个人用户 主体信息 未满十八周岁不能备案。 负责人手机号码需为本省号码。 主体负责人手机号码不得与应急号码重复，其中有一个手机归属地是外地的也可以但手机号一定要是本人的管局会核验。 网站信息 首页网址只能填写一个。 个人不能选空间/博客。 每次只能备案1个网站/域名，如备案主体之前备案成功的网站个数超过1个，则需要提供网站建设方案书，单位备案需盖公章后扫描为PDF文档。 网站建设方案书的内容至少包含以下内容： 网站服务内容介绍（包含网站内容截图或设计图、网站栏目及内容介绍、多网站/域名用途和域名扩展使用情况）。 组网方案（包含设备配置、组网结构、使用技术及部署情况）。 网络安全与信息安全管理制度（包含网络安全防御措施、信息安全管控制度和应急处理方案）。 承诺如发现主体信息有误、网站实际开办内容与备案信息一致、域名有交易行为、网站内容涉及九不准等违法违规问题，接受接入服务商关闭网站、主管部门注销备案并列入黑名单的处罚。 已取得备案号的域名必须可以访问，网站标签页及内容与已备案网站名称、性质一致，且网站下方须有主体备案号标识，主体备案号单击后需跳转工信部，且必须与实际主体备案号一致。 电子材料 域名证书。 个人有效证件原件彩色电子版。 变更备案 个人性质备案不可以变更为其他个人，当已备案成功的个人是单位法定代表人时，可以从个人性质备案变更为单位性质。 新增接入 不接受先通过再变更，无主体的新增接入和新增网站，备案的信息一定要跟原备案信息一致，如不一致需找原接入商变更后再提交，或者注销后重新备案。

建站常见问题 使用弹性云服务器搭建网站过程中，由于各种原因可能会遇到一些问题，常见问题及处理方法如下： 服务器登录问题 云服务器登录前的准备工作有哪些？ 无法登录到Windows云服务器怎么办？ 无法登录到Linux云服务器怎么办？ 更多登录类问题请参见弹性云服务器登录类常见问题。 安全组问题 变更安全组规则和网络ACL规则时，是否对原有流量实时生效？ 弹性云服务器加入安全组过后能否变更安全组？ 更多安全组问题请参见安全组常见问题。 网络类问题 弹性云服务器IP获取不到时，如何排查？ EIP连接出现问题时，如何排查？ 弹性云服务器的网卡绑定虚拟IP地址后，该虚拟IP地址无法ping通时，如何排查？ 更多网络类问题请参见VPC常见问题。 操作系统问题 Windows云服务器带宽和CPU利用率高问题排查方法 Linux云服务器带宽和CPU占用率高问题排查方法 更多操作系统问题请参见操作系统类常见问题。 DNS常见问题 怎么测试域名解析是否生效 解析不生效有哪些原因 更多DNS问题请参见DNS常见问题。 其它常见问题 无法访问ECS实例上运行的网站 云服务器端口不通怎样排查？

操作步骤 购买市场镜像 登录华为云官网。 单击菜单栏的“云市场”，进入“华为云市场”页面。 在页面右上角的搜索框中，输入“Drupal”。 在搜索结果中，选择市场镜像“Drupal内容管理系统（LAMP）”，进入对应市场镜像的购买页面。 在本文中，购买的市场镜像规格如图1所示。“虚拟私有云”设置为关联预先创建的“vpc-drupal” 图1 购买市场镜像 根据需要设置市场镜像规格后，单击“立即购买”。 确认订单详情，并设置云主机的登录密码。 图2 设置云主机登录密码 勾选“我已阅读并同意《华为云市场服务协议》”，单击“提交订单”。 当弹性云服务器处于“运行中”后，表示市场镜像购买成功。 设置弹性云服务器 在弹性云服务器列表中，单击购买成功的弹性云服务器，查看详细信息。 设置安全组。 弹性云服务器使用系统默认的安全组“Sys-default”，要想通过网站访问方式登录弹性云服务器，需要新增一条安全组规则，详细内容请参见添加安全组规则。 单击“安全组”页签，并展开系统默认的“Sys-default”安全组。 单击“更改安全组规则”，进入“Sys-default”安全组详细信息页面。 在“入方向规则”页签，单击“添加规则”。 根据表1完成设置。 单击“确定”。 表1 安全组规则 方向 协议/应用 端口 源地址 入方向 HTTP(80) 80 0.0.0.0/0 绑定弹性公网IP。 要想通过网站访问方式登录弹性云服务器，需要为弹性云服务器绑定弹性公网IP，详细内容请参见为弹性云服务器申请和绑定弹性公网IP。 单击“弹性公网IP”页签。 单击“查看弹性公网IP”，进入“弹性公网IP”页面。 （可选）若没有可用的弹性公网IP，则单击“购买弹性公网IP”进行购买。 在弹性公网IP列表中，单击待绑定弹性公网IP“操作”列的“绑定”，完成操作。 Drupal安装准备 在浏览器中输入“http://弹性云服务器公网IP/9panel”，进行Websoft运维面板。 （可选）为Drupal注册一个域名，并配置域名到弹性公网IP的解析记录。 若您想要通过域名进行网站应用程序的安装，需要执行本步骤。 如果您想要选择华为云作为您的域名注册商，可以参考域名注册完成网站域名的注册，并通过华为云云解析服务的快速添加网站域名解析完成解析记录的配置。 修改数据库初始密码。 数据库默认用户为root，默认密码为123456。为保证数据库安全，执行本步骤修改数据库初始密码。 单击“第二步：修改数据库密码”的“马上修改”，进入“phpMyAdmin”页面。 在“常规设置”区域单击“修改密码”。 完成新密码的设置后，单击“执行”完成数据库初始密码的修改。 安装Drupal 回到Websoft运维面板中，单击导航栏的“应用安装”。 单击“第三步：完成安装向导”的“马上安装” 设置语言为“简体中文”，单击“Save and continue”。 图3 设置网站语言 选择“标准”安装方式，单击“保存并继续”。 图4 选择安装方式 安装网站。 此过程无需设置，等待完成“安装网站”和“安装翻译”两步。 设置网站。 设置站点信息、站点维护帐号信息以及区域信息，请妥善保存帐号和密码。 单击“保存和继续”，开始更新配置翻译。 体验Drupal 安装完成，自动跳转到Drupal后台，您可以在此对您的网站进行管理和维护。 图5 Drupal后台

504 Gateway Timeout错误排查思路和处理建议 完成WAF域名接入配置之后，业务正常，但当业务量增加时，发生504错误的概率增加，直接访问源站IP也有一定概率出现504错误，请参考图8进行排查处理。 图8 504错误排查思路 表2 504错误问题处理 可能原因 排查方法 处理建议 原因一：后端服务器性能问题（连接数，CPU内存占用过大等） 源站性能问题，可以排查源站访问日志以及访问流量情况，定性分析。 优化服务器的相关配置，包括TCP网络参数的优化配置，ulimit相关参数设置等。 如果是云模式部署方式，建议在ELB上增加后端服务器组或创建新的ELB，支撑大量增长的业务量。 增加后端服务器组的详细操作，请参见添加后端云服务器（共享型）。 配置新ELB的操作，请参考步骤 1~步骤 7。 如果“对外协议”是HTTPS，建议在WAF设置HTTPS转发，回源走HTTP协议即“源站协议”设置为HTTP，降低后端服务器的计算压力。 修改服务器信息的详细操作，请参见修改服务器信息。 使用CC防护规则，拦截恶意流量。 原因二： 安全组未将WAF回源IP设置为白名单或未放开端口 源站有防火墙设备，且该防火墙设备拦截了WAF的回源IP 建议采用以下方法进行排查： 排查客户源站是否有安全组，防火墙，服务器安全软件等。 在客户端与WAF上同时进行抓包分析，排查源站防火墙等设备对WAF的长连接是否有主动丢包的现象。 源站服务器配置放行WAF回源IP的访问控制策略。 云模式：请参见如何放行云模式WAF的回源IP段？。 独享模式：请参见放行独享引擎回源IP。 建议您关闭防火墙和服务器安全防护软件。 原因三：连接超时、read超时 说明： 源站响应时间过长导致504（数据库查询时间过长，大文件上传时间过长，源站故障等）。 WAF回源到客户源站超时时间大多为60秒或180秒，若超时则会报错504。 该问题有以下排查方法： 绕过WAF，直接访问客户源站，查看响应时长 查看全量日志里面访问日志源站响应时长 建议客户绕过WAF测试上传功能，并检查客户上传文件大小 数据库查询时间过长： 调整优化业务，尽量缩短查询时长，优化用户体验。 修改请求的交互方式，让这种长连接在 60s 内能有一些数据交互（如，ack报文、心跳包、keep-alive等任何可以维持会话的报文）。 大文件上传时间过长： 调整优化业务，尽量缩短文件上传时间。 建议使用FTP方式上传文件。 直接通过IP上传，或者使用没有被WAF防护的域名上传。 使用WAF的独享模式，独享WAF回源超时默认为180s。 源站故障类： 检查源站业务是否正常。 原因四：源站带宽不足，访问流量过大，带宽超限制 该问题有以下排查方法： 若客户配置的WAF后端为7层ELB，则可以在ELB上查504相关日志 若客户配置的WAF后端为4层ELB，则可以在ELB上查“Traffic exceeded the bandwidth threshold”相关字段日志 若客户配置的WAF后端为EIP，则在504高峰查看EIP流量监控。 扩展源站服务器带宽。 创建新的ELB，参照以下方法将ELB的EIP作为服务器的IP地址，接入WAF。 修改服务器信息，大约需要2分钟同步生效。 创建负载均衡器。 登录管理控制台。 进入网站设置页面入口，如图9所示。 图9 网站设置入口 在目标域名所在行的“防护网站”列中，单击目标域名，进入域名基本信息页面。 在“服务器信息”栏中，单击，进入“修改服务器信息”页面，单击“添加”，新增后端服务器。 图10 服务器配置 将“源站地址”设置为ELB的弹性公网IP地址。 单击“确定”，服务器信息修改成功。

