排查方式 通过域名网站检测平台一键检测。 图1 域名网站检测 根据检测结果，解决域名实际存在的问题。 图2 域名检测结果 用户根据可能出现的问题自主排查，具体排查思路如下： 以下排查思路根据原因的出现概率进行排序，建议您从高频率原因往低频率原因排查，从而帮助您快速找到问题的原因。 如果解决完某个可能原因仍未解决问题，请继续排查其他可能原因。 图3 解析不生效排查思路 检查域名状态是否正常：检查域名是否过期、状态是否正常 检查域名的DNS服务器地址是否是华为云DNS：如果域名设置的是非华为云DNS服务器地址，则无法正常解析。 检查解析记录集的添加是否正确：检查域名解析配置是否正确 确认是否在24小时内修改过域名的DNS：运营商Local DNS缓存了域名的NS记录，则最长需要48小时才能刷新成新的NS记录，变更为修改后的DNS服务器。 检查权威DNS解析是否生效：使用nslookup命令检查域名在权威DNS的解析是否生效 提交工单

成长地图 | 华为云 威胁检测服务 威胁检测服务（Managed Threat Detection，MTD），集成了AI智能引擎、威胁情报、规则基线三种检测方式，智能检测各类云服务日志中的恶意活动和未经授权行为，识别潜在威胁并生成告警信息，助您维护云上业务安全。 产品介绍 立即使用 成长地图 由浅入深，带您玩转MTD 弹性云服务器一 01 了解 了解威胁检测服务的功能特性和应用场景，有助于您更准确的匹配实际业务，有效配置云上安全威胁防护策略。 产品介绍 什么是威胁检测服务 功能特性 产品优势 应用场景 03 入门 通过创建威胁检测引擎和配置追踪器开启威胁检测服务，帮您实时检测目标区域中各服务的日志数据源。 开启威胁检测 创建检测引擎 配置追踪器 05 实践 基于业务场景及客户需求的最佳实践，助你快速使用MTD检测云服务中潜在的恶意活动和未经授权行为。 威胁检测最佳实践 快速掌控MTD潜在威胁 名单库策略提升检测效率 “MTD+OBS”数据同步 02 购买 根据您的业务情况，您可以购买需要的威胁检测包，不同的威胁检测包存在检测量多少的差异。 购买方式 如何购买 计费模式 计费说明 04 使用 根据您的业务需要，您可以设置检测类型、添加威胁情报、添加威胁白名单。此外，您也可以实时查看检测结果、分析告警事件，以便及时处理威胁隐患、优化服务安全防护措施，更好的防护您的云上业务。 常用操作 开启日志检测 查看检测结果 导入威胁情报 导入白名单 同步检测结果 设置告警通知 常见问题 了解更多常见问题、案例和解决方案 热门案例 威胁检测服务购买后如何使用？ 威胁检测服务的检测对象是什么？ 威胁检测服务可以检测哪些风险？ 威胁检测服务的检测源头是什么？ 购买MTD服务后，关闭所有日志数据源开关是够会计费？ 如何编辑Plaintext格式的对象？ 威胁检测服务是否支持自行防御措施？ 威胁检测服务可以跨区域使用吗？ 更多 产品咨询 什么是区域和可用区？ 什么是威胁检测服务？ 威胁检测服务可以跨区域使用吗？ 威胁检测服务的检测源头是什么？ 威胁检测服务的检测对象是什么？ 威胁检测服务能够解决什么其他安全服务解决不了的问题？ 威胁检测服务可以检测哪些风险？ 威胁检测服务购买后如何使用？ 什么是DGA域名生成算法？ 更多 功能类 如何编辑Plaintext格式的对象？ 威胁检测服务是否支持自动防御措施？ 如何通过主账号对子账号赋予MTD权限？ 更多 计费相关 购买MTD服务后，关闭所有日志数据源开关是否会计费？ 更多 技术专题 技术、观点、课程专题呈现 [整体安全] 十二大云安全威胁 介绍云端可能存在的十二种顶级安全威胁 安全侠带您了解威胁检测服务 威胁检测服务是您必不可少的云上安全小帮手 华为云助您甩掉90%安全烦恼 介绍华为云重点安全服务、关键特性和应用实践 智能客服 您好！我是有问必答知识渊博的的智能问答机器人，有问题欢迎随时求助哦！ 社区求助 华为云社区是华为云用户的聚集地。这里有来自容器服务的技术牛人，为您解决技术难题。

网易企业邮箱 如果您购买了网易企业邮箱，可以参考表4为邮箱配置解析。 表4 网易企业邮箱解析设置样例 记录集类型 主机记录 值 说明 MX 置为空 5 qiye163mx01.mxmail.netease.com 10 qiye163mx02.mxmail.netease.com 表示邮箱服务器地址为： 5 qiye163mx01.mxmail.netease.com 10 qiye163mx02.mxmail.netease.com 该地址由邮箱服务商提供。 在接收邮件时，“qiye163mx01.mxmail.netease.com”的优先级更高。 TXT _dmarc "v=DMARC1; p=none; fo=1; ruf=mailto:dmarc@qiye.163.com; rua=mailto:dmarc_report@qiye.163.com " 采用DMARC记录防范垃圾邮件，该记录值表示： DMARC版本为“DMARC1”。 告知收件方，检测到某邮件存在伪造发件人的情况时不做处理。 当检测到伪造邮件，收件方将检测结果发送到“dmarc@qiye.163.com”。 发送DMARC综合检测报告到“dmarc_report@qiye.163.com”。 CNAME mail ym.163.com 表示通过域名“mail.example.com”登录Web邮箱“ym.163.com”。 CNAME smtp smtp.ym.163.com 使用域名“smtp.example.com”作为访问邮箱SMTP服务器“smtp.ym.163.com”的地址。 CNAME imap imap.ym.163.com 使用域名“imap.example.com”作为访问邮箱IMAP服务器“imap.ym.163.com”的地址。 CNAME pop pop.ym.163.com 使用域名“pop.example.com”作为访问邮箱POP服务器“pop.ym.163.com”的地址。

排查思路 如果打开网站有报错提示信息，首先应该根据报错提示信息，排查可能的原因。 您可以参考ECS API参考中通用请求返回值中错误码说明排查可能原因。 以下排查思路根据原因的出现概率进行排序，建议您从高频率原因往低频率原因排查，从而帮助您快速找到问题的原因。 如果解决完某个可能原因仍未解决问题，请继续排查其他可能原因。 图1 网站无法访问排查思路 表1 网站无法访问排查思路 可能原因 处理措施 检查端口通信 检查Web端口是否正常监听，详细操作请参考检查端口通信问题。 检查安全组规则 检查安全组是否放通Web端口，详细操作请参考检查安全组规则。 检查防火墙配置 测试防火墙关闭后是否可以正常访问，详细操作请参考检查防火墙配置。 检查云服务器路由配置 查看云服务器路由表中网关信息配置是否正确，详细操作请参考检查云服务器路由配置。 检查本地网络 更换手机热点或其他网络测试是否可以正常访问，详细操作请参考检查本地网络。 检查云服务器CPU利用率 定位影响云服务器CPU利用率高的进程并优化进程，详细操作请参考检查云服务器CPU利用率。 检查域名解析（适用于域名访问的场景） 域名解析配置是否配置正确，详细操作请参考检查备案与域名解析是否正常（使用域名无法访问时适用）。 检查域名备案（适用于域名访问的场景） 网站的域名和服务器IP是否备案成功，详细操作请参考检查备案与域名解析是否正常（使用域名无法访问时适用）。

