华为云用户手册

安全风险趋势 图3 安全风险趋势 可显示最近7天、近30天的安全风险趋势。 表1 安全风险趋势说明 风险分类 风险事件 资产风险 帐号信息 开放端口 进程信息 Web目录 软件信息 自启动 漏洞风险 Linux漏洞 Windows漏洞 Web-CMS漏洞 基线检测 口令复杂度策略检测 经典弱口令检测 配置检测 入侵事件 帐户破解源IP 异常Shell 恶意程序 高危命令执行 进程异常行为 自启动检测 帐户异常登录 提权操作 关键文件变更 高危恶意程序 Rootkit程序 网站后门 风险帐户 反弹Shell

实时入侵事件 图7 实时入侵事件 展示最近24小时内发生的最近的5条“未处理”的入侵事件，包含入侵事件的“告警名称”、“受影响服务器名称/IP”、“简述”、“发生时间”和“状态”。 单击告警名称，可查看告警详细信息。 单击告警所在行的“操作列”中的“处理”，可处理该告警。处理该告警后，该告警将从该列表中消失，列表重新显示最近7天内发生的最近5条“未处理”的入侵事件。 单击“查看更多”，可进入“事件管理”页面，处理相关告警事件。

TOP5风险主机（最近7天） 图6 TOP5风险的云服务器（最近7天） 基于开启了基础版、企业版或者旗舰版防护功能的云服务器，最近一周 企业主机安全 服务对其检测出的风险项TOP5的云服务器及各风险项的数量。 每日凌晨12点，定时统计用户的每个主机最近7天发生的风险个数，并展示TOP5风险的主机及各风险的数量。 如果因为网络原因，没有查询到TOP5风险主机的统计结果，可单击，重新查询凌晨12点统计的数据。

创建策略组 选择“default_premium_policy_group （默认旗舰版策略组）”策略组，在该策略组所在行的操作列中，单击“复制”，如图5所示。 图5 复制策略组 在弹出的对话框中，输入“策略组名称”和“描述”，如图6所示。 策略组的名称不能重复，如果尝试通过复制来创建一个同名的策略组，将会失败。 “策略组名称”和“描述”只能包含中文、字母、数字、下划线、中划线、空格，并且首尾不能为空格。 图6 创建策略组 单击“确定”，将会创建一个新的策略组。 单击已创建的策略组名称，进入策略组的策略页面，如图7所示。 图7 策略组策略 单击策略名称，修改具体的策略内容，详细信息请参见修改策略内容。 策略内容修改完成后，单击策略所在行的“开启”或者“关闭”，开启或者关闭对应的策略。

查看策略组列表 在“策略管理”界面，查看显示的策略组。如图2所示，字段说明如表1所示。 default_enterprise_policy_group（默认企业版策略组）：企业版系统预置策略，仅可被查看，不可被复制和删除。 default_premium_policy_group （默认旗舰版策略组）：旗舰版系统预置策略，可通过复制该策略组来创建新的策略组。 可在列表右上角单击，手动刷新当前列表。 可单击关联服务器数的数量，查看策略组关联的服务器。 图2 策略组列表 表1 策略组列表字段说明 字段 说明 策略组名称 策略组的名称。 ID 策略组的ID号，对策略组的唯一标识。 描述 对策略组的描述。 支持的版本 策略组支持的企业主机安全的版本。 单击策略组名称，进入查看策略组详情界面，可以查看该策略组的策略列表，包括策略名称、状态、功能类别和支持的操作系统，如图3所示。 “默认企业版策略组”和“默认旗舰版策略组”中的所有策略默认为“已启用”状态。 若您不需要执行其中一项策略的检测，您可以在策略所在行的“操作”列，单击“关闭”，关闭该策略项的检测。请根据您的需要“开启”或者“关闭”策略的检测。 图3 策略组详情 单击策略名称，可以查看策略的详情，以弱口令为例，如图4所示。 若需要修改策略，请参见修改策略内容。 图4 策略详情

