能变更为个人备案。 新增接入 不接受先通过再变更，无主体的新增接入和新增网站，备案的信息一定要跟原备案信息一致，如不一致需找原接入商变更后再提交，或者注销后重新备案。

安全上云合规检查—数据防护 表5 数据防护风险项检查项目 检查项目 检查内容 ELB证书有效性检查 弹性负载均衡（Elastic Load Balance，ELB）支持两种类型的证书，服务器证书和CA证书。配置HTTPS监听器时，需要为监听器绑定服务器证书，如果开启双向认证功能，还需要绑定CA证书。 检查所有ELB中的证书是否有效可用。如果SSL证书过期且未及时更新，用户访问网站时会显示“网站的安全证书已过期”的告警信息。 CDN证书有效性检查 通过配置加速域名的HTTPS证书，并将其部署在全网CDN节点，实现HTTPS安全加速。 检查CDN中证书是否均在有效期内，如果SSL证书过期且未及时更新，用户访问网站时会显示“网站的安全证书已过期”的告警信息。 SSL证书有效性检查 SSL证书管理（SSL Certificate Manager，SCM）是一个SSL（Secure Socket Layer）证书管理平台。SSL证书部署到服务器后，服务器端的访问将启用HTTPS协议。SSL证书超出有效期，将无法正常使用SSL证书。 检查所有SSL证书（检查已签发状态SSL证书，如果SSL证书未签发则默认为检查合格）状态是否在有效期内。 RDS数据库绑定EIP时的安全设置检查 当云数据库RDS（Relational Database Service，简称RDS）配置公网连接时，业务数据会在公网上进行传输，数据容易泄露，因此，需要最小化控制访问源以及开启SSL通道、更改默认数据库端口。 检查当RDS数据库配置公网连接时，是否限制访问源以及开启SSL、更改默认端口。 DDS数据库绑定EIP时安全设置检查 当文档数据库服务（Document Database Service）配置公网连接时，业务数据会在公网上进行传输，数据容易泄露，因此，需要最小化控制访问源以及开启SSL通道、更改默认数据库端口。 检查当DDS数据库配置公网连接时，是否限制访问源以及开启SSL、更改默认端口。 DCS数据库绑定EIP时的安全设置检查 当分布式缓存服务（Distributed Cache Service，简称DCS）配置公网连接时，业务数据会在公网上进行传输，数据容易泄露，因此，需要最小化控制访问源以及开启SSL通道、更改默认数据库端口。 检查当DCS数据库配置公网连接时，是否限制访问源以及开启SSL、更改默认端口。 云数据库GaussDB绑定EIP时的安全设置检查 当云数据库GaussDB配置公网连接时，业务数据会在公网上进行传输，数据容易泄露，因此，需要最小化控制访问源以及开启SSL通道、更改默认数据库端口。 检查当云数据库GaussDB配置公网连接时，是否限制访问源以及开启SSL、更改默认端口。 RDS数据库绑定EIP检查 当云数据库RDS（Relational Database Service，简称RDS）配置公网连接时，业务数据会在公网上进行传输，数据容易泄露，因此，不建议数据库开通公网连接方式。 检查当RDS数据库配置，是否开通公网连接方式。 DDS数据库绑定EIP检查 当文档数据库服务（Document Database Service）配置公网连接时，业务数据会在公网上进行传输，数据容易泄露，因此，不建议数据库开通公网连接方式。 检查当DDS数据库配置，是否开通公网连接方式。 DCS数据库绑定EIP检查 当分布式缓存服务（Distributed Cache Service，简称DCS）配置公网连接时，业务数据会在公网上进行传输，数据容易泄露，因此，不建议数据库开通公网连接方式。 检查当DCS数据库配置，是否开通公网连接方式。 云数据库GaussDB绑定EIP检查 当云数据库GaussDB配置公网连接时，业务数据会在公网上进行传输，数据容易泄露，因此，不建议数据库开通公网连接方式。 检查当云数据库GaussDB配置，是否开通公网连接方式。 RDS数据库实例安全组规则检查 检查关系型数据库（Relational Database Service，RDS）实例所关联的安全组规则是否存在不安全规则，即检查安全组规则的允许范围是否超过使用范围。当源地址为0.0.0.0/0或空时，代表未设置IP访问的限制，数据库将会有高安全风险。不安全规则示例：方向为入方向，协议为任一类别协议，源地址为0.0.0.0/0（所有地址），端口为1~65535或者数据库业务端口，如3306。 GaussDB数据库实例安全组规则检查 安全组入方向规则应满足最小化访问控制原则。 一般地，在非业务需要的情况下，以下情况视为未按最小化访问控制（风险由高到低）： IPv4：源地址为0.0.0.0/0；公网地址的掩码小于32；内网地址的掩码小于24 IPv6：源地址为::/0 OBS桶服务端加密检查 OBS服务端加密是在上传对象到桶时，将数据在服务端加密成密文后存储。再次下载加密对象时，存储的密文会先在服务端解密为明文，再反馈给用户。将数据加密后存储到OBS桶中，提高数据的安全性。 检查所有OBS桶是否开启服务端加密。 OBS桶的ACL权限检查 OBS桶ACL是基于帐号或用户组的桶级访问控制，桶的拥有者可以通过桶ACL授予指定帐号或用户组特定的访问权限。 匿名用户指未注册华为云的普通访客。如果OBS桶的ACL赋予了匿名用户桶的访问权限或ACL访问权限，表示所有人无需经过任何身份验证即可访问OBS桶。 检查所有OBS桶，是否给匿名用户赋予桶访问权限或者ACL访问权限。 MySQL数据库实例root用户远程登录控制检查 MySQL数据库实例的root应做好远程登录的控制，限制仅应用端、DAS管理网段等业务需要方可登录，防止root帐号被暴力破解。 RDS数据库实例安全组入方向规则检查 安全组入方向规则应满足最小化访问控制原则。 一般，在非业务需要的情况下，以下情况视为未按最小化访问控制（风险由高到低）： IPv4：源地址为0.0.0.0/0；公网地址的掩码小于32；内网地址的掩码小于24 IPv6：源地址为::/0 检查云数据库（Relational Database Service，RDS）实例所关联的安全组入方向规则是否按最小化访问控制。 DCS数据库实例安全组入方向规则检查 安全组入方向规则应满足最小化访问控制原则。 一般，在非业务需要的情况下，以下情况视为未按最小化访问控制（风险由高到低）： IPv4：源地址为0.0.0.0/0；公网地址的掩码小于32；内网地址的掩码小于24 IPv6：源地址为::/0 检查分布式缓存服务（Distributed Cache Service，DCS）实例所关联的安全组入方向规则是否按最小化访问控制。 DDS数据库实例安全组入方向规则检查 安全组入方向规则应满足最小化访问控制原则。 一般，在非业务需要的情况下，以下情况视为未按最小化访问控制（风险由高到低）： IPv4：源地址为0.0.0.0/0；公网地址的掩码小于32；内网地址的掩码小于24 IPv6：源地址为::/0 检查文档数据库服务（Document Database Service，DDS）实例所关联的安全组入方向规则是否按最小化访问控制。 RDS数据库实例安全组端口开放检查 检查云数据库（Relational Database Service，RDS）实例所关联的安全组规则是否存在不安全规则，即检查安全组规则的允许范围是否超过使用范围。 不安全规则示例：方向为入方向，端口为1~65535或者非数据库业务端口，如3306。 检查RDS实例是否开放非必要的端口。 DCS数据库实例安全组端口开放检查 检查分布式缓存服务（Distributed Cache Service，DCS）实例所关联的安全组规则是否存在不安全规则，即检查安全组规则的允许范围是否超过使用范围。 不安全规则示例：方向为入方向，端口为1~65535或者非数据库业务端口，如6379。 检查DCS实例是否开放非必要的端口。 DDS数据库实例安全组端口开放检查 检查文档数据库服务（Document Database Service，DDS）实例所关联的安全组规则是否存在不安全规则，即检查安全组规则的允许范围是否超过使用范围。 不安全规则示例：方向为入方向，端口为1~65535或者非数据库业务端口，如8635。 检查DDS实例是否开放非必要的端口。

主要功能 云容器引擎支持对容器应用的全生命周期管理，具有以下功能： 集群管理 通过控制台一键创建Kubernetes集群，支持跨可用区高可用。 一站式容器管理 容器应用全生命周期管理。 高性能容器隧道网络、VPC网络、云原生网络2.0等容器网络。 云硬盘EVS、弹性文件存储SFS、对象存储OBS等持久化存储支持。 资源、应用、容器多维度监控。 多样化的日志报表统计。 基于角色的权限管理和容器运行时安全。 应用市场内容 丰富的Helm chart组件。 对接开源镜像中心和华为云容器镜像服务，支持自定义镜像和共享镜像。 开发者服务 提供OpenAPI和社区原生API。 提供Kubectl插件和社区原生Kubectl工具。

