个人用户 主体信息 未满十八周岁不能备案。 负责人手机号码需为本省号码。 主体负责人手机号码不得与应急号码重复，其中有一个手机归属地是外地的也可以但手机号一定要是本人的管局会核验。 网站信息 首页网址只能填写一个。 个人不能选空间/博客。 每次只能备案1个网站/域名，如备案主体之前备案成功的网站个数超过1个，则需要提供网站建设方案书，单位备案需盖公章后扫描为PDF文档。 网站建设方案书的内容至少包含以下内容： 网站服务内容介绍（包含网站内容截图或设计图、网站栏目及内容介绍、多网站/域名用途和域名扩展使用情况）。 组网方案（包含设备配置、组网结构、使用技术及部署情况）。 网络安全与信息安全管理制度（包含网络安全防御措施、信息安全管控制度和应急处理方案）。 承诺如发现主体信息有误、网站实际开办内容与备案信息一致、域名有交易行为、网站内容涉及九不准等违法违规问题，接受接入服务商关闭网站、主管部门注销备案并列入黑名单的处罚。 已取得备案号的域名必须可以访问，网站标签页及内容与已备案网站名称、性质一致，且网站下方须有主体备案号标识，主体备案号单击后需跳转工信部，且必须与实际主体备案号一致。 电子材料 域名证书。 个人有效证件原件彩色电子版。 变更备案 个人性质备案不可以变更为其他个人，当已备案成功的个人是单位法定代表人时，可以从个人性质备案变更为单位性质。 新增接入 不接受先通过再变更，无主体的新增接入和新增网站，备案的信息一定要跟原备案信息一致，如不一致需找原接入商变更后再提交，或者注销后重新备案。

名词解释 认证测试中心 CTC：是结合华为30年安全经验积累，并结合企业与机构的安全合规与防护需求，帮助企业与机构满足国家及行业法律法规要求，同时实现对安全风险与安全事件的有效监控，并及时采取有效措施持续降低安全风险，消除安全事件带来的损失。 云防火墙服务 CFW：是新一代的云原生防火墙，提供云上互联网边界和VPC边界的防护，包括：实时入侵检测与防御，全局统一访问控制，全流量分析可视化，日志审计与溯源分析等，同时支持按需弹性扩容，是用户业务上云的网络安全防护基础服务。 企业主机安全 HSS：是服务器贴身安全管家，通过资产管理、漏洞管理、基线检查、入侵检测、程序运行认证、文件完整性校验，安全运营、网页防篡改等功能，帮助企业更方便地管理主机安全风险，实时发现黑客入侵行为，以及满足等保合规要求。 Web应用防火墙 WAF：对网站业务流量进行多维度检测和防护，结合深度机器学习智能识别恶意请求特征和防御未知威胁，全面避免网站被黑客恶意攻击和入侵。 SSL证书 SCM：是华为联合全球知名数字证书服务机构，为您提供一站式证书的全生命周期管理服务，实现网站的可信身份认证与安全数据传输。 态势感知 SA：为用户提供统一的威胁检测和风险处置平台。帮助用户检测云上资产遭受到的各种典型安全风险，还原攻击历史，感知攻击现状，预测攻击态势，为用户提供强大的事前、事中、事后安全管理能力。 威胁检测服务 MTD：威胁检测服务持续发现恶意活动和未经授权的行为，从而保护账户和工作负载。该服务通过集成AI智能引擎、威胁黑白名单、规则基线等检测模型，识别各类云服务日志中的潜在威胁并输出分析结果，从而提升用户告警、事件检测准确性，提升运维运营效率，同时满足等保合规。 漏洞扫描服务 VSS：集Web漏洞扫描、操作系统漏洞扫描、资产及内容合规检测、安全配置基线检查、弱密码检测、开源合规及漏洞检查、移动应用安全检查七大核心功能为一体，自动发现网站或服务器在网络中的安全风险，为云上业务提供多维度的安全检测服务，满足合规要求，让安全弱点无所遁形。

名词解释 基本概念、云服务简介、专有名词解释： 认证测试中心CTC：是结合华为30年安全经验积累，并结合企业与机构的安全合规与防护需求，帮助企业与机构满足国家及行业法律法规要求，同时实现对安全风险与安全事件的有效监控，并及时采取有效措施持续降低安全风险，消除安全事件带来的损失。 云防火墙服务CFW：是新一代的云原生防火墙，提供云上互联网边界和VPC边界的防护，包括：实时入侵检测与防御，全局统一访问控制，全流量分析可视化，日志审计与溯源分析等，同时支持按需弹性扩容，是用户业务上云的网络安全防护基础服务。 企业主机安全HSS：是服务器贴身安全管家，通过资产管理、漏洞管理、基线检查、入侵检测、程序运行认证、文件完整性校验，安全运营、网页防篡改等功能，帮助企业更方便地管理主机安全风险，实时发现黑客入侵行为，以及满足等保合规要求。 Web应用防火墙WAF：对网站业务流量进行多维度检测和防护，结合深度机器学习智能识别恶意请求特征和防御未知威胁，全面避免网站被黑客恶意攻击和入侵。 云证书管理服务CCM：是华为联合全球知名数字证书服务机构，为您提供一站式证书的全生命周期管理服务，实现网站的可信身份认证与安全数据传输。 态势感知SA：为用户提供统一的威胁检测和风险处置平台。帮助用户检测云上资产遭受到的各种典型安全风险，还原攻击历史，感知攻击现状，预测攻击态势，为用户提供强大的事前、事中、事后安全管理能力。 威胁检测服务MTD：威胁检测服务持续发现恶意活动和未经授权的行为，从而保护账户和工作负载。该服务通过集成AI智能引擎、威胁黑白名单、规则基线等检测模型，识别各类云服务日志中的潜在威胁并输出分析结果，从而提升用户告警、事件检测准确性，提升运维运营效率，同时满足等保合规。 漏洞扫描服务VSS：集Web漏洞扫描、操作系统漏洞扫描、资产及内容合规检测、安全配置基线检查、弱密码检测、开源合规及漏洞检查、移动应用安全检查七大核心功能为一体，自动发现网站或服务器在网络中的安全风险，为云上业务提供多维度的安全检测服务，满足合规要求，让安全弱点无所遁形。 数据库安全服务DBSS：是一个智能的数据库安全服务，基于机器学习机制和大数据分析技术，提供数据库审计，SQL注入攻击检测，风险操作识别等功能，保障云上数据库安全。 云堡垒机CBH：提供主机管理、权限控制、运维审计、安全合规等功能，支持Chrome等主流浏览器随时随地远程运维，保障运维安全高效。

安全组规则修改（可选） 该解决方案使用22端口用来远程登录弹性云服务器 ECS，默认对该方案创建的VPC子网网段放开，请参考修改安全组规则，配置IP地址白名单，以便能正常访问服务。 安全组实际是网络流量访问策略，包括网络流量入方向规则和出方向规则，通过这些规则为安全组内具有相同保护需求并且相互信任的云服务器、云容器、云数据库等实例提供安全保护。 如果您的实例关联的安全组策略无法满足使用需求，比如需要添加、修改、删除某个TCP端口，请参考以下内容进行修改。 添加安全组规则：根据业务使用需求需要新开放某个TCP端口，请参考添加安全组规则添加入方向规则，打开指定的TCP端口。 修改安全组规则：安全组规则设置不当会造成严重的安全隐患。您可以参考修改安全组规则，来修改安全组中不合理的规则，保证云服务器等实例的网络安全。 删除安全组规则：当安全组规则入方向、出方向源地址/目的地址有变化时，或者不需要开放某个端口时，您可以参考删除安全组规则进行安全组规则删除。 修改初始密码。打开华为云服务器控制台，勾选3.1快速部署-步骤2创建的弹性云服务器，单击“关机”，关机成功后，单击“重置密码”，根据提示重置密码，单击“确定”后，开机即可正常使用。 图1 重置密码 打开浏览器，输入堆栈输出界面，“b 第一步”访问网址，选择试用7天，即可进入。使用正式版请前往迅响响应式建站详情页购买License。 图2 访问网址 在浏览器输入堆栈输出界面，“c 第二步”管理员账号、密码及图形验证码，即可进入迅响后台管理界面 图3 管理员账号密码 配置域名解析。网站解析将域名与3.2快速部署步骤2中弹性公网IP地址相关联，实现通过在浏览器中直接输入域名访问网站。具体解析流程参考快速添加域名解析。 若无备案域名，则需要在本地hosts文件中添加域名解析，找到hosts文件使用记事本打开，添加需要的解析的ip地址及域名。 图4 hosts文件位置 图5 添加ip域名解析信息 通过浏览器访问讯响后台基础使用手册下载地址 http://vc-cms.cloud.coyuns.com.cn/manual.zip，下载完成后解压，获取迅响响应式建站(独立部署后台)基础使用手册，即可根据使用手册进行网站管理操作。 图6 下载网址 图7 下载文件