策略列表 策略名称 策略说明 支持的操作系统 企业版 旗舰版 网页防篡改版 弱口令检测 检测系统帐户口令是否属于常用的弱口令，针对弱口令提示用户修改。 Linux，Windows √ （只支持自定义弱口令） √ √ 网站后门检测 检测云服务器上Web目录中的文件，判断是否为WebShell木马文件。 Linux，Windows √ （只支持配置检测路径） √ √ 资产管理 检测系统中的软件信息，包含软件名称、软件路径、主要应用等，帮助用户识别异常资产。 Linux，Windows × √ √ 系统配置检测 对常见的Tomcat配置、Nginx配置、SSH登录配置进行检查，帮助用户识别不安全的配置项。 Linux，Windows × √ √ 高危命令检测 实时检测当前系统中执行的高危命令，当发生高危命令执行时，及时触发告警。 Linux × √ √ 提权检测 检测当前系统的“进程提权”和“文件提权”操作。 检测以下异常提权操作： 利用SUID程序漏洞进行root提权。 利用内核漏洞进行root提权。 对文件的提权。 Linux × √ √ 异常/反弹Shell检测 检测系统中异常/反弹Shell的获取行为，包括对shell文件的修改、删除、移动、拷贝、硬链接、访问权限变化。 Linux × √ √ 文件完整性管理 检测操作系统、应用程序软件和其他组件的文件，确定文件是否发生了可能遭受攻击的更改。 Linux × √ √

操作须知 开启企业版防护时，默认绑定“默认企业版策略组”（包含“弱口令检测”和“网站后门检测”策略），应用于全部的云服务器，不需要单独部署策略。 购买“旗舰版”或者“网页防篡改赠送旗舰版”后，开启旗舰版/网页防篡改版防护时，默认绑定了“默认旗舰版策略组”。 用户也可以通过复制“默认旗舰版策略组”的方式，创建自定义策略组，将“默认旗舰版策略组”替换为用户的自定义策略组，更加灵活的应用于不同的云服务器或者云服务器组。

处理防护告警事件 在“事件管理”列表的“操作”列中，单击“处理”，处理勒索病毒防护告警事件，如图3所示。 图3 处理勒索病毒防护告警事件 在弹出的处理事件窗口中，选择信任状态“可信”或者“不可信”，处理进程文件操作告警事件，如图4所示。 图4 处理勒索病毒防护事件 表2 处理告警事件 处理方式 处理方式说明 可信 标记进程文件为“可信”状态，标记为“可信”的进程文件操作，该进程文件再次对监控路径下的文件进行操作时，将不会触发告警。 不可信 标记进程文件为“不可信”状态，标记为“不可信”的进程文件操作，该进程文件再次对监控路径下的文件进行操作时，将会触发告警。 单击“确定”，完成勒索病毒防护告警事件标记处理。

处理程序运行事件 在事件管理列表的操作列中，单击“处理”，处理进程告警事件，如图3所示。 图3 处理应用进程告警事件 在弹出的处理事件窗口中，选择处理方式，处理进程告警事件，如图4所示。 图4 处理进程告警事件 表2 处理告警事件 处理方式 处理方式说明 可信 标记进程为“可信”状态，标记为“可信”的进程，该进程启动后将不会触发告警。 不可信 标记进程为“不可信”状态，标记为“不可信”的进程，该进程启动后将触发告警。 未知 标记进程为“未知”状态，标记为“未知”的进程，该进程启动后将触发告警。 隔离查杀 选择隔离查杀后，该程序无法执行“读/写”操作，同时该程序的进程将被立即终止。HSS将程序或者进程的源文件加入文件隔离箱，被隔离的文件不会对主机造成威胁。 您可以单击“文件隔离箱”，查看已隔离的文件，详细信息请参见管理文件隔离箱。 说明： 程序被隔离查杀时，该程序的进程将被立即终止，为避免影响业务，请及时确认检测结果，若对进程进行误杀，您可以对隔离查杀文件执行恢复操作。 取消隔离查杀 若对进程进行误杀，您可以该进程进行取消隔离查杀。 说明： 请确认取消隔离查杀的进程不是恶意程序，执行取消隔离查杀后，将对隔离查杀的文件进行恢复，请谨慎操作。 单击“确定”，完成进程告警事件处理。