排查思路 如果打开网站有报错提示信息，首先应该根据报错提示信息，排查可能的原因。 您可以参考通用请求返回值中错误码说明排查可能原因。 如果报错提示信息无法帮助您准确定位问题，请记录资源信息和问题时间，然后单击提交工单，填写工单信息，获取技术支持。 你还可以根据以下排查思路进行问题定位，排查思路根据可能原因的出现概率进行排序，建议您从高频率原因往低频率原因排查，从而帮助您快速找到问题的原因。 如果解决完某个可能原因仍未解决问题，请继续排查其他可能原因。 图1 网站无法访问排查思路 表1 网站无法访问排查思路 可能原因 处理措施 检查端口通信 检查Web端口是否正常监听，详细操作请参考检查端口通信问题。 检查安全组规则 检查安全组是否放通Web端口，详细操作请参考检查安全组规则。 检查防火墙配置 测试防火墙关闭后是否可以正常访问，详细操作请参考检查防火墙配置。 检查云服务器路由配置 查看云服务器路由表中网关信息配置是否正确，详细操作请参考检查云服务器路由配置。 检查本地网络 更换手机热点或其他网络测试是否可以正常访问，详细操作请参考检查本地网络。 检查云服务器CPU利用率 定位影响云服务器CPU利用率高的进程并优化进程，详细操作请参考检查云服务器CPU利用率。 检查域名解析（适用于域名访问的场景） 域名解析配置是否配置正确，详细操作请参考检查备案与域名解析是否正常（使用域名无法访问时适用）。 检查域名备案（适用于域名访问的场景） 网站的域名和服务器IP是否备案成功，详细操作请参考检查备案与域名解析是否正常（使用域名无法访问时适用）。

排查思路 如果打开网站有报错提示信息，首先应该根据报错提示信息，排查可能的原因。 您可以参考通用请求返回值中错误码说明排查可能原因。 如果报错提示信息无法帮助您准确定位问题，请记录资源信息和问题时间，然后单击提交工单，填写工单信息，获取技术支持。 你还可以根据以下排查思路进行问题定位，排查思路根据可能原因的出现概率进行排序，建议您从高频率原因往低频率原因排查，从而帮助您快速找到问题的原因。 如果解决完某个可能原因仍未解决问题，请继续排查其他可能原因。 图1 网站无法访问排查思路 表1 网站无法访问排查思路 可能原因 处理措施 检查端口通信 检查Web端口是否正常监听，详细操作请参考检查端口通信问题。 检查安全组规则 检查安全组是否放通Web端口，详细操作请参考检查安全组规则。 检查防火墙配置 测试防火墙关闭后是否可以正常访问，详细操作请参考检查防火墙配置。 检查云服务器路由配置 查看云服务器路由表中网关信息配置是否正确，详细操作请参考检查云服务器路由配置。 检查本地网络 更换手机热点或其他网络测试是否可以正常访问，详细操作请参考检查本地网络。 检查云服务器CPU利用率 定位影响云服务器CPU利用率高的进程并优化进程，详细操作请参考检查云服务器CPU利用率。 检查域名解析（适用于域名访问的场景） 域名解析配置是否配置正确，详细操作请参考检查备案与域名解析是否正常（使用域名无法访问时适用）。 检查域名备案（适用于域名访问的场景） 网站的域名和服务器IP是否备案成功，详细操作请参考检查备案与域名解析是否正常（使用域名无法访问时适用）。

修订记录 发布日期 修改记录 2022-07-16 第十三次正式发布。 新增常见问题：威胁检测服务如何收费？、威胁检测服务支持退订吗？、威胁检测服务到期后，如何续费？。 2022-03-08 第十二次正式发布。 修改什么是威胁检测服务？。 2022-01-14 第十一次正式发布。 增加检查VPC能力，优化内容描述。 2021-12-03 第十次正式发布。 新增常见问题：如何通过主帐号对子帐号赋予MTD权限？ 删除：威胁检测服务是否收费，能否免费使用？ 删除：购买威胁检测服务（MTD）后，使用其他业务/服务出现token校验不通过怎么处理？ 2021-11-30 第九次正式发布。 新增常见问题：威胁检测服务可以跨区域使用吗？ 2021-11-17 第八次正式发布。 删除如何创建追踪器。 2021-09-29 第七次正式发布。 新增常见问题：什么是DGA域名生成算法？ 2021-08-23 第六次正式发布。 新增：购买MTD服务后，关闭所有日志数据源开关是否会计费？ 2021-07-10 第五次正式发布。 正式版本上线，修改章节如下： 什么是威胁检测服务？ 威胁检测服务的检测源头是什么？ 如何编辑Plaintext格式的对象？ 威胁检测服务购买后如何使用？ 威胁检测服务可以检测哪些风险？ 威胁检测服务是否支持自动防御措施？ 2021-07-02 第四次正式发布。 修改威胁检测服务是否收费，能否免费使用？章节。 2021-05-27 第三次正式发布。 新增用户使用过程出现的问题和一些常见问题，如下： 如何编辑Plaintext格式的对象？ 购买威胁检测服务（MTD）后，使用其他业务/服务出现token校验不通过怎么处理？ 威胁检测服务是否收费，能否免费使用？ 威胁检测服务购买后如何使用？ 威胁检测服务可以检测哪些风险？ 威胁检测服务是否支持自动防御措施？ 2021-04-27 第二次正式发布。 新增如何配置追踪器。 2021-01-20 第一次正式发布。

功能总览 功能总览 全部 威胁检测服务 日志检测 威胁情报管理 白名单管理 数据同步 告警详情 查看检测结果 威胁检测服务 威胁检测服务（Managed Threat Detection，简称MTD），通过接入目标区域中您在华为云操作所涉及到的IAM日志、DNS日志、CTS日志、OBS日志、VPC日志，持续实时监控日志中访问者的IP或域名是否存在潜在的恶意活动和未经授权行为并进行告警。此服务集成了AI智能引擎、威胁情报、规则基线三种检测方式，智能检测来自多个云服务（包含IAM服务、DNS服务、CTS服务、OBS服务、VPC服务）日志数据中的访问行为，去发现是否存在潜在威胁，对可能存在威胁的访问行为生成告警信息，输出告警结果。您可通过告警描述对告警信息进行核查、处理，在未造成信息泄露等重大损失之前，及时对潜在威胁进行处理，对服务安全进行升级加固，从而保护您的帐户安全、保障服务稳定运行。 支持区域：“华南-广州”、“华东-上海一”、“华北-北京四”。 什么是威胁检测服务？ 威胁检测服务快速使用流程 应用场景 功能特性 日志检测 通过对日志源的开启或关闭，实现对服务新产生的日志数据的检测控制，开启或关闭后不影响历史已检测的数据及结果。 支持区域：“华南-广州”、“华东-上海一”、“华北-北京四”。 关闭日志检测 开启日志检测 查看日志检测信息 威胁情报管理 您可对威胁情报信息进行导入、删除，通过导入Plaintext格式的第三方威胁情报数据源及可信IP列表，导入后服务将优先关联检测您导入的情报内的IP地址或域名进行威胁检测，删除后将取消情报数据的优先检测规则。 支持区域：“华南-广州”、“华东-上海一”、“华北-北京四”。 导入威胁情报 删除威胁情报 查看威胁情报信息 白名单管理 您可对白名单信息进行导入、删除，通过导入Plaintext格式的可信IP列表，导入后服务将优先对白名单内的IP地址或域名进行忽略，删除后将取消白名单信息的忽略规则。 支持区域：“华南-广州”、“华东-上海一”、“华北-北京四”。 导入白名单 删除白名单 查看白名单信息 数据同步 威胁检测服务告警结果默认保存30天，按照等保合规要求数据至少需要存储180天，为了满足等保合规要求对于MTD数据的存储要求，需将MTD数据转存至OBS桶满足等保合规要求。 支持区域：“华南-广州”、“华东-上海一”、“华北-北京四”。 告警详情 威胁检测服务目前支持3种检测方式，分别是威胁情报、规则基线、AI引擎，涵盖71种告警类型。 支持区域：“华南-广州”、“华东-上海一”、“华北-北京四”。 查看告警类型详情 查看检测结果 查看检测结果 创建威胁检测服务后，产生告警时可查看检测的告警详情。 支持区域：“华南-广州”、“华东-上海一”、“华北-北京四”。 查看检测结果