安全上云合规检查—基础设施防护 表4 基础设施防护风险项检查项目 检查项目 检查内容 安全组入方向规则控制检查 安全组入方向规则应满足最小化访问控制原则。 一般，在非业务需要的情况下，以下情况视为未按最小化访问控制（风险由高到低）：源地址为0.0.0.0/0；公网地址的掩码小于32；内网地址的掩码小于24。 高危端口、远程管理端口暴露检查 安全组是一个逻辑上的分组，为具有相同安全保护需求并相互信任的云服务器提供访问策略。安全组创建后，可以在安全组中设置出方向、入方向规则，这些规则会对安全组内部的云服务器出入方向网络流量进行访问控制，当云服务器加入该安全组后，即受到这些访问规则的保护。 安全组入方向规则中不应对外开放或未最小化开放高危端口、远程管理端口。 高危端口如下：20，21，135，137，138，139，445，389，593，1025 未最小化开放指的是：源地址为0.0.0.0/0；公网地址的掩码小于32；内网地址的掩码小于24 检查安全组入方向规则中是否存在对外开放或未最小化开放高危端口、远程管理端口。 绑定EIP的ECS配置密钥对登录检查 当存在ECS对外暴露EIP的情况下，为安全起见，弹性云服务器登录时应使用密钥方式进行身份验证。 日志指标过滤和告警事件（VPC更改）检查 日志审计模块是信息安全审计功能的核心必备组件，是企事业单位信息系统安全风险管控的重要组成部分。云审计服务（Cloud Trace Service，以下简称CTS），是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 检查CTS中是否存在因VPC更改而产生的日志和告警事件。 日志指标过滤和告警事件（网络网关更改）检查 日志审计模块是信息安全审计功能的核心必备组件，是企事业单位信息系统安全风险管控的重要组成部分。云审计服务（Cloud Trace Service，以下简称CTS），是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 检查CTS中是否存在因网络网关更改而产生的日志和告警事件。 日志指标过滤和告警事件（安全组更改）检查 日志审计模块是信息安全审计功能的核心必备组件，是企事业单位信息系统安全风险管控的重要组成部分。云审计服务（Cloud Trace Service，以下简称CTS），是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 检查CTS中是否存在因安全组更改而产生的日志和告警事件。 日志指标过滤和告警事件（子网更改）检查 日志审计模块是信息安全审计功能的核心必备组件，是企事业单位信息系统安全风险管控的重要组成部分。云审计服务（Cloud Trace Service，以下简称CTS），是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 检查CTS中是否存在因子网更改而产生的日志和告警事件。 日志指标过滤和告警事件（VPN更改）检查 日志审计模块是信息安全审计功能的核心必备组件，是企事业单位信息系统安全风险管控的重要组成部分。云审计服务（Cloud Trace Service，以下简称CTS），是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 检查CTS中是否存在因VPN更改而产生的日志和告警事件。 ELB实例（共享型）启用访问控制检查 共享型负载均衡器用户可以通过添加白名单和黑名单的方式控制访问负载均衡监听器的IP。通过白名单能够设置允许特定IP访问，而其它IP不许访问。通过黑名单能够设置允许特定的IP不能访问，而其它IP允许访问。 检查弹性负载均衡（Elastic Load Balance，ELB）实例，是否开启访问控制策略。 网络ACL规则配置检查 网络ACL是对子网的访问控制策略系统，根据与子网关联的入站/出站规则，判断数据包是否被允许流入/流出关联子网。同一个VPC内的子网间设置网络ACL，可以增加额外的安全防护层，实现更精细、更复杂的安全访问控制。 检查是否配置网络ACL规则。 用于VPC对等连接路由表检查 对等连接是指两个VPC之间的网络连接，因此用于对等连接的路由表应满足最小访问权限。 本端路由的目的地址尽量限定在最小子网网段内，对端路由的目的地址尽量限定在最小子网网段内。 检查用于对等连接的路由表是否满足最小访问权限。 VPC规划检查 如果在当前区域下有多套业务部署，且希望不同业务之间进行网络隔离时，则可为每个业务在当前区域建立相应的VPC。 两个VPC之间可以采用对等连接进行互连。 VPC具有区域属性，默认情况下，不同区域的VPC之间内网不互通，同区域的不同VPC内网不互通，同一个VPC下的不同可用区之间内网互通。 检查VPC规范是否合理。 WAF启用（云模式/独享模式/ELB模式）检查 启用Web应用防火墙（Web Application Firewall， WAF）服务后，网站所有的公网流量都会先经过Web应用防火墙，恶意攻击流量在Web应用防火墙上被检测过滤，而正常流量返回给源站IP，从而确保源站IP安全、稳定、可用。 检查是否已启用WAF。 WAF回源配置检查（未配置ELB） 使用Web应用防火墙（Web Application Firewall， WAF）服务后，需配置源站服务器只允许来自WAF的访问请求访问源站，既可保障访问不受影响，又能防止源站IP暴露。 未使用弹性负载均衡（Elastic Load Balance，ELB）情况下，检查在ECS关联的安全组源地址中，是否添加WAF回源IP。 WAF防护策略配置（地理位置访问控制）检查 WAF的防护策略应配置地理位置访问控制，可针对指定国家、地区的来源IP自定义访问控制。配置后，可以进一步减小业务网站的攻击面（检测版和专业版暂不支持该功能）。 Web基础防护配置检查 Web基础防护支持“拦截”（发现攻击行为后立即阻断并记录）和“仅记录”（发现攻击行为后只记录不阻断攻击）模式，检测版仅支持“仅记录”模式。 WAF中所有待防护的域名应开启Web基础防护并设置为拦截模式，开启后，默认防范SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等常规的Web攻击。 检查是否已开启Web基础防护并设置为拦截模式。 VSS启用检查 漏洞扫描服务（Vulnerability Scan Service）是针对网站进行漏洞扫描的一种安全检测服务，可以帮助快速检测出网站存在的漏洞，提供详细的漏洞分析报告，并针对不同类型的漏洞提供专业可靠的修复建议。 检查是否已启用VSS服务。 Anti-DDoS流量清洗启用检查 DDoS原生基础防护（Anti-DDoS流量清洗）服务为华为云内公网IP资源，提供网络层和应用层的DDoS攻击防护，并提供攻击拦截实时告警，有效提升用户带宽利用率，保障业务稳定可靠。 检查是否已启用Anti-DDoS流量清洗服务。 DDoS高防启用检查 DDoS高防（Advanced Anti-DDoS，AAD）是企业重要业务连续性的有力保障。DDoS高防通过高防IP代理源站IP对外提供服务，将恶意攻击流量引流到高防IP清洗，确保重要业务不被攻击中断。 检查是否已启用DDoS高防。 云堡垒机启用检查 云堡垒机（Cloud Bastion Host，CBH）是华为云的一款4A统一安全管控平台，为企业提供集中的帐号、授权、认证和审计管理服务。启用后，可实现对服务器、云主机、数据库、应用系统等云上资源的集中管理和运维审计，不仅能保障系统运行安全，且满足相关合规性规范。 检查是否已启用云堡垒机服务。 主机安全防护启用检查 企业主机安全服务（Host Security Service，HSS）是提升主机整体安全性的服务。可以全面识别并管理主机中的信息资产，实时监测主机中的风险并阻止非法入侵行为，帮助企业构建服务器安全体系，降低当前服务器面临的主要安全风险。 主机实例应安装HSS且开启防护，版本要求至少为企业版（旗舰版、网页防篡改版更优）。 检查主机是否开启主机安全防护。 HSS网页防篡改启用与防护目录配置检查 网页防篡改可实时监控网站目录，并通过备份恢复被篡改的文件或目录，保障重要系统的网站信息不被恶意篡改，防止出现挂马、黑链、非法植入恐怖威胁、色情等内容。 有网站或者关键系统防篡改需求，以及有应用安全防护需求的主机，应开启HSS中的网络防篡改防护并配置好防护目录。 检查主机是否开启网络防篡改防护且已配置好防护目录。 主机紧急修复漏洞检查 企业主机安全服务（Host Security Service，HSS）提供漏洞管理功能，检测Linux软件漏洞、Windows系统漏洞和Web-CMS漏洞。 检查HSS中是否存在紧急修复漏洞。 CDN访问控制配置检查 当客户CDN需要对访问者身份进行识别和过滤，限制部分用户访问，提高CDN的安全性，应配置防盗链与IP黑名单。 检查CDN是否配置访问控制规则。