手动修复系统软件漏洞 根据漏洞列表右侧“解决方案”列中的修复建议修复主机中已经被识别出的漏洞，漏洞修复命令可参见表1。 不同的漏洞请根据修复建议依次进行修复。 若同一主机上的多个软件包存在同一漏洞，您只需修复一次即可。 “Windows系统漏洞”和“Linux系统Kernel类的漏洞”修复完成后需要手动重启，否则HSS仍可能为您推送漏洞消息。 表1 漏洞修复命令 操作系统 修复命令 CentOS/Fedora /Euler/Redhat/Oracle yum update 软件名称 Debian/Ubuntu apt-get update && apt-get install 软件名称 --only-upgrade Gentoo、SUSE 请参见漏洞修复建议。 漏洞修复有可能影响业务的稳定性，为了防止在修复漏洞过程影响当前业务，建议参考以下两种方案，选择其中一种执行漏洞修复： 方案一：创建新的虚拟机执行漏洞修复 为需要修复漏洞的E CS 主机创建镜像，详细操作请参见通过云服务器创建整机镜像。 使用该镜像创建新的ECS主机，详细操作请参见通过镜像创建云服务器。 在新启动的主机上执行漏洞修复并验证修复结果。 确认修复完成之后将业务切换到新主机。 确定切换完成并且业务运行稳定无故障后，可以释放旧的主机。如果业务切换后出现问题且无法修复，可以将业务立即切换回原来的主机以恢复功能。 方案二：在当前主机执行修复 为需要修复漏洞的ECS主机创建备份，详细操作请参见创建云服务器备份。 在当前主机上直接进行漏洞修复。 如果漏洞修复后出现业务功能问题且无法及时修复，立即使用备份恢复功能将主机恢复到修复前的状态，详细操作请参见使用备份恢复服务器。

修复验证 漏洞修复后，建议您立即进行验证。 手动验证 通过漏洞详情页面的“验证”，进行一键验证。 执行以下命令查看软件升级结果，确保软件已升级为最新版本。 表2 验证修复命令 操作系统 修复命令 CentOS/Fedora /Euler/Redhat/Oracle rpm -qa | grep 软件名称 Debian/Ubuntu dpkg -l | grep 软件名称 Gentoo emerge --search 软件名称 SUSE zypper search -dC --match-words 软件名称 手动执行漏洞检测查看漏洞修复结果。 自动验证 若您未进行手动验证，主机防护每日凌晨进行全量检测，您修复后需要等到次日凌晨检测后才能查看修复效果。

操作风险 执行主机漏洞修复可能存在漏洞修复失败导致业务中断，或者中间件及上层应用出现不兼容等风险，并且无法进行回滚。为了防止出现不可预料的严重后果，建议您通过云服务器备份（CSBS）为ECS创建备份，详细操作请参见创建云服务器备份。然后，使用空闲主机搭建环境充分测试，确认不影响业务正常运行后，再对主机执行漏洞修复。 在线修复主机漏洞时，需要连接Internet，通过外部镜像源提供漏洞修复服务。但是，如果主机无法访问Internet，或者外部镜像源提供的服务不稳定时，可以使用华为云提供的镜像源进行漏洞修复。 为了保证漏洞修复成功，请在执行在线升级漏洞前，确认主机中已配置华为云提供的对应操作系统的镜像源，详细的配置操作请参见配置镜像源。 漏洞修复后建议重启服务器，否则可能仍为您推送漏洞信息。

关键文件变更监控路径 类型 Linux bin /bin/ls /bin/ps /bin/bash /bin/netstat /bin/login /bin/find /bin/lsmod /bin/pidof /bin/lsof /bin/ss usr /usr/bin/ls /usr/bin/ps /usr/sbin/ps /usr/bin/bash /usr/bin/netstat /usr/sbin/netstat /usr/sbin/rsyslogd /usr/sbin/ifconfig /usr/bin/login /usr/bin/find /usr/sbin/lsmod /usr/sbin/pidof /usr/bin/lsof /usr/sbin/lsof /usr/sbin/tcpd /usr/bin/passwd /usr/bin/top /usr/bin/du /usr/bin/chfn /usr/bin/chsh /usr/bin/killall /usr/bin/ss /usr/sbin/ss /usr/bin/ssh /usr/bin/scp sbin /sbin/syslog-ng /sbin/rsyslogd /sbin/ifconfig /sbin/lsmod /sbin/pidof