建站常见问题 使用弹性云服务器搭建网站过程中，由于各种原因可能会遇到一些问题，常见问题及处理方法如下： 服务器登录问题 云服务器登录前的准备工作有哪些？ 无法登录到Windows云服务器怎么办？ 无法登录到Linux云服务器怎么办？ 更多登录类问题请参见弹性云服务器登录类常见问题。 安全组问题 变更安全组规则和网络ACL规则时，是否对原有流量实时生效？ 弹性云服务器加入安全组过后能否变更安全组？ 更多安全组问题请参见安全组常见问题。 网络类问题 弹性云服务器IP获取不到时，如何排查？ EIP连接出现问题时，如何排查？ 弹性云服务器的网卡绑定虚拟IP地址后，该虚拟IP地址无法ping通时，如何排查？ 更多网络类问题请参见VPC常见问题。 操作系统问题 Windows云服务器带宽和CPU利用率高问题排查方法 Linux云服务器带宽和CPU占用率高问题排查方法 更多操作系统问题请参见操作系统类常见问题。 DNS常见问题 怎么测试域名解析是否生效 解析不生效有哪些原因 更多DNS问题请参见DNS常见问题。 其它常见问题 无法访问ECS实例上运行的网站 云服务器端口不通怎样排查？

使用其他云服务进一步增强对数据的安全防护 启用WAF进行静态网站防护 如果您需要OBS静态网站托管功能，为进一步提升您网站的安全性，建议您使用华为云的WAF服务对您的域名进行保护，降低网站被网络攻击的风险。详情请参见管理防护域名。 启用态势感知服务（SA）保障OBS资源安全 态势感知通过“安全上云合规检查1.0”、“等保2.0三级要求”、“护网检查”三种基线规则，检测OBS桶关键配置项，告警提示存在安全隐患的配置，并提供相应配置加固建议和帮助指导。您可以通过态势感知的资源管理功能，快速了解到OBS桶所属区域、安全状况等信息，帮助您定位安全风险问题。详情请参见资源管理。 隐私保护 随着组织管理越来越多的数据，大规模地识别和保护它们的敏感数据会变得越来越复杂、昂贵和耗时。建议您通过使用DSC服务对OBS桶内数据进行敏感数据识别和管理，降低隐私数据识别和保护的成本以及复杂度。详情请参见创建敏感数据识别任务。

操作步骤 购买市场镜像 登录华为云官网。 单击菜单栏的“云市场”，进入“华为云市场”页面。 在页面右上角的搜索框中，输入“Drupal”。 在搜索结果中，选择市场镜像“Drupal内容管理系统（LAMP）”，进入对应市场镜像的购买页面。 在本文中，购买的市场镜像规格如图1所示。“虚拟私有云”设置为关联预先创建的“vpc-drupal” 图1 购买市场镜像 根据需要设置市场镜像规格后，单击“立即购买”。 确认订单详情，并设置云主机的登录密码。 图2 设置云主机登录密码 勾选“我已阅读并同意《华为云市场服务协议》”，单击“提交订单”。 当弹性云服务器处于“运行中”后，表示市场镜像购买成功。 设置弹性云服务器 在弹性云服务器列表中，单击购买成功的弹性云服务器，查看详细信息。 设置安全组。 弹性云服务器使用系统默认的安全组“Sys-default”，要想通过网站访问方式登录弹性云服务器，需要新增一条安全组规则，详细内容请参见添加安全组规则。 单击“安全组”页签，并展开系统默认的“Sys-default”安全组。 单击“更改安全组规则”，进入“Sys-default”安全组详细信息页面。 在“入方向规则”页签，单击“添加规则”。 根据表1完成设置。 单击“确定”。 表1 安全组规则 方向 协议/应用 端口 源地址 入方向 HTTP(80) 80 0.0.0.0/0 绑定弹性公网IP。 要想通过网站访问方式登录弹性云服务器，需要为弹性云服务器绑定弹性公网IP，详细内容请参见为弹性云服务器申请和绑定弹性公网IP。 单击“弹性公网IP”页签。 单击“查看弹性公网IP”，进入“弹性公网IP”页面。 （可选）若没有可用的弹性公网IP，则单击“购买弹性公网IP”进行购买。 在弹性公网IP列表中，单击待绑定弹性公网IP“操作”列的“绑定”，完成操作。 Drupal安装准备 在浏览器中输入“http://弹性云服务器公网IP/9panel”，进行Websoft运维面板。 （可选）为Drupal注册一个域名，并配置域名到弹性公网IP的解析记录。 若您想要通过域名进行网站应用程序的安装，需要执行本步骤。 如果您想要选择华为云作为您的域名注册商，可以参考域名注册完成网站域名的注册，并通过华为云云解析服务的快速添加网站域名解析完成解析记录的配置。 修改数据库初始密码。 数据库默认用户为root，默认密码为123456。为保证数据库安全，执行本步骤修改数据库初始密码。 单击“第二步：修改数据库密码”的“马上修改”，进入“phpMyAdmin”页面。 在“常规设置”区域单击“修改密码”。 完成新密码的设置后，单击“执行”完成数据库初始密码的修改。 安装Drupal 回到Websoft运维面板中，单击导航栏的“应用安装”。 单击“第三步：完成安装向导”的“马上安装” 设置语言为“简体中文”，单击“Save and continue”。 图3 设置网站语言 选择“标准”安装方式，单击“保存并继续”。 图4 选择安装方式 安装网站。 此过程无需设置，等待完成“安装网站”和“安装翻译”两步。 设置网站。 设置站点信息、站点维护帐号信息以及区域信息，请妥善保存帐号和密码。 单击“保存和继续”，开始更新配置翻译。 体验Drupal 安装完成，自动跳转到Drupal后台，您可以在此对您的网站进行管理和维护。 图5 Drupal后台

主要功能 云容器引擎支持对容器应用的全生命周期管理，具有以下功能： 集群管理 通过控制台一键创建Kubernetes集群，支持跨可用区高可用。 一站式容器管理 容器应用全生命周期管理。 高性能容器隧道网络、VPC网络、云原生网络2.0等容器网络。 云硬盘EVS、弹性文件存储SFS、对象存储OBS等持久化存储支持。 资源、应用、容器多维度监控。 多样化的日志报表统计。 基于角色的权限管理和容器运行时安全。 应用市场内容 丰富的Helm chart组件。 对接开源镜像中心和华为云容器镜像服务，支持自定义镜像和共享镜像。 开发者服务 提供OpenAPI和社区原生API。 提供Kubectl插件和社区原生Kubectl工具。

HSS与VSS、WAF有什么区别？ 华为云提供的HSS、VSS、WAF服务，帮助您全面从主机、网站、Web应用等层面防御风险和威胁，提升系统安全指数。建议三个服务搭配使用。 表1 HSS、VSS、WAF的区别 服务名称 所属分类 防护对象 功能差异 企业主机安全（HSS） 主机安全 提升主机整体安全性。 资产管理 漏洞管理 入侵检测 基线检查 网页防篡改 漏洞扫描服务（VSS） 应用安全 提升网站整体安全性。 多元漏洞检测 网页内容检测 网站健康检测 基线合规检测 Web应用防火墙（WAF） 应用安全 保护Web应用程序的可用性、安全性。 Web基础防护 CC攻击防护 精准访问防护

操作步骤 购买WAF独享模式。 配置WAF独享引擎实例安全策略。 进入ECS管理控制台，更改1中创建的WAF独享引擎实例安全组，入方向放开TCP、HTTP等端口。 详细操作，请参见更改安全组。 添加防护网站。 添加防护网站时选择“独享模式”，请注意： 防护对象：填写ECS实例的域名。 是否已使用代理：选择“是”。 WAF独享引擎实例配置负载均衡。 为弹性负载均衡绑定弹性公网IP。 购买DDoS原生高级防护实例。 区域：选择与ECS实例相同的区域（例如，华北-北京四） 进入DDoS原生高级防护实例列表页面，如图2所示。 图2 DDoS原生高级防护实例列表页面 在目标实例所在框的右上方，单击“设置防护对象”。 在弹出的“设置防护对象”对话框中，勾选5中ELB的EIP后，单击“确定”。 成功添加防护对象后，您可以为防护对象配置防护策略。DDoS原生高级防护将为ECS源站服务器提供DDoS攻击全力防护能力，在业务遭受DDoS攻击时，自动触发流量清洗。 有关配置防护策略的详细操作，请参见配置防护策略。