安全组规则修改（可选） 该解决方案使用22端口用来远程登录弹性云服务器 ECS，默认对该方案创建的VPC子网网段放开，请参考修改安全组规则，配置IP地址白名单，以便能正常访问服务。 安全组实际是网络流量访问策略，包括网络流量入方向规则和出方向规则，通过这些规则为安全组内具有相同保护需求并且相互信任的云服务器、云容器、云数据库等实例提供安全保护。 如果您的实例关联的安全组策略无法满足使用需求，比如需要添加、修改、删除某个TCP端口，请参考以下内容进行修改。 添加安全组规则：根据业务使用需求需要新开放某个TCP端口，请参考添加安全组规则添加入方向规则，打开指定的TCP端口。 修改安全组规则：安全组规则设置不当会造成严重的安全隐患。您可以参考修改安全组规则，来修改安全组中不合理的规则，保证云服务器等实例的网络安全。 删除安全组规则：当安全组规则入方向、出方向源地址/目的地址有变化时，或者不需要开放某个端口时，您可以参考删除安全组规则进行安全组规则删除。 MES软件安装进度查看，打开华为云服务器控制台，选择您在参数配置时所填ecs_name的云服务器，登录到云服务器中，查看日志/tmp/tmp.log，显示如下表示安装成功。（注：此步骤大约用时30分钟，完成之后方可进行重置密码，登陆网站的操作。） 图1 安装进度查看 重置密码。打开华为云服务器控制台，勾选3.1快速部署-步骤2创建的弹性云服务器，单击“关机”，关机成功后，单击“重置密码”，根据提示重置密码，单击“确定”后，开机即可正常使用。 图2 修改密码 查看创建的弹性云服务器实例EIP，访问MES系统网站。打开华为云服务器控制台，选择您在参数配置时所填ecs_name的云服务器，查看弹性公网IP，或者复制3.1 步骤8中所看到的MES系统网站访问地址，在浏览器打开。 图3 查看EIP 访问部署的网站。打开浏览器，输入“http://EIP:8000”，即可访问网站，租户id: 000000，账号admin，密码：admin。 图4 MSE网站界面

操作步骤 购买WAF独享模式。 配置WAF独享引擎实例安全策略。 进入ECS管理控制台，更改1中创建的WAF独享引擎实例安全组，入方向放开TCP、HTTP等端口。 详细操作，请参见更改安全组。 添加防护网站。 添加防护网站时选择“独享模式”，请注意： 防护对象：填写ECS实例的域名。 是否已使用代理：选择“是”。 WAF独享引擎实例配置负载均衡。 为弹性负载均衡绑定弹性公网IP。 购买DDoS原生高级防护实例。 区域：选择与ECS实例相同的区域（例如，华北-北京四） 进入DDoS原生高级防护实例列表页面，如图2所示。 图2 DDoS原生高级防护实例列表页面 在目标实例所在框的右上方，单击“设置防护对象”。 在弹出的“设置防护对象”对话框中，勾选5中ELB的EIP后，单击“确定”。 成功添加防护对象后，您可以为防护对象配置防护策略。DDoS原生高级防护将为ECS源站服务器提供DDoS攻击全力防护能力，在业务遭受DDoS攻击时，自动触发流量清洗。 有关配置防护策略的详细操作，请参见配置防护策略。

操作步骤 购买WAF独享模式。 配置WAF独享引擎实例安全策略。 进入ECS管理控制台，更改1中创建的WAF独享引擎实例安全组，入方向放开TCP、HTTP等端口。 详细操作，请参见更改安全组。 添加防护网站。 添加防护网站时选择“独享模式”，请注意： 防护对象：填写ECS实例的域名。 是否已使用代理：选择“是”。 WAF独享引擎实例配置负载均衡。 为弹性负载均衡绑定弹性公网IP。 购买DDoS原生高级防护实例。 区域：选择与ECS实例相同的区域（例如，华北-北京四） 进入DDoS原生高级防护实例列表页面，如图2所示。 图2 DDoS原生高级防护实例列表页面 在目标实例所在框的右上方，单击“设置防护对象”。 在弹出的“设置防护对象”对话框中，勾选5中ELB的EIP后，单击“确定”。 成功添加防护对象后，您可以为防护对象配置防护策略。DDoS原生高级防护将为ECS源站服务器提供DDoS攻击全力防护能力，在业务遭受DDoS攻击时，自动触发流量清洗。 有关配置防护策略的详细操作，请参见配置防护策略。

前提条件 已购买一台弹性云服务器，且已为其绑定弹性公网IP。 弹性云服务器所在安全组添加了如下表所示的安全组规则，具体步骤参见为安全组添加安全组规则。 表1 安全组规则 方向 协议/应用 端口/范围 是否必须 源地址 入方向 TCP(22) 22 是 允许SSH远程连接Linux弹性云服务器的客户端IP地址。如允许所有IP访问，请设置为0.0.0.0/0，出于安全考虑，不建议您设置为允许所有IP访问。 入方向 HTTP(80) 80 是 允许访问Magento网站的客户端IP地址。如允许所有IP访问，请设置为0.0.0.0/0。 入方向 MySQL(3306) 3306 否 允许远程访问MySQL数据库的客户端IP地址。如允许所有IP访问，请设置为0.0.0.0/0，出于安全考虑，不建议您设置为允许所有IP访问。

允许某些协议端口的访问 在本示例中，假设子网内的某个弹性云服务器做Web服务器，入方向需要放通HTTP 80和HTTPS 443端口，出方向全部放通。当子网开启网络ACL时，需要同时配置网络ACL和安全组规则。 网络ACL配置 需要添加的网络ACL入方向、出方向规则如表2所示。 表2 网络ACL规则 方向 动作 协议 源地址 源端口范围 目的地址 目的端口范围 说明 入方向 允许 TCP 0.0.0.0/0 1-65535 0.0.0.0/0 80 允许所有IP地址通过HTTP协议入站访问子网内的弹性云服务器的80端口 入方向 允许 TCP 0.0.0.0/0 1-65535 0.0.0.0/0 443 允许所有IP地址通过HTTPS协议入站访问子网内的弹性云服务器的443端口 出方向 允许 全部 0.0.0.0/0 全部 0.0.0.0/0 全部 允许子网内所有出站流量的数据报文通过 安全组配置 需要添加的安全组入方向、出方向规则如表3所示。 表3 安全组规则 方向 协议/应用 端口 源地址/目的地址 说明 入方向 TCP 80 源地址：0.0.0.0/0 允许所有IP地址通过HTTP协议入站访问安全组内的弹性云服务器的80端口 入方向 TCP 443 源地址：0.0.0.0/0 允许所有IP地址通过HTTPS协议入站访问安全组内的弹性云服务器的443端口 出方向 全部 全部 目的地址：0.0.0.0/0 允许安全组内所有出站流量的数据报文通过 网络ACL相当于一个额外的保护层，就算不小心配置了比较宽松的安全组规则，网络ACL规则也仅允许HTTP 80和HTTPS 443的访问，拒绝其他的入站访问流量。

企业用户 主体信息 主体负责人必须为法定代表人。 特别要求联系方式必须为本人真实号码 ，座机可以找到本人接听 ，手机可以拨通且是本人接听电话 ，接通后配合备案真实性核验。 企业备案个人成立的工作室有营业执照但是没有公章的不可以进行备案，必须要有和营业执照对应的公章盖章才可以。个体工商户都是要有公章的。 主体负责人手机号码不得与应急号码重复，暂无归属地要求。 网站信息 同一网站备案号下多个网站，访问各域名打开首页时，必须与备案系统中域名对应的网址首页保持一致。 首页网址只能填写一个。 域名所有者必须要和备案主体一致。 网站负责人如不是法定代表人，须提供授权书（授权委托书中必须包含授权人姓名、身份证号码、法定代表人签字并加盖公章）。 网站负责人非主体负责人的情况下，手机号码不得与主体负责人手机号码重复，应急号码也不得与主体负责人的所有联系方式重复，无归属地要求。 已备案成功的网站必须正常开放，网站内容必须符合单位性质，备案号须悬挂在网站底部中央位置并正确链接至工信部备案管理系统(beian.miit.gov.cn)。 每次只能备案1个网站/域名，如备案主体之前备案成功的网站个数超过1个，则需要提供网站建设方案书，单位备案需盖公章后扫描为PDF文档。 网站建设方案书的内容至少包含以下内容： 网站服务内容介绍（包含网站内容截图或设计图、网站栏目及内容介绍、多网站/域名用途和域名扩展使用情况）。 组网方案（包含设备配置、组网结构、使用技术及部署情况）。 网络安全与信息安全管理制度（包含网络安全防御措施、信息安全管控制度和应急处理方案）。 承诺如发现主体信息有误、网站实际开办内容与备案信息一致、域名有交易行为、网站内容涉及九不准等违法违规问题，接受接入服务商关闭网站、主管部门注销备案并列入黑名单的处罚。 电子材料 域名证书。 主办单位有效证件彩色电子版。 主体负责人有效证件彩色电子版。 网站负责人有效证件彩色电子版。 涉及前置审批相关行业，必须办理前置审批文件，详情请参见前置审批。 变更备案 单位不能变更为个人备案。 新增接入 不接受先通过再变更，无主体的新增接入和新增网站，备案的信息一定要跟原备案信息一致，如不一致需找原接入商变更后再提交，或者注销后重新备案。

安全组规则修改（可选） 该解决方案使用22端口用来远程登录弹性云服务器 ECS，默认对该方案创建的VPC子网网段放开，请参考修改安全组规则，配置IP地址白名单，以便能正常访问服务。 安全组实际是网络流量访问策略，包括网络流量入方向规则和出方向规则，通过这些规则为安全组内具有相同保护需求并且相互信任的云服务器、云容器、云数据库等实例提供安全保护。 如果您的实例关联的安全组策略无法满足使用需求，比如需要添加、修改、删除某个TCP端口，请参考以下内容进行修改。 添加安全组规则：根据业务使用需求需要新开放某个TCP端口，请参考添加安全组规则添加入方向规则，打开指定的TCP端口。 修改安全组规则：安全组规则设置不当会造成严重的安全隐患。您可以参考修改安全组规则，来修改安全组中不合理的规则，保证云服务器等实例的网络安全。 删除安全组规则：当安全组规则入方向、出方向源地址/目的地址有变化时，或者不需要开放某个端口时，您可以参考删除安全组规则进行安全组规则删除。 修改初始密码。打开华为云服务器控制台，勾选3.1快速部署-步骤2创建的弹性云服务器，单击“关机”，关机成功后，单击“重置密码”，根据提示重置密码，单击“确定”后，开机即可正常使用。 图1 重置密码 打开浏览器，输入堆栈输出界面，“b 第一步”访问网址，选择试用7天，即可进入。使用正式版请前往迅响响应式建站详情页购买License。 图2 访问网址 在浏览器输入堆栈输出界面，“c 第二步”管理员账号、密码及图形验证码，即可进入迅响后台管理界面 图3 管理员账号密码 配置域名解析。网站解析将域名与3.2快速部署步骤2中弹性公网IP地址相关联，实现通过在浏览器中直接输入域名访问网站。具体解析流程参考快速添加域名解析。 若无备案域名，则需要在本地hosts文件中添加域名解析，找到hosts文件使用记事本打开，添加需要的解析的ip地址及域名。 图4 hosts文件位置 图5 添加ip域名解析信息 通过浏览器访问讯响后台基础使用手册下载地址 http://vc-cms.cloud.coyuns.com.cn/manual.zip，下载完成后解压，获取迅响响应式建站(独立部署后台)基础使用手册，即可根据使用手册进行网站管理操作。 图6 下载网址 图7 下载文件