告警事件列表说明 基础版只支持部分功能的检测能力，不支持防护能力，不支持等保认证。 若需对云服务器进行防护或做等保认证，您需购买企业版及以上（包含企业版、旗舰版、网页防篡改版）版本。 告警名称 告警说明 基础版 企业版 旗舰版 网页防篡改版 帐户暴力破解 黑客通过帐户暴力破解成功登录主机后，便可获得主机的控制权限，进而窃取用户数据、勒索加密、植入挖矿程序，DDoS木马攻击等恶意操作，严重危害主机的安全。 检测SSH、RDP、FTP、SQL Server、MySQL等帐户遭受的口令破解攻击。 如果30秒内，帐户暴力破解次数（连续输入错误密码）达到5次及以上，HSS就会拦截该源IP，禁止其再次登录，防止主机因帐户破解被入侵。 SSH类型攻击默认拦截12小时，其他类型攻击默认拦截24小时。 根据帐户暴力破解告警详情，如“攻击源IP”、“攻击类型”和“拦截次数”，您能够快速识别出该源IP是否为可信IP，如果为可信IP，您可以通过手动解除拦截的方式，解除拦截的可信IP。 √ √ √ √ 帐户异常登录 检测“异地登录”和“帐户暴力破解成功”等异常登录。若发生异常登录，则说明您的主机可能被黑客入侵成功。 检测主机异地登录行为并进行告警，用户可根据实际情况采取相应措施（例如：忽略、修改密码等）。 异地登录检测信息包括被拦截的“登录源IP”、“登录时间”，攻击者尝试登录主机时使用的“用户名”和“云服务器名称”。 若在非常用登录地登录，则触发安全事件告警。 若帐户暴力破解成功，登录到云主机，则触发安全事件告警。 √ √ √ √ 恶意程序（云查杀） 恶意程序可能是黑客入侵成功之后植入的木马、后门等，用于窃取数据或攫取不当利益。 例如：黑客入侵之后植入木马，将受害主机作为挖矿、DDoS肉鸡使用，这类程序会大量占用主机的CPU资源或者网络资源，破坏用户业务的稳定性。 通过程序特征、行为检测，结合AI图像指纹算法以及云查杀，有效识后门、木马、挖矿软件、蠕虫和病毒等恶意程序，也可检测出主机中未知的恶意程序和病毒变种，并提供一键隔离查杀能力。 说明： 恶意程序（云查杀）检测功能仅支持检测运行中的恶意程序。 × √ （隔离查杀） √ （隔离查杀） √ （隔离查杀） 进程异常行为 检测各个主机的进程信息，包括进程ID、命令行、进程路径、行为等。 对于进程的非法行为、黑客入侵过程进行告警。 进程异常行为可以监控以下异常行为： 监控进程CPU使用异常。 检测进程对恶意IP的访问。 检测进程并发连接数异常等。 × √ √ √ 关键文件变更 篡改系统关键文件，通常是黑客入侵成功后进行身份隐藏或者发起下一步攻击的准备工作。 对系统关键文件（例如：ls、ps、login、top等）进行监控，一旦文件被修改就进行告警，提醒用户关键文件存在被篡改的可能。监控的关键文件的路径请参见关键文件变更监控路径。 关键文件变更信息包括“被更改的关键文件路径”、“文件最后修改时间”以及配置文件所在的“服务器名称”。 添加关键文件指纹库，收集关键文件信息，便于清点合法文件信息，检测异常文件。 对于关键文件变更，HSS只检测目录或文件是否被修改，不关注是人为或者某个进程修改的。 × √ √ √ 网站后门 以php、jsp等网页文件形式存在的一种命令执行环境。 黑客在入侵了一个网站后，通常会将后门文件与网站服务器WEB目录下正常的网页文件混在一起，然后使用浏览器来访问php或者jsp后门，得到一个命令执行环境，以达到控制网站服务器的目的。 检测云服务器上Web目录中的文件，判断是否为WebShell木马文件，支持检测常见的PHP、JSP等后门文件类型。 网站后门检测信息包括“木马文件路径”、“状态”、“首次发现时间”、“最后发现时间”。您可以根据网站后门信息忽略被查杀的可信文件。 您可以使用手动检测功能检测主机中的网站后门。 × √ √ √ 反弹Shell 实时监控用户的进程行为，及时发现进程的非法Shell连接操作产生的反弹Shell行为。 支持对TCP、UDP、ICMP等协议的检测。 您可以在“策略管理”的“反弹/异常Shell检测”中配置反弹Shell检测，HSS会实时检测执行的可疑指令，主机被远程控制执行任意命令等。 × × √ √ 异常Shell 检测系统中异常Shell的获取行为，包括对Shell文件的修改、删除、移动、拷贝、硬链接、访问权限变化。 您可以在“策略管理”的“反弹/异常Shell检测”中配置异常Shell检测，HSS会实时检测执行的可疑指令，主机被远程控制执行任意命令等。 × × √ √ 高危命令执行 您可以在“策略管理”的“高危命令检测”中预置高危命令。 HSS实时检测当前系统中执行的高危命令，当发生高危命令执行时，及时触发告警。 × × √ √ 自启动检测 大多数木马通常通过创建自启动服务、定时任务、预加载动态库等方式入侵主机，自启动检测会收集所有云主机自启动的信息，帮助您快速发现主机中可疑的自启动，并清除木马程序问题。 HSS检测并列举当前系统中的自启动服务、定时任务、预加载动态库、Run注册表键和开机启动文件夹，帮助用户及时发现非法自启动。 × × √ √ 风险帐户 黑客可能通过风险帐号入侵主机，以达到控制主机的目的，需要您及时排查系统中的帐户。 HSS检查系统中存在的可疑隐藏帐号、克隆帐号；若存在可疑帐号、克隆帐号等，则触发告警。 × √ √ √ 提权操作 当黑客成功入侵主机后，会尝试利用漏洞进行root提权或者文件提权，从而达到非法创建和修改系统帐号的权限或者篡改文件的目的。 HSS检测当前系统的“进程提权”和“文件提权”操作。 检测以下异常提权操作： 利用SUID程序漏洞进行root提权。 利用内核漏洞进行root提权。 对文件的提权。 × × √ √ Rootkit程序 HSS检测Rootkit安装的文件和目录，帮助用户及时发现可疑的Rootkit安装。 使用文件特征码检测Rootkit。 对隐藏文件、端口、进程的检测。 × × √ √