功能总览 功能总览 全部 主机安全服务 资产指纹管理 基线检查 漏洞管理 容器镜像安全 应用防护 入侵检测 未防护资产的免费体检 恶意程序隔离查杀 勒索病毒防护 文件隔离箱管理 文件完整性管理 自定义安全策略 动静态网页防篡改 特权进程可修改防篡改文件 双因子认证 SSH登录IP白名单 常用登录地/IP 告警白名单管理 告警通知 主机分类管理 订阅安全报告 Agent批量安装 主机安全服务 主机安全服务（Host Security Service，HSS）是以工作负载为中心的安全产品，旨在解决现代混合云、多云数据中心基础架构中服务器工作负载的独特保护要求。它集成了主机安全、容器安全和网页防篡改。 发布区域：全部。 HSS版本功能特性 应用场景 资产指纹管理 可深度扫描出主机中的账号、端口、进程、Web目录、软件信息和自启动任务，在“资产管理”界面，您可以统一管理主机中的信息资产。 发布区域：全部。 查看资产指纹详情 历史变动记录 基线检查 HSS提供基线检查功能，主动检测主机中的口令复杂度策略，关键软件中含有风险的配置信息，并针对所发现的风险为您提供修复建议，帮助您正确地处理服务器内的各种风险配置信息。 发布区域：全部。 查看基线检查详情 管理基线检查策略 基线检查风险修复建议 漏洞管理 HSS提供漏洞管理功能，检测Linux漏洞、Windows漏洞、Web-CMS漏洞、应用漏洞，提供漏洞概览，包括主机漏洞检测详情、漏洞统计、漏洞类型分布、漏洞TOP5和风险服务器TOP5，帮助您实时了解主机漏洞情况。 发布区域：全部。 查看漏洞详情 漏洞修复与验证 容器镜像安全 扫描镜像仓库与正在运行的容器镜像，发现镜像中的漏洞、恶意文件等并给出修复建议，帮助您得到一个安全的镜像。 发布区域：全部。 容器镜像漏洞 镜像恶意文件 镜像基线检查 应用防护 为运行时的应用提供安全防御。您无需修改应用程序文件，只需将探针注入到应用程序，即可为应用提供强大的安全防护能力。 当前只支持操作系统为Linux的服务器，且仅支持Java应用接入。 发布区域：全部。 开启应用防护 应用防护管理 关闭应用防护 入侵检测 HSS支持账户暴力破解、进程异常、网站后门、异常登录、恶意进程等入侵检测能力，用户可通过事件管理全面了解入侵检测告警事件，帮助用户及时发现资产中的安全威胁、实时掌握资产的安全状态。 企业主机安全可对您已开启的告警防御能力提供总览数据，帮助您快速了解安全告警概况，包括存在告警的服务器、待处理告警事件、未处理告警事件、已拦截IP和已隔离文件。 事件管理列表仅保留近30天内发生的告警事件，您可以根据自己的业务需求，对告警进行“手动处理”、“忽略”、”加入告警白名单”或者“隔离查杀”，自行判断并处理告警，快速清除资产中的安全威胁。 发布区域：全部。 查看和处理入侵告警事件 主机安全告警事件概述 容器安全告警事件概述 查看和处理容器告警事件 未防护资产的免费体检 对未开启防护的主机提供每周一次的免费扫描体检，针对频繁出现的漏洞、口令、资产风险生成安全报告供查看。 发布区域：全部。 未防护资产的免费体检 恶意程序隔离查杀 HSS采用先进的AI、机器学习等技术，并集成多种杀毒引擎，深度查杀主机中的恶意程序。 开启“恶意程序隔离查杀”后，HSS对识别出的后门、木马、蠕虫等恶意程序，提供自动隔离查杀功能，帮助用户自动识别处理系统存在的安全风险。 若未开启“恶意程序隔离查杀”功能，则HSS检测到恶意程序时，不会自动隔离查杀，仅会触发告警。您可以在“入侵检测”的“事件管理”中，查看“恶意程序（云查杀）”中的告警信息，并对恶意程序手动执行“隔离查杀”。 发布区域：全部。 开启恶意程序隔离查杀 仅旗舰版支持 勒索病毒防护 支持已知勒索病毒检测能力，支持自定义勒索备份恢复策略。 发布区域：全部。 开启勒索病毒防护 防护策略管理 关闭防护管理 仅旗舰版支持 文件隔离箱管理 主机安全可对检测到的威胁文件进行隔离处理，被成功隔离的文件会添加到“主机安全告警”的“文件隔离箱”中，无法对主机造成威胁。被成功隔离的文件一直保留在文件隔离箱中，您也可以根据自己的需要进行一键恢复。 发布区域：全部。 管理文件隔离箱 仅旗舰版支持 文件完整性管理 文件完整性管理可以检查操作系统、应用程序软件和其他组件的文件，确定它们是否发生了可能遭受攻击的更改，同时，能够帮助用户通过PCI-DSS等安全认证。文件完整性管理功能是使用对比的方法来确定当前文件状态是否不同于上次扫描该文件时的状态，利用这种对比来确定文件是否发生了有效或可疑的修改。 文件完整性管理会验证Linux文件的完整性，并管理针对文件执行的活动，包括： 1、文件的创建与删除。 2、文件的修改（文件大小、访问控制列表和内容哈希的更改）。 发布区域：全部。 查看云服务器变更详情 查看历史变更文件 仅旗舰版支持 自定义安全策略 HSS旗舰版提供灵活的策略管理能力，用户可以根据需要自定义安全检测规则，并可以为不同的主机组或主机应用不同的策略，以满足不同应用场景的主机安全需求。 发布区域：全部。 查看策略组 创建策略组 修改策略内容 仅网页防篡改版支持 动静态网页防篡改 静态网页防篡改可实时监控网站目录，并通过备份恢复被篡改的文件或目录，保障重要系统的网站信息不被恶意篡改，防止出现挂马、黑链、非法植入恐怖威胁、色情等内容。 支持对Windows和Linux进程添加白名单。网页防篡改功能将不对加入白名单的进程进行拦截。 动态网页防篡改提供tomcat应用运行时自我保护，能够检测针对数据库等动态数据的篡改行为。 发布区域：全部。 定时开启网页防篡改 开启动态网页防篡改 查看网页防篡改报告 仅网页防篡改版支持 特权进程可修改防篡改文件 开启网页防篡改防护后，防护目录中的内容是只读状态，如果您需要修改防护目录中的文件或更新网站，可以添加特权进程。 通过这个特权进程去修改防护目录里的文件或者更新网站，修改才会生效。若没有添加特权进程 ，网页防篡改仅防护原来的文件或者网站，即使修改了内容，文件或者网站也会恢复到原来的状态，修改不会生效。 特权进程可以访问被防护的目录，请确保特权进程安全可靠。 发布区域：全部。 添加防护目录 双因子认证 双因子认证功能是一种双因素身份验证机制，结合短信/邮箱验证码，对云服务器登录行为进行二次认证，极大地增强云服务器账户安全性。 开启双因子认证功能后，登录弹性云服务器时，主机安全服务将根据绑定的“消息通知服务主题”验证登录者的身份信息。 发布区域：全部。 开启双因子认证 SSH登录IP白名单 SSH登录IP白名单功能是防护账户爆破的一个重要方式，主要是限制需要通过SSH登录的服务器。 配置了白名单的服务器，只允许白名单内的IP通过SSH登录到服务器，拒绝白名单以外的IP： 1、启用该功能时请确保将所有需要发起SSH登录的IP地址都加入白名单中，否则您将无法SSH远程登录您的服务器。 若您的业务需要访问主机，但不需要SSH登录，则可以不用添加到白名单。 2、IP加入白名单后，账户破解防护功能将不再对来自白名单中的IP登录行为进行拦截，该IP对您加入白名单的服务器登录访问将不受任何限制，请谨慎操作。 发布区域：全部。 配置SSH登录IP白名单 常用登录地/IP 配置常用登录地/IP后，企业主机安全服务将对非常用地/IP登录主机的行为进行告警。每个主机可被添加在多个登录地中。 发布区域：全部。 配置常用登录地 配置常用登录IP 告警白名单管理 可以通过加入告警白名单避免大量告警误报的发生，提升安全事件告警质量。将当前告警事件加入告警白名单后，当再次发生相同的告警时不再进行告警。 发布区域：全部。 配置登录白名单 管理告警白名单 告警通知 开启告警通知功能后，您能接收到企业主机安全服务发送的告警通知，及时了解主机/网页内的安全风险。否则，无论是否有风险，您都只能登录管理控制台自行查看，无法收到报警信息。 告警通知设置仅在当前区域生效，若需要接收其他区域的告警通知，请切换到对应区域后进行设置。 发布区域：全部。 开启告警通知 主机分类管理 您可以创建服务器组，并将主机分配到服务器组，将主机进行分类管理。 您户可以根据创建的服务器组，查看该服务器组内的服务器数量、有风险服务器的数量、以及未防护的服务器数量。 发布区域：全部。 管理服务器组 订阅安全报告 主机安全支持订阅日报、周报、月报和自定义，展现不同周期主机安全趋势以及关键安全事件与风险，订阅报告将为您保存6个月，以满足等保测评以及审计的需要。 订阅主机安全报告 创建安全报告 Agent批量安装 指导您完成服务器Agent的批量安装操作，创建批量安装后系统将自动执行Agent安装操作，安装后才可以对目标服务器开启防护。 发布区域：全部。 批量安装Agent