504 Gateway Timeout错误排查思路和处理建议 完成WAF域名接入配置之后，业务正常，但当业务量增加时，发生504错误的概率增加，直接访问源站IP也有一定概率出现504错误，请参考图8进行排查处理。 图8 504错误排查思路 表2 504错误问题处理 可能原因 排查方法 处理建议 原因一：后端服务器性能问题（连接数，CPU内存占用过大等） 源站性能问题，可以排查源站访问日志以及访问流量情况，定性分析。 优化服务器的相关配置，包括TCP网络参数的优化配置，ulimit相关参数设置等。 如果是云模式部署方式，建议在ELB上增加后端服务器组或创建新的ELB，支撑大量增长的业务量。 增加后端服务器组的详细操作，请参见添加后端云服务器（共享型）。 配置新ELB的操作，请参考步骤 1~步骤 7。 如果“对外协议”是HTTPS，建议在WAF设置HTTPS转发，回源走HTTP协议即“源站协议”设置为HTTP，降低后端服务器的计算压力。 修改服务器信息的详细操作，请参见修改服务器信息。 使用CC防护规则，拦截恶意流量。 原因二： 安全组未将WAF回源IP设置为白名单或未放开端口 源站有防火墙设备，且该防火墙设备拦截了WAF的回源IP 建议采用以下方法进行排查： 排查客户源站是否有安全组，防火墙，服务器安全软件等。 在客户端与WAF上同时进行抓包分析，排查源站防火墙等设备对WAF的长连接是否有主动丢包的现象。 源站服务器配置放行WAF回源IP的访问控制策略。 云模式：请参见如何放行云模式WAF的回源IP段？。 独享模式：请参见放行独享引擎回源IP。 建议您关闭防火墙和服务器安全防护软件。 原因三：连接超时、read超时 说明： 源站响应时间过长导致504（数据库查询时间过长，大文件上传时间过长，源站故障等）。 WAF回源到客户源站超时时间大多为60秒或180秒，若超时则会报错504。 该问题有以下排查方法： 绕过WAF，直接访问客户源站，查看响应时长 查看全量日志里面访问日志源站响应时长 建议客户绕过WAF测试上传功能，并检查客户上传文件大小 数据库查询时间过长： 调整优化业务，尽量缩短查询时长，优化用户体验。 修改请求的交互方式，让这种长连接在 60s 内能有一些数据交互（如，ack报文、心跳包、keep-alive等任何可以维持会话的报文）。 大文件上传时间过长： 调整优化业务，尽量缩短文件上传时间。 建议使用FTP方式上传文件。 直接通过IP上传，或者使用没有被WAF防护的域名上传。 使用WAF的独享模式，独享WAF回源超时默认为180s。 源站故障类： 检查源站业务是否正常。 原因四：源站带宽不足，访问流量过大，带宽超限制 该问题有以下排查方法： 若客户配置的WAF后端为7层ELB，则可以在ELB上查504相关日志 若客户配置的WAF后端为4层ELB，则可以在ELB上查“Traffic exceeded the bandwidth threshold”相关字段日志 若客户配置的WAF后端为EIP，则在504高峰查看EIP流量监控。 扩展源站服务器带宽。 创建新的ELB，参照以下方法将ELB的EIP作为服务器的IP地址，接入WAF。 修改服务器信息，大约需要2分钟同步生效。 创建负载均衡器。 登录管理控制台。 进入网站设置页面入口，如图9所示。 图9 网站设置入口 在目标域名所在行的“防护网站”列中，单击目标域名，进入域名基本信息页面。 在“服务器信息”栏中，单击，进入“修改服务器信息”页面，单击“添加”，新增后端服务器。 图10 服务器配置 将“源站地址”设置为ELB的弹性公网IP地址。 单击“确定”，服务器信息修改成功。

功能特性 通过Web应用防火墙，轻松应对各种Web安全风险，Web应用防火墙支持功能如下表。 功能类别 功能说明 业务配置 域名（泛域名、一级域名、二级域名等各级域名）/IP防护 说明： WAF云模式支持域名备案检查，添加防护域名时，WAF会检查域名备案情况，未备案域名将无法添加到WAF。 WAF支持云模式、独享模式两种部署模式，各部署模式支持防护的对象说明如下： 云模式：域名，华为云、非华为云或云下的Web业务 独享模式：域名或IP，华为云的Web业务 HTTP/HTTPS业务防护 WAF可以防护HTTP/HTTPS业务，通过对HTTP/HTTPS请求进行检测，识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击，保护Web服务安全稳定。 支持WebSocket/WebSockets协议 WAF支持WebSocket/WebSockets协议，且默认为开启状态。 非标端口防护 Web应用防火墙除了可以防护标准的80，443端口外，还支持非标准端口的防护。 说明： 云模式的专业版和铂金版支持定制非标准端口，您可以提交工单申请开通定制的非标准端口。 Web应用安全防护 Web基础防护 说明： 防护动作为“拦截”时，可使用攻击惩罚标准功能，即当恶意请求被拦截时，可自动封禁访问者一段时间。 覆盖OWASP（Open Web Application Security Project，简称OWASP）TOP 10中常见安全威胁，通过预置丰富的信誉库，对漏洞攻击、网页木马等威胁进行检测和拦截。 全面的攻击防护 支持SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录（路径）遍历、敏感文件访问、命令/代码注入、XML/Xpath注入等攻击检测和拦截。 Webshell检测 防护通过上传接口植入网页木马。 识别精准 内置语义分析+正则双引擎，黑白名单配置，误报率更低。 支持防逃逸，自动还原常见编码，识别变形攻击能力更强。 默认支持的编码还原类型：url_encode、Unicode、xml、OCT（八进制）、HEX（十六进制）、html转义、base64、大小写混淆、javascript/shell/php等拼接混淆。 深度检测 深度反逃逸识别（支持同形字符混淆、通配符变形的命令注入、UTF7、Data URI Scheme等的防护）。 header全检测 支持对请求里header中所有字段进行攻击检测。 Shiro解密检测 支持对Cookie中的rememberMe内容做AES，Base64解密后再检测。 CC攻击防护规则 可以自定义CC防护规则，限制单个IP/Cookie/Referer访问者对您的网站上特定路径（URL）的访问频率，WAF会根据您配置的规则，精准识别CC攻击以及有效缓解CC攻击。 精准访问防护规则 说明： 防护动作为“阻断”时，可使用攻击惩罚标准功能，即当恶意请求被拦截时，可自动封禁访问者一段时间。 精准访问防护策略可对HTTP首部、Cookie、访问URL、请求参数或者客户端IP进行条件组合，定制化防护策略，为您的网站带来更精准的防护。 黑白名单规则 说明： 防护动作为“拦截”时，可使用攻击惩罚标准功能，即当恶意请求被拦截时，可自动封禁访问者一段时间。 配置黑白名单规则，阻断、仅记录或放行指定IP的访问请求，即设置IP黑/白名单。 地理位置访问控制规则 针对指定国家、地区的来源IP自定义访问控制。 网页防篡改规则 当用户需要防护静态页面被篡改时，可配置网页防篡改规则。 网站反爬虫规则 动态分析网站业务模型，结合人机识别技术和数据风控手段，精准识别700+种爬虫行为。 特征反爬虫 自定义扫描器与爬虫规则，用于阻断网页爬取行为，添加定制的恶意爬虫、扫描器特征，使爬虫防护更精准。 JS脚本反爬虫 通过自定义规则识别并阻断JS脚本爬虫行为。 防敏感信息泄露规则 该规则可添加两种类型的防敏感信息泄露规则： 敏感信息过滤。配置后可对返回页面中包含的敏感信息做屏蔽处理，防止用户的敏感信息（例如：身份证号、电话号码、电子邮箱等）泄露。 响应码拦截。配置后可拦截指定的HTTP响应码页面。 全局白名单（原误报屏蔽）规则 针对特定请求忽略某些攻击检测规则，用于处理误报事件。 隐私屏蔽规则 隐私信息屏蔽，避免用户的密码等信息出现在事件日志中。 PCI DSS/PCI 3DS合规认证和TLS TLS支持TLS v1.0、TLS v1.1、TLS v1.2、TLS v1.3四个版本和五种加密套件，可以满足各种行业客户的安全需求。 WAF支持PCI DSS和PCI 3DS合规认证功能。 IPv6防护 Web应用防火墙支持防护IPv6环境下发起的攻击，帮助您的源站实现对IPv6流量的安全防护。 随着IPv6协议的迅速普及，新的网络环境以及新兴领域均面临着新的安全挑战，Web应用防火墙的IPv6防护功能帮助您轻松构建覆盖全球的安全防护体系。 Web应用防火墙支持IPv6/IPv4双栈，针对同一域名可以同时提供IPv6和IPv4的流量防护。 针对仍然使用IPv4协议栈的Web业务，Web应用防火墙支持NAT64机制（NAT64是一种通过网络地址转换（NAT）形式促成IPv6与IPv4主机间通信的IPv6转换机制），即WAF可以将IPv4源站转化成IPv6网站，将外部IPv6访问流量转化成对内的IPv4流量。 连接保护 网站接入WAF防护之后，若您访问网站时出现大量的502 Bad Gateway，504 Gateway Timeout错误或者等待处理的请求，为了保护源站的安全，可使用WAF的宕机保护和连接保护功能。当502/504请求数量或读等待URL请求数量以及占比阈值达到您设置的值时，将触发WAF熔断功能开关，实现宕机保护和读等待URL请求保护。 手动设置网站连接超时时间 浏览器到WAF引擎的连接超时时长默认是120秒，该值取决于浏览器的配置，该值在WAF界面不可以手动设置。 WAF到客户源站的连接超时时长默认为60秒，该值可以在WAF界面手动设置，但仅“独享模式”和“云模式”的专业版、铂金版支持手动设置连接超时时长。 在域名的基本信息页面，开启“超时配置”并单击，设置“连接超时”、“读超时”、“写超时”的时间，并单击保存设置。 防护事件管理 当Web应用防火墙拦截或者仅记录的攻击事件为误报时，用户可通过Web应用防火墙处理误报事件、查看事件详情。 用户可以通过Web应用防火墙服务下载5天内的全量防护事件数据。 WAF支持全量日志功能，您可以将攻击日志、访问日志记录到华为云的云日志服务（Log Tank Service，简称LTS）。 告警通知 用户可以通过Web应用防火墙服务对攻击日志进行通知设置。开启告警通知后，Web应用防火墙将仅记录和拦截的攻击日志通过用户设置的接收通知方式发送给用户。 配置内容安全检测服务 网站/新媒体内容安全检测 内容合法合规性检测 国家政策要求各地方机构要认真落实意识形态工作和网络内容安全工作责任制。为响应国家政策，华为云内容安全检测服务可对网站/新媒体内容进行合法合规检测，主要对文本、图片、视频、语音进行检测和识别是否包含色情、涉政、暴力、惊悚、不宜广告、垃圾信息、不良内容等，有效帮助您降低内容风险。 内容准确性检测 对网站/主流新媒体平台的内容进行准确性检测，主要对文本、图片、视频、语音进行表述规范审核，如对错别字、生僻字、词法表述、语法表述等内容进行检测审核。 安全可视化 提供简洁友好的控制界面，实时查看攻击信息和事件日志。 策略事件集中配置 在Web应用防火墙服务的控制台集中配置适用于多个防护域名的策略，快速下发，快速生效。 流量及事件统计信息 实时查看访问次数、安全事件的数量与类型、详细的日志信息。 灵活性、可靠性 多区域多集群部署，支持负载均衡，可在线平滑扩容，没有单点故障，最大限度保护业务运行稳定。