告警通知项说明 通知项 通知内容 通知内容说明 每日告警通知 每日凌晨检测主机中的风险，汇总并统计检测结果后，将检测结果于每日上午10：00发送给你添加的手机号或者邮箱。 资产管理 危险端口 检测开放了的危险端口或者不必要的端口，通知用户及时排查这些端口是否用于正常业务。 漏洞管理 紧急漏洞 检测系统中的紧急漏洞，通知用户尽快修复，防止攻击者利用该漏洞会对主机造成较大的破坏。 入侵检测 帐户破解防护 检测SSH、RDP、FTP、SQL Server、MySQL等帐户遭受的口令破解攻击。 如果30秒内，帐户暴力破解次数（连续输入错误密码）达到5次及以上，HSS就会拦截该源IP，禁止其再次登录，防止主机因帐户破解被入侵。 SSH类型攻击默认拦截12小时，其他类型攻击默认拦截24小时。 根据帐户暴力破解告警详情，如“攻击源IP”、“攻击类型”和“拦截次数”，您能够快速识别出该源IP是否为可信IP，如果为可信IP，您可以通过手动解除拦截的方式，解除拦截的可信IP。 关键文件变更 对于关键文件变更，HSS只检测目录或文件是否被修改，不关注是人为或者某个进程修改的。 恶意程序 通过程序特征、行为检测，结合AI图像指纹算法以及云查杀，有效识后门、木马、挖矿软件、蠕虫和病毒等恶意程序，也可检测出主机中未知的恶意程序和病毒变种，并提供一键隔离查杀能力。 网站后门 检测云服务器上Web目录中的文件，判断是否为WebShell木马文件，支持检测常见的PHP、JSP等后门文件类型。 反弹Shell 实时监控用户的进程行为，及时发现进程的非法Shell连接操作产生的反弹Shell行为。 异常Shell 检测系统中异常Shell的获取行为，包括对Shell文件的修改、删除、移动、拷贝、硬链接、访问权限变化。 高危命令执行 HSS实时检测当前系统中执行的高危命令，当发生高危命令执行时，及时触发告警。 提权操作 HSS检测当前系统的“进程提权”和“文件提权”操作。 Rootkit程序 HSS检测Rootkit安装的文件和目录，帮助用户及时发现可疑的Rootkit安装。 基线检查 弱口令 检测MySQL、FTP及系统帐号的弱口令。 风险帐号 检测系统中的可疑帐号、主机中无用的帐号，防止未授权的访问权限和使用操作。 配置风险 检测系统中的关键应用，如果采用不安全配置，有可能被黑客利用作为入侵主机系统的手段。 帐户登录 异地登录 检测主机异地登录行为并进行告警，用户可根据实际情况采取相应措施。 若在非常用登录地登录，则触发安全事件告警。 实时告警通知 事件发生时，及时发送告警通知。 入侵检测 帐户异常登录 检测“异地登录”和“帐户暴力破解成功”等异常登录。若发生异常登录，则说明您的主机可能被黑客入侵成功。 恶意程序 通过程序特征、行为检测，结合AI图像指纹算法以及云查杀，有效识后门、木马、挖矿软件、蠕虫和病毒等恶意程序，也可检测出主机中未知的恶意程序和病毒变种，并提供一键隔离查杀能力。 关键文件变更 对于关键文件变更，HSS只检测目录或文件是否被修改，不关注是人为或者某个进程修改的。 网站后门 检测云服务器上Web目录中的文件，判断是否为WebShell木马文件，支持检测常见的PHP、JSP等后门文件类型。 反弹Shell 实时监控用户的进程行为，及时发现进程的非法Shell连接操作产生的反弹Shell行为。 异常Shell 检测系统中异常Shell的获取行为，包括对Shell文件的修改、删除、移动、拷贝、硬链接、访问权限变化。 高危命令执行 HSS实时检测当前系统中执行的高危命令，当发生高危命令执行时，及时触发告警。 提权操作 HSS检测当前系统的“进程提权”和“文件提权”操作。 Rootkit程序 HSS检测Rootkit安装的文件和目录，帮助用户及时发现可疑的Rootkit安装。 帐户登录 登录成功通知 如果在“实时告警通知”项目中勾选了“登录成功通知”选项，则任何帐户登录成功的事件都会向您实时发送告警信息。 如果您所有主机上的帐户都由个别管理员负责管理，通过该功能可以对系统帐户进行严格的监控。 如果系统帐户由多人管理，或者不同主机由不同管理员负责管理，那么运维人员可能会因为频繁收到不相关的告警而对运维工作造成困扰，此时建议您登录企业主机安全服务控制台关闭该告警项。 说明： 登录成功并不代表发生了攻击，需要您确认登录IP是否是已知的合法IP。