主机安全 企业主机安全（Host Security Service，HSS）是提升服务器整体安全性的服务，为用户提供资产管理、漏洞管理、入侵检测、基线检查等功能，降低服务器被入侵的风险。 在弹性云服务器中安装Agent后，云服务器受到HSS云端防护中心全方位的安全保障，在安全控制台可视化界面上，您可以统一查看并管理同一区域内所有主机的防护状态和主机安全风险。 图1 HSS功能原理 企业主机安全服务的组件功能及工作流程说明如下： 安全控制台： 可视化的管理平台，便于您集中下发配置信息，查看在同一区域内主机的防护状态和检测结果。 HSS云端防护中心： 接收您在控制台下发的配置信息和检测任务，并转发给安装在服务器上的Agent。 接收Agent上报的主机信息，分析主机中存在的安全风险和异常信息，将分析后的信息以检测报告的形式呈现在控制台界面。 HSS客户端： 接收HSS云端防护中心转发的检测任务。 按检测任务要求扫描弹性云服务器，并将事件扫描信息上报给HSS云端防护中心。 您在使用企业主机安全服务前，需要先在云服务器上安装客户端。更多信息，请参考主机安全。

修改hosts文件来优化访问速度 选择访问速度最快的服务器，并将其IP地址和域名写入hosts文件来优化访问速度。 我们有以下两种方法来判断访问速度最快的服务器IP地址： 使用ping命令判断访问速度最快的服务器IP地址。 具体操作请参考方法一：使用ping命令判断访问速度最快的服务器IP地址。 使用Ping检测工具和PingInfoView工具查找访问速度最快的服务器IP地址。 具体操作请参考方法二：使用Ping检测工具和PingInfoView工具查找访问速度最快的服务器IP地址。

修改hosts文件来优化访问速度 选择访问速度最快的服务器，并将其IP地址和域名写入hosts文件来优化访问速度。 我们有以下两种方法来判断访问速度最快的服务器IP地址： 使用ping命令判断访问速度最快的服务器IP地址。 具体操作请参考方法一：使用ping命令判断访问速度最快的服务器IP地址。 使用Ping检测工具和PingInfoView工具查找访问速度最快的服务器IP地址。 具体操作请参考方法二：使用Ping检测工具和PingInfoView工具查找访问速度最快的服务器IP地址。

接入WAF（独享模式） 购买独享模式后，您需要将防护域名/IP接入WAF，使网站流量切入WAF。WAF检测过滤恶意攻击流量后，将正常流量返回给源站IP，从而确保源站IP安全、稳定、可用。 独享模式接入WAF配置流程图 图1 独享模式接入WAF流程图 操作步骤 进入“添加防护网站”入口。 图2 进入添加防护网站入口 选择“独享模式”后，添加防护网站。 如果各子域名对应的服务器IP地址相同：输入防护的泛域名。例如：子域名a.example.com，b.example.com和c.example.com对应的服务器IP地址相同，可以直接添加泛域名*.example.com。 配置负载均衡。 为WAF独享引擎实例配置负载均衡和健康检查，以确保WAF的可靠性和稳定性。 为弹性负载均衡绑定弹性公网IP。 解绑源站服务器的弹性公网IP（Elastic IP，简称EIP），将解绑的弹性公网IP绑定到WAF独享引擎实例配置的负载均衡上。绑定后，请求流量会先经过WAF独享引擎进行攻击检测，然后转发到源站服务器，从而确保源站安全、稳定、可用。 放行独享引擎回源IP。 域名/IP已独享模式接入WAF后，建议您卸载源站服务器上的其他安全软件，或者配置只放行独享引擎回源IP，这样既可保证访问不受影响，又能防止源站IP暴露后被黑客直接攻击。 验证域名/IP已接入。 域名/IP“接入状态”为“已接入”，说明域名/IP接入成功，WAF即可对域名/IP进行防护。域名/IP接入后，WAF自动开启防护。 WAF每隔一小时就会自动检测防护网站的 “接入状态”，当WAF统计防护网站在5分钟内达到20次访问请求时，将认定该防护网站已成功接入WAF。

反向解析 反向解析是指通过IP地址反向获取该IP地址指向的域名，可以应用于自建邮件服务器的场景，是提高邮箱IP和域名信誉度的必要设置。 通常收件服务器在收到邮件时，会通过检测发件方邮箱的IP信誉度和域名信誉度，来判断是否为垃圾邮件。若收件服务器反向解析发件方IP地址无法获取邮箱域名，则会认为这是由恶意主机发送的垃圾邮件而拒收。因此，搭建邮箱服务器时，建议您为邮箱服务器的IP地址添加到域名的反向解析。 假设要部署ECS作为邮箱服务器，且已经通过云解析服务为ECS的弹性IP添加反向解析记录，此时，反向解析在邮件收发过程中的应用如图1所示。 图1 反向解析应用 图1中仅描述与云解析服务相关的流程，邮件收件方对于发件方IP和域名信誉度的检测，本文不做描述。 如果没有为邮箱服务器添加反向解析记录，则收件方在收到邮件后，无法根据发件方的IP地址反向解析出邮箱域名。收件方会认为这是由恶意主机发送的垃圾邮件而选择拒收。因此，自建邮箱服务器时，为邮箱服务器的IP地址添加反向解析记录是必不可少的步骤。 您可以参考配置反向解析为您的云服务器配置反向解析。

了解反向解析 反向解析是指通过IP地址反向获取该IP地址指向的域名，可以应用于自建邮件服务器的场景，是提高邮箱IP和域名信誉度的必要设置。 通常收件服务器在收到邮件时，会通过检测发件方邮箱的IP信誉度和域名信誉度，来判断是否为垃圾邮件。若收件服务器反向解析发件方IP地址无法获取邮箱域名，则会认为这是由恶意主机发送的垃圾邮件而拒收。因此，搭建邮箱服务器时，建议您为邮箱服务器的IP地址添加到域名的反向解析。 假设要部署ECS作为邮箱服务器，且已经通过云解析服务为ECS的弹性IP添加反向解析记录，此时，反向解析在邮件收发过程中的应用如图1所示。 图1 反向解析应用 图1中仅描述与云解析服务相关的流程，邮件收件方对于发件方IP和域名信誉度的检测，本文不做描述。 如果没有为邮箱服务器添加反向解析记录，则收件方在收到邮件后，无法根据发件方的IP地址反向解析出邮箱域名。收件方会认为这是由恶意主机发送的垃圾邮件而选择拒收。因此，自建邮箱服务器时，为邮箱服务器的IP地址添加反向解析记录是必不可少的步骤。 您可以参考配置反向解析为您的云服务器配置反向解析。

返回404状态码 访问CDN加速后的资源，返回404状态码，请按照以下步骤排查： 测试源站的URL访问是否404，排查是否是源站异常，测试步骤详见排查访问异常是CDN节点问题还是源站问题。 如果源站访问正常，请登录CDN控制台，在域名基本配置中检查回源HOST是否正确，详见回源HOST。 源站与回源HOST的区别如下所示： 源站：源站决定了用户回源时访问的地址，即源站服务器IP。 回源HOST：回源HOST决定了回源时访问到该IP地址上的具体站点。 示例：源站IP为x.x.x.x，加速域名www.example.com，源站中部署了多个站点：www.a.com、www.b.com。 如果您想要CDN回源到本服务器，您需要在CDN侧将源站配置为：x.x.x.x。 CDN默认回源HOST为加速域名www.example.com。如果您需要访问到的站点为www.a.com，您就需要将回源HOST配置为www.a.com；如果您需要访问到的站点为www.b.com，您就需要将回源HOST配置为www.b.com。 如果您的源站是OBS桶，则回源HOST必须是OBS桶域名。 如果您的源站为第三方对象存储桶，您需要将回源HOST修改为您的对象存储桶域名。 检查源站配置是否正确，登录CDN控制台，在域名基本配置中检查源站的配置是否为该域名的源站服务器，若不是，请修改成对应的服务器IP或域名。