安全上云合规检查—数据防护 表5 数据防护风险项检查项目 检查项目 检查内容 ELB证书有效性检查 弹性负载均衡（Elastic Load Balance，ELB）支持两种类型的证书，服务器证书和CA证书。配置HTTPS监听器时，需要为监听器绑定服务器证书，如果开启双向认证功能，还需要绑定CA证书。 检查所有ELB中的证书是否有效可用。如果SSL证书过期且未及时更新，用户访问网站时会显示“网站的安全证书已过期”的告警信息。 CDN证书有效性检查 通过配置加速域名的HTTPS证书，并将其部署在全网CDN节点，实现HTTPS安全加速。 检查CDN中证书是否均在有效期内，如果SSL证书过期且未及时更新，用户访问网站时会显示“网站的安全证书已过期”的告警信息。 SSL证书有效性检查 SSL证书管理（SSL Certificate Manager，SCM）是一个SSL（Secure Socket Layer）证书管理平台。SSL证书部署到服务器后，服务器端的访问将启用HTTPS协议。SSL证书超出有效期，将无法正常使用SSL证书。 检查所有SSL证书（检查已签发状态SSL证书，如果SSL证书未签发则默认为检查合格）状态是否在有效期内。 RDS数据库绑定EIP时的安全设置检查 当云数据库RDS（Relational Database Service，简称RDS）配置公网连接时，业务数据会在公网上进行传输，数据容易泄露，因此，需要最小化控制访问源以及开启SSL通道、更改默认数据库端口。 检查当RDS数据库配置公网连接时，是否限制访问源以及开启SSL、更改默认端口。 DDS数据库绑定EIP时安全设置检查 当文档数据库服务（Document Database Service）配置公网连接时，业务数据会在公网上进行传输，数据容易泄露，因此，需要最小化控制访问源以及开启SSL通道、更改默认数据库端口。 检查当DDS数据库配置公网连接时，是否限制访问源以及开启SSL、更改默认端口。 DCS数据库绑定EIP时的安全设置检查 当分布式缓存服务（Distributed Cache Service，简称DCS）配置公网连接时，业务数据会在公网上进行传输，数据容易泄露，因此，需要最小化控制访问源以及开启SSL通道、更改默认数据库端口。 检查当DCS数据库配置公网连接时，是否限制访问源以及开启SSL、更改默认端口。 云数据库GaussDB绑定EIP时的安全设置检查 当云数据库GaussDB配置公网连接时，业务数据会在公网上进行传输，数据容易泄露，因此，需要最小化控制访问源以及开启SSL通道、更改默认数据库端口。 检查当云数据库GaussDB配置公网连接时，是否限制访问源以及开启SSL、更改默认端口。 RDS数据库绑定EIP检查 当云数据库RDS（Relational Database Service，简称RDS）配置公网连接时，业务数据会在公网上进行传输，数据容易泄露，因此，不建议数据库开通公网连接方式。 检查当RDS数据库配置，是否开通公网连接方式。 DDS数据库绑定EIP检查 当文档数据库服务（Document Database Service）配置公网连接时，业务数据会在公网上进行传输，数据容易泄露，因此，不建议数据库开通公网连接方式。 检查当DDS数据库配置，是否开通公网连接方式。 DCS数据库绑定EIP检查 当分布式缓存服务（Distributed Cache Service，简称DCS）配置公网连接时，业务数据会在公网上进行传输，数据容易泄露，因此，不建议数据库开通公网连接方式。 检查当DCS数据库配置，是否开通公网连接方式。 云数据库GaussDB绑定EIP检查 当云数据库GaussDB配置公网连接时，业务数据会在公网上进行传输，数据容易泄露，因此，不建议数据库开通公网连接方式。 检查当云数据库GaussDB配置，是否开通公网连接方式。 RDS数据库实例安全组规则检查 检查关系型数据库（Relational Database Service，RDS）实例所关联的安全组规则是否存在不安全规则，即检查安全组规则的允许范围是否超过使用范围。当源地址为0.0.0.0/0或空时，代表未设置IP访问的限制，数据库将会有高安全风险。不安全规则示例：方向为入方向，协议为任一类别协议，源地址为0.0.0.0/0（所有地址），端口为1~65535或者数据库业务端口，如3306。 GaussDB数据库实例安全组规则检查 安全组入方向规则应满足最小化访问控制原则。 一般地，在非业务需要的情况下，以下情况视为未按最小化访问控制（风险由高到低）： IPv4：源地址为0.0.0.0/0；公网地址的掩码小于32；内网地址的掩码小于24 IPv6：源地址为::/0 OBS桶服务端加密检查 OBS服务端加密是在上传对象到桶时，将数据在服务端加密成密文后存储。再次下载加密对象时，存储的密文会先在服务端解密为明文，再反馈给用户。将数据加密后存储到OBS桶中，提高数据的安全性。 检查所有OBS桶是否开启服务端加密。 OBS桶的ACL权限检查 OBS桶ACL是基于帐号或用户组的桶级访问控制，桶的拥有者可以通过桶ACL授予指定帐号或用户组特定的访问权限。 匿名用户指未注册华为云的普通访客。如果OBS桶的ACL赋予了匿名用户桶的访问权限或ACL访问权限，表示所有人无需经过任何身份验证即可访问OBS桶。 检查所有OBS桶，是否给匿名用户赋予桶访问权限或者ACL访问权限。 MySQL数据库实例root用户远程登录控制检查 MySQL数据库实例的root应做好远程登录的控制，限制仅应用端、DAS管理网段等业务需要方可登录，防止root帐号被暴力破解。 RDS数据库实例安全组入方向规则检查 安全组入方向规则应满足最小化访问控制原则。 一般，在非业务需要的情况下，以下情况视为未按最小化访问控制（风险由高到低）： IPv4：源地址为0.0.0.0/0；公网地址的掩码小于32；内网地址的掩码小于24 IPv6：源地址为::/0 检查云数据库（Relational Database Service，RDS）实例所关联的安全组入方向规则是否按最小化访问控制。 DCS数据库实例安全组入方向规则检查 安全组入方向规则应满足最小化访问控制原则。 一般，在非业务需要的情况下，以下情况视为未按最小化访问控制（风险由高到低）： IPv4：源地址为0.0.0.0/0；公网地址的掩码小于32；内网地址的掩码小于24 IPv6：源地址为::/0 检查分布式缓存服务（Distributed Cache Service，DCS）实例所关联的安全组入方向规则是否按最小化访问控制。 DDS数据库实例安全组入方向规则检查 安全组入方向规则应满足最小化访问控制原则。 一般，在非业务需要的情况下，以下情况视为未按最小化访问控制（风险由高到低）： IPv4：源地址为0.0.0.0/0；公网地址的掩码小于32；内网地址的掩码小于24 IPv6：源地址为::/0 检查文档数据库服务（Document Database Service，DDS）实例所关联的安全组入方向规则是否按最小化访问控制。 RDS数据库实例安全组端口开放检查 检查云数据库（Relational Database Service，RDS）实例所关联的安全组规则是否存在不安全规则，即检查安全组规则的允许范围是否超过使用范围。 不安全规则示例：方向为入方向，端口为1~65535或者非数据库业务端口，如3306。 检查RDS实例是否开放非必要的端口。 DCS数据库实例安全组端口开放检查 检查分布式缓存服务（Distributed Cache Service，DCS）实例所关联的安全组规则是否存在不安全规则，即检查安全组规则的允许范围是否超过使用范围。 不安全规则示例：方向为入方向，端口为1~65535或者非数据库业务端口，如6379。 检查DCS实例是否开放非必要的端口。 DDS数据库实例安全组端口开放检查 检查文档数据库服务（Document Database Service，DDS）实例所关联的安全组规则是否存在不安全规则，即检查安全组规则的允许范围是否超过使用范围。 不安全规则示例：方向为入方向，端口为1~65535或者非数据库业务端口，如8635。 检查DDS实例是否开放非必要的端口。