方案架构 该方案可以帮助您在华为云弹性云服务器中快速搭建JavaScript运行环境，一键实现Node.js的安装和配置。 图1 方案架构 该解决方案会部署如下资源： 创建1台弹性云服务器ECS，安装Node.js并完成相关配置，用个人网站的业务以及数据库节点。 创建1个弹性公网IP，并绑定到弹性云服务器，用于提供访问公网和被公网访问能力。 创建安全组，保护弹性云服务器的网络安全，通过配置安全组规则，限定云服务器的访问端口，保证个人网站安全。

名词解释 基本概念、云服务简介、专有名词解释 弹性云服务器 ECS：是一种可随时自助获取、可弹性伸缩的云服务器，可帮助您打造可靠、安全、灵活、高效的应用环境，确保服务持久稳定运行，提升运维效率。 弹性公网IP EIP：提供独立的公网IP资源，包括公网IP地址与公网出口带宽服务。可以与弹性云服务器、裸金属服务器、虚拟VIP、弹性负载均衡、NAT网关等资源灵活地绑定及解绑。 虚拟私有云 VPC：是用户在云上申请的隔离的、私密的虚拟网络环境。用户可以自由配置VPC内的IP地址段、子网、安全组等子服务，也可以申请弹性带宽和弹性IP搭建业务系统。 安全组：安全组是一个逻辑上的分组，为同一个VPC内具有相同安全保护需求并相互信任的弹性云服务器提供访问策略。安全组创建后，用户可以在安全组中定义各种访问规则，当弹性云服务器加入该安全组后，即受到这些访问规则的保护。 迅响响应式建站软件向客户提供专业的一站式网站维护，静态缓存响应快，不同分辨率屏幕自动适应，颜值高品质更高。详参迅响响应式建站详情页面。

名词解释 基本概念、云服务简介、专有名词解释 弹性云服务器ECS：是一种可随时自助获取、可弹性伸缩的云服务器，可帮助您打造可靠、安全、灵活、高效的应用环境，确保服务持久稳定运行，提升运维效率。 弹性公网EIP：提供独立的公网IP资源，包括公网IP地址与公网出口带宽服务。可以与弹性云服务器、裸金属服务器、虚拟VIP、弹性负载均衡、NAT网关等资源灵活地绑定及解绑。 虚拟私有云VPC：是用户在云上申请的隔离的、私密的虚拟网络环境。用户可以自由配置VPC内的IP地址段、子网、安全组等子服务，也可以申请弹性带宽和弹性IP搭建业务系统。 安全组：安全组是一个逻辑上的分组，为同一个VPC内具有相同安全保护需求并相互信任的弹性云服务器提供访问策略。安全组创建后，用户可以在安全组中定义各种访问规则，当弹性云服务器加入该安全组后，即受到这些访问规则的保护。 万户：万户网络成立于1998年，是中国较早的「原创定制」网站建设、网络营销推广、小程序及APP开发服务公司，已通过“ISO:9001国际质量管理体系认证”，是国家认定的“高新技术企业”和“双软”的企业。万户网络曾荣获科技部“科技型中小企业技术创新奖”和“中国优秀软件领军企业称号”，拥有30多项自主知识产权，是中国企业信息化标准工作组成员。万户网络客户4万多个，知名企业3千多家。

应用场景 当您的网站类业务部署在华为云ECS上时，您可以为网站业务配置“DDoS原生高级防护+WAF”联动防护，即网站业务接入独享模式WAF后将WAF独享引擎的ELB绑定的公网IP添加到DDoS原生高级防护实例进行防护，实现DDoS原生高级防护和WAF双重防护，同时防御四层DDoS攻击和七层Web攻击、CC攻击等，大幅提升网站业务的安全性和稳定性。 网站业务部署“DDoS原生高级防护+WAF”联动防护后，所有业务流量经过WAF独享引擎进行安全清洗后，攻击流量（包括DDoS攻击、Web攻击、CC攻击等）被丢弃，正常的业务流量被WAF转发到源站服务器。

应用场景 当您的网站类业务部署在华为云ECS上时，您可以为网站业务配置“DDoS原生高级防护+WAF”联动防护，即网站业务接入独享模式WAF后将WAF独享引擎的ELB绑定的公网IP添加到DDoS原生高级防护实例进行防护，实现DDoS原生高级防护和WAF双重防护，同时防御四层DDoS攻击和七层Web攻击、CC攻击等，大幅提升网站业务的安全性和稳定性。 网站业务部署“DDoS原生高级防护+WAF”联动防护后，所有业务流量经过WAF独享引擎进行安全清洗后，攻击流量（包括DDoS攻击、Web攻击、CC攻击等）被丢弃，正常的业务流量被WAF转发到源站服务器。

特性 特性 说明 灵活大规模组网 基于EVPN协议的隧道方案，引入独立的分布式控制组件RR，增加拓扑编排组件，实现每个VPN不同的拓扑编排功能，增大规模组网能力。 IPv4 over IPv6 在Underlay网络为IPv6时，站点LAN侧IPv4业务可以通过SD-WAN EVPN建立的overlay隧道互通。 基于应用的智能选路 凭借强大的应用识别引擎和链路质量探测引擎，实现了基于应用优先级、链路质量、负载均衡、带宽占用率的智能选路，选择最优链路进行业务转发，保障关键业务质量，充分利用带宽，实现负载均衡。 基于FEC技术的音视频优化 FEC（Forward Error Correction，前向错误纠正）技术通过配置流策略的方式，对报文丢包进行优化。FEC通过流分类拦截指定数据流，增加携带校验信息的冗余包，并在接收端进行校验。如果网络中出现了丢包或者报文损伤，则通过冗余包还原报文，从而提升音视频应用体验。 多路包复制（双发选收）抗丢包技术 发送端CPE对数据包进行复制，把原始包和复制包通过多条链路中的两条一起发送。如果一条链路上有丢包，则接收端CPE通过另一条链路上的冗余包还原，从而不用重传。适用流量小，可靠性要求高的业务，例如紧急呼叫，付款业务，工业场景PLC业务。 逐包负载分担是提升链路利用率的技术 逐包负载分担技术可以将单条流的报文分担到多条链路上，充分使用多条链路。在站点有多条出口链路时，可以加速大文件传输。适用FTP/HTTP下载大文件，数据备份等业务。 丰富的北向API iMaster NCE-Campus支持丰富的北向API，满足客户对于SD-WAN方案的集成和灵活定制Portal界面的需要。 完全零配置开局 支持邮件开局、U盘开局、DHCP开局、注册查询中心开局、自动开局，网关设备自动注册到iMaster NCE-Campus，自动获取离线配置，完成网络部署。 全网应用质量可视 提供丰富的质量统计信息，可以实时查看站点内、站点间的链路质量、应用质量、吞吐量等情况，统计数据图形化动态展示，网络情况一目了然。 高性价比CPE 推出高性价比的NetEngine AR系列企业路由器款型。 简单易用的iMaster NCE-Campus系统界面 提供基于模板批量配置、导航式策略配置、页面简洁、表达丰富统计内容的iMaster NCE-Campus系统界面。 iMaster NCE-Campus集群系统异地容灾 支持在两个地域部署两套独立的iMaster NCE-Campus集群系统，系统之间建立心跳、数据通信链路，主集群的数据实时备份到备集群。在主集群发生重大故障无法恢复的时候，可以把备集群切换成新的主集群，从而继续提供业务服务。 Overlay隧道自动化编排 采用EVPN实现站点间Overlay隧道的动态建立，用户只需要完成Underlay网络的WAN侧链路配置和虚拟网络配置，iMaster NCE-Campus根据WAN侧链路配置自动完成隧道编排，无需用户手动配置，大大简化了网络部署配置。 多租户高性能GW 支持运营商部署多租户高性能的CPE作为GW设备，为企业租户提供与传统专线网络对接业务和POP组网业务。 系统安全部署 支持CPE的证书安全存储和证书更换、更新等安全机制；支持CPE与iMaster NCE-Campus、CPE与RR之间双向证书认证；支持CPE与CPE之间的数据平面中IPSec SA动态协商机制；支持对故障设备进行隔离。安全防护功能，支持IPS、AV、URL远程查询。 SD-WAN IPv6场景 支持在站点WAN侧为IPv4、IPv6或双栈的Underlay网络上构建SD-WAN网络，支持站点LAN侧部署IPv4和IPv6业务。 SD-WAN云部署 支持SD-WAN站点通过IPSec接入公有云VPN Gateway。支持Host VPC方式在公有云部署vCPE，支持Transit VPC方式在公有云部署vCPE。