主机安全报告模板说明 企业主机安全支持订阅周报和月报，您可以根据需要下载主机安全的周报或者月报；下载安全报告后，您可以根据HSS的检测结果，了解主机风险状态，并及时对主机风险进行处理。 报告模板主要内容包含：风险总览、风险趋势、风险分布、TOP5主机、TOP5暴力破解攻击来源、漏洞统计、资产帐号变动记录、危险开放端口、弱口令、风险帐号、异地登录、恶意程序、网站后门、帐号破解以及关键文件变更。 如下以周报的报告模板为例进行说明。 风险总览 查看本周的风险信息与上周对比的风险情况。 图5 风险总览信息 风险趋势 查看本周的入侵风险趋势和漏洞风险趋势。 图6 风险趋势 TOP5风险主机和TOP5暴力破解攻击来源 查看本周的TOP5风险主机和TOP5暴力破解攻击来源。 图7 TOP5风险主机和TOP5暴力破解攻击来源 漏洞统计 查看本周检测出的漏洞统计信息。 最多仅列举20条风险项，详情请登录企业主机安全控制台查看。 图8 漏洞统计信息 资产帐号变动记录 查看本周检测出的资产变动记录。 最多仅列举20条风险项，详情请登录企业主机安全控制台查看。 图9 资产帐号变动记录 危险开放端口 查看本周检测出的开放的危险端口。 最多仅列举20条风险项，详情请登录企业主机安全控制台查看。 图10 开放的危险端口 弱口令 查看本周检测出的弱口令。 最多仅列举20条风险项，详情请登录企业主机安全控制台查看。 图11 弱口令 风险帐号 查看本周检测出的风险帐号。 最多仅列举20条风险项，详情请登录企业主机安全控制台查看。 图12 风险帐号 异地登录 查看本周检测出的异地登录。 最多仅列举20条风险项，详情请登录企业主机安全控制台查看。 图13 异地登录 恶意程序 查看本周检测出的恶意程序。 最多仅列举20条风险项，详情请登录企业主机安全控制台查看。 图14 恶意程序 网站后门 查看本周检测出的网站后门。 最多仅列举20条风险项，详情请登录企业主机安全控制台查看。 图15 网站后门 帐号破解 查看本周检测出的帐号破解。 最多仅列举20条风险项，详情请登录企业主机安全控制台查看。 图16 帐号破解 关键文件变更 查看本周检测出的关键文件变更。 最多仅列举20条风险项，详情请登录企业主机安全控制台查看。 图17 关键文件变更