安全上云合规检查—基础设施防护 表4 基础设施防护风险项检查项目 检查项目 检查内容 安全组入方向规则控制检查 安全组入方向规则应满足最小化访问控制原则。 一般，在非业务需要的情况下，以下情况视为未按最小化访问控制（风险由高到低）：源地址为0.0.0.0/0；公网地址的掩码小于32；内网地址的掩码小于24。 高危端口、远程管理端口暴露检查 安全组是一个逻辑上的分组，为具有相同安全保护需求并相互信任的云服务器提供访问策略。安全组创建后，可以在安全组中设置出方向、入方向规则，这些规则会对安全组内部的云服务器出入方向网络流量进行访问控制，当云服务器加入该安全组后，即受到这些访问规则的保护。 安全组入方向规则中不应对外开放或未最小化开放高危端口、远程管理端口。 高危端口如下：20，21，135，137，138，139，445，389，593，1025 未最小化开放指的是：源地址为0.0.0.0/0；公网地址的掩码小于32；内网地址的掩码小于24 检查安全组入方向规则中是否存在对外开放或未最小化开放高危端口、远程管理端口。 绑定EIP的ECS配置密钥对登录检查 当存在ECS对外暴露EIP的情况下，为安全起见，弹性云服务器登录时应使用密钥方式进行身份验证。 日志指标过滤和告警事件（VPC更改）检查 日志审计模块是信息安全审计功能的核心必备组件，是企事业单位信息系统安全风险管控的重要组成部分。云审计服务（Cloud Trace Service，以下简称CTS），是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 检查CTS中是否存在因VPC更改而产生的日志和告警事件。 日志指标过滤和告警事件（网络网关更改）检查 日志审计模块是信息安全审计功能的核心必备组件，是企事业单位信息系统安全风险管控的重要组成部分。云审计服务（Cloud Trace Service，以下简称CTS），是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 检查CTS中是否存在因网络网关更改而产生的日志和告警事件。 日志指标过滤和告警事件（安全组更改）检查 日志审计模块是信息安全审计功能的核心必备组件，是企事业单位信息系统安全风险管控的重要组成部分。云审计服务（Cloud Trace Service，以下简称CTS），是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 检查CTS中是否存在因安全组更改而产生的日志和告警事件。 日志指标过滤和告警事件（子网更改）检查 日志审计模块是信息安全审计功能的核心必备组件，是企事业单位信息系统安全风险管控的重要组成部分。云审计服务（Cloud Trace Service，以下简称CTS），是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 检查CTS中是否存在因子网更改而产生的日志和告警事件。 日志指标过滤和告警事件（VPN更改）检查 日志审计模块是信息安全审计功能的核心必备组件，是企事业单位信息系统安全风险管控的重要组成部分。云审计服务（Cloud Trace Service，以下简称CTS），是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 检查CTS中是否存在因VPN更改而产生的日志和告警事件。 ELB实例（共享型）启用访问控制检查 共享型负载均衡器用户可以通过添加白名单和黑名单的方式控制访问负载均衡监听器的IP。通过白名单能够设置允许特定IP访问，而其它IP不许访问。通过黑名单能够设置允许特定的IP不能访问，而其它IP允许访问。 检查弹性负载均衡（Elastic Load Balance，ELB）实例，是否开启访问控制策略。 网络ACL规则配置检查 网络ACL是对子网的访问控制策略系统，根据与子网关联的入站/出站规则，判断数据包是否被允许流入/流出关联子网。同一个VPC内的子网间设置网络ACL，可以增加额外的安全防护层，实现更精细、更复杂的安全访问控制。 检查是否配置网络ACL规则。 用于VPC对等连接路由表检查 对等连接是指两个VPC之间的网络连接，因此用于对等连接的路由表应满足最小访问权限。 本端路由的目的地址最好限定在最小子网网段内，对端路由的目的地址最好限定在最小子网网段内。 检查用于对等连接的路由表是否满足最小访问权限。 VPC规划检查 如果在当前区域下有多套业务部署，且希望不同业务之间进行网络隔离时，则可为每个业务在当前区域建立相应的VPC。 两个VPC之间可以采用对等连接进行互连。 VPC具有区域属性，默认情况下，不同区域的VPC之间内网不互通，同区域的不同VPC内网不互通，同一个VPC下的不同可用区之间内网互通。 检查VPC规范是否合理。 WAF启用（云模式/独享模式/ELB模式）检查 启用Web应用防火墙（Web Application Firewall， WAF）服务后，网站所有的公网流量都会先经过Web应用防火墙，恶意攻击流量在Web应用防火墙上被检测过滤，而正常流量返回给源站IP，从而确保源站IP安全、稳定、可用。 检查是否已启用WAF。 WAF回源配置检查（未配置ELB） 使用Web应用防火墙（Web Application Firewall， WAF）服务后，需配置源站服务器只允许来自WAF的访问请求访问源站，既可保障访问不受影响，又能防止源站IP暴露。 未使用弹性负载均衡（Elastic Load Balance，ELB）情况下，检查在ECS关联的安全组源地址中，是否添加WAF回源IP。 WAF防护策略配置（地理位置访问控制）检查 WAF的防护策略应配置地理位置访问控制，可针对指定国家、地区的来源IP自定义访问控制。配置后，可以进一步减小业务网站的攻击面（检测版和专业版暂不支持该功能）。 Web基础防护配置检查 Web基础防护支持“拦截”（发现攻击行为后立即阻断并记录）和“仅记录”（发现攻击行为后只记录不阻断攻击）模式，检测版仅支持“仅记录”模式。 WAF中所有待防护的域名应开启Web基础防护并设置为拦截模式，开启后，默认防范SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等常规的Web攻击。 检查是否已开启Web基础防护并设置为拦截模式。 VSS启用检查 漏洞扫描服务（Vulnerability Scan Service）是针对网站进行漏洞扫描的一种安全检测服务，可以帮助快速检测出网站存在的漏洞，提供详细的漏洞分析报告，并针对不同类型的漏洞提供专业可靠的修复建议。 检查是否已启用VSS服务。 Anti-DDoS流量清洗启用检查 DDoS原生基础防护（Anti-DDoS流量清洗）服务为华为云内公网IP资源，提供网络层和应用层的DDoS攻击防护，并提供攻击拦截实时告警，有效提升用户带宽利用率，保障业务稳定可靠。 检查是否已启用Anti-DDoS流量清洗服务。 DDoS高防启用检查 DDoS高防（Advanced Anti-DDoS，AAD）是企业重要业务连续性的有力保障。DDoS高防通过高防IP代理源站IP对外提供服务，将恶意攻击流量引流到高防IP清洗，确保重要业务不被攻击中断。 检查是否已启用DDoS高防。 云堡垒机启用检查 云堡垒机（Cloud Bastion Host，CBH）是华为云的一款4A统一安全管控平台，为企业提供集中的帐号、授权、认证和审计管理服务。启用后，可实现对服务器、云主机、数据库、应用系统等云上资源的集中管理和运维审计，不仅能保障系统运行安全，且满足相关合规性规范。 检查是否已启用云堡垒机服务。 主机安全防护启用检查 企业主机安全服务（Host Security Service，HSS）是提升主机整体安全性的服务。可以全面识别并管理主机中的信息资产，实时监测主机中的风险并阻止非法入侵行为，帮助企业构建服务器安全体系，降低当前服务器面临的主要安全风险。 主机实例应安装HSS且开启防护，版本要求至少为企业版（旗舰版、网页防篡改版更优）。 检查主机是否开启主机安全防护。 HSS网页防篡改启用与防护目录配置检查 网页防篡改可实时监控网站目录，并通过备份恢复被篡改的文件或目录，保障重要系统的网站信息不被恶意篡改，防止出现挂马、黑链、非法植入恐怖威胁、色情等内容。 有网站或者关键系统防篡改需求，以及有应用安全防护需求的主机，应开启HSS中的网络防篡改防护并配置好防护目录。 检查主机是否开启网络防篡改防护且已配置好防护目录。 主机紧急修复漏洞检查 企业主机安全服务（Host Security Service，HSS）提供漏洞管理功能，检测Linux软件漏洞、Windows系统漏洞和Web-CMS漏洞。 检查HSS中是否存在紧急修复漏洞。 CDN访问控制配置检查 当客户CDN需要对访问者身份进行识别和过滤，限制部分用户访问，提高CDN的安全性，应配置防盗链与IP黑名单。 检查CDN是否配置访问控制规则。