修改hosts文件来优化访问速度 选择访问速度最快的服务器，并将其IP地址和域名写入host文件来优化访问速度。 我们有以下两种方法来判断访问速度最快的服务器IP地址： 使用ping命令判断访问速度最快的服务器IP地址。 具体操作请参考方法一：使用ping命令判断访问速度最快的服务器IP地址。 使用Ping检测工具和PingInfoView工具查找访问速度最快的服务器IP地址。 具体操作请参考方法二：使用Ping检测工具和PingInfoView工具查找访问速度最快的服务器IP地址。

备案场景 本节介绍使用华为云Web应用防火墙（Web Application Firewall，WAF）保护Web服务，且网站域名解析至中国大陆节点服务器的备案场景。 如图1所示。 ① 企业将网站域名（www.example.com）添加至WAF控制台，接入WAF，启用Web应用防火墙。 ② 用户通过网站域名（www.example.com）访问网站，流量先经过WAF，WAF再将流量转到源站，实现网站流量检测和攻击拦截。 如果网站域名（www.example.com）解析至中国大陆节点服务器，需要在服务器提供商处提交备案申请。 图1 使用华为云WAF

请求参数 表3 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String 用户Token，通过调用IAM服务获取用户Token接口获取(响应消息头中X-Subject-Token的值)。 Content-Type 是 String 内容类型 缺省值：application/json;charset=utf8 表4 请求Body参数 参数 是否必选 参数类型 描述 protect_status 是 Integer 域名防护状态： -1：bypass，该域名的请求直接到达其后端服务器，不再经过WAF 0：暂停防护，WAF只转发该域名的请求，不做攻击检测 1：开启防护，WAF根据您配置的策略进行攻击检测

功能总览 功能总览 全部 企业主机安全 资产管理 基线检查 漏洞管理 13大类入侵检测能力 账户暴力破解防护 恶意程序隔离查杀 勒索病毒防护 程序运行认证 文件完整性管理 自定义安全策略 动静态网页防篡改 特权进程可修改防篡改文件 双因子认证 SSH登录IP白名单 常用登录地/IP 告警白名单管理 告警通知 主机分类管理 订阅安全报告 企业主机安全 企业主机安全（Host Security Service，HSS）是提升主机整体安全性的服务，通过主机管理、风险预防、入侵检测、高级防御、安全运营、网页防篡改功能，可全面识别并管理主机中的信息资产，实时监测主机中的风险并阻止非法入侵行为，帮助企业构建服务器安全体系，降低当前服务器面临的主要安全风险。 发布区域：全部。 HSS服务版本差异 功能特性 应用场景 资产管理 HSS提供资产管理功能，主动检测主机中的开放端口、系统运行中的进程、主机中的Web目录和自启动服务，并对账号信息和软件信息的变动情况进行记录。 通过资产管理，您能集中清点主机中的各项资产信息，及时发现主机中含有风险的各项资产。 资产管理仅提供风险检测功能，若发现有可疑资产信息，请手动处理。 发布区域：全部。 账号信息管理 开放端口检测 软件信息管理 基线检查 HSS提供基线检查功能，主动检测主机中的口令复杂度策略，关键软件中含有风险的配置信息，并针对所发现的风险为您提供修复建议，帮助您正确地处理服务器内的各种风险配置信息。 发布区域：全部。 告警策略 导出配置检测报告 基线检查风险修复建议 漏洞管理 HSS提供漏洞管理功能，检测Linux软件漏洞、Windows系统漏洞和Web-CMS漏洞。 在“漏洞管理”界面，您可以查看漏洞的信息和状态，根据“修复紧急度”排查主机中的漏洞。 发布区域：全部。 检测原理 漏洞修复与验证 13大类入侵检测能力 HSS支持账户暴力破解、进程异常、网站后门、异常登录、恶意进程等13大类入侵检测能力，用户可通过事件管理全面了解入侵检测告警事件，帮助用户及时发现资产中的安全威胁、实时掌握资产的安全状态。 企业主机安全可对您已开启的告警防御能力提供总览数据，帮助您快速了解安全告警概况，包括存在告警的服务器、待处理告警事件、未处理告警事件、已拦截IP和已隔离文件。 事件管理列表仅保留近30天内发生的告警事件，您可以根据自己的业务需求，对告警进行“手动处理”、“忽略”、”加入告警白名单”或者“隔离查杀”，自行判断并处理告警，快速清除资产中的安全威胁。 发布区域：全部。 告警事件列表说明 查看告警事件 处理告警事件 账户暴力破解防护 HSS可拦截的攻击类型包括：mysql、mssql、vsftp、filezilla、serv-u、ssh、rdp。 暴力破解是一种常见的入侵攻击行为，通过暴力破解或猜解主机密码，从而获得主机的控制权限，会严重危害主机的安全。 通过暴力破解检测算法和全网IP黑名单，若发现暴力破解主机的行为，HSS就会拦截该源IP，禁止其再次登录，防止主机因账户破解被入侵。 SSH类型攻击默认拦截12小时，其他类型攻击默认拦截24小时。 若被拦截的IP在超过默认拦截时间后，没有再被继续攻击，系统自动解除拦截。 发布区域：全部。 账户暴力破解防护 账户被暴力破解，怎么办？ 如何避免账户破解攻击？ 恶意程序隔离查杀 HSS采用先进的AI、机器学习等技术，并集成多种杀毒引擎，深度查杀主机中的恶意程序。 开启“恶意程序隔离查杀”后，HSS对识别出的后门、木马、蠕虫等恶意程序，提供自动隔离查杀功能，帮助用户自动识别处理系统存在的安全风险。 若未开启“恶意程序隔离查杀”功能，则HSS检测到恶意程序时，不会自动隔离查杀，仅会触发告警。您可以在“入侵检测”的“事件管理”中，查看“恶意程序（云查杀）”中的告警信息，并对恶意程序手动执行“隔离查杀”。 发布区域：全部。 开启恶意程序隔离查杀 仅旗舰版支持 勒索病毒防护 HSS支持勒索病毒防护功能，可有效监控您云主机上存储的重要文件，防止未经过认证或授权的进程文件对监控文件的加密或修改操作，保障您的主机不被勒索病毒侵害。 您可以通过创建勒索病毒防护策略，并为策略配置防护状态、监控的文件路径与关联服务器。策略通过机器学习引擎学习服务器上的进程修改文件的行为。策略学习完成后，自动应用于关联服务器。 策略通过对服务器运行状态的自动学习和管理端智能分析，完成可信程序的判定，在防护阶段对非可信程序的操作进行告警。 发布区域：全部。 查看防护策略列表 创建防护策略 查看和处理防护事件 仅旗舰版支持 程序运行认证 程序运行认证功能支持将重点防御的主机加入到白名单策略中，通过检测白名单中指定的应用程序区分“可信”、“不可信”和“未知”，防止未经白名单授权的程序运行。可避免您的主机受到不可信或恶意程序的侵害，还能防止不必要的资源浪费、保证您的资源被合理利用。 在创建白名单策略之后，您可以通过在需要重点防御的主机中应用该白名单策略，企业主机安全将检测服务器中是否存在可疑或恶意进程，并对不在白名单中的进程进行告警提示或者隔离。 发布区域：全部。 查看白名单策略列表 应用白名单策略 查看和处理应用进程事件 仅旗舰版支持 文件完整性管理 文件完整性管理可以检查操作系统、应用程序软件和其他组件的文件，确定它们是否发生了可能遭受攻击的更改，同时，能够帮助用户通过PCI-DSS等安全认证。文件完整性管理功能是使用对比的方法来确定当前文件状态是否不同于上次扫描该文件时的状态，利用这种对比来确定文件是否发生了有效或可疑的修改。 文件完整性管理会验证Linux文件的完整性，并管理针对文件执行的活动，包括： 1、文件的创建与删除。 2、文件的修改（文件大小、访问控制列表和内容哈希的更改）。 发布区域：全部。 添加管理文件 查看变更统计 仅旗舰版支持 自定义安全策略 HSS旗舰版提供灵活的策略管理能力，用户可以根据需要自定义安全检测规则，并可以为不同的主机组或主机应用不同的策略，以满足不同应用场景的主机安全需求。 发布区域：全部。 查看和创建策略组 修改策略内容 仅网页防篡改版支持 动静态网页防篡改 静态网页防篡改可实时监控网站目录，并通过备份恢复被篡改的文件或目录，保障重要系统的网站信息不被恶意篡改，防止出现挂马、黑链、非法植入恐怖威胁、色情等内容。 支持对Windows和Linux进程添加白名单。网页防篡改功能将不对加入白名单的进程进行拦截。 动态网页防篡改提供tomcat应用运行时自我保护，能够检测针对数据库等动态数据的篡改行为。 发布区域：全部。 添加防护目录/文件系统 添加特权进程修改防护文件 开启动态网页防篡改 仅网页防篡改版支持 特权进程可修改防篡改文件 开启网页防篡改防护后，防护目录中的内容是只读状态，如果您需要修改防护目录中的文件或更新网站，可以添加特权进程。 通过这个特权进程去修改防护目录里的文件或者更新网站，修改才会生效。若没有添加特权进程 ，网页防篡改仅防护原来的文件或者网站，即使修改了内容，文件或者网站也会恢复到原来的状态，修改不会生效。 特权进程可以访问被防护的目录，请确保特权进程安全可靠。 发布区域：全部。 添加特权进程 双因子认证 双因子认证功能是一种双因素身份验证机制，结合短信/邮箱验证码，对云服务器登录行为进行二次认证，极大地增强云服务器账户安全性。 开启双因子认证功能后，登录弹性云服务器时，主机安全服务将根据绑定的“消息通知服务主题”验证登录者的身份信息。 发布区域：全部。 开启双因子认证 SSH登录IP白名单 SSH登录IP白名单功能是防护账户爆破的一个重要方式，主要是限制需要通过SSH登录的服务器。 配置了白名单的服务器，只允许白名单内的IP通过SSH登录到服务器，拒绝白名单以外的IP： 1、启用该功能时请确保将所有需要发起SSH登录的IP地址都加入白名单中，否则您将无法SSH远程登录您的服务器。 若您的业务需要访问主机，但不需要SSH登录，则可以不用添加到白名单。 2、IP加入白名单后，账户破解防护功能将不再对来自白名单中的IP登录行为进行拦截，该IP对您加入白名单的服务器登录访问将不受任何限制，请谨慎操作。 发布区域：全部。 配置SSH登录IP白名单 常用登录地/IP 配置常用登录地/IP后，企业主机安全服务将对非常用地/IP登录主机的行为进行告警。每个主机可被添加在多个登录地中。 发布区域：全部。 配置常用登录地 配置常用登录IP 告警白名单管理 告警白名单管理提供告警白名单的展示与批量导入/导出功能，用户可以通过导入/导出告警白名单避免大量告警误报的发生，提升安全事件告警质量。 发布区域：全部。 添加告警白名单 添加登录告警白名单 告警通知 开启告警通知功能后，您能接收到企业主机安全服务发送的告警通知，及时了解主机/网页内的安全风险。否则，无论是否有风险，您都只能登录管理控制台自行查看，无法收到报警信息。 告警通知设置仅在当前区域生效，若需要接收其他区域的告警通知，请切换到对应区域后进行设置。 发布区域：全部。 开启基础版/企业版/旗舰版告警通知 开启网页防篡改版告警通知 主机分类管理 用户可以创建服务器组，并将主机分配到服务器组，对主机进行分类管理。用户可以根据创建的服务器组，查看该服务器组内的服务器数量、有风险服务器的数量、以及未防护的服务器数量。 发布区域：全部。 创建服务器组 分配服务器到组 订阅安全报告 HSS支持订阅周报和月报，展现每周或每月的主机安全趋势以及关键安全事件与风险，订阅报告将为您保存6个月，以满足等保测评以及审计的需要。 勾选“订阅报告”后，第二天即可查看、下载。 发布区域：全部。 订阅主机安全报告