告警处理建议 告警名称 告警参数说明 处理建议 帐户暴力破解 服务器名称：云服务器的名称。 IP地址：受影响服务器的IP地址。 攻击源IP：攻击主机的IP地址。 攻击类型：可拦截的攻击类型，包含mysql、mssql、vsftp、filezilla、serv-u、ssh、rdp。 尝试破解次数：被尝试破解的次数。 状态：处理告警事件的状态，“已处理”或者“未处理”。 该告警事件需要您高度重视。 若接收到帐户暴力破解告警通知，说明您的主机可能存在被暴力破解风险，包括但不限于以下这些情况： 系统存在弱口令，同时正在遭受暴力破解攻击。 数次口令输错（但未达到封禁源IP条件）后成功登录。 建议您立即确认源IP是否是已知的合法IP。 若源IP合法。 您可以“忽略”该次告警并手工解除IP封禁。或者“加入告警白名单”，该告警将不会再次触发。 若源IP不合法，是未知IP，那么您的主机系统可能已经被黑客入侵成功。 建议您将该事件标记为“手动处理”。 立即登录系统并修改并设置安全的帐户密码。 通过帐号信息管理和风险帐户排查所有系统帐户，对可疑帐户进行处理，防止攻击者创建新的帐户或者更改帐户权限。 通过恶意程序（云查杀）排查系统是否被植入了恶意程序。针对恶意程序，请登录云主机，尽快结束其进程，阻止恶意程序运行。 帐户异常登录 服务器名称：云服务器的名称。 IP地址：受影响服务器的IP地址。 攻击类型：攻击的类型，包含mysql、mssql、vsftp、filezilla、serv-u、ssh、rdp。 端口：被攻击的端口。 主机：攻击者的IP地址。 用户名：攻击者的用户名。 状态：处理告警事件的状态，“已处理”或者“未处理”。 若检测出帐户异常登录，建议您立即确认该源IP是否是已知的合法IP。 若源IP合法，您可以“忽略”该事件。 如果该登录地是合法的常用登录地，您可以将该地区加入“常用登录地”列表。 若该源IP不合法，是未知IP，那么您的主机系统已经被入侵成功，需要您高度重视。 建议您将该事件标记为“手动处理”，并立即登录系统并修改帐户密码，同时全面排查系统风险，避免系统遭受进一步破坏。 恶意程序（云查杀） 服务器名称：云服务器的名称。 IP地址：受影响服务器的IP地址。 恶意程序路径：恶意程序的路径。 哈希值：哈希值。 文件权限：文件的权限。 运行用户：运行该程序的用户。 程序启动时间：程序启动的时间。 状态：处理告警事件的状态，“已处理”或者“未处理”。 若检测出存在恶意程序，建议您立即对该程序进行确认： 若该程序属于正常业务，您可以“忽略”该事件；或者“加入告警白名单”，该告警将不会再次触发。 若是未知程序或者经确认是恶意程序，建议立即执行进程查杀并隔离程序源文件。 您可以对已检测出的恶意程序或疑似恶意程序，执行一键“隔离查杀”。或者将该事件标记为“手动处理”，立即登录系统终止该进程并全面排查系统风险，避免系统遭受进一步破坏。 HSS提供恶意程序自动隔离查杀功能，可对目前部分主流勒索病毒、DDOS木马等进行主动防护和主动隔离。 建议您启用该功能，加固主机安全防线。详细操作请参见开启恶意程序自动隔离查杀。 若事后确认该程序是无害程序或者查杀该程序影响了业务，可以“取消隔离查杀”，或者从“文件隔离箱”中还原程序源文件。 进程异常行为 服务器名称：云服务器的名称。 IP地址：受影响服务器的IP地址。 疑似恶意程序路径：疑似恶意程序的路径。 文件权限：文件的权限。 PID：进程ID。 命令行：启动异常进程的命令行。 父进程PID：父进程的进程ID。 父进程程序路径：父进程的程序路径。 行为：该异常进程的行为，例如：高CPU。 连接数： CPU使用频率：CPU的使用频率。 状态：处理告警事件的状态，“已处理”或者“未处理”。 若检测出进程异常行为，建议您立即对该进程进行确认： 若该进程属于正常业务，您可以“忽略”该事件；或者“加入告警白名单”，该告警将不会再次触发。 若是未知进程或者经确认是恶意程序，建议立即执行进程查杀并隔离程序源文件。 