工作原理 漏洞扫描服务具有如下能力： Web网站扫描 采用网页爬虫的方式全面深入的爬取网站url，基于多种不同能力的漏洞扫描插件，模拟用户真实浏览场景，逐个深度分析网站细节，帮助用户发现网站潜在的安全隐患。同时内置了丰富的无害化扫描规则，以及扫描速率动态调整能力，可有效避免用户网站业务受到影响。 主机扫描 经过用户授权（支持账密授权）访问用户主机，漏洞扫描服务能够自动发现并检测主机操作系统、中间件等版本漏洞信息和基线配置，实时同步官网更新的漏洞库匹配漏洞特征，帮助用户及时发现主机安全隐患。 移动应用安全 对用户提供的安卓、鸿蒙应用进行安全漏洞、隐私合规检测，基于静态分析技术，结合数据流静态污点跟踪，检测权限、组件、网络、等APP基础安全漏洞，并提供详细的漏洞信息及修复建议。 二进制成分分析 对用户提供的二进制软件包/固件进行全面分析，通过解压获取包中所有待分析文件，基于组件特征识别技术、静态检测技术以及各种风险检测规则，获得相关被测对象的组件BOM清单和潜在风险清单，并输出一份专业的分析报告。

名词解释 基本概念、云服务简介、专有名词解释 弹性云服务器ECS：是一种可随时自助获取、可弹性伸缩的云服务器，可帮助您打造可靠、安全、灵活、高效的应用环境，确保服务持久稳定运行，提升运维效率。 弹性公网EIP：提供独立的公网IP资源，包括公网IP地址与公网出口带宽服务。可以与弹性云服务器、裸金属服务器、虚拟VIP、弹性负载均衡、NAT网关等资源灵活地绑定及解绑。 虚拟私有云VPC：是用户在云上申请的隔离的、私密的虚拟网络环境。用户可以自由配置VPC内的IP地址段、子网、安全组等子服务，也可以申请弹性带宽和弹性IP搭建业务系统。 安全组：安全组是一个逻辑上的分组，为同一个VPC内具有相同安全保护需求并相互信任的弹性云服务器提供访问策略。安全组创建后，用户可以在安全组中定义各种访问规则，当弹性云服务器加入该安全组后，即受到这些访问规则的保护。 万户：万户网络成立于1998年，是中国较早的「原创定制」网站建设、网络营销推广、小程序及APP开发服务公司，已通过“ISO:9001国际质量管理体系认证”，是国家认定的“高新技术企业”和“双软”的企业。万户网络曾荣获科技部“科技型中小企业技术创新奖”和“中国优秀软件领军企业称号”，拥有30多项自主知识产权，是中国企业信息化标准工作组成员。万户网络客户4万多个，知名企业3千多家。

WAF支持云模式、独享模式和ELB模式三种部署模式。各模式部署架构以及主要区别说明如下。 图3 云模式、独享模式和ELB模式部署架构 云模式、独享模式和ELB模式差异说明 项目 云模式 独享模式 ELB模式 计费方式 包周期（包年/包月） 按需计费 按需计费 服务版本 入门版 标准版 专业版 铂金版 - - 使用场景 业务服务器部署在华为云上、非华为云或线下。 各服务版本推荐使用的场景说明如下： 入门版 个人网站防护 标准版 中小型网站，对业务没有特殊的安全需求 专业版 中型企业级网站或服务对互联网公众开放，关注数据安全且具有高标准的安全需求 铂金版 中大型企业网站，具备较大的业务规模，或是具有制定个性化防护的安全需求 业务服务器部署在华为云上。 大型企业网站，具备较大的业务规模且基于业务特性具有制定个性化防护规则的安全需求。 业务服务器部署在华为云上。 大型企业网站，对业务稳定性有较高要求的安全防护需求。 防护对象 域名 域名或IP 域名或IP 优势 弹性扩容能力强，通过升级规格可以扩容防护能力 可以防护华为云、非华为云和云下的Web业务 支持IPv6防护 部署灵活 独享引擎实例资源由用户独享 可以满足大规模流量攻击场景防护需求 独享引擎实例部署在VPC内，网络链路时延低 不改变业务架构，水平扩展防护能力 旁路部署，业务零影响 可靠性高 当WAF发生故障时，流量将直接通过ELB发送给后端，不影响客户正常业务。