排查步骤 检查故障是源站的问题还是CDN节点的问题，请参照排查访问异常是CDN节点问题还是源站问题排查。 检查域名是否接入CDN加速 如果您刚在控制台添加加速域名，正在进行配置CNAME解析前的测试，请忽略本步骤，参照快速入门流程配置即可。 您需要检查域名是否解析到CDN，以Windows操作系统为例，打开cmd程序，输入如下指令： nslookup -qt=cname 加速域名 如果返回结果显示CNAME，则表示CNAME配置已经生效，如下图： 如果返回结果没有.c.cdnhwc1.com，说明域名未解析到华为云CDN。建议您先执行本地测试加速域名，测试成功后，在DNS域名提供商修改解析记录，配置CDN提供的CNAME，配置步骤请参见配置CNAME 。 如果您确认已正确配置CNAME记录，请检查同一解析线路下该域名的上一记录类型的TTL时间，TTL时间决定了解析记录在本地DNS服务器的缓存时间，您新添加的CNAME记录在上一记录类型的本地TTL缓存时间过期后才会正式生效。 如果域名解析无异常，请进行下一步排查。 排查CDN状态码和域名配置 如果您的域名经过CDN加速后返回4xx、5xx、301/302状态码，请参照以下情况处理： 域名经过CDN加速后返回4xx，请参照访问CDN加速资源后返回4XX状态码。 域名经过CDN加速后返回5xx，请参照访问CDN加速资源后返回5XX状态码。 域名经过CDN加速后返回301/302，请参照访问CDN加速资源后无限循环301/302状态码。 检查源站配置是否正确，登录CDN控制台，在域名基本配置中检查源站的配置是否为该域名的源站服务器，若不是，请修改成对应的服务器IP或域名。 检查账户余额 当您的账户欠费进入保留期后，系统将停用加速域名，您将无法使用CDN。您可以前往费用中心查看账户的费用信息，并通过充值来核销欠款。 如果经过以上排查仍无法解决您的问题，请您联系客服或提交工单处理。并提供以下信息： 在客户端使用华为云CDN用户诊断系统，输入加速域名，单击检测，将结果截图。 无法访问的URL。 访问异常的时间。

文件验证后，配置未生效 域名授权验证配置未生效，请从以下几方面进行排查： 如果界面回显的记录值与SSL证书管理控制台的域名验证页面或邮件中显示的记录值一致，则说明域名授权验证已生效。 如果界面回显信息不一致，则说明域名授权验证未生效。 如果配置未生效，请从以下几方面进行排查和处理： 检查该验证URL地址是否在HTTPS可访问的地址中存在。如果存在，请在浏览器中使用HTTPS重新访问，如果浏览器提示“证书不可信”或者显示的内容不正确，请您暂时关闭该域名的HTTPS服务。 确保该验证URL地址在任何一个地方都能正确访问。由于有些品牌的检测服务器均在国外，请确认您的站点是否有国外镜像，或者是否使用了智能DNS服务。 检查该验证URL地址是否存在301或302跳转。如存在此类重定向跳转，请取消相关设置关闭跳转。 您可使用wget -S URL地址命令检测该验证URL地址是否存在跳转。 如果仍未解决或出现其他问题，华为云市场提供SSL证书配置优化服务，专业工程师一对一服务，请直接单击一对一咨询进行购买，购买服务后，联系工程师进行处理。