安全上云合规检查—基础设施防护 表4 基础设施防护风险项检查项目 检查项目 检查内容 安全组入方向规则控制检查 安全组入方向规则应满足最小化访问控制原则。 一般，在非业务需要的情况下，以下情况视为未按最小化访问控制（风险由高到低）：源地址为0.0.0.0/0；公网地址的掩码小于32；内网地址的掩码小于24。 高危端口、远程管理端口暴露检查 安全组是一个逻辑上的分组，为具有相同安全保护需求并相互信任的云服务器提供访问策略。安全组创建后，可以在安全组中设置出方向、入方向规则，这些规则会对安全组内部的云服务器出入方向网络流量进行访问控制，当云服务器加入该安全组后，即受到这些访问规则的保护。 安全组入方向规则中不应对外开放或未最小化开放高危端口、远程管理端口。 高危端口如下：20，21，135，137，138，139，445，389，593，1025 未最小化开放指的是：源地址为0.0.0.0/0；公网地址的掩码小于32；内网地址的掩码小于24 检查安全组入方向规则中是否存在对外开放或未最小化开放高危端口、远程管理端口。 绑定EIP的ECS配置密钥对登录检查 当存在ECS对外暴露EIP的情况下，为安全起见，弹性云服务器登录时应使用密钥方式进行身份验证。 日志指标过滤和告警事件（VPC更改）检查 日志审计模块是信息安全审计功能的核心必备组件，是企事业单位信息系统安全风险管控的重要组成部分。云审计服务（Cloud Trace Service，以下简称CTS），是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 检查CTS中是否存在因VPC更改而产生的日志和告警事件。 日志指标过滤和告警事件（网络网关更改）检查 日志审计模块是信息安全审计功能的核心必备组件，是企事业单位信息系统安全风险管控的重要组成部分。云审计服务（Cloud Trace Service，以下简称CTS），是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 检查CTS中是否存在因网络网关更改而产生的日志和告警事件。 日志指标过滤和告警事件（安全组更改）检查 日志审计模块是信息安全审计功能的核心必备组件，是企事业单位信息系统安全风险管控的重要组成部分。云审计服务（Cloud Trace Service，以下简称CTS），是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 检查CTS中是否存在因安全组更改而产生的日志和告警事件。 日志指标过滤和告警事件（子网更改）检查 日志审计模块是信息安全审计功能的核心必备组件，是企事业单位信息系统安全风险管控的重要组成部分。云审计服务（Cloud Trace Service，以下简称CTS），是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 检查CTS中是否存在因子网更改而产生的日志和告警事件。 日志指标过滤和告警事件（VPN更改）检查 日志审计模块是信息安全审计功能的核心必备组件，是企事业单位信息系统安全风险管控的重要组成部分。云审计服务（Cloud Trace Service，以下简称CTS），是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 检查CTS中是否存在因VPN更改而产生的日志和告警事件。 ELB实例（共享型）启用访问控制检查 共享型负载均衡器用户可以通过添加白名单和黑名单的方式控制访问负载均衡监听器的IP。通过白名单能够设置允许特定IP访问，而其它IP不许访问。通过黑名单能够设置允许特定的IP不能访问，而其它IP允许访问。 检查弹性负载均衡（Elastic Load Balance，ELB）实例，是否开启访问控制策略。 网络ACL规则配置检查 网络ACL是对子网的访问控制策略系统，根据与子网关联的入站/出站规则，判断数据包是否被允许流入/流出关联子网。同一个VPC内的子网间设置网络ACL，可以增加额外的安全防护层，实现更精细、更复杂的安全访问控制。 检查是否配置网络ACL规则。 用于VPC对等连接路由表检查 对等连接是指两个VPC之间的网络连接，因此用于对等连接的路由表应满足最小访问权限。 本端路由的目的地址最好限定在最小子网网段内，对端路由的目的地址最好限定在最小子网网段内。 检查用于对等连接的路由表是否满足最小访问权限。 VPC规划检查 如果在当前区域下有多套业务部署，且希望不同业务之间进行网络隔离时，则可为每个业务在当前区域建立相应的VPC。 两个VPC之间可以采用对等连接进行互连。 VPC具有区域属性，默认情况下，不同区域的VPC之间内网不互通，同区域的不同VPC内网不互通，同一个VPC下的不同可用区之间内网互通。 检查VPC规范是否合理。 WAF启用（云模式/独享模式/ELB模式）检查 启用Web应用防火墙（Web Application Firewall， WAF）服务后，网站所有的公网流量都会先经过Web应用防火墙，恶意攻击流量在Web应用防火墙上被检测过滤，而正常流量返回给源站IP，从而确保源站IP安全、稳定、可用。 检查是否已启用WAF。 WAF回源配置检查（未配置ELB） 使用Web应用防火墙（Web Application Firewall， WAF）服务后，需配置源站服务器只允许来自WAF的访问请求访问源站，既可保障访问不受影响，又能防止源站IP暴露。 未使用弹性负载均衡（Elastic Load Balance，ELB）情况下，检查在ECS关联的安全组源地址中，是否添加WAF回源IP。 WAF防护策略配置（地理位置访问控制）检查 WAF的防护策略应配置地理位置访问控制，可针对指定国家、地区的来源IP自定义访问控制。配置后，可以进一步减小业务网站的攻击面（检测版和专业版暂不支持该功能）。 Web基础防护配置检查 Web基础防护支持“拦截”（发现攻击行为后立即阻断并记录）和“仅记录”（发现攻击行为后只记录不阻断攻击）模式，检测版仅支持“仅记录”模式。 WAF中所有待防护的域名应开启Web基础防护并设置为拦截模式，开启后，默认防范SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等常规的Web攻击。 检查是否已开启Web基础防护并设置为拦截模式。 VSS启用检查 漏洞扫描服务（Vulnerability Scan Service）是针对网站进行漏洞扫描的一种安全检测服务，可以帮助快速检测出网站存在的漏洞，提供详细的漏洞分析报告，并针对不同类型的漏洞提供专业可靠的修复建议。 检查是否已启用VSS服务。 Anti-DDoS流量清洗启用检查 DDoS原生基础防护（Anti-DDoS流量清洗）服务为华为云内公网IP资源，提供网络层和应用层的DDoS攻击防护，并提供攻击拦截实时告警，有效提升用户带宽利用率，保障业务稳定可靠。 检查是否已启用Anti-DDoS流量清洗服务。 DDoS高防启用检查 DDoS高防（Advanced Anti-DDoS，AAD）是企业重要业务连续性的有力保障。DDoS高防通过高防IP代理源站IP对外提供服务，将恶意攻击流量引流到高防IP清洗，确保重要业务不被攻击中断。 检查是否已启用DDoS高防。 云堡垒机启用检查 云堡垒机（Cloud Bastion Host，CBH）是华为云的一款4A统一安全管控平台，为企业提供集中的帐号、授权、认证和审计管理服务。启用后，可实现对服务器、云主机、数据库、应用系统等云上资源的集中管理和运维审计，不仅能保障系统运行安全，且满足相关合规性规范。 检查是否已启用云堡垒机服务。 主机安全防护启用检查 企业主机安全服务（Host Security Service，HSS）是提升主机整体安全性的服务。可以全面识别并管理主机中的信息资产，实时监测主机中的风险并阻止非法入侵行为，帮助企业构建服务器安全体系，降低当前服务器面临的主要安全风险。 主机实例应安装HSS且开启防护，版本要求至少为企业版（旗舰版、网页防篡改版更优）。 检查主机是否开启主机安全防护。 HSS网页防篡改启用与防护目录配置检查 网页防篡改可实时监控网站目录，并通过备份恢复被篡改的文件或目录，保障重要系统的网站信息不被恶意篡改，防止出现挂马、黑链、非法植入恐怖威胁、色情等内容。 有网站或者关键系统防篡改需求，以及有应用安全防护需求的主机，应开启HSS中的网络防篡改防护并配置好防护目录。 检查主机是否开启网络防篡改防护且已配置好防护目录。 主机紧急修复漏洞检查 企业主机安全服务（Host Security Service，HSS）提供漏洞管理功能，检测Linux软件漏洞、Windows系统漏洞和Web-CMS漏洞。 检查HSS中是否存在紧急修复漏洞。 CDN访问控制配置检查 当客户CDN需要对访问者身份进行识别和过滤，限制部分用户访问，提高CDN的安全性，应配置防盗链与IP黑名单。 检查CDN是否配置访问控制规则。