企业用户 主体信息 主体负责人必须为法定代表人。 特别要求联系方式必须为本人真实号码 ，座机可以找到本人接听 ，手机可以拨通且是本人接听电话 ，接通后配合备案真实性核验。 企业备案个人成立的工作室有营业执照但是没有公章的不可以进行备案，必须要有和营业执照对应的公章盖章才可以。个体工商户都是要有公章的。 主体负责人手机号码不得与应急号码重复，暂无归属地要求。 网站信息 同一网站备案号下多个网站，访问各域名打开首页时，必须与备案系统中域名对应的网址首页保持一致。 首页网址只能填写一个。 域名所有者必须要和备案主体一致。 网站负责人如不是法定代表人，须提供授权书（授权委托书中必须包含授权人姓名、身份证号码、法定代表人签字并加盖公章）。 网站负责人非主体负责人的情况下，手机号码不得与主体负责人手机号码重复，应急号码也不得与主体负责人的所有联系方式重复，无归属地要求。 已备案成功的网站必须正常开放，网站内容必须符合单位性质，备案号须悬挂在网站底部中央位置并正确链接至工信部备案管理系统(beian.miit.gov.cn)。 每次只能备案1个网站/域名，如备案主体之前备案成功的网站个数超过1个，则需要提供网站建设方案书，单位备案需盖公章后扫描为PDF文档。 网站建设方案书的内容至少包含以下内容： 网站服务内容介绍（包含网站内容截图或设计图、网站栏目及内容介绍、多网站/域名用途和域名扩展使用情况）。 组网方案（包含设备配置、组网结构、使用技术及部署情况）。 网络安全与信息安全管理制度（包含网络安全防御措施、信息安全管控制度和应急处理方案）。 承诺如发现主体信息有误、网站实际开办内容与备案信息一致、域名有交易行为、网站内容涉及九不准等违法违规问题，接受接入服务商关闭网站、主管部门注销备案并列入黑名单的处罚。 电子材料 域名证书。 主办单位有效证件彩色电子版。 主体负责人有效证件彩色电子版。 网站负责人有效证件彩色电子版。 涉及前置审批相关行业，必须办理前置审批文件，详情请参见前置审批。 变更备案 单位不能变更为个人备案。 新增接入 不接受先通过再变更，无主体的新增接入和新增网站，备案的信息一定要跟原备案信息一致，如不一致需找原接入商变更后再提交，或者注销后重新备案。

ICP 备案 | 华为云 网站备案 备案是中国大陆的一项法规，使用大陆节点服务器提供互联网信息服务的用户，需要在服务器提供商处提交备案申请。华为云为您提供免费备案服务。 什么是备案 图说ECS 立即使用 立即使用 成长地图 由浅入深，带您快速了解备案服务 01 了解 根据工信部《互联网信息服务管理办法》，网站在未完成备案之前，不得指向中国大陆境内服务器提供互联网信息服务。 产品介绍 什么是ICP备案 基本概念 备案方式 ICP备案类型 备案限制 备案流程 权限管理 03 使用 使用华为云中国大陆服务器托管网站，需了解各种不同备案类型的备案流程。华为云提供了两种备案方式，为缩短备案时间、提高备案效率，建议您使用APP备案方式。 使用APP备案（推荐） 首次备案 变更备案 新增接入（原备案在华为云） 新增接入（原备案不在华为云） 新增网站（原备案在华为云） 新增网站（原备案不在华为云） 取消接入 注销主体 注销网站 认领备案 修改备案申请 备案短信核验 使用PC备案 首次备案 变更备案 新增接入（原备案在华为云） 新增接入（原备案不在华为云） 新增网站（原备案在华为云） 新增网站（原备案不在华为云） 取消接入 注销主体 注销网站 转移备案 认领备案 修改备案申请 备案短信核验 02 入门 华为云为您提供免费备案服务。备案之前，请认真阅读管局备案规则，并按要求准备资料，然后开启您的网站备案之旅。 计费说明 计费项 备案多久送多久奖励规则 备案准备 注册账号与实名认证 准备待备案域名 准备可备案服务器 准备备案材料 前置审批 各地管局要求 下载备案材料模板 备案场景 通用备案场景 政府网站备案 使用华为云OBS 使用华为云CND 使用华为云WAF 使用华为云DDoS高防 使用华为云云速建站 快速入门 快速完成网站备案 04 公安备案/经营性备案 依据《计算机信息网络国际联网安全保护管理办法》相关规定，各网站在工信部备案成功后，需在网站开通之日起30日内登录全国公安机关互联网站安全管理服务平台提交公安备案申请。 常用操作 公安备案 经营性备案 05 政策法规 提交备案前，需了解各管局政策要求。 常用操作 未备案不得提供非经营性互联网信息服务 备案信息需真实有效 常用政策法规 常见问题 了解更多常见问题、案例和解决方案 热门案例 备案审核需要多长时间 一个账号可以为多个主体备案吗 如何获取及使用备案授权码 法人授权书、建站说明书等资料模板在哪里下载 为什么备案成功后还显示阻断 备案期间网站可以访问吗 备案多久送多久奖励规则 ICP备案与ICP许可证的区别 如何办理前置审批 怎么了解备案进度？ 更多 备案基础 没有购买云产品能否备案 一台服务器是否可以多次办理备案 如何获取及使用备案授权码 备案审核需要多长时间 只有域名能否备案 已备案网站接入华为云还要备案吗 一个账号可以为多个主体备案吗 更多 上传资料与真实性核验 备案资料模板在哪里获取? 电子版证件资料要求 域名证书如何获取? 为什么要进行视频核验 为什么会收到“取消接入”或“注销通知” 核查未通过，网站被注销怎么办？ 更多 初审驳回&管局退回 主体负责人填写的不是法人 网站名称不符合要求 域名所有者不正确 已备案的网站建设不合规 短信验证不通过 未备案成功的网站已开放 办公电话问题 更多 备案信息填写 验证备案类型注意事项 系统提示：“域名已备案，证件未备案” 主体负责人必须为法人吗 网站负责人必须为法人吗？ 多域名如何提交备案? 网站名称要求 网站内容要求 更多 备案流程 第一次备案，具体流程是什么？ 已在其他接入商备案过，站点迁移到华为云，如何备案？ 已在其他接入商备案过，又有新的网站部署在华为云，如何操作？ 已经在华为云备案了，又需要新增网站，如何操作？ 之前在华为原备案系统中已经备案通过，如何操作？ 服务器IP改变，是否需要重新备案？ 如何修改已备案成功信息？ 更多 备案成功后 ICP备案后，还需要做什么 已备案成功网站仍无法访问 配置网站解析 备案成功后注意事项 备案证书在哪里获取？ 等保证明 更多 视频课程 技术、观点、课程视频呈现 华为云网站备案简介 备案简介，包括备案类型、备案前准备、联系方式等 一分钟鉴别：我需要在华为云备案吗 云上一分钟，上云更轻松 注册域名后，离成功访问网站还有多远？ 云上一分钟，上云更轻松 智能客服 您好！我是有问必答知识渊博的的智能问答机器人，有问题欢迎随时求助哦！ 社区求助 华为云社区是华为云用户的聚集地。这里有来自各领域的技术牛人，为您解决技术难题。

HSS与VSS、WAF有什么区别？ 华为云提供的HSS、VSS、WAF服务，帮助您全面从主机、网站、Web应用等层面防御风险和威胁，提升系统安全指数。建议三个服务搭配使用。 表1 HSS、VSS、WAF的区别 服务名称 所属分类 防护对象 功能差异 企业主机安全（HSS） 主机安全 提升主机整体安全性。 资产管理 漏洞管理 入侵检测 基线检查 网页防篡改 漏洞扫描服务（VSS） 应用安全 提升网站整体安全性。 多元漏洞检测 网页内容检测 网站健康检测 基线合规检测 Web应用防火墙（WAF） 应用安全 保护Web应用程序的可用性、安全性。 Web基础防护 CC攻击防护 精准访问防护

HSS与VSS、WAF有什么区别？ 华为云提供的HSS、VSS、WAF服务，帮助您全面从主机、网站、Web应用等层面防御风险和威胁，提升系统安全指数。建议三个服务搭配使用。 表1 HSS、VSS、WAF的区别 服务名称 所属分类 防护对象 功能差异 主机安全（HSS） 主机安全 提升主机整体安全性。 资产管理 漏洞管理 入侵检测 基线检查 网页防篡改 漏洞扫描服务（VSS） 应用安全 提升网站整体安全性。 多元漏洞检测 网页内容检测 网站健康检测 基线合规检测 Web应用防火墙（WAF） 应用安全 保护Web应用程序的可用性、安全性。 Web基础防护 CC攻击防护 精准访问防护