功能总览 功能总览 全部 主机安全服务 资产指纹管理 基线检查 漏洞管理 容器镜像安全 应用防护 入侵检测 未防护资产的免费体检 恶意程序隔离查杀 勒索病毒防护 文件隔离箱管理 文件完整性管理 自定义安全策略 动静态网页防篡改 特权进程可修改防篡改文件 双因子认证 SSH登录IP白名单 常用登录地/IP 告警白名单管理 告警通知 主机分类管理 订阅安全报告 Agent批量安装 主机安全服务 主机安全服务（Host Security Service，HSS）是以工作负载为中心的安全产品，旨在解决现代混合云、多云数据中心基础架构中服务器工作负载的独特保护要求。它集成了主机安全、容器安全和网页防篡改。 发布区域：全部。 HSS版本功能特性 应用场景 资产指纹管理 可深度扫描出主机中的账号、端口、进程、Web目录、软件信息和自启动任务，在“资产管理”界面，您可以统一管理主机中的信息资产。 发布区域：全部。 查看资产指纹详情 历史变动记录 基线检查 HSS提供基线检查功能，主动检测主机中的口令复杂度策略，关键软件中含有风险的配置信息，并针对所发现的风险为您提供修复建议，帮助您正确地处理服务器内的各种风险配置信息。 发布区域：全部。 查看基线检查详情 管理基线检查策略 基线检查风险修复建议 漏洞管理 HSS提供漏洞管理功能，检测Linux漏洞、Windows漏洞、Web-CMS漏洞、应用漏洞，提供漏洞概览，包括主机漏洞检测详情、漏洞统计、漏洞类型分布、漏洞TOP5和风险服务器TOP5，帮助您实时了解主机漏洞情况。 发布区域：全部。 查看漏洞详情 漏洞修复与验证 容器镜像安全 扫描镜像仓库与正在运行的容器镜像，发现镜像中的漏洞、恶意文件等并给出修复建议，帮助您得到一个安全的镜像。 发布区域：全部。 容器镜像漏洞 镜像恶意文件 镜像基线检查 应用防护 为运行时的应用提供安全防御。您无需修改应用程序文件，只需将探针注入到应用程序，即可为应用提供强大的安全防护能力。 当前只支持操作系统为Linux的服务器，且仅支持Java应用接入。 发布区域：全部。 开启应用防护 应用防护管理 关闭应用防护 入侵检测 HSS支持账户暴力破解、进程异常、网站后门、异常登录、恶意进程等入侵检测能力，用户可通过事件管理全面了解入侵检测告警事件，帮助用户及时发现资产中的安全威胁、实时掌握资产的安全状态。 企业主机安全可对您已开启的告警防御能力提供总览数据，帮助您快速了解安全告警概况，包括存在告警的服务器、待处理告警事件、未处理告警事件、已拦截IP和已隔离文件。 事件管理列表仅保留近30天内发生的告警事件，您可以根据自己的业务需求，对告警进行“手动处理”、“忽略”、”加入告警白名单”或者“隔离查杀”，自行判断并处理告警，快速清除资产中的安全威胁。 发布区域：全部。 查看和处理入侵告警事件 主机安全告警事件概述 容器安全告警事件概述 查看和处理容器告警事件 未防护资产的免费体检 对未开启防护的主机提供每周一次的免费扫描体检，针对频繁出现的漏洞、口令、资产风险生成安全报告供查看。 发布区域：全部。 未防护资产的免费体检 恶意程序隔离查杀 HSS采用先进的AI、机器学习等技术，并集成多种杀毒引擎，深度查杀主机中的恶意程序。 开启“恶意程序隔离查杀”后，HSS对识别出的后门、木马、蠕虫等恶意程序，提供自动隔离查杀功能，帮助用户自动识别处理系统存在的安全风险。 若未开启“恶意程序隔离查杀”功能，则HSS检测到恶意程序时，不会自动隔离查杀，仅会触发告警。您可以在“入侵检测”的“事件管理”中，查看“恶意程序（云查杀）”中的告警信息，并对恶意程序手动执行“隔离查杀”。 发布区域：全部。 开启恶意程序隔离查杀 仅旗舰版支持 勒索病毒防护 支持已知勒索病毒检测能力，支持自定义勒索备份恢复策略。 发布区域：全部。 开启勒索病毒防护 防护策略管理 关闭防护管理 仅旗舰版支持 文件隔离箱管理 主机安全可对检测到的威胁文件进行隔离处理，被成功隔离的文件会添加到“主机安全告警”的“文件隔离箱”中，无法对主机造成威胁。被成功隔离的文件一直保留在文件隔离箱中，您也可以根据自己的需要进行一键恢复。 发布区域：全部。 管理文件隔离箱 仅旗舰版支持 文件完整性管理 文件完整性管理可以检查操作系统、应用程序软件和其他组件的文件，确定它们是否发生了可能遭受攻击的更改，同时，能够帮助用户通过PCI-DSS等安全认证。文件完整性管理功能是使用对比的方法来确定当前文件状态是否不同于上次扫描该文件时的状态，利用这种对比来确定文件是否发生了有效或可疑的修改。 文件完整性管理会验证Linux文件的完整性，并管理针对文件执行的活动，包括： 1、文件的创建与删除。 2、文件的修改（文件大小、访问控制列表和内容哈希的更改）。 发布区域：全部。 查看云服务器变更详情 查看历史变更文件 仅旗舰版支持 自定义安全策略 HSS旗舰版提供灵活的策略管理能力，用户可以根据需要自定义安全检测规则，并可以为不同的主机组或主机应用不同的策略，以满足不同应用场景的主机安全需求。 发布区域：全部。 查看策略组 创建策略组 修改策略内容 仅网页防篡改版支持 动静态网页防篡改 静态网页防篡改可实时监控网站目录，并通过备份恢复被篡改的文件或目录，保障重要系统的网站信息不被恶意篡改，防止出现挂马、黑链、非法植入恐怖威胁、色情等内容。 支持对Windows和Linux进程添加白名单。网页防篡改功能将不对加入白名单的进程进行拦截。 动态网页防篡改提供tomcat应用运行时自我保护，能够检测针对数据库等动态数据的篡改行为。 发布区域：全部。 定时开启网页防篡改 开启动态网页防篡改 查看网页防篡改报告 仅网页防篡改版支持 特权进程可修改防篡改文件 开启网页防篡改防护后，防护目录中的内容是只读状态，如果您需要修改防护目录中的文件或更新网站，可以添加特权进程。 通过这个特权进程去修改防护目录里的文件或者更新网站，修改才会生效。若没有添加特权进程 ，网页防篡改仅防护原来的文件或者网站，即使修改了内容，文件或者网站也会恢复到原来的状态，修改不会生效。 特权进程可以访问被防护的目录，请确保特权进程安全可靠。 发布区域：全部。 添加防护目录 双因子认证 双因子认证功能是一种双因素身份验证机制，结合短信/邮箱验证码，对云服务器登录行为进行二次认证，极大地增强云服务器账户安全性。 开启双因子认证功能后，登录弹性云服务器时，主机安全服务将根据绑定的“消息通知服务主题”验证登录者的身份信息。 发布区域：全部。 开启双因子认证 SSH登录IP白名单 SSH登录IP白名单功能是防护账户爆破的一个重要方式，主要是限制需要通过SSH登录的服务器。 配置了白名单的服务器，只允许白名单内的IP通过SSH登录到服务器，拒绝白名单以外的IP： 1、启用该功能时请确保将所有需要发起SSH登录的IP地址都加入白名单中，否则您将无法SSH远程登录您的服务器。 若您的业务需要访问主机，但不需要SSH登录，则可以不用添加到白名单。 2、IP加入白名单后，账户破解防护功能将不再对来自白名单中的IP登录行为进行拦截，该IP对您加入白名单的服务器登录访问将不受任何限制，请谨慎操作。 发布区域：全部。 配置SSH登录IP白名单 常用登录地/IP 配置常用登录地/IP后，企业主机安全服务将对非常用地/IP登录主机的行为进行告警。每个主机可被添加在多个登录地中。 发布区域：全部。 配置常用登录地 配置常用登录IP 告警白名单管理 可以通过加入告警白名单避免大量告警误报的发生，提升安全事件告警质量。将当前告警事件加入告警白名单后，当再次发生相同的告警时不再进行告警。 发布区域：全部。 配置登录白名单 管理告警白名单 告警通知 开启告警通知功能后，您能接收到企业主机安全服务发送的告警通知，及时了解主机/网页内的安全风险。否则，无论是否有风险，您都只能登录管理控制台自行查看，无法收到报警信息。 告警通知设置仅在当前区域生效，若需要接收其他区域的告警通知，请切换到对应区域后进行设置。 发布区域：全部。 开启告警通知 主机分类管理 您可以创建服务器组，并将主机分配到服务器组，将主机进行分类管理。 您户可以根据创建的服务器组，查看该服务器组内的服务器数量、有风险服务器的数量、以及未防护的服务器数量。 发布区域：全部。 管理服务器组 订阅安全报告 主机安全支持订阅日报、周报、月报和自定义，展现不同周期主机安全趋势以及关键安全事件与风险，订阅报告将为您保存6个月，以满足等保测评以及审计的需要。 订阅主机安全报告 创建安全报告 Agent批量安装 指导您完成服务器Agent的批量安装操作，创建批量安装后系统将自动执行Agent安装操作，安装后才可以对目标服务器开启防护。 发布区域：全部。 批量安装Agent

常用端口 添加安全组规则时，您必须指定通信端口或端口范围。当安全组检测到外部访问请求时，会同时检查入方向上发送请求的设备的IP地址及端口是否在允许放行的安全组规则中，只有匹配到的安全组规则允许放行该请求时，才可以建立数据通信。 协议 端口 说明 FTP 21 FTP服务上传和下载文件。 SSH 22 远程连接Linux弹性云服务器。 Telnet 23 使用Telnet协议访问网站。 SMTP 25 SMTP服务器所开放的端口，用于发送邮件。 基于安全考虑，TCP 25端口出方向默认被封禁，申请解封请参考TCP 25端口出方向无法访问时怎么办？。 HTTP 80 使用HTTP协议访问网站。 POP3 110 使用POP3协议接受邮件。 IMAP 143 使用IMAP协议接受邮件。 HTTPS 443 使用HTTPS协议访问网站。 SQL Server 1433 SQL Server的TCP端口，用于供SQL Server对外提供服务。 SQL Server 1434 SQL Server的TCP端口，用于返回SQLServer使用了哪个TCP/IP端口。 Oracle 1521 Oracle通信端口，弹性云服务器上部署了Oracle SQL需要放行的端口。 MySQL 3306 MySQL数据库对外提供服务的端口。 Windows Server Remote Desktop Services 3389 Windows远程桌面服务端口，通过这个端口可以连接Windows弹性云服务器。 代理 8080 8080端口常用于WWW代理服务，实现网页浏览，实现网页浏览。如果您使用8080端口，访问网站或使用代理服务器时，需要在IP地址后面加上：8080。安装Apache Tomcat服务后，默认服务端口为8080。 NetBIOS 137、138、139 NetBIOS协议常被用于Windows文件、打印机共享和Samba。 137、138：UDP端口，通过网上邻居传输文件时使用的端口。 139：通过这个端口进入的连接试图获得NetBIOS/SMB服务。