安全上云合规检查—基础设施防护 表4 基础设施防护风险项检查项目 检查项目 检查内容 安全组入方向规则控制检查 安全组入方向规则应满足最小化访问控制原则。 一般，在非业务需要的情况下，以下情况视为未按最小化访问控制（风险由高到低）：源地址为0.0.0.0/0；公网地址的掩码小于32；内网地址的掩码小于24。 高危端口、远程管理端口暴露检查 安全组是一个逻辑上的分组，为具有相同安全保护需求并相互信任的云服务器提供访问策略。安全组创建后，可以在安全组中设置出方向、入方向规则，这些规则会对安全组内部的云服务器出入方向网络流量进行访问控制，当云服务器加入该安全组后，即受到这些访问规则的保护。 安全组入方向规则中不应对外开放或未最小化开放高危端口、远程管理端口。 高危端口如下：20，21，135，137，138，139，445，389，593，1025 未最小化开放指的是：源地址为0.0.0.0/0；公网地址的掩码小于32；内网地址的掩码小于24 检查安全组入方向规则中是否存在对外开放或未最小化开放高危端口、远程管理端口。 绑定EIP的ECS配置密钥对登录检查 当存在ECS对外暴露EIP的情况下，为安全起见，弹性云服务器登录时应使用密钥方式进行身份验证。 日志指标过滤和告警事件（VPC更改）检查 日志审计模块是信息安全审计功能的核心必备组件，是企事业单位信息系统安全风险管控的重要组成部分。云审计服务（Cloud Trace Service，以下简称CTS），是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 检查CTS中是否存在因VPC更改而产生的日志和告警事件。 日志指标过滤和告警事件（网络网关更改）检查 日志审计模块是信息安全审计功能的核心必备组件，是企事业单位信息系统安全风险管控的重要组成部分。云审计服务（Cloud Trace Service，以下简称CTS），是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 检查CTS中是否存在因网络网关更改而产生的日志和告警事件。 日志指标过滤和告警事件（安全组更改）检查 日志审计模块是信息安全审计功能的核心必备组件，是企事业单位信息系统安全风险管控的重要组成部分。云审计服务（Cloud Trace Service，以下简称CTS），是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 检查CTS中是否存在因安全组更改而产生的日志和告警事件。 日志指标过滤和告警事件（子网更改）检查 日志审计模块是信息安全审计功能的核心必备组件，是企事业单位信息系统安全风险管控的重要组成部分。云审计服务（Cloud Trace Service，以下简称CTS），是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 检查CTS中是否存在因子网更改而产生的日志和告警事件。 日志指标过滤和告警事件（VPN更改）检查 日志审计模块是信息安全审计功能的核心必备组件，是企事业单位信息系统安全风险管控的重要组成部分。云审计服务（Cloud Trace Service，以下简称CTS），是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 检查CTS中是否存在因VPN更改而产生的日志和告警事件。 ELB实例（共享型）启用访问控制检查 共享型负载均衡器用户可以通过添加白名单和黑名单的方式控制访问负载均衡监听器的IP。通过白名单能够设置允许特定IP访问，而其它IP不许访问。通过黑名单能够设置允许特定的IP不能访问，而其它IP允许访问。 检查弹性负载均衡（Elastic Load Balance，ELB）实例，是否开启访问控制策略。 网络ACL规则配置检查 网络ACL是对子网的访问控制策略系统，根据与子网关联的入站/出站规则，判断数据包是否被允许流入/流出关联子网。同一个VPC内的子网间设置网络ACL，可以增加额外的安全防护层，实现更精细、更复杂的安全访问控制。 检查是否配置网络ACL规则。 用于VPC对等连接路由表检查 对等连接是指两个VPC之间的网络连接，因此用于对等连接的路由表应满足最小访问权限。 本端路由的目的地址尽量限定在最小子网网段内，对端路由的目的地址尽量限定在最小子网网段内。 检查用于对等连接的路由表是否满足最小访问权限。 VPC规划检查 如果在当前区域下有多套业务部署，且希望不同业务之间进行网络隔离时，则可为每个业务在当前区域建立相应的VPC。 两个VPC之间可以采用对等连接进行互连。 VPC具有区域属性，默认情况下，不同区域的VPC之间内网不互通，同区域的不同VPC内网不互通，同一个VPC下的不同可用区之间内网互通。 检查VPC规范是否合理。 WAF启用（云模式/独享模式/ELB模式）检查 启用Web应用防火墙（Web Application Firewall， WAF）服务后，网站所有的公网流量都会先经过Web应用防火墙，恶意攻击流量在Web应用防火墙上被检测过滤，而正常流量返回给源站IP，从而确保源站IP安全、稳定、可用。 检查是否已启用WAF。 WAF回源配置检查（未配置ELB） 使用Web应用防火墙（Web Application Firewall， WAF）服务后，需配置源站服务器只允许来自WAF的访问请求访问源站，既可保障访问不受影响，又能防止源站IP暴露。 未使用弹性负载均衡（Elastic Load Balance，ELB）情况下，检查在ECS关联的安全组源地址中，是否添加WAF回源IP。 WAF防护策略配置（地理位置访问控制）检查 WAF的防护策略应配置地理位置访问控制，可针对指定国家、地区的来源IP自定义访问控制。配置后，可以进一步减小业务网站的攻击面（检测版和专业版暂不支持该功能）。 Web基础防护配置检查 Web基础防护支持“拦截”（发现攻击行为后立即阻断并记录）和“仅记录”（发现攻击行为后只记录不阻断攻击）模式，检测版仅支持“仅记录”模式。 WAF中所有待防护的域名应开启Web基础防护并设置为拦截模式，开启后，默认防范SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等常规的Web攻击。 检查是否已开启Web基础防护并设置为拦截模式。 VSS启用检查 漏洞扫描服务（Vulnerability Scan Service）是针对网站进行漏洞扫描的一种安全检测服务，可以帮助快速检测出网站存在的漏洞，提供详细的漏洞分析报告，并针对不同类型的漏洞提供专业可靠的修复建议。 检查是否已启用VSS服务。 Anti-DDoS流量清洗启用检查 DDoS原生基础防护（Anti-DDoS流量清洗）服务为华为云内公网IP资源，提供网络层和应用层的DDoS攻击防护，并提供攻击拦截实时告警，有效提升用户带宽利用率，保障业务稳定可靠。 检查是否已启用Anti-DDoS流量清洗服务。 DDoS高防启用检查 DDoS高防（Advanced Anti-DDoS，AAD）是企业重要业务连续性的有力保障。DDoS高防通过高防IP代理源站IP对外提供服务，将恶意攻击流量引流到高防IP清洗，确保重要业务不被攻击中断。 检查是否已启用DDoS高防。 云堡垒机启用检查 云堡垒机（Cloud Bastion Host，CBH）是华为云的一款4A统一安全管控平台，为企业提供集中的帐号、授权、认证和审计管理服务。启用后，可实现对服务器、云主机、数据库、应用系统等云上资源的集中管理和运维审计，不仅能保障系统运行安全，且满足相关合规性规范。 检查是否已启用云堡垒机服务。 主机安全防护启用检查 企业主机安全服务（Host Security Service，HSS）是提升主机整体安全性的服务。可以全面识别并管理主机中的信息资产，实时监测主机中的风险并阻止非法入侵行为，帮助企业构建服务器安全体系，降低当前服务器面临的主要安全风险。 主机实例应安装HSS且开启防护，版本要求至少为企业版（旗舰版、网页防篡改版更优）。 检查主机是否开启主机安全防护。 HSS网页防篡改启用与防护目录配置检查 网页防篡改可实时监控网站目录，并通过备份恢复被篡改的文件或目录，保障重要系统的网站信息不被恶意篡改，防止出现挂马、黑链、非法植入恐怖威胁、色情等内容。 有网站或者关键系统防篡改需求，以及有应用安全防护需求的主机，应开启HSS中的网络防篡改防护并配置好防护目录。 检查主机是否开启网络防篡改防护且已配置好防护目录。 主机紧急修复漏洞检查 企业主机安全服务（Host Security Service，HSS）提供漏洞管理功能，检测Linux软件漏洞、Windows系统漏洞和Web-CMS漏洞。 检查HSS中是否存在紧急修复漏洞。 CDN访问控制配置检查 当客户CDN需要对访问者身份进行识别和过滤，限制部分用户访问，提高CDN的安全性，应配置防盗链与IP黑名单。 检查CDN是否配置访问控制规则。

功能特性 通过Web应用防火墙，轻松应对各种Web安全风险，Web应用防火墙支持功能如下表。 功能类别 功能说明 业务配置 域名（泛域名、一级域名、二级域名等各级域名）/IP防护 说明： WAF云模式支持域名备案检查，添加防护域名时，WAF会检查域名备案情况，未备案域名将无法添加到WAF。 WAF支持云模式、独享模式两种部署模式，各部署模式支持防护的对象说明如下： 云模式：域名，华为云、非华为云或云下的Web业务 独享模式：域名或IP，华为云的Web业务 HTTP/HTTPS业务防护 WAF可以防护HTTP/HTTPS业务，通过对HTTP/HTTPS请求进行检测，识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击，保护Web服务安全稳定。 支持WebSocket/WebSockets协议 WAF支持WebSocket/WebSockets协议，且默认为开启状态。 非标端口防护 Web应用防火墙除了可以防护标准的80，443端口外，还支持非标准端口的防护。 说明： 云模式的专业版和铂金版支持定制非标准端口，您可以提交工单申请开通定制的非标准端口。 Web应用安全防护 Web基础防护 说明： 防护动作为“拦截”时，可使用攻击惩罚标准功能，即当恶意请求被拦截时，可自动封禁访问者一段时间。 覆盖OWASP（Open Web Application Security Project，简称OWASP）TOP 10中常见安全威胁，通过预置丰富的信誉库，对漏洞攻击、网页木马等威胁进行检测和拦截。 全面的攻击防护 支持SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录（路径）遍历、敏感文件访问、命令/代码注入、XML/Xpath注入等攻击检测和拦截。 Webshell检测 防护通过上传接口植入网页木马。 识别精准 内置语义分析+正则双引擎，黑白名单配置，误报率更低。 支持防逃逸，自动还原常见编码，识别变形攻击能力更强。 默认支持的编码还原类型：url_encode、Unicode、xml、OCT（八进制）、HEX（十六进制）、html转义、base64、大小写混淆、javascript/shell/php等拼接混淆。 深度检测 深度反逃逸识别（支持同形字符混淆、通配符变形的命令注入、UTF7、Data URI Scheme等的防护）。 header全检测 支持对请求里header中所有字段进行攻击检测。 Shiro解密检测 支持对Cookie中的rememberMe内容做AES，Base64解密后再检测。 CC攻击防护规则 可以自定义CC防护规则，限制单个IP/Cookie/Referer访问者对您的网站上特定路径（URL）的访问频率，WAF会根据您配置的规则，精准识别CC攻击以及有效缓解CC攻击。 精准访问防护规则 说明： 防护动作为“阻断”时，可使用攻击惩罚标准功能，即当恶意请求被拦截时，可自动封禁访问者一段时间。 精准访问防护策略可对HTTP首部、Cookie、访问URL、请求参数或者客户端IP进行条件组合，定制化防护策略，为您的网站带来更精准的防护。 黑白名单规则 说明： 防护动作为“拦截”时，可使用攻击惩罚标准功能，即当恶意请求被拦截时，可自动封禁访问者一段时间。 配置黑白名单规则，阻断、仅记录或放行指定IP的访问请求，即设置IP黑/白名单。 地理位置访问控制规则 针对指定国家、地区的来源IP自定义访问控制。 网页防篡改规则 当用户需要防护静态页面被篡改时，可配置网页防篡改规则。 网站反爬虫规则 动态分析网站业务模型，结合人机识别技术和数据风控手段，精准识别700+种爬虫行为。 特征反爬虫 自定义扫描器与爬虫规则，用于阻断网页爬取行为，添加定制的恶意爬虫、扫描器特征，使爬虫防护更精准。 JS脚本反爬虫 通过自定义规则识别并阻断JS脚本爬虫行为。 防敏感信息泄露规则 该规则可添加两种类型的防敏感信息泄露规则： 敏感信息过滤。配置后可对返回页面中包含的敏感信息做屏蔽处理，防止用户的敏感信息（例如：身份证号、电话号码、电子邮箱等）泄露。 响应码拦截。配置后可拦截指定的HTTP响应码页面。 全局白名单（原误报屏蔽）规则 针对特定请求忽略某些攻击检测规则，用于处理误报事件。 隐私屏蔽规则 隐私信息屏蔽，避免用户的密码等信息出现在事件日志中。 PCI DSS/PCI 3DS合规认证和TLS TLS支持TLS v1.0、TLS v1.1、TLS v1.2、TLS v1.3四个版本和五种加密套件，可以满足各种行业客户的安全需求。 WAF支持PCI DSS和PCI 3DS合规认证功能。 IPv6防护 Web应用防火墙支持防护IPv6环境下发起的攻击，帮助您的源站实现对IPv6流量的安全防护。 随着IPv6协议的迅速普及，新的网络环境以及新兴领域均面临着新的安全挑战，Web应用防火墙的IPv6防护功能帮助您轻松构建覆盖全球的安全防护体系。 Web应用防火墙支持IPv6/IPv4双栈，针对同一域名可以同时提供IPv6和IPv4的流量防护。 针对仍然使用IPv4协议栈的Web业务，Web应用防火墙支持NAT64机制（NAT64是一种通过网络地址转换（NAT）形式促成IPv6与IPv4主机间通信的IPv6转换机制），即WAF可以将IPv4源站转化成IPv6网站，将外部IPv6访问流量转化成对内的IPv4流量。 连接保护 网站接入WAF防护之后，若您访问网站时出现大量的502 Bad Gateway，504 Gateway Timeout错误或者等待处理的请求，为了保护源站的安全，可使用WAF的宕机保护和连接保护功能。当502/504请求数量或读等待URL请求数量以及占比阈值达到您设置的值时，将触发WAF熔断功能开关，实现宕机保护和读等待URL请求保护。 手动设置网站连接超时时间 浏览器到WAF引擎的连接超时时长默认是120秒，该值取决于浏览器的配置，该值在WAF界面不可以手动设置。 WAF到客户源站的连接超时时长默认为60秒，该值可以在WAF界面手动设置，但仅“独享模式”和“云模式”的专业版、铂金版支持手动设置连接超时时长。 在域名的基本信息页面，开启“超时配置”并单击，设置“连接超时”、“读超时”、“写超时”的时间，并单击保存设置。 防护事件管理 当Web应用防火墙拦截或者仅记录的攻击事件为误报时，用户可通过Web应用防火墙处理误报事件、查看事件详情。 用户可以通过Web应用防火墙服务下载5天内的全量防护事件数据。 WAF支持全量日志功能，您可以将攻击日志、访问日志记录到华为云的云日志服务（Log Tank Service，简称LTS）。 告警通知 用户可以通过Web应用防火墙服务对攻击日志进行通知设置。开启告警通知后，Web应用防火墙将仅记录和拦截的攻击日志通过用户设置的接收通知方式发送给用户。 配置内容安全检测服务 网站/新媒体内容安全检测 内容合法合规性检测 国家政策要求各地方机构要认真落实意识形态工作和网络内容安全工作责任制。为响应国家政策，华为云内容安全检测服务可对网站/新媒体内容进行合法合规检测，主要对文本、图片、视频、语音进行检测和识别是否包含色情、涉政、暴力、惊悚、不宜广告、垃圾信息、不良内容等，有效帮助您降低内容风险。 内容准确性检测 对网站/主流新媒体平台的内容进行准确性检测，主要对文本、图片、视频、语音进行表述规范审核，如对错别字、生僻字、词法表述、语法表述等内容进行检测审核。 安全可视化 提供简洁友好的控制界面，实时查看攻击信息和事件日志。 策略事件集中配置 在Web应用防火墙服务的控制台集中配置适用于多个防护域名的策略，快速下发，快速生效。 流量及事件统计信息 实时查看访问次数、安全事件的数量与类型、详细的日志信息。 灵活性、可靠性 多区域多集群部署，支持负载均衡，可在线平滑扩容，没有单点故障，最大限度保护业务运行稳定。