安全上云合规检查—基础设施防护 表4 基础设施防护风险项检查项目 检查项目 检查内容 安全组入方向规则控制检查 安全组入方向规则应满足最小化访问控制原则。 一般，在非业务需要的情况下，以下情况视为未按最小化访问控制（风险由高到低）：源地址为0.0.0.0/0；公网地址的掩码小于32；内网地址的掩码小于24。 高危端口、远程管理端口暴露检查 安全组是一个逻辑上的分组，为具有相同安全保护需求并相互信任的云服务器提供访问策略。安全组创建后，可以在安全组中设置出方向、入方向规则，这些规则会对安全组内部的云服务器出入方向网络流量进行访问控制，当云服务器加入该安全组后，即受到这些访问规则的保护。 安全组入方向规则中不应对外开放或未最小化开放高危端口、远程管理端口。 高危端口如下：20，21，135，137，138，139，445，389，593，1025 未最小化开放指的是：源地址为0.0.0.0/0；公网地址的掩码小于32；内网地址的掩码小于24 检查安全组入方向规则中是否存在对外开放或未最小化开放高危端口、远程管理端口。 绑定EIP的ECS配置密钥对登录检查 当存在ECS对外暴露EIP的情况下，为安全起见，弹性云服务器登录时应使用密钥方式进行身份验证。 日志指标过滤和告警事件（VPC更改）检查 日志审计模块是信息安全审计功能的核心必备组件，是企事业单位信息系统安全风险管控的重要组成部分。云审计服务（Cloud Trace Service，以下简称CTS），是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 检查CTS中是否存在因VPC更改而产生的日志和告警事件。 日志指标过滤和告警事件（网络网关更改）检查 日志审计模块是信息安全审计功能的核心必备组件，是企事业单位信息系统安全风险管控的重要组成部分。云审计服务（Cloud Trace Service，以下简称CTS），是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 检查CTS中是否存在因网络网关更改而产生的日志和告警事件。 日志指标过滤和告警事件（安全组更改）检查 日志审计模块是信息安全审计功能的核心必备组件，是企事业单位信息系统安全风险管控的重要组成部分。云审计服务（Cloud Trace Service，以下简称CTS），是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 检查CTS中是否存在因安全组更改而产生的日志和告警事件。 日志指标过滤和告警事件（子网更改）检查 日志审计模块是信息安全审计功能的核心必备组件，是企事业单位信息系统安全风险管控的重要组成部分。云审计服务（Cloud Trace Service，以下简称CTS），是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 检查CTS中是否存在因子网更改而产生的日志和告警事件。 日志指标过滤和告警事件（VPN更改）检查 日志审计模块是信息安全审计功能的核心必备组件，是企事业单位信息系统安全风险管控的重要组成部分。云审计服务（Cloud Trace Service，以下简称CTS），是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 检查CTS中是否存在因VPN更改而产生的日志和告警事件。 ELB实例（共享型）启用访问控制检查 共享型负载均衡器用户可以通过添加白名单和黑名单的方式控制访问负载均衡监听器的IP。通过白名单能够设置允许特定IP访问，而其它IP不许访问。通过黑名单能够设置允许特定的IP不能访问，而其它IP允许访问。 检查弹性负载均衡（Elastic Load Balance，ELB）实例，是否开启访问控制策略。 网络ACL规则配置检查 网络ACL是对子网的访问控制策略系统，根据与子网关联的入站/出站规则，判断数据包是否被允许流入/流出关联子网。同一个VPC内的子网间设置网络ACL，可以增加额外的安全防护层，实现更精细、更复杂的安全访问控制。 检查是否配置网络ACL规则。 用于VPC对等连接路由表检查 对等连接是指两个VPC之间的网络连接，因此用于对等连接的路由表应满足最小访问权限。 本端路由的目的地址最好限定在最小子网网段内，对端路由的目的地址最好限定在最小子网网段内。 检查用于对等连接的路由表是否满足最小访问权限。 VPC规划检查 如果在当前区域下有多套业务部署，且希望不同业务之间进行网络隔离时，则可为每个业务在当前区域建立相应的VPC。 两个VPC之间可以采用对等连接进行互连。 VPC具有区域属性，默认情况下，不同区域的VPC之间内网不互通，同区域的不同VPC内网不互通，同一个VPC下的不同可用区之间内网互通。 检查VPC规范是否合理。 WAF启用（云模式/独享模式/ELB模式）检查 启用Web应用防火墙（Web Application Firewall， WAF）服务后，网站所有的公网流量都会先经过Web应用防火墙，恶意攻击流量在Web应用防火墙上被检测过滤，而正常流量返回给源站IP，从而确保源站IP安全、稳定、可用。 检查是否已启用WAF。 WAF回源配置检查（未配置ELB） 使用Web应用防火墙（Web Application Firewall， WAF）服务后，需配置源站服务器只允许来自WAF的访问请求访问源站，既可保障访问不受影响，又能防止源站IP暴露。 未使用弹性负载均衡（Elastic Load Balance，ELB）情况下，检查在ECS关联的安全组源地址中，是否添加WAF回源IP。 WAF防护策略配置（地理位置访问控制）检查 WAF的防护策略应配置地理位置访问控制，可针对指定国家、地区的来源IP自定义访问控制。配置后，可以进一步减小业务网站的攻击面（检测版和专业版暂不支持该功能）。 Web基础防护配置检查 Web基础防护支持“拦截”（发现攻击行为后立即阻断并记录）和“仅记录”（发现攻击行为后只记录不阻断攻击）模式，检测版仅支持“仅记录”模式。 WAF中所有待防护的域名应开启Web基础防护并设置为拦截模式，开启后，默认防范SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等常规的Web攻击。 检查是否已开启Web基础防护并设置为拦截模式。 VSS启用检查 漏洞扫描服务（Vulnerability Scan Service）是针对网站进行漏洞扫描的一种安全检测服务，可以帮助快速检测出网站存在的漏洞，提供详细的漏洞分析报告，并针对不同类型的漏洞提供专业可靠的修复建议。 检查是否已启用VSS服务。 Anti-DDoS流量清洗启用检查 DDoS原生基础防护（Anti-DDoS流量清洗）服务为华为云内公网IP资源，提供网络层和应用层的DDoS攻击防护，并提供攻击拦截实时告警，有效提升用户带宽利用率，保障业务稳定可靠。 检查是否已启用Anti-DDoS流量清洗服务。 DDoS高防启用检查 DDoS高防（Advanced Anti-DDoS，AAD）是企业重要业务连续性的有力保障。DDoS高防通过高防IP代理源站IP对外提供服务，将恶意攻击流量引流到高防IP清洗，确保重要业务不被攻击中断。 检查是否已启用DDoS高防。 云堡垒机启用检查 云堡垒机（Cloud Bastion Host，CBH）是华为云的一款4A统一安全管控平台，为企业提供集中的帐号、授权、认证和审计管理服务。启用后，可实现对服务器、云主机、数据库、应用系统等云上资源的集中管理和运维审计，不仅能保障系统运行安全，且满足相关合规性规范。 检查是否已启用云堡垒机服务。 主机安全防护启用检查 企业主机安全服务（Host Security Service，HSS）是提升主机整体安全性的服务。可以全面识别并管理主机中的信息资产，实时监测主机中的风险并阻止非法入侵行为，帮助企业构建服务器安全体系，降低当前服务器面临的主要安全风险。 主机实例应安装HSS且开启防护，版本要求至少为企业版（旗舰版、网页防篡改版更优）。 检查主机是否开启主机安全防护。 HSS网页防篡改启用与防护目录配置检查 网页防篡改可实时监控网站目录，并通过备份恢复被篡改的文件或目录，保障重要系统的网站信息不被恶意篡改，防止出现挂马、黑链、非法植入恐怖威胁、色情等内容。 有网站或者关键系统防篡改需求，以及有应用安全防护需求的主机，应开启HSS中的网络防篡改防护并配置好防护目录。 检查主机是否开启网络防篡改防护且已配置好防护目录。 主机紧急修复漏洞检查 企业主机安全服务（Host Security Service，HSS）提供漏洞管理功能，检测Linux软件漏洞、Windows系统漏洞和Web-CMS漏洞。 检查HSS中是否存在紧急修复漏洞。 CDN访问控制配置检查 当客户CDN需要对访问者身份进行识别和过滤，限制部分用户访问，提高CDN的安全性，应配置防盗链与IP黑名单。 检查CDN是否配置访问控制规则。

操作步骤 购买WAF独享模式。 配置WAF独享引擎实例安全策略。 进入ECS管理控制台，更改1中创建的WAF独享引擎实例安全组，入方向放开TCP、HTTP等端口。 详细操作，请参见更改安全组。 添加防护网站。 添加防护网站时选择“独享模式”，请注意： 防护对象：填写ECS实例的域名。 是否已使用代理：选择“是”。 WAF独享引擎实例配置负载均衡。 为弹性负载均衡绑定弹性公网IP。 购买DDoS原生高级防护实例。 区域：选择与ECS实例相同的区域（例如，华北-北京四） 进入DDoS原生高级防护实例列表页面，如图2所示。 图2 DDoS原生高级防护实例列表页面 在目标实例所在框的右上方，单击“设置防护对象”。 在弹出的“设置防护对象”对话框中，勾选5中ELB的EIP后，单击“确定”。 成功添加防护对象后，您可以为防护对象配置防护策略。DDoS原生高级防护将为ECS源站服务器提供DDoS攻击全力防护能力，在业务遭受DDoS攻击时，自动触发流量清洗。 有关配置防护策略的详细操作，请参见配置防护策略。