防护域名开启“WEB基础防护”之后，如何排查500/502/504错误？ 防护域名开启“WEB基础防护”之后，访问网站如果出现“500 ”，“502”，“504”等报错，并且显示“Web应用防火墙”和“网站”连接失败，如图1所示。 图1 502报错 可能的原因比较多，如防火墙拦截、源站配置错误、HTTPS/WebSockets采用不安全的协议版本、后端服务器性能问题等。 以下是可能的原因及解决方案： 防火墙、后端服务器安全防护软件、业务限速策略拦截。 现象：防护域名开启“WEB基础防护”之后正常，但是一段时间后就报502，或者大概率出现502。 解决方法：将高防的回源IP段添加到防火墙（硬件或软件）、安全防护软件、业务限速模块的白名单。 源站配置错误 现象：防护域名开启“WEB基础防护”之后，访问页面返回502/500，或者大概率出现502/500（当后端配置了多个服务器的情况）。 解决方法：在“域名接入”页面，防护域名列表中找到相应的域名记录，单击“操作”列中的“编辑”，确认转发协议、IP、端口等信息是否正确。 图2 修改域名业务配置 如图2配置，可在浏览器访问http://xx.xx.xx.108:80 、https://xx.xx.xx.108:443来检查后端业务端口是否打开。 HTTPS/WebSockets采用不安全的协议版本 现象：防护域名开启“WEB基础防护”之后，HTTPS/WebSockets业务大概率返回502，而直接通过IP访问源站正常。 解决方法：因为SSL低版本的协议存在严重的安全隐患，华为WAF防护支持TLS1.2及以上版本的协议。所以如果您的业务服务器的SSL版本较低，防护域名开启“WEB基础防护”之后则会出现502错误，需要您升级SSL版本解决问题。 您可以通过访问“https://www.ssllabs.com/ssltest/index.html”检查网站服务的SSL版本信息： 如果您的Web服务器是Windows 2008以前的版本，SSL协议不支持TLS1.2及以上。您需要将服务器版本升级到Windows 2008以上（或Linux较新版本的操作系统），并在IIS等服务中开启TLS1.2。 如果您的Web服务是其他系统，请确认SSL协议是否是TLS1.2或以上。 后端服务器性能问题 现象：防护域名开启“WEB基础防护”之后，业务正常。但业务量增加时，502/504比例增加。直接访问源站也有一定概率出现502/504的返回码。 解决方法： 优化服务器的相关配置，包括TCP网络参数的优化配置，Ulimit相关参数设置等。 对后端ECS扩容来支撑业务增长，DDoS高防支持配置多个后端服务器。

防护域名开启“WEB基础防护”之后，如何排查500/502/504错误？ 防护域名开启“WEB基础防护”之后，访问网站如果出现“500 ”，“502”，“504”等报错，并且显示“Web应用防火墙”和“网站”连接失败，如图1所示。 图1 502报错 可能的原因比较多，如防火墙拦截、源站配置错误、HTTPS/WebSockets采用不安全的协议版本、后端服务器性能问题等。 以下是可能的原因及解决方案： 防火墙、后端服务器安全防护软件、业务限速策略拦截。 现象：防护域名开启“WEB基础防护”之后正常，但是一段时间后就报502，或者大概率出现502。 解决方法：将高防的回源IP段添加到防火墙（硬件或软件）、安全防护软件、业务限速模块的白名单。 源站配置错误 现象：防护域名开启“WEB基础防护”之后，访问页面返回502/500，或者大概率出现502/500（当后端配置了多个服务器的情况）。 解决方法：在“域名接入”页面，防护域名列表中找到相应的域名记录，单击“操作”列中的“编辑”，确认转发协议、IP、端口等信息是否正确。 图2 修改域名业务配置 如图2配置，可在浏览器访问http://xx.xx.xx.108:80 、https://xx.xx.xx.108:443来检查后端业务端口是否打开。 HTTPS/WebSockets采用不安全的协议版本 现象：防护域名开启“WEB基础防护”之后，HTTPS/WebSockets业务大概率返回502，而直接通过IP访问源站正常。 解决方法：因为SSL低版本的协议存在严重的安全隐患，华为WAF防护支持TLS1.2及以上版本的协议。所以如果您的业务服务器的SSL版本较低，防护域名开启“WEB基础防护”之后则会出现502错误，需要您升级SSL版本解决问题。 您可以通过访问“https://www.ssllabs.com/ssltest/index.html”检查网站服务的SSL版本信息： 如果您的Web服务器是Windows 2008以前的版本，SSL协议不支持TLS1.2及以上。您需要将服务器版本升级到Windows 2008以上（或Linux较新版本的操作系统），并在IIS等服务中开启TLS1.2。 如果您的Web服务是其他系统，请确认SSL协议是否是TLS1.2或以上。 后端服务器性能问题 现象：防护域名开启“WEB基础防护”之后，业务正常。但业务量增加时，502/504比例增加。直接访问源站也有一定概率出现502/504的返回码。 解决方法： 优化服务器的相关配置，包括TCP网络参数的优化配置，Ulimit相关参数设置等。 对后端ECS扩容来支撑业务增长，DDoS高防支持配置多个后端服务器。

Web应用防火墙和云防火墙有什么区别？ Web应用防火墙和云防火墙是华为云推出的两款不同的产品，分别针对您的Web服务，互联网边界和VPC边界的流量进行防护。 WAF和CFW的主要区别说明如表1所示。 表1 WAF和CFW的主要区别说明 类别 Web应用防火墙 云防火墙 定义 Web应用防火墙（Web Application Firewall，WAF），通过对HTTP(S)请求进行检测，识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击，保护Web服务安全稳定。 云防火墙（Cloud Firewall，CFW）是新一代的云原生防火墙，提供云上互联网边界和VPC边界的防护，包括实时入侵检测与防御、全局统一访问控制、全流量分析可视化、日志审计与溯源分析等，同时支持按需弹性扩容、AI提升智能防御能力、灵活扩展满足云上业务的变化和扩张需求，极简应用让用户快速灵活应对威胁。云防火墙服务是为用户业务上云提供网络安全防护的基础服务。 有关CFW的详细介绍，请参见什么是云防火墙。 防护机制 网站成功接入WAF后，WAF作为一个反向代理存在于客户端和服务器之间，网站所有访问请求将先流转到WAF，WAF检测过滤恶意攻击流量后，将正常流量返回给源站，从而确保源站安全、稳定、可用。 CFW可对全流量进行精细化管控，包括互联网边界防护，跨VPC，跨VM的流量，防止外部入侵、内部渗透攻击和从内到外的非法访问。 部署模式 WAF支持云模式、独享模式。 云模式：业务服务器部署在华为云、非华为云或线下，且防护对象为域名。 各服务版本推荐使用的场景说明如下： 入门版 个人网站防护 标准版 中小型网站，对业务没有特殊的安全需求 专业版 中型企业级网站或服务对互联网公众开放，关注数据安全且具有高标准的安全需求 铂金版 中大型企业网站，具备较大的业务规模，或是具有特殊定制的安全需求 独享模式：业务服务器部署在华为云，防护对象为域名或IP。大型企业网站，具备较大的业务规模且基于业务特性具有制定个性化防护规则的安全需求。 互联网边界和VPC边界 防护对象 云模式：域名。 独享模式：域名或IP。 弹性公网IP 功能特性 SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击防护。 WAF具体支持的功能请参见功能特性。 资产管理与入侵防御：对已开放公网访问的服务资产进行安全盘点，进行实时入侵检测与防御。 访问控制：支持互联网边界访问流量的访问控制。 流量分析与日志审计：VPC间流量全局统一访问控制，全流量分析可视化，日志审计与溯源分析。