访问控制 租户创建DCS实例时，可以选择配置安全组（仅Redis 3.0/Redis 6.0企业版/Memcached实例支持）或者白名单（仅Redis 4.0、Redis 5.0和Redis 6.0基础版支持）。 租户可以通过VPC，对DCS实例所在的安全组或白名单入站、出站规则进行限制，从而控制可以连接实例的网络范围。 配置安全组/白名单不需要重启实例。 租户创建DCS实例时，建议将访问方式设置为密码访问，并为实例设置访问密码，防止未经认证的客户端误操作实例，以达到对客户端进行认证访问的目的，提高实例使用的安全性。

注册局安全锁 注册局安全锁是目前最高安全级别的安全锁定服务，由域名注册局在顶级域名服务器层面为域名提供的安全保护服务，防止域名被恶意转移、篡改及删除。域名状态的设定和解除均直接由注册局（CNNIC）直接操作。在购买注册局安全锁对域名设置了保护锁定之后，域名注册信息更新、域名注册者变更、域名转移注册服务机构，以及变更DNS服务器等操作，除正常的系统验证流程外，还需经由注册局（CNNIC）专人进行相应验证后进行操作。 本章主要介绍注册局安全锁的购买使用规则、如何申请开锁、解锁及续费。当您开通的注册局安全锁到期后，安全锁会自动失效，域名锁定状态将自动解除，为了保障域名的安全，建议您在注册局安全锁到期前及时为您的安全锁续费，操作步骤请参考管理注册局安全锁。 目前支持在华为云购买注册局安全锁的域名后缀有：.com、.net、.cc、.cn、.中国。 建议运营以下网站的客户使用注册局安全锁： 重要程度较高的网站，例如用于承接企业重要业务的网站、访问量高及信息影响力大的网站。 对安全要求较高的网站，例如银行、金融产品相关网站。 直接影响品牌形象的网站。 注册局安全锁的使用规则 管理注册局安全锁

SCM与PCA的区别 SCM与PCA的主要区别如表1所示。 表1 SCM与PCA的区别 服务名称 作用 应用场景 安全等级 是否可以配置到内网 SSL证书管理（SCM） SSL证书采用SSL协议进行通信，SSL证书部署到服务器后，服务器端的访问将启用HTTPS协议。您的网站将会通过HTTPS加密协议来传输数据，可帮助服务器端和客户端之间建立加密链接，从而保证数据传输的安全。 网站身份验证，确保数据发送到正确的客户端和服务器。 在客户端和服务器端之间建立加密通道，保证数据在传输过程中不被窃取或篡改。 网站可信认证 SSL证书如同网站在互联网中的“身份证”，网站没有安装SSL证书，浏览器将会将其列为不安全的网站，网站用户也就无法信任您网站的安全性，安装了SSL证书就代表您的网站是“安全”的，网站用户可以放心访问您的网站。特别是OV或EV型证书，CA颁发机构在签发证书前会验证域名所有者及其企业信息，可以有效提升网站可信度。 网站数据加密 通常网站数据传输使用的HTTP协议，无法加密数据，导致数据有泄露和被窃听、篡改的风险，SSL证书可以让您的网站采用HTTPS加密通讯，有效提升数据传输安全性。 在华为云WAF、ELB、CDN等服务上使用HTTPS协议 如果您购买了华为云WAF、ELB、CDN等服务，可以在SSL证书管理页面中将购买的证书一键部署至这些云产品中，为云产品提供HTTPS数据传输安全保障。 提高网站访问速度 SSL 证书全面兼容 HTTP2.0 协议，快速动态加载网页内容，可以为网站服务提速。 高 不可以，SSL证书只能用于公网域名。 私有证书管理（PCA） 支持用户建立完整的CA层次体系，包括根及多级中间CA等。 为用户提供高可用高安全的私有CA托管能力。 支持用户方便快捷地创建和管理私有证书，用于识别和保护组织内的应用程序、服务、设备和用户等资源。 企业对内实行应用数据安全管控 您可以通过私有证书管理建立企业内部的证书管理体系，在企业内部签发和管理自签名私有证书，实现企业内部的身份认证、数据加解密、数据安全传输。 车联网应用 车企TSP使用私有证书管理服务，为每台车辆终端颁发证书，提供车-车、车-云、车-路多场景交互时鉴权、认证、加密等安全能力。 物联网应用 IoT平台使用私有证书管理服务，为每台IoT设备颁发证书，并通过IoT平台联动PCA，实现IoT设备的身份校验与认证，保障IoT场景下设备接入安全。 较低 可以，私有证书可以部署到内网使用。

ICP 备案 | 华为云 网站备案 备案是中国大陆的一项法规，使用大陆节点服务器提供互联网信息服务的用户，需要在服务器提供商处提交备案申请。华为云为您提供免费备案服务。 什么是备案 图说ECS 立即使用 立即使用 成长地图 由浅入深，带您快速了解备案服务 01 了解 根据工信部《互联网信息服务管理办法》，网站在未完成备案之前，不得指向中国大陆境内服务器提供互联网信息服务。 产品介绍 什么是ICP备案 基本概念 备案方式 ICP备案类型 备案限制 备案流程 权限管理 03 使用 使用华为云中国大陆服务器托管网站，需了解各种不同备案类型的备案流程。华为云提供了两种备案方式，为缩短备案时间、提高备案效率，建议您使用APP备案方式。 使用APP备案（推荐） 首次备案 变更备案 新增接入（原备案在华为云） 新增接入（原备案不在华为云） 新增网站（原备案在华为云） 新增网站（原备案不在华为云） 取消接入 注销主体 注销网站 认领备案 修改备案申请 备案短信核验 使用PC备案 首次备案 变更备案 新增接入（原备案在华为云） 新增接入（原备案不在华为云） 新增网站（原备案在华为云） 新增网站（原备案不在华为云） 取消接入 注销主体 注销网站 转移备案 认领备案 修改备案申请 备案短信核验 02 入门 华为云为您提供免费备案服务。备案之前，请认真阅读管局备案规则，并按要求准备资料，然后开启您的网站备案之旅。 计费说明 计费项 备案多久送多久奖励规则 备案准备 注册账号与实名认证 准备待备案域名 准备可备案服务器 准备备案材料 前置审批 各地管局要求 下载备案材料模板 备案场景 通用备案场景 政府网站备案 使用华为云OBS 使用华为云CND 使用华为云WAF 使用华为云DDoS高防 使用华为云云速建站 快速入门 快速完成网站备案 04 公安备案/经营性备案 依据《计算机信息网络国际联网安全保护管理办法》相关规定，各网站在工信部备案成功后，需在网站开通之日起30日内登录全国公安机关互联网站安全管理服务平台提交公安备案申请。 常用操作 公安备案 经营性备案 05 政策法规 提交备案前，需了解各管局政策要求。 常用操作 未备案不得提供非经营性互联网信息服务 备案信息需真实有效 常用政策法规 常见问题 了解更多常见问题、案例和解决方案 热门案例 备案审核需要多长时间 一个账号可以为多个主体备案吗 如何获取及使用备案授权码 法人授权书、建站说明书等资料模板在哪里下载 为什么备案成功后还显示阻断 备案期间网站可以访问吗 备案多久送多久奖励规则 ICP备案与ICP许可证的区别 如何办理前置审批 怎么了解备案进度？ 更多 备案基础 没有购买云产品能否备案 一台服务器是否可以多次办理备案 如何获取及使用备案授权码 备案审核需要多长时间 只有域名能否备案 已备案网站接入华为云还要备案吗 一个账号可以为多个主体备案吗 更多 上传资料与真实性核验 备案资料模板在哪里获取? 电子版证件资料要求 域名证书如何获取? 为什么要进行视频核验 为什么会收到“取消接入”或“注销通知” 核查未通过，网站被注销怎么办？ 更多 初审驳回&管局退回 主体负责人填写的不是法人 网站名称不符合要求 域名所有者不正确 已备案的网站建设不合规 短信验证不通过 未备案成功的网站已开放 办公电话问题 更多 备案信息填写 验证备案类型注意事项 系统提示：“域名已备案，证件未备案” 主体负责人必须为法人吗 网站负责人必须为法人吗？ 多域名如何提交备案? 网站名称要求 网站内容要求 更多 备案流程 第一次备案，具体流程是什么？ 已在其他接入商备案过，站点迁移到华为云，如何备案？ 已在其他接入商备案过，又有新的网站部署在华为云，如何操作？ 已经在华为云备案了，又需要新增网站，如何操作？ 之前在华为原备案系统中已经备案通过，如何操作？ 服务器IP改变，是否需要重新备案？ 如何修改已备案成功信息？ 更多 备案成功后 ICP备案后，还需要做什么 已备案成功网站仍无法访问 配置网站解析 备案成功后注意事项 备案证书在哪里获取？ 等保证明 更多 视频课程 技术、观点、课程视频呈现 华为云网站备案简介 备案简介，包括备案类型、备案前准备、联系方式等 一分钟鉴别：我需要在华为云备案吗 云上一分钟，上云更轻松 注册域名后，离成功访问网站还有多远？ 云上一分钟，上云更轻松 智能客服 您好！我是有问必答知识渊博的的智能问答机器人，有问题欢迎随时求助哦！ 社区求助 华为云社区是华为云用户的聚集地。这里有来自各领域的技术牛人，为您解决技术难题。