VSS与HSS、WAF有什么区别？ VSS支持主机和Web漏洞扫描，从攻击者的视角扫描漏洞，提供详细的漏洞分析报告，并针对不同类型的漏洞提供专业可靠的修复建议。HSS是提升主机整体安全性的服务，通过安装在主机上的Agent守护主机安全，全面识别并管理主机中的信息资产。 WAF是对网站业务流量进行多维度检测和防护，降低数据被篡改、失窃的风险。 华为云提供的VSS、HSS、WAF服务，帮助您全面从网站、主机、Web应用等层面防御风险和威胁，提升系统安全指数。建议三个服务搭配使用。 表1 VSS、HSS、WAF的区别 服务名称 所属分类 防护对象 功能差异 漏洞扫描服务（VSS） 应用安全、主机安全 提升网站、主机整体安全性。 多元漏洞检测 网页内容检测 网站健康检测 基线合规检测 主机漏洞扫描 企业主机安全（HSS） 主机安全 提升主机整体安全性。 资产管理 漏洞管理 入侵检测 基线检查 网页防篡改 Web应用防火墙（WAF） 应用安全 保护Web应用程序的可用性、安全性。 Web基础防护 CC攻击防护 精准访问防护

安全上云合规检查—基础设施防护 表4 基础设施防护风险项检查项目 检查项目 检查内容 安全组入方向规则控制检查 安全组入方向规则应满足最小化访问控制原则。 一般，在非业务需要的情况下，以下情况视为未按最小化访问控制（风险由高到低）：源地址为0.0.0.0/0；公网地址的掩码小于32；内网地址的掩码小于24。 高危端口、远程管理端口暴露检查 安全组是一个逻辑上的分组，为具有相同安全保护需求并相互信任的云服务器提供访问策略。安全组创建后，可以在安全组中设置出方向、入方向规则，这些规则会对安全组内部的云服务器出入方向网络流量进行访问控制，当云服务器加入该安全组后，即受到这些访问规则的保护。 安全组入方向规则中不应对外开放或未最小化开放高危端口、远程管理端口。 高危端口如下：20，21，135，137，138，139，445，389，593，1025 未最小化开放指的是：源地址为0.0.0.0/0；公网地址的掩码小于32；内网地址的掩码小于24 检查安全组入方向规则中是否存在对外开放或未最小化开放高危端口、远程管理端口。 绑定EIP的ECS配置密钥对登录检查 当存在ECS对外暴露EIP的情况下，为安全起见，弹性云服务器登录时应使用密钥方式进行身份验证。 日志指标过滤和告警事件（VPC更改）检查 日志审计模块是信息安全审计功能的核心必备组件，是企事业单位信息系统安全风险管控的重要组成部分。云审计服务（Cloud Trace Service，以下简称CTS），是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 检查CTS中是否存在因VPC更改而产生的日志和告警事件。 日志指标过滤和告警事件（网络网关更改）检查 日志审计模块是信息安全审计功能的核心必备组件，是企事业单位信息系统安全风险管控的重要组成部分。云审计服务（Cloud Trace Service，以下简称CTS），是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 检查CTS中是否存在因网络网关更改而产生的日志和告警事件。 日志指标过滤和告警事件（安全组更改）检查 日志审计模块是信息安全审计功能的核心必备组件，是企事业单位信息系统安全风险管控的重要组成部分。云审计服务（Cloud Trace Service，以下简称CTS），是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 检查CTS中是否存在因安全组更改而产生的日志和告警事件。 日志指标过滤和告警事件（子网更改）检查 日志审计模块是信息安全审计功能的核心必备组件，是企事业单位信息系统安全风险管控的重要组成部分。云审计服务（Cloud Trace Service，以下简称CTS），是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 检查CTS中是否存在因子网更改而产生的日志和告警事件。 日志指标过滤和告警事件（VPN更改）检查 日志审计模块是信息安全审计功能的核心必备组件，是企事业单位信息系统安全风险管控的重要组成部分。云审计服务（Cloud Trace Service，以下简称CTS），是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 检查CTS中是否存在因VPN更改而产生的日志和告警事件。 ELB实例（共享型）启用访问控制检查 共享型负载均衡器用户可以通过添加白名单和黑名单的方式控制访问负载均衡监听器的IP。通过白名单能够设置允许特定IP访问，而其它IP不许访问。通过黑名单能够设置允许特定的IP不能访问，而其它IP允许访问。 检查弹性负载均衡（Elastic Load Balance，ELB）实例，是否开启访问控制策略。 网络ACL规则配置检查 网络ACL是对子网的访问控制策略系统，根据与子网关联的入站/出站规则，判断数据包是否被允许流入/流出关联子网。同一个VPC内的子网间设置网络ACL，可以增加额外的安全防护层，实现更精细、更复杂的安全访问控制。 检查是否配置网络ACL规则。 用于VPC对等连接路由表检查 对等连接是指两个VPC之间的网络连接，因此用于对等连接的路由表应满足最小访问权限。 本端路由的目的地址尽量限定在最小子网网段内，对端路由的目的地址尽量限定在最小子网网段内。 检查用于对等连接的路由表是否满足最小访问权限。 VPC规划检查 如果在当前区域下有多套业务部署，且希望不同业务之间进行网络隔离时，则可为每个业务在当前区域建立相应的VPC。 两个VPC之间可以采用对等连接进行互连。 VPC具有区域属性，默认情况下，不同区域的VPC之间内网不互通，同区域的不同VPC内网不互通，同一个VPC下的不同可用区之间内网互通。 检查VPC规范是否合理。 WAF启用（云模式/独享模式/ELB模式）检查 启用Web应用防火墙（Web Application Firewall， WAF）服务后，网站所有的公网流量都会先经过Web应用防火墙，恶意攻击流量在Web应用防火墙上被检测过滤，而正常流量返回给源站IP，从而确保源站IP安全、稳定、可用。 检查是否已启用WAF。 WAF回源配置检查（未配置ELB） 使用Web应用防火墙（Web Application Firewall， WAF）服务后，需配置源站服务器只允许来自WAF的访问请求访问源站，既可保障访问不受影响，又能防止源站IP暴露。 未使用弹性负载均衡（Elastic Load Balance，ELB）情况下，检查在ECS关联的安全组源地址中，是否添加WAF回源IP。 WAF防护策略配置（地理位置访问控制）检查 WAF的防护策略应配置地理位置访问控制，可针对指定国家、地区的来源IP自定义访问控制。配置后，可以进一步减小业务网站的攻击面（检测版和专业版暂不支持该功能）。 Web基础防护配置检查 Web基础防护支持“拦截”（发现攻击行为后立即阻断并记录）和“仅记录”（发现攻击行为后只记录不阻断攻击）模式，检测版仅支持“仅记录”模式。 WAF中所有待防护的域名应开启Web基础防护并设置为拦截模式，开启后，默认防范SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等常规的Web攻击。 检查是否已开启Web基础防护并设置为拦截模式。 VSS启用检查 漏洞扫描服务（Vulnerability Scan Service）是针对网站进行漏洞扫描的一种安全检测服务，可以帮助快速检测出网站存在的漏洞，提供详细的漏洞分析报告，并针对不同类型的漏洞提供专业可靠的修复建议。 检查是否已启用VSS服务。 Anti-DDoS流量清洗启用检查 DDoS原生基础防护（Anti-DDoS流量清洗）服务为华为云内公网IP资源，提供网络层和应用层的DDoS攻击防护，并提供攻击拦截实时告警，有效提升用户带宽利用率，保障业务稳定可靠。 检查是否已启用Anti-DDoS流量清洗服务。 DDoS高防启用检查 DDoS高防（Advanced Anti-DDoS，AAD）是企业重要业务连续性的有力保障。DDoS高防通过高防IP代理源站IP对外提供服务，将恶意攻击流量引流到高防IP清洗，确保重要业务不被攻击中断。 检查是否已启用DDoS高防。 云堡垒机启用检查 云堡垒机（Cloud Bastion Host，CBH）是华为云的一款4A统一安全管控平台，为企业提供集中的帐号、授权、认证和审计管理服务。启用后，可实现对服务器、云主机、数据库、应用系统等云上资源的集中管理和运维审计，不仅能保障系统运行安全，且满足相关合规性规范。 检查是否已启用云堡垒机服务。 主机安全防护启用检查 企业主机安全服务（Host Security Service，HSS）是提升主机整体安全性的服务。可以全面识别并管理主机中的信息资产，实时监测主机中的风险并阻止非法入侵行为，帮助企业构建服务器安全体系，降低当前服务器面临的主要安全风险。 主机实例应安装HSS且开启防护，版本要求至少为企业版（旗舰版、网页防篡改版更优）。 检查主机是否开启主机安全防护。 HSS网页防篡改启用与防护目录配置检查 网页防篡改可实时监控网站目录，并通过备份恢复被篡改的文件或目录，保障重要系统的网站信息不被恶意篡改，防止出现挂马、黑链、非法植入恐怖威胁、色情等内容。 有网站或者关键系统防篡改需求，以及有应用安全防护需求的主机，应开启HSS中的网络防篡改防护并配置好防护目录。 检查主机是否开启网络防篡改防护且已配置好防护目录。 主机紧急修复漏洞检查 企业主机安全服务（Host Security Service，HSS）提供漏洞管理功能，检测Linux软件漏洞、Windows系统漏洞和Web-CMS漏洞。 检查HSS中是否存在紧急修复漏洞。 CDN访问控制配置检查 当客户CDN需要对访问者身份进行识别和过滤，限制部分用户访问，提高CDN的安全性，应配置防盗链与IP黑名单。 检查CDN是否配置访问控制规则。