边界防护与响应 表1 规格清单 一级分类 二级分类 规格名称 规格描述 管理 安全态势大屏 资产失陷态势 资产失陷态势，包括：失陷主机趋势、失陷主机分布、失陷事件阻断率、最新失陷事件、top失陷主机、top失陷类型、top失陷事件。 基础安全事件态势 基础安全事件态势，包括：攻击位置、威胁判定平均时长、阻断率、top攻击类型展示，最近威胁事件，专项事件数量。 外部攻击源态势 外部攻击源态势，包括：外部攻击源趋势、攻击源分布、外部攻击阻断率、最新外部攻击、top攻击源、攻击资产、攻击类型。 定期安全报告 定期安全报告 按周、按月为用户提供安全服务报告，安全服务报告将以邮件形式发送至用户订阅邮箱。通过安全服务报告，客户可清晰了解以下信息： 安全服务概况。 威胁防护次数及趋势。 失陷主机数量及详情。 外部攻击源数量及趋势。 恶意文件数量及趋势。 支持应用访问行为统计，支持基于源IP、时间和应用分布等维度的统计，按周月提供统计分析报表 支持历史安全报告的查看和预览功能。 支持报告下载。 安全域管理 安全域状态管理 支持安全域状态监测，检查安全域物理连线是否接反。 支持针对安全域设置信任标签。 手机APP 手机APP 支持手机APP方式进行边界防护的威胁事件、黑白名单、安全报表等功能管理。 MSSP MSSP代维 可在用户运维平台对安全服务建立委托关系，给指定被委托方建立不同操作权限角色（管理员、审计员等）的代维委托。委托建立后，被委托方可查看、处置安全威胁事件。 MSSP安全大屏 支持针对MSSP管辖的租户进行安全大屏呈现。 MSSP工单流转 支持租户的工单流转到MSSP进行分析和处置。 防护 天关/防火墙威胁防护 恶意软件防护 支持多级防护技术，支持多种恶意代码载体类型检测，实时更新病毒库，覆盖流行高危恶意软件。注：1U款型支持500万病毒库，桌面型款型支持300万病毒库。 僵木蠕防护 支持基于僵尸网络拓扑分析技术的精准角色识别，支持500+僵尸网络识别，支持1000+蠕虫和木马识别。 业务感知 支持识别6000+应用，支持主流应用协议全覆盖。 WEB分类 支持Web分类库超1.2亿，对访问行为进行管理，防范恶意网站对企业网络的侵害。 入侵防御 支持基于漏洞与行为分析的攻击检测技术，支持上下文语义还原的防躲避技术，最大支持12000+特征库，支持自动更新 。1U款型支持12000特征库，桌面型款型支持5000特征库，支持僵尸网络检测及应用服务器防护 。 响应 手动封禁 手动封禁 可以通过检测到的外部攻击源事件，进行手动封禁攻击源的操作。 EDR联动处置 EDR联动处置 支持失陷主机、恶意文件进行EDR联动处置能力，支持进程隔离、病毒查杀等操作。 EDR资产和设备自动关联 通过EDR资产发送探测报文方式，实现EDR资产、边界防护与响应服务、资产管理服务、EDR服务等服务联动，进行EDR资产与天关设备自动关联。 威胁自动阻断 外部攻击源自动阻断 支持对外部高危攻击源精准识别，自动下发黑名单，阻拦其后续的攻击行为。 恶意域名自动阻断 支持基于DNS过滤实现恶意域名自动阻断，拦截用户网络内主机对恶意域名的访问行为。 紧急安全通知 短信通知 支持短信紧急安全通知，针对威胁事件发送紧急通知，及时指导进行响应。 手机APP通知 支持手机APP紧急安全通知，针对威胁事件发送紧急通知，及时指导进行响应。 邮件通知 支持邮件紧急安全通知，针对威胁事件发送紧急通知，及时指导进行响应。 告警模板 对于需要发送给用户的紧急告警，提供对应的告警模板自定义能力。 黑白名单功能 域名黑名单 支持配置域名黑名单，拦截用户网络内主机对恶意域名的访问行为。 设备黑名单 支持设备黑名单设置能力，快速阻断威胁攻击源。 支持设备历史黑名单的查看。 支持一键清除。 设备保护网段 支持设备保护网段联动能力，保护已知业务，防止黑名单误阻断。 租户全局白名单 支持租户全局白名单设置能力，保护已知业务，防止黑名单误阻断。 设备白名单 支持设备白名单设置能力，保护已知业务，加入设备白名单的地址不会再进行内容安全检测。 分析 专项事件分析 失陷主机 支持按失陷主机维度自动聚合，基于失陷主机进行快速分析和处置。 外部攻击源 支持按外部攻击源维度自动聚合，基于外部攻击源进行快速分析和处置。 支持外部攻击源导出能力。 恶意文件 支持按恶意文件维度自动聚合，基于恶意文件进行快速分析和处置 检测 云蜜罐 事件检测 支持联动云蜜罐进行威胁检测、分析研判与处置 云端DNS自动化威胁检测 DNS恶意域名检测 恶意域名检测支持基于DNS过滤日志和恶意域名库，针对内网主机请求外网恶意域名的检测 云端Metadata威胁检测 明文口令检测 检测网站交互流量中是否存在明文口令传输行为。 弱密码检测 检测网站交互流量中是否存在弱密码传输行为。 反序列化攻击检测 反序列化是指把字节序列恢复为对象的过程, 如果Web应用在进行反序列化时接收用户输入的数据，且缺少对输入数据必要的验证，那么攻击者可以通过构造恶意输入，让反序列化产生非预期的对象，导致任意代码执行。算法基于反序列化攻击中的恶意流量特征进行检测，并支持攻击成功判定。 暴力破解检测 暴力破解攻击是通过使用某一账号、密码字典（通常为网络社工收集），尝试枚举登录，如果登录成功，则可获取用户账号密码。算法基于流量检测针对SSH、RDP协议的暴力破解，包括常规爆破以及密码喷洒式爆破、慢速爆破。 SQL注入检测 SQL注入是指web应用程序对用户输入数据的合法性没有判断或过滤不严，攻击者可以在web应用程序中事先定义好的查询语句中添加额外的SQL语句，实现欺骗数据库服务器执行非授权的任意查询，达到获取数据信息的目的。算法基于HTTP交互行为特征识别SQL注入，并支持SQL注入的攻击成功判定。 DNS Tunnel检测 DNS通道指攻击者通过将攻击报文封装在DNS协议中，利用DNS递归查询机制，与远程恶意DNS服务器实现C&C（命令和控制）通信、数据窃取操作。算法利用DNS流量中的交互行为特征，检测DNS隐蔽通道。 OGNL注入检测 OGNL注入指web应用程序对用户输入数据的合法性没有判断，攻击者通过构造带有攻击性的OGNL表达式，以此实现命令执行的目的。算法基于HTTP交互行为特征识别OGNL注入，并支持攻击成功判定。 WebShell检测 基于流量行为特征检测未经加密和部分加密（如冰蝎、weevely、jweevely等）的WebShell，包括WebShell文件上传和与WebShell交互的场景。 RCE攻击检测 远程命令注入RCE是一种由于服务器应用漏洞导致黑客可以在服务器上执行任意命令的攻击。算法基于Web流量，通过攻击交互的行为特征识别命令注入，并支持攻击成功判定。 XXE攻击检测 XXE即XML外部实体攻击，是一种针对解析XML格式应用程序的攻击类型之一。此类攻击发生在当配置不当的XML解析器处理指向外部实体的文档时，可能会导致敏感文件泄露、拒绝服务攻击、系统命令执行等危害。算法基于XXE页面攻击特征识别注入行为，并支持攻击成功判定。

排查思路 以下排查思路根据原因的出现概率进行排序，建议您从高频率原因往低频率原因排查，从而帮助您快速找到问题的原因。 如果解决完某个可能原因仍未解决问题，请继续排查其他可能原因。 图1 弹性公网IP Ping不通排查思路 表1 弹性公网IP Ping不通排查思路 可能原因 处理措施 安全组未添加ICMP规则 安全组添加ICMP规则，详细操作请参考检查安全组规则。 防火墙设置了禁Ping 检查防火墙对ICMP规则的启用状态，详细操作请参考检查防火墙设置。 云服务器设置了禁Ping 检查云服务器对ICMP规则的启用状态，详细操作请参考检查云服务器是否设置了禁Ping。 关联了网络ACL 如果VPC关联了网络ACL，请检查“网络ACL”规则，详细操作请参考检查网络ACL规则。 网络异常 检查本地网络，使用相同区域主机进行Ping测试，详细操作请参考检查网络是否正常。 多网卡场景，路由信息配置不正确 扩展网卡导致网络不通现象通常是路由配置问题，详细操作请参考检查云服务器路由配置（多网卡场景）。 域名没有备案或者域名无法解析 域名无法Ping通，可能是域名没有备案或者域名无法解析，详细操作请参考检查域名解析（域名Ping不通场景）。