方案架构 该解决方案可以帮助您在华为云上快速构建高可用的基于开源Magento软件的电商网站。方案部署架构如下图所示： 图1 方案架构图 该解决方案会部署如下资源： 两台弹性云服务器部署magento应用系统，用来部署电商平台，以提供故障切换能力和高可用性。 安全组可以保护云服务器的网络安全，通过配置安全组规则，限定云服务器出方向和入方向的访问端口。 弹性负载均衡 ELB绑定弹性公网 IP，用于扩展电商应用系统对外服务能力，实现更高水平的容错。 公网NAT网关，通过设定SNAT规则，实现magento应用系统安全、高效的访问互联网。 RDS for Mysql主备模式云数据库，用来部署电商平台数据库，以提供故障切换能力和高可用性。

安全上云合规检查—数据防护 表5 数据防护风险项检查项目 检查项目 检查内容 ELB证书有效性检查 弹性负载均衡（Elastic Load Balance，ELB）支持两种类型的证书，服务器证书和CA证书。配置HTTPS监听器时，需要为监听器绑定服务器证书，如果开启双向认证功能，还需要绑定CA证书。 检查所有ELB中的证书是否有效可用。如果SSL证书过期且未及时更新，用户访问网站时会显示“网站的安全证书已过期”的告警信息。 CDN证书有效性检查 通过配置加速域名的HTTPS证书，并将其部署在全网CDN节点，实现HTTPS安全加速。 检查CDN中证书是否均在有效期内，如果SSL证书过期且未及时更新，用户访问网站时会显示“网站的安全证书已过期”的告警信息。 SSL证书有效性检查 SSL证书管理（SSL Certificate Manager，SCM）是一个SSL（Secure Socket Layer）证书管理平台。SSL证书部署到服务器后，服务器端的访问将启用HTTPS协议。SSL证书超出有效期，将无法正常使用SSL证书。 检查所有SSL证书（检查已签发状态SSL证书，如果SSL证书未签发则默认为检查合格）状态是否在有效期内。 RDS数据库绑定EIP时的安全设置检查 当云数据库RDS（Relational Database Service，简称RDS）配置公网连接时，业务数据会在公网上进行传输，数据容易泄露，因此，需要最小化控制访问源以及开启SSL通道、更改默认数据库端口。 检查当RDS数据库配置公网连接时，是否限制访问源以及开启SSL、更改默认端口。 DDS数据库绑定EIP时安全设置检查 当文档数据库服务（Document Database Service）配置公网连接时，业务数据会在公网上进行传输，数据容易泄露，因此，需要最小化控制访问源以及开启SSL通道、更改默认数据库端口。 检查当DDS数据库配置公网连接时，是否限制访问源以及开启SSL、更改默认端口。 DCS数据库绑定EIP时的安全设置检查 当分布式缓存服务（Distributed Cache Service，简称DCS）配置公网连接时，业务数据会在公网上进行传输，数据容易泄露，因此，需要最小化控制访问源以及开启SSL通道、更改默认数据库端口。 检查当DCS数据库配置公网连接时，是否限制访问源以及开启SSL、更改默认端口。 云数据库GaussDB绑定EIP时的安全设置检查 当云数据库GaussDB配置公网连接时，业务数据会在公网上进行传输，数据容易泄露，因此，需要最小化控制访问源以及开启SSL通道、更改默认数据库端口。 检查当云数据库GaussDB配置公网连接时，是否限制访问源以及开启SSL、更改默认端口。 RDS数据库绑定EIP检查 当云数据库RDS（Relational Database Service，简称RDS）配置公网连接时，业务数据会在公网上进行传输，数据容易泄露，因此，不建议数据库开通公网连接方式。 检查当RDS数据库配置，是否开通公网连接方式。 DDS数据库绑定EIP检查 当文档数据库服务（Document Database Service）配置公网连接时，业务数据会在公网上进行传输，数据容易泄露，因此，不建议数据库开通公网连接方式。 检查当DDS数据库配置，是否开通公网连接方式。 DCS数据库绑定EIP检查 当分布式缓存服务（Distributed Cache Service，简称DCS）配置公网连接时，业务数据会在公网上进行传输，数据容易泄露，因此，不建议数据库开通公网连接方式。 检查当DCS数据库配置，是否开通公网连接方式。 云数据库GaussDB绑定EIP检查 当云数据库GaussDB配置公网连接时，业务数据会在公网上进行传输，数据容易泄露，因此，不建议数据库开通公网连接方式。 检查当云数据库GaussDB配置，是否开通公网连接方式。 RDS数据库实例安全组规则检查 检查关系型数据库（Relational Database Service，RDS）实例所关联的安全组规则是否存在不安全规则，即检查安全组规则的允许范围是否超过使用范围。当源地址为0.0.0.0/0或空时，代表未设置IP访问的限制，数据库将会有高安全风险。不安全规则示例：方向为入方向，协议为任一类别协议，源地址为0.0.0.0/0（所有地址），端口为1~65535或者数据库业务端口，如3306。 GaussDB数据库实例安全组规则检查 安全组入方向规则应满足最小化访问控制原则。 一般地，在非业务需要的情况下，以下情况视为未按最小化访问控制（风险由高到低）： IPv4：源地址为0.0.0.0/0；公网地址的掩码小于32；内网地址的掩码小于24 IPv6：源地址为::/0 OBS桶服务端加密检查 OBS服务端加密是在上传对象到桶时，将数据在服务端加密成密文后存储。再次下载加密对象时，存储的密文会先在服务端解密为明文，再反馈给用户。将数据加密后存储到OBS桶中，提高数据的安全性。 检查所有OBS桶是否开启服务端加密。 OBS桶的ACL权限检查 OBS桶ACL是基于帐号或用户组的桶级访问控制，桶的拥有者可以通过桶ACL授予指定帐号或用户组特定的访问权限。 匿名用户指未注册华为云的普通访客。如果OBS桶的ACL赋予了匿名用户桶的访问权限或ACL访问权限，表示所有人无需经过任何身份验证即可访问OBS桶。 检查所有OBS桶，是否给匿名用户赋予桶访问权限或者ACL访问权限。 MySQL数据库实例root用户远程登录控制检查 MySQL数据库实例的root应做好远程登录的控制，限制仅应用端、DAS管理网段等业务需要方可登录，防止root帐号被暴力破解。 RDS数据库实例安全组入方向规则检查 安全组入方向规则应满足最小化访问控制原则。 一般，在非业务需要的情况下，以下情况视为未按最小化访问控制（风险由高到低）： IPv4：源地址为0.0.0.0/0；公网地址的掩码小于32；内网地址的掩码小于24 IPv6：源地址为::/0 检查云数据库（Relational Database Service，RDS）实例所关联的安全组入方向规则是否按最小化访问控制。 DCS数据库实例安全组入方向规则检查 安全组入方向规则应满足最小化访问控制原则。 一般，在非业务需要的情况下，以下情况视为未按最小化访问控制（风险由高到低）： IPv4：源地址为0.0.0.0/0；公网地址的掩码小于32；内网地址的掩码小于24 IPv6：源地址为::/0 检查分布式缓存服务（Distributed Cache Service，DCS）实例所关联的安全组入方向规则是否按最小化访问控制。 DDS数据库实例安全组入方向规则检查 安全组入方向规则应满足最小化访问控制原则。 一般，在非业务需要的情况下，以下情况视为未按最小化访问控制（风险由高到低）： IPv4：源地址为0.0.0.0/0；公网地址的掩码小于32；内网地址的掩码小于24 IPv6：源地址为::/0 检查文档数据库服务（Document Database Service，DDS）实例所关联的安全组入方向规则是否按最小化访问控制。 RDS数据库实例安全组端口开放检查 检查云数据库（Relational Database Service，RDS）实例所关联的安全组规则是否存在不安全规则，即检查安全组规则的允许范围是否超过使用范围。 不安全规则示例：方向为入方向，端口为1~65535或者非数据库业务端口，如3306。 检查RDS实例是否开放非必要的端口。 DCS数据库实例安全组端口开放检查 检查分布式缓存服务（Distributed Cache Service，DCS）实例所关联的安全组规则是否存在不安全规则，即检查安全组规则的允许范围是否超过使用范围。 不安全规则示例：方向为入方向，端口为1~65535或者非数据库业务端口，如6379。 检查DCS实例是否开放非必要的端口。 DDS数据库实例安全组端口开放检查 检查文档数据库服务（Document Database Service，DDS）实例所关联的安全组规则是否存在不安全规则，即检查安全组规则的允许范围是否超过使用范围。 不安全规则示例：方向为入方向，端口为1~65535或者非数据库业务端口，如8635。 检查DDS实例是否开放非必要的端口。

排查思路 以下排查思路根据原因的出现概率进行排序，建议您从高频率原因往低频率原因排查，从而帮助您快速找到问题的原因。 如果解决完某个可能原因仍未解决问题，请继续排查其他可能原因。 图1 弹性公网IP Ping不通排查思路 表1 弹性公网IP Ping不通排查思路 可能原因 处理措施 安全组未添加ICMP规则 安全组添加ICMP规则，详细操作请参考检查安全组规则。 防火墙设置了禁Ping 检查防火墙对ICMP规则的启用状态，详细操作请参考检查防火墙设置。 云服务器设置了禁Ping 检查云服务器对ICMP规则的启用状态，详细操作请参考检查云服务器是否设置了禁Ping。 关联了网络ACL 如果VPC关联了网络ACL，请检查“网络ACL”规则，详细操作请参考检查网络ACL规则。 网络异常 检查本地网络，使用相同区域主机进行Ping测试，详细操作请参考检查网络是否正常。 多网卡场景，路由信息配置不正确 扩展网卡导致网络不通现象通常是路由配置问题，详细操作请参考检查云服务器路由配置（多网卡场景）。 域名没有备案或者域名无法解析 域名无法Ping通，可能是域名没有备案或者域名无法解析，详细操作请参考检查域名解析（域名Ping不通场景）。