SCM与PCA的区别 SCM与PCA的主要区别如表1所示。 表1 SCM与PCA的区别 服务名称 作用 应用场景 安全等级 是否可以配置到内网 SSL证书管理（SCM） SSL证书采用SSL协议进行通信，SSL证书部署到服务器后，服务器端的访问将启用HTTPS协议。您的网站将会通过HTTPS加密协议来传输数据，可帮助服务器端和客户端之间建立加密链接，从而保证数据传输的安全。 网站身份验证，确保数据发送到正确的客户端和服务器。 在客户端和服务器端之间建立加密通道，保证数据在传输过程中不被窃取或篡改。 网站可信认证 SSL证书如同网站在互联网中的“身份证”，网站没有安装SSL证书，浏览器将会将其列为不安全的网站，网站用户也就无法信任您网站的安全性，安装了SSL证书就代表您的网站是“安全”的，网站用户可以放心访问您的网站。特别是OV或EV型证书，CA颁发机构在签发证书前会验证域名所有者及其企业信息，可以有效提升网站可信度。 网站数据加密 通常网站数据传输使用的HTTP协议，无法加密数据，导致数据有泄露和被窃听、篡改的风险，SSL证书可以让您的网站采用HTTPS加密通讯，有效提升数据传输安全性。 在华为云WAF、ELB、CDN等服务上使用HTTPS协议 如果您购买了华为云WAF、ELB、CDN等服务，可以在SSL证书管理页面中将购买的证书一键部署至这些云产品中，为云产品提供HTTPS数据传输安全保障。 提高网站访问速度 SSL 证书全面兼容 HTTP2.0 协议，快速动态加载网页内容，可以为网站服务提速。 高 不可以，SSL证书只能用于公网域名。 私有证书管理（PCA） 支持用户建立完整的CA层次体系，包括根及多级中间CA等。 为用户提供高可用高安全的私有CA托管能力。 支持用户方便快捷地创建和管理私有证书，用于识别和保护组织内的应用程序、服务、设备和用户等资源。 企业对内实行应用数据安全管控 您可以通过私有证书管理建立企业内部的证书管理体系，在企业内部签发和管理自签名私有证书，实现企业内部的身份认证、数据加解密、数据安全传输。 车联网应用 车企TSP使用私有证书管理服务，为每台车辆终端颁发证书，提供车-车、车-云、车-路多场景交互时鉴权、认证、加密等安全能力。 物联网应用 IoT平台使用私有证书管理服务，为每台IoT设备颁发证书，并通过IoT平台联动PCA，实现IoT设备的身份校验与认证，保障IoT场景下设备接入安全。 较低 可以，私有证书可以部署到内网使用。

策略化的智能路由与弹性流量管理 支持对服务配置负载均衡、服务路由、故障注入、熔断等治理规则，并结合一站式治理系统，提供实时的、可视化的微服务流量管理；无侵入智能流量治理，应用无需任何改造，即可进行动态的智能路由和弹性流量管理。 权重、内容等路由规则，实现应用灵活灰度发布。 负载均衡，满足业务处理高可用性诉求。 熔断，实现服务间链路稳定、可靠。 网络长连接管理降低资源损耗，提升网络吞吐量。 服务安全认证、鉴权、审计等，提供服务安全保障基石。

Web应用防火墙和云防火墙有什么区别？ Web应用防火墙和云防火墙是华为云推出的两款不同的产品，分别针对您的Web服务，互联网边界和VPC边界的流量进行防护。 WAF和CFW的主要区别说明如表1所示。 表1 WAF和CFW的主要区别说明 类别 Web应用防火墙 云防火墙 定义 Web应用防火墙（Web Application Firewall，WAF），通过对HTTP(S)请求进行检测，识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击，保护Web服务安全稳定。 云防火墙（Cloud Firewall，CFW）是新一代的云原生防火墙，提供云上互联网边界和VPC边界的防护，包括实时入侵检测与防御、全局统一访问控制、全流量分析可视化、日志审计与溯源分析等，同时支持按需弹性扩容、AI提升智能防御能力、灵活扩展满足云上业务的变化和扩张需求，极简应用让用户快速灵活应对威胁。云防火墙服务是为用户业务上云提供网络安全防护的基础服务。 有关CFW的详细介绍，请参见什么是云防火墙。 防护机制 网站成功接入WAF后，WAF作为一个反向代理存在于客户端和服务器之间，网站所有访问请求将先流转到WAF，WAF检测过滤恶意攻击流量后，将正常流量返回给源站，从而确保源站安全、稳定、可用。 CFW可对全流量进行精细化管控，包括互联网边界防护，跨VPC，跨VM的流量，防止外部入侵、内部渗透攻击和从内到外的非法访问。 部署模式 WAF支持云模式、独享模式。 云模式：业务服务器部署在华为云、非华为云或线下，且防护对象为域名。 各服务版本推荐使用的场景说明如下： 入门版 个人网站防护 标准版 中小型网站，对业务没有特殊的安全需求 专业版 中型企业级网站或服务对互联网公众开放，关注数据安全且具有高标准的安全需求 铂金版 中大型企业网站，具备较大的业务规模，或是具有特殊定制的安全需求 独享模式：业务服务器部署在华为云，防护对象为域名或IP。大型企业网站，具备较大的业务规模且基于业务特性具有制定个性化防护规则的安全需求。 互联网边界和VPC边界 防护对象 云模式：域名。 独享模式：域名或IP。 弹性公网IP 功能特性 SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击防护。 WAF具体支持的功能请参见功能特性。 资产管理与入侵防御：对已开放公网访问的服务资产进行安全盘点，进行实时入侵检测与防御。 访问控制：支持互联网边界访问流量的访问控制。 流量分析与日志审计：VPC间流量全局统一访问控制，全流量分析可视化，日志审计与溯源分析。