DV证书DNS验证失败如何处理？ 失败提示信息 解决方案 提交验证频繁，请稍后再试 验证过于频繁，建议您等待3-5分钟后，执行验证操作。 DNS记录值不匹配 您配置的DNS记录值不正确，请参照步骤二：获取验证信息获取正确记录值后，重新配置。 DNS检测失败，请稍后再试。 请排查是否存在以下问题： 可能问题一：DNS记录值配置未生效。 解决方案：DNS记录值配置完后不会立即生效（具体生效时间为您域名服务器中设置的TTL缓存时间），建议您等待3-5分钟后，执行验证操作。 可能问题二：域名未完成备案或实名认证。 解决方案：请完成域名备案和实名认证后，进行域名所有权验证。 可能问题三：域名存在CAA类型的解析记录。 解决方案：CAA记录会导致验证失败，您需要在域名解析记录中删除所有CAA类型的记录。 可能问题四：CA验证服务器没有检测到DNS解析记录。 解决方案：CA验证服务器位于国外，需要您放开该域名国外的访问限制。

检查网络是否正常 检查本地网络，使用相同区域主机进行Ping测试。 使用在相同区域的云服务器去Ping没有Ping通的弹性公网IP，如果可以正常Ping通说明虚拟网络正常，请排除本地网络故障后重新Ping测试。 检查是否链路故障。 链路拥塞、链路节点故障、服务器负载高等问题均可能引起执行Ping命令时出现丢包或时延过高的问题。 具体检查操作请参考ECS常见问题“ping不通或丢包时如何进行链路测试？”。

终端节点 终端节点（Endpoint）即调用API的请求地址，不同服务不同区域的终端节点不同，您可以从地区和终端节点中查询所有服务的终端节点。 人脸识别服务的终端节点如表1所示，请您根据业务需要选择对应区域的终端节点。 表1 人脸识别服务终端节点 区域名称 区域 终端节点（Endpoint） 协议类型 部署的服务 华北-北京四 cn-north-4 face.cn-north-4.myhuaweicloud.com HTTPS 人脸检测，人脸比对，人脸搜索，静默活体检测，动作活体检测 华东-上海一 cn-east-3 face.cn-east-3.myhuaweicloud.com HTTPS 人脸检测，人脸比对，人脸搜索 华南-广州 cn-south-1 face.cn-south-1.myhuaweicloud.com HTTPS 人脸检测，人脸比对，人脸搜索，动作活体检测 中国-香港 ap-southeast-1 face.ap-southeast-1.myhuaweicloud.com HTTPS 人脸检测、人脸比对、人脸搜索 亚太-曼谷 ap-southeast-2 face.ap-southeast-2.myhuaweicloud.com HTTPS 人脸检测、人脸比对、人脸搜索

产品基本概念 表1 弹性负载均衡基本概念 名词 说明 负载均衡器 负载均衡器是指您创建的承载业务的负载均衡服务实体。 监听器 监听器负责监听负载均衡器上的请求，根据配置的流量分配策略，分发流量到后端云服务器处理。 后端服务器 负载均衡器会将客户端的请求转发给后端服务器处理。例如，您可以添加ECS实例作为负载均衡器的后端服务器，监听器使用您配置的协议和端口检查来自客户端的连接请求，并根据您定义的分配策略将请求转发到后端服务器组里的后端云服务器。 后端服务器组 把具有相同特性的后端服务器放在一个组，负载均衡实例进行流量分发时，流量分配策略以后端服务器组为单位生效。 健康检查 负载均衡器会定期向后端服务器发送请求以测试其运行状态，这些测试称为健康检查。通过健康检查来判断后端服务器是否可用。负载均衡器如果判断后端服务器健康检查异常，就不会将流量分发到异常后端服务器，而是分发到健康检查正常的后端服务器，从而提高了业务的可靠性。当异常的后端服务器恢复正常运行后，负载均衡器会将其自动恢复到负载均衡服务中，承载业务流量。 重定向 HTTPS是加密数据传输协议，安全性高，如果您需要保证业务建立安全连接，可以通过负载均衡的HTTP重定向功能，将HTTP访问重定向至HTTPS。 会话保持 会话保持，指负载均衡器可以识别客户与服务器之间交互过程的关联性，在实现负载均衡的同时，保持将其他相关联的访问请求分配到同一台服务器上。 WebSocket WebSocket (WS)是HTML5一种新的协议。它实现了浏览器与服务器全双工通信，能更好地节省服务器资源和带宽并达到实时通讯。WebSocket建立在TCP之上，同HTTP一样通过TCP来传输数据，但是它和HTTP最大不同在于，WebSocket是一种双向通信协议，在建立连接后，WebSocket服务器和Browser/Client Agent都能主动的向对方发送或接收数据，就像Socket一样；WebSocket需要类似TCP的客户端和服务器端通过握手连接，连接成功后才能相互通信。 SNI 您需要在创建HTTPS监听器时开启SNI功能。SNI（Server Name Indication）是为了解决一个服务器使用域名证书的TLS扩展，开启SNI之后，用户需要添加域名对应的证书。开启SNI后，允许客户端在发起SSL握手请求时就提交请求的域名信息，负载均衡收到SSL请求后，会根据域名去查找证书，如果找到域名对应的证书，则返回该证书；如果没有找到域名对应的证书，则返回缺省证书。 长连接 长连接是指在一个连接上可以连续发送多个数据包，在连接保持期间，如果没有数据包发送，需要双方发链路检测包。 短连接 短连接是指通讯双方有数据交互时，就建立一个连接，数据发送完成后，则断开此连接，即每次连接只完成一项业务的发送。 并发连接 并发连接指客户端向服务器发起请求并建立了TCP连接的总和，负载均衡的并发连接是指每秒钟所能接收并处理的TCP连接总和。

验证方法 检查AD服务器防火墙或安全组设置，确保已开启表1端口。 AD服务器端口要求请参考Active Directory and Active Directory Domain Services Port Requirements。 通过ECS服务，在与用户相同的VPC中创建一台Windows OS的实例，并将该实例加入已有域。 ECS相关配置与操作请参考《弹性云服务器用户指南》，使用RDP客户端工具（例如 “mstsc”）或VNC方式登录Windows实例。 使用RDP客户端工具（例如 “mstsc”）或VNC方式登录Windows实例。 将ADTest.zip下载到Windows实例，然后解压。 在“ADTest.exe”所在文件夹空白区域中，按住“Shift”，单击右键，选择“在此处打开命令窗口”。 在打开的“命令提示符”中，输入以下命令检查AD管理服务器连通性。 ADTest.exe -file ADTest.cfg -ip AD的IP地址 -domain AD的域名 -user 域管理员帐号 命令示例： ADTest.exe -file ADTest.cfg -ip 192.168.161.78 -domain abc.com -user vdsadmin 输入“vdsadmin”的密码。 检查返回的测试结果是否全部为“SUCCEEDED”，如果包含“FAILED”，请根据提示信息检查AD管理服务器配置或防火墙端口。

验证方法 检查AD服务器防火墙或安全组设置，确保已开启表1端口。 AD服务器端口要求请参考Active Directory and Active Directory Domain Services Port Requirements。 通过ECS服务，在与用户桌面相同的VPC中创建一台Windows OS的实例，并将该实例加入已有域。 ECS相关配置与操作请参考《弹性云服务器用户指南》，使用RDP客户端工具（例如 “mstsc”）或VNC方式登录Windows实例。 使用RDP客户端工具（例如 “mstsc”）或VNC方式登录Windows实例。 将ADTest.zip下载到Windows实例，然后解压。 在“ADTest.exe”所在文件夹空白区域中，按住“Shift”，单击右键，选择“在此处打开命令窗口”。 在打开的“命令提示符”中，输入以下命令检查AD管理服务器连通性。 ADTest.exe -file ADTest.cfg -ip AD的IP地址 -domain AD的域名 -user 域管理员帐号 命令示例： ADTest.exe -file ADTest.cfg -ip 192.168.161.78 -domain abc.com -user vdsadmin 输入“vdsadmin”的密码。 检查返回的测试结果是否全部为“SUCCEEDED”，如果包含“FAILED”，请根据提示信息检查AD管理服务器配置或防火墙端口。