安全上云合规检查—数据防护 表5 数据防护风险项检查项目 检查项目 检查内容 ELB证书有效性检查 弹性负载均衡（Elastic Load Balance，ELB）支持两种类型的证书，服务器证书和CA证书。配置HTTPS监听器时，需要为监听器绑定服务器证书，如果开启双向认证功能，还需要绑定CA证书。 检查所有ELB中的证书是否有效可用。如果SSL证书过期且未及时更新，用户访问网站时会显示“网站的安全证书已过期”的告警信息。 CDN证书有效性检查 通过配置加速域名的HTTPS证书，并将其部署在全网CDN节点，实现HTTPS安全加速。 检查CDN中证书是否均在有效期内，如果SSL证书过期且未及时更新，用户访问网站时会显示“网站的安全证书已过期”的告警信息。 SSL证书有效性检查 SSL证书管理（SSL Certificate Manager，SCM）是一个SSL（Secure Socket Layer）证书管理平台。SSL证书部署到服务器后，服务器端的访问将启用HTTPS协议。SSL证书超出有效期，将无法正常使用SSL证书。 检查所有SSL证书（检查已签发状态SSL证书，如果SSL证书未签发则默认为检查合格）状态是否在有效期内。 RDS数据库绑定EIP时的安全设置检查 当云数据库RDS（Relational Database Service，简称RDS）配置公网连接时，业务数据会在公网上进行传输，数据容易泄露，因此，需要最小化控制访问源以及开启SSL通道、更改默认数据库端口。 检查当RDS数据库配置公网连接时，是否限制访问源以及开启SSL、更改默认端口。 DDS数据库绑定EIP时安全设置检查 当文档数据库服务（Document Database Service）配置公网连接时，业务数据会在公网上进行传输，数据容易泄露，因此，需要最小化控制访问源以及开启SSL通道、更改默认数据库端口。 检查当DDS数据库配置公网连接时，是否限制访问源以及开启SSL、更改默认端口。 DCS数据库绑定EIP时的安全设置检查 当分布式缓存服务（Distributed Cache Service，简称DCS）配置公网连接时，业务数据会在公网上进行传输，数据容易泄露，因此，需要最小化控制访问源以及开启SSL通道、更改默认数据库端口。 检查当DCS数据库配置公网连接时，是否限制访问源以及开启SSL、更改默认端口。 云数据库GaussDB绑定EIP时的安全设置检查 当云数据库GaussDB配置公网连接时，业务数据会在公网上进行传输，数据容易泄露，因此，需要最小化控制访问源以及开启SSL通道、更改默认数据库端口。 检查当云数据库GaussDB配置公网连接时，是否限制访问源以及开启SSL、更改默认端口。 RDS数据库绑定EIP检查 当云数据库RDS（Relational Database Service，简称RDS）配置公网连接时，业务数据会在公网上进行传输，数据容易泄露，因此，不建议数据库开通公网连接方式。 检查当RDS数据库配置，是否开通公网连接方式。 DDS数据库绑定EIP检查 当文档数据库服务（Document Database Service）配置公网连接时，业务数据会在公网上进行传输，数据容易泄露，因此，不建议数据库开通公网连接方式。 检查当DDS数据库配置，是否开通公网连接方式。 DCS数据库绑定EIP检查 当分布式缓存服务（Distributed Cache Service，简称DCS）配置公网连接时，业务数据会在公网上进行传输，数据容易泄露，因此，不建议数据库开通公网连接方式。 检查当DCS数据库配置，是否开通公网连接方式。 云数据库GaussDB绑定EIP检查 当云数据库GaussDB配置公网连接时，业务数据会在公网上进行传输，数据容易泄露，因此，不建议数据库开通公网连接方式。 检查当云数据库GaussDB配置，是否开通公网连接方式。 RDS数据库实例安全组规则检查 检查关系型数据库（Relational Database Service，RDS）实例所关联的安全组规则是否存在不安全规则，即检查安全组规则的允许范围是否超过使用范围。当源地址为0.0.0.0/0或空时，代表未设置IP访问的限制，数据库将会有高安全风险。不安全规则示例：方向为入方向，协议为任一类别协议，源地址为0.0.0.0/0（所有地址），端口为1~65535或者数据库业务端口，如3306。 GaussDB数据库实例安全组规则检查 安全组入方向规则应满足最小化访问控制原则。 一般地，在非业务需要的情况下，以下情况视为未按最小化访问控制（风险由高到低）： IPv4：源地址为0.0.0.0/0；公网地址的掩码小于32；内网地址的掩码小于24 IPv6：源地址为::/0 OBS桶服务端加密检查 OBS服务端加密是在上传对象到桶时，将数据在服务端加密成密文后存储。再次下载加密对象时，存储的密文会先在服务端解密为明文，再反馈给用户。将数据加密后存储到OBS桶中，提高数据的安全性。 检查所有OBS桶是否开启服务端加密。 OBS桶的ACL权限检查 OBS桶ACL是基于帐号或用户组的桶级访问控制，桶的拥有者可以通过桶ACL授予指定帐号或用户组特定的访问权限。 匿名用户指未注册华为云的普通访客。如果OBS桶的ACL赋予了匿名用户桶的访问权限或ACL访问权限，表示所有人无需经过任何身份验证即可访问OBS桶。 检查所有OBS桶，是否给匿名用户赋予桶访问权限或者ACL访问权限。 MySQL数据库实例root用户远程登录控制检查 MySQL数据库实例的root应做好远程登录的控制，限制仅应用端、DAS管理网段等业务需要方可登录，防止root帐号被暴力破解。 RDS数据库实例安全组入方向规则检查 安全组入方向规则应满足最小化访问控制原则。 一般，在非业务需要的情况下，以下情况视为未按最小化访问控制（风险由高到低）： IPv4：源地址为0.0.0.0/0；公网地址的掩码小于32；内网地址的掩码小于24 IPv6：源地址为::/0 检查云数据库（Relational Database Service，RDS）实例所关联的安全组入方向规则是否按最小化访问控制。 DCS数据库实例安全组入方向规则检查 安全组入方向规则应满足最小化访问控制原则。 一般，在非业务需要的情况下，以下情况视为未按最小化访问控制（风险由高到低）： IPv4：源地址为0.0.0.0/0；公网地址的掩码小于32；内网地址的掩码小于24 IPv6：源地址为::/0 检查分布式缓存服务（Distributed Cache Service，DCS）实例所关联的安全组入方向规则是否按最小化访问控制。 DDS数据库实例安全组入方向规则检查 安全组入方向规则应满足最小化访问控制原则。 一般，在非业务需要的情况下，以下情况视为未按最小化访问控制（风险由高到低）： IPv4：源地址为0.0.0.0/0；公网地址的掩码小于32；内网地址的掩码小于24 IPv6：源地址为::/0 检查文档数据库服务（Document Database Service，DDS）实例所关联的安全组入方向规则是否按最小化访问控制。 RDS数据库实例安全组端口开放检查 检查云数据库（Relational Database Service，RDS）实例所关联的安全组规则是否存在不安全规则，即检查安全组规则的允许范围是否超过使用范围。 不安全规则示例：方向为入方向，端口为1~65535或者非数据库业务端口，如3306。 检查RDS实例是否开放非必要的端口。 DCS数据库实例安全组端口开放检查 检查分布式缓存服务（Distributed Cache Service，DCS）实例所关联的安全组规则是否存在不安全规则，即检查安全组规则的允许范围是否超过使用范围。 不安全规则示例：方向为入方向，端口为1~65535或者非数据库业务端口，如6379。 检查DCS实例是否开放非必要的端口。 DDS数据库实例安全组端口开放检查 检查文档数据库服务（Document Database Service，DDS）实例所关联的安全组规则是否存在不安全规则，即检查安全组规则的允许范围是否超过使用范围。 不安全规则示例：方向为入方向，端口为1~65535或者非数据库业务端口，如8635。 检查DDS实例是否开放非必要的端口。

无法访问外网 无法访问外网怎么办？ 资源状态异常：资源冻结；未开机；未绑定弹性公网IP，或是云服务器负载过高都可能导致无法访问外网，我们列举了无法访问外网的多种原因，建议您从高频率原因往低频率原因排查，从而帮助您快速找到问题的原因。 Windows实例访问公网不通排查思路 Linux实例访问公网不通排查思路 怎样放通指定端口？ 您可根据业务需求将设定的端口添加到安全组的入方向规则中。 配置安全组规则

常用端口 添加安全组规则时，您必须指定通信端口或端口范围。当安全组检测到外部访问请求时，会同时检查入方向上发送请求的设备的IP地址及端口是否在允许放行的安全组规则中，只有匹配到的安全组规则允许放行该请求时，才可以建立数据通信。 协议 端口 说明 FTP 21 FTP服务上传和下载文件。 SSH 22 远程连接Linux弹性云服务器。 Telnet 23 使用Telnet协议访问网站。 SMTP 25 SMTP服务器所开放的端口，用于发送邮件。 基于安全考虑，TCP 25端口出方向默认被封禁，申请解封请参考TCP 25端口出方向无法访问时怎么办？。 HTTP 80 使用HTTP协议访问网站。 POP3 110 使用POP3协议接受邮件。 IMAP 143 使用IMAP协议接受邮件。 HTTPS 443 使用HTTPS协议访问网站。 SQL Server 1433 SQL Server的TCP端口，用于供SQL Server对外提供服务。 SQL Server 1434 SQL Server的TCP端口，用于返回SQLServer使用了哪个TCP/IP端口。 Oracle 1521 Oracle通信端口，弹性云服务器上部署了Oracle SQL需要放行的端口。 MySQL 3306 MySQL数据库对外提供服务的端口。 Windows Server Remote Desktop Services 3389 Windows远程桌面服务端口，通过这个端口可以连接Windows弹性云服务器。 代理 8080 8080端口常用于WWW代理服务，实现网页浏览，实现网页浏览。如果您使用8080端口，访问网站或使用代理服务器时，需要在IP地址后面加上：8080。安装Apache Tomcat服务后，默认服务端口为8080。 NetBIOS 137、138、139 NetBIOS协议常被用于Windows文件、打印机共享和Samba。 137、138：UDP端口，通过网上邻居传输文件时使用的端口。 139：通过这个端口进入的连接试图获得NetBIOS/SMB服务。