504 Gateway Timeout错误排查思路和处理建议 完成WAF域名接入配置之后，业务正常，但当业务量增加时，发生504错误的概率增加，直接访问源站IP也有一定概率出现504错误，请参考图8进行排查处理。 图8 504错误排查思路 表2 504错误问题处理 可能原因 排查方法 处理建议 原因一：后端服务器性能问题（连接数，CPU内存占用过大等） 源站性能问题，可以排查源站访问日志以及访问流量情况，定性分析。 优化服务器的相关配置，包括TCP网络参数的优化配置，ulimit相关参数设置等。 如果是云模式部署方式，建议在ELB上增加后端服务器组或创建新的ELB，支撑大量增长的业务量。 增加后端服务器组的详细操作，请参见添加后端云服务器（共享型）。 配置新ELB的操作，请参考步骤 1~步骤 7。 如果“对外协议”是HTTPS，建议在WAF设置HTTPS转发，回源走HTTP协议即“源站协议”设置为HTTP，降低后端服务器的计算压力。 修改服务器信息的详细操作，请参见修改服务器信息。 使用CC防护规则，拦截恶意流量。 原因二： 安全组未将WAF回源IP设置为白名单或未放开端口 源站有防火墙设备，且该防火墙设备拦截了WAF的回源IP 建议采用以下方法进行排查： 排查客户源站是否有安全组，防火墙，服务器安全软件等。 在客户端与WAF上同时进行抓包分析，排查源站防火墙等设备对WAF的长连接是否有主动丢包的现象。 源站服务器配置放行WAF回源IP的访问控制策略。 云模式：请参见如何放行云模式WAF的回源IP段？。 独享模式：请参见放行独享引擎回源IP。 建议您关闭防火墙和服务器安全防护软件。 原因三：连接超时、read超时 说明： 源站响应时间过长导致504（数据库查询时间过长，大文件上传时间过长，源站故障等）。 WAF回源到客户源站超时时间大多为60秒或180秒，若超时则会报错504。 该问题有以下排查方法： 绕过WAF，直接访问客户源站，查看响应时长 查看全量日志里面访问日志源站响应时长 建议客户绕过WAF测试上传功能，并检查客户上传文件大小 数据库查询时间过长： 调整优化业务，尽量缩短查询时长，优化用户体验。 修改请求的交互方式，让这种长连接在 60s 内能有一些数据交互（如，ack报文、心跳包、keep-alive等任何可以维持会话的报文）。 大文件上传时间过长： 调整优化业务，尽量缩短文件上传时间。 建议使用FTP方式上传文件。 直接通过IP上传，或者使用没有被WAF防护的域名上传。 使用WAF的独享模式，独享WAF回源超时默认为180s。 源站故障类： 检查源站业务是否正常。 原因四：源站带宽不足，访问流量过大，带宽超限制 该问题有以下排查方法： 若客户配置的WAF后端为7层ELB，则可以在ELB上查504相关日志 若客户配置的WAF后端为4层ELB，则可以在ELB上查“Traffic exceeded the bandwidth threshold”相关字段日志 若客户配置的WAF后端为EIP，则在504高峰查看EIP流量监控。 扩展源站服务器带宽。 创建新的ELB，参照以下方法将ELB的EIP作为服务器的IP地址，接入WAF。 修改服务器信息，大约需要2分钟同步生效。 创建负载均衡器。 登录管理控制台。 进入网站设置页面入口，如图9所示。 图9 网站设置入口 在目标域名所在行的“防护网站”列中，单击目标域名，进入域名基本信息页面。 在“服务器信息”栏中，单击，进入“修改服务器信息”页面，单击“添加”，新增后端服务器。 图10 服务器配置 将“源站地址”设置为ELB的弹性公网IP地址。 单击“确定”，服务器信息修改成功。

功能总览 功能总览 全部 主机安全服务 资产指纹管理 基线检查 漏洞管理 容器镜像安全 应用防护 入侵检测 未防护资产的免费体检 恶意程序隔离查杀 勒索病毒防护 文件隔离箱管理 文件完整性管理 自定义安全策略 动静态网页防篡改 特权进程可修改防篡改文件 双因子认证 SSH登录IP白名单 常用登录地/IP 告警白名单管理 告警通知 主机分类管理 订阅安全报告 Agent批量安装 主机安全服务 主机安全服务（Host Security Service，HSS）是以工作负载为中心的安全产品，旨在解决现代混合云、多云数据中心基础架构中服务器工作负载的独特保护要求。它集成了主机安全、容器安全和网页防篡改。 发布区域：全部。 HSS版本功能特性 应用场景 资产指纹管理 可深度扫描出主机中的账号、端口、进程、Web目录、软件信息和自启动任务，在“资产管理”界面，您可以统一管理主机中的信息资产。 发布区域：全部。 查看资产指纹详情 历史变动记录 基线检查 HSS提供基线检查功能，主动检测主机中的口令复杂度策略，关键软件中含有风险的配置信息，并针对所发现的风险为您提供修复建议，帮助您正确地处理服务器内的各种风险配置信息。 发布区域：全部。 查看基线检查详情 管理基线检查策略 基线检查风险修复建议 漏洞管理 HSS提供漏洞管理功能，检测Linux漏洞、Windows漏洞、Web-CMS漏洞、应用漏洞，提供漏洞概览，包括主机漏洞检测详情、漏洞统计、漏洞类型分布、漏洞TOP5和风险服务器TOP5，帮助您实时了解主机漏洞情况。 发布区域：全部。 查看漏洞详情 漏洞修复与验证 容器镜像安全 扫描镜像仓库与正在运行的容器镜像，发现镜像中的漏洞、恶意文件等并给出修复建议，帮助您得到一个安全的镜像。 发布区域：全部。 容器镜像漏洞 镜像恶意文件 镜像基线检查 应用防护 为运行时的应用提供安全防御。您无需修改应用程序文件，只需将探针注入到应用程序，即可为应用提供强大的安全防护能力。 当前只支持操作系统为Linux的服务器，且仅支持Java应用接入。 发布区域：全部。 开启应用防护 应用防护管理 关闭应用防护 入侵检测 HSS支持账户暴力破解、进程异常、网站后门、异常登录、恶意进程等入侵检测能力，用户可通过事件管理全面了解入侵检测告警事件，帮助用户及时发现资产中的安全威胁、实时掌握资产的安全状态。 企业主机安全可对您已开启的告警防御能力提供总览数据，帮助您快速了解安全告警概况，包括存在告警的服务器、待处理告警事件、未处理告警事件、已拦截IP和已隔离文件。 事件管理列表仅保留近30天内发生的告警事件，您可以根据自己的业务需求，对告警进行“手动处理”、“忽略”、”加入告警白名单”或者“隔离查杀”，自行判断并处理告警，快速清除资产中的安全威胁。 发布区域：全部。 查看和处理入侵告警事件 主机安全告警事件概述 容器安全告警事件概述 查看和处理容器告警事件 未防护资产的免费体检 对未开启防护的主机提供每周一次的免费扫描体检，针对频繁出现的漏洞、口令、资产风险生成安全报告供查看。 发布区域：全部。 未防护资产的免费体检 恶意程序隔离查杀 HSS采用先进的AI、机器学习等技术，并集成多种杀毒引擎，深度查杀主机中的恶意程序。 开启“恶意程序隔离查杀”后，HSS对识别出的后门、木马、蠕虫等恶意程序，提供自动隔离查杀功能，帮助用户自动识别处理系统存在的安全风险。 若未开启“恶意程序隔离查杀”功能，则HSS检测到恶意程序时，不会自动隔离查杀，仅会触发告警。您可以在“入侵检测”的“事件管理”中，查看“恶意程序（云查杀）”中的告警信息，并对恶意程序手动执行“隔离查杀”。 发布区域：全部。 开启恶意程序隔离查杀 仅旗舰版支持 勒索病毒防护 支持已知勒索病毒检测能力，支持自定义勒索备份恢复策略。 发布区域：全部。 开启勒索病毒防护 防护策略管理 关闭防护管理 仅旗舰版支持 文件隔离箱管理 主机安全可对检测到的威胁文件进行隔离处理，被成功隔离的文件会添加到“主机安全告警”的“文件隔离箱”中，无法对主机造成威胁。被成功隔离的文件一直保留在文件隔离箱中，您也可以根据自己的需要进行一键恢复。 发布区域：全部。 管理文件隔离箱 仅旗舰版支持 文件完整性管理 文件完整性管理可以检查操作系统、应用程序软件和其他组件的文件，确定它们是否发生了可能遭受攻击的更改，同时，能够帮助用户通过PCI-DSS等安全认证。文件完整性管理功能是使用对比的方法来确定当前文件状态是否不同于上次扫描该文件时的状态，利用这种对比来确定文件是否发生了有效或可疑的修改。 文件完整性管理会验证Linux文件的完整性，并管理针对文件执行的活动，包括： 1、文件的创建与删除。 2、文件的修改（文件大小、访问控制列表和内容哈希的更改）。 发布区域：全部。 查看云服务器变更详情 查看历史变更文件 仅旗舰版支持 自定义安全策略 HSS旗舰版提供灵活的策略管理能力，用户可以根据需要自定义安全检测规则，并可以为不同的主机组或主机应用不同的策略，以满足不同应用场景的主机安全需求。 发布区域：全部。 查看策略组 创建策略组 修改策略内容 仅网页防篡改版支持 动静态网页防篡改 静态网页防篡改可实时监控网站目录，并通过备份恢复被篡改的文件或目录，保障重要系统的网站信息不被恶意篡改，防止出现挂马、黑链、非法植入恐怖威胁、色情等内容。 支持对Windows和Linux进程添加白名单。网页防篡改功能将不对加入白名单的进程进行拦截。 动态网页防篡改提供tomcat应用运行时自我保护，能够检测针对数据库等动态数据的篡改行为。 发布区域：全部。 定时开启网页防篡改 开启动态网页防篡改 查看网页防篡改报告 仅网页防篡改版支持 特权进程可修改防篡改文件 开启网页防篡改防护后，防护目录中的内容是只读状态，如果您需要修改防护目录中的文件或更新网站，可以添加特权进程。 通过这个特权进程去修改防护目录里的文件或者更新网站，修改才会生效。若没有添加特权进程 ，网页防篡改仅防护原来的文件或者网站，即使修改了内容，文件或者网站也会恢复到原来的状态，修改不会生效。 特权进程可以访问被防护的目录，请确保特权进程安全可靠。 发布区域：全部。 添加防护目录 双因子认证 双因子认证功能是一种双因素身份验证机制，结合短信/邮箱验证码，对云服务器登录行为进行二次认证，极大地增强云服务器账户安全性。 开启双因子认证功能后，登录弹性云服务器时，主机安全服务将根据绑定的“消息通知服务主题”验证登录者的身份信息。 发布区域：全部。 开启双因子认证 SSH登录IP白名单 SSH登录IP白名单功能是防护账户爆破的一个重要方式，主要是限制需要通过SSH登录的服务器。 配置了白名单的服务器，只允许白名单内的IP通过SSH登录到服务器，拒绝白名单以外的IP： 1、启用该功能时请确保将所有需要发起SSH登录的IP地址都加入白名单中，否则您将无法SSH远程登录您的服务器。 若您的业务需要访问主机，但不需要SSH登录，则可以不用添加到白名单。 2、IP加入白名单后，账户破解防护功能将不再对来自白名单中的IP登录行为进行拦截，该IP对您加入白名单的服务器登录访问将不受任何限制，请谨慎操作。 发布区域：全部。 配置SSH登录IP白名单 常用登录地/IP 配置常用登录地/IP后，企业主机安全服务将对非常用地/IP登录主机的行为进行告警。每个主机可被添加在多个登录地中。 发布区域：全部。 配置常用登录地 配置常用登录IP 告警白名单管理 可以通过加入告警白名单避免大量告警误报的发生，提升安全事件告警质量。将当前告警事件加入告警白名单后，当再次发生相同的告警时不再进行告警。 发布区域：全部。 配置登录白名单 管理告警白名单 告警通知 开启告警通知功能后，您能接收到企业主机安全服务发送的告警通知，及时了解主机/网页内的安全风险。否则，无论是否有风险，您都只能登录管理控制台自行查看，无法收到报警信息。 告警通知设置仅在当前区域生效，若需要接收其他区域的告警通知，请切换到对应区域后进行设置。 发布区域：全部。 开启告警通知 主机分类管理 您可以创建服务器组，并将主机分配到服务器组，将主机进行分类管理。 您户可以根据创建的服务器组，查看该服务器组内的服务器数量、有风险服务器的数量、以及未防护的服务器数量。 发布区域：全部。 管理服务器组 订阅安全报告 主机安全支持订阅日报、周报、月报和自定义，展现不同周期主机安全趋势以及关键安全事件与风险，订阅报告将为您保存6个月，以满足等保测评以及审计的需要。 订阅主机安全报告 创建安全报告 Agent批量安装 指导您完成服务器Agent的批量安装操作，创建批量安装后系统将自动执行Agent安装操作，安装后才可以对目标服务器开启防护。 发布区域：全部。 批量安装Agent

认证证书 公安部信息安全等级保护三级评测 ISO 27701认证【隐私信息管理体系】 BS 10012认证【个人信息管理体系】 ISO 27018认证【公有云个人信息保护管理体系】 ISO 27799证书【个人健康信息安全管理体系】 NIST CSF 证书【网络安全框架评估体系】 CSA STAR认证【云安全管理体系】 ISO 20000【信息技术服务管理体系】 ISO 27001【信息安全管理体系】 ISO 29151认证【通用个人信息保护管理体系】 ISO 27017【信息安全管理体系云安全】 ISO22301【业务连续性管理体系】 SOC1 TYPE2 SOC2TYPE1、 SOC2TYPE2 SOC3【安全性、保密性和隐私性原则】 可信云企业级SaaS 可信云SaaS安全 点击获取认证证书。

防护原理 购买WAF后，在WAF管理控制台将网站添加并接入WAF。网站成功接入WAF后，网站所有访问请求将先流转到WAF，WAF检测过滤恶意攻击流量后，将正常流量返回给源站，从而确保源站安全、稳定、可用。 图1 网站接入WAF防护原理 流量经WAF返回源站的过程称为回源。WAF通过回源IP代替客户端发送请求到源站服务器，接入WAF后，在客户端看来，所有的目标IP都是WAF的IP，从而隐藏源站IP。 图2 回源IP

注册局安全锁 注册局安全锁是目前最高安全级别的安全锁定服务，由域名注册局在顶级域名服务器层面为域名提供的安全保护服务，防止域名被恶意转移、篡改及删除。域名状态的设定和解除均直接由注册局（CNNIC）直接操作。在购买注册局安全锁对域名设置了保护锁定之后，域名注册信息更新、域名注册者变更、域名转移注册服务机构，以及变更DNS服务器等操作，除正常的系统验证流程外，还需经由注册局（CNNIC）专人进行相应验证后进行操作。 本章主要介绍注册局安全锁的购买使用规则、如何申请开锁、解锁及续费。当您开通的注册局安全锁到期后，安全锁会自动失效，域名锁定状态将自动解除，为了保障域名的安全，建议您在注册局安全锁到期前及时为您的安全锁续费，操作步骤请参考管理注册局安全锁。 目前支持在华为云购买注册局安全锁的域名后缀有：.com、.net、.cc、.cn、.中国。 建议运营以下网站的客户使用注册局安全锁： 重要程度较高的网站，例如用于承接企业重要业务的网站、访问量高及信息影响力大的网站。 对安全要求较高的网站，例如银行、金融产品相关网站。 直接影响品牌形象的网站。 注册局安全锁的使用规则 管理注册局安全锁

等保2.0三级要求—安全管理制度 表18 安全管理制度风险项检查项目 检查子项目 检查项目 安全策略 应制定网络安全工作的总体方针和安全策略，阐明机构安全工作的总体目标、范围、原则和安全框架等。 管理制度 应对安全管理活动中的各类管理内容建立安全管理制度。 应对管理人员或操作人员执行的日常管理操作建立操作规程。 应形成由安全策略、管理制度、操作规程、记录表单等构成的全面的安全管理制度体系。 制定和发布 应指定或授权专门的部门或人员负责安全管理制度的制定。 安全管理制度应通过正式、有效的方式发布，并进行版本控制。 评审和修订 应定期对安全管理制度的合理性和适用性进行论证和审定，对存在不足或需要改进的安全管理制度进行修订。

应用场景 当您的网站类业务部署在华为云ECS上时，您可以为网站业务配置“DDoS原生高级防护+WAF”联动防护，即网站业务接入独享模式WAF后将WAF独享引擎的ELB绑定的公网IP添加到DDoS原生高级防护实例进行防护，实现DDoS原生高级防护和WAF双重防护，同时防御四层DDoS攻击和七层Web攻击、CC攻击等，大幅提升网站业务的安全性和稳定性。 网站业务部署“DDoS原生高级防护+WAF”联动防护后，所有业务流量经过WAF独享引擎进行安全清洗后，攻击流量（包括DDoS攻击、Web攻击、CC攻击等）被丢弃，正常的业务流量被WAF转发到源站服务器。

应用场景 当您的网站类业务部署在华为云ECS上时，您可以为网站业务配置“DDoS原生高级防护+WAF”联动防护，即网站业务接入独享模式WAF后将WAF独享引擎的ELB绑定的公网IP添加到DDoS原生高级防护实例进行防护，实现DDoS原生高级防护和WAF双重防护，同时防御四层DDoS攻击和七层Web攻击、CC攻击等，大幅提升网站业务的安全性和稳定性。 网站业务部署“DDoS原生高级防护+WAF”联动防护后，所有业务流量经过WAF独享引擎进行安全清洗后，攻击流量（包括DDoS攻击、Web攻击、CC攻击等）被丢弃，正常的业务流量被WAF转发到源站服务器。

为什么网站无法访问？ 网站暂时无法访问，可能由以下原因导致： 原因一：未备案或未接入华为云备案。 根据《非经营性互联网信息服务备案管理办法》，网站需要完成备案。如果您的域名已在其他接入商办理过备案并取得备案号，现在更换到华为云服务器进行域名解析（或者二级域名指向华为云），因接入商有变更，需要您在华为云做接入备案。 原因二：网站内容与备案信息不符或备案信息不准确。 根据《非经营性互联网信息服务备案管理办法》，网站内容需要与备案信息一致，且备案信息真实有效。建议网站管理员尽快修改网站信息。 原因三：备案信息同步延迟。 如果您的网站已备案成功仍无法访问，请等待一个工作日。由于信息同步延迟，备案通过一个工作日后网页会自动开放。 原因四：没有配置网站解析。 备案成功后，需要将域名解析至备案接入商的服务器，配置网站解析。如果您的网站备案接入商是华为云，则网站解析操作如下： 在华为云注册域名的用户，单击这里配置网站解析。 在第三方注册域名的用户，单击这里配置网站解析。 其他异常情况：请提交工单进行咨询。