您可以对已检测出的恶意程序或疑似恶意程序，执行一键“隔离查杀”。或者将该事件标记为“手动处理”，立即登录系统终止该进程并全面排查系统风险，避免系统遭受进一步破坏。 HSS提供恶意程序自动隔离查杀功能，可对目前部分主流勒索病毒、DDOS木马等进行主动防护和主动隔离。 建议您启用该功能，加固主机安全防线。详细操作请参见开启恶意程序自动隔离查杀。 若事后确认该程序是无害程序或者查杀该程序影响了业务，可以“取消隔离查杀”，或者从“文件隔离箱”中还原程序源文件。 关键文件变更 服务器名称：云服务器的名称。 IP地址：受影响服务器的IP地址。 操作：对关键文件执行的操作。 文件路径：被操作的关键文件的路径。 移动到：移动到的路径。 是否目录：操作的是否是目录，“true”或者“false”。 状态：处理告警事件的状态，“已处理”或者“未处理”。 若检测出关键文件变更，建议您立即对该变更进行确认： 若合法，您可以“忽略”该告警。 若不合法，关键文件被异常的读取、写入、删除等，确认非用户主动行为。 建议您将该事件标记为“手动处理”，立即将该文件替换为操作系统的标准版本。并修改帐户密码，同时全面排查系统风险，避免系统遭受进一步破坏。 网站后门 服务器名称：云服务器的名称。 IP地址：受影响服务器的IP地址。 木马文件路径：木马所在的文件路径。 发现时间：发现的时间。 状态：处理告警事件的状态，“已处理”或者“未处理”。 若检测出网站后门，建议您立即确认该文件是否合法。 若合法，您可以“忽略”该告警；或者“加入告警白名单”，该告警将不会再次触发。 若不合法，建议您将该事件标记为“手动处理”，并对该文件立即执行隔离。 反弹/异常Shell 服务器名称：云服务器的名称。 IP地址：受影响服务器的IP地址。 文件路径：文件的路径。 详情：详情。 状态：处理告警事件的状态，“已处理”或者“未处理”。 若检测出反弹/异常Shell，建议您立即确认该反弹/异常Shell是否合法。 若合法，您可以“忽略”该事件。 若不合法，请将该事件标记为“手动处理”，建议您立即登录系统阻断非法连接或者命令执行，并全面排查系统风险，避免系统遭受进一步破坏。 高危命令执行 服务器名称：云服务器的名称。 IP地址：受影响服务器的IP地址。 哈希值：哈希值。 PID：进程的ID。 进程路径：进程的路径。 进程命令：执行该进程的命令。 父进程PID：父进程的ID。 父进程路径：父进程的路径。 父进程命令：执行父进程的命令。 会话用户名：会话的用户名。 运行用户：运行的用户。 状态：处理告警事件的状态，“已处理”或者“未处理”。 若检测出高危命令执行，建议您立即确认该高危命令执行是否合法。 若合法，您可以“忽略”该事件；或者“加入告警白名单”，该告警将不会再次触发。 若不合法，请将该事件标记为“手动处理”，建议您立即登录系统排查该命令所执行的操作，并全面排查系统风险，避免系统遭受进一步破坏。 自启动检测 服务器名称：云服务器的名称。 IP地址：受影响服务器的IP地址。 服务名：自启动服务的名称。 路径：自启动服务的路径。 类型：自启动的类型。 事件类型：事件的类型。 运行用户：运行的用户。 文件HASH：文件的HASH。 状态：处理告警事件的状态，“已处理”或者“未处理”。 若检测出新增自启动项，需要用户自行判断该自启动是否合法。 若合法，您可以“忽略”该事件；或者“加入告警白名单”，该告警将不会再次触发。 若不合法，请将该事件标记为“手动处理”，建议您立即登录系统删除非法自启动项目，并全面排查系统风险，避免系统遭受进一步破坏。 风险帐户 服务器名称：云服务器的名称。 IP地址：受影响服务器的IP地址。 帐号名：风险帐号的名称。 用户组：风险帐号所在的用户组。 UID/SID：UID/SID。 用户目录：用户的目录。 用户启动Shell：用户启动的Shell。 状态：处理告警事件的状态，“已处理”或者“未处理”。 若检测出风险帐号，建议您立即确认该帐号是否合法。 若合法，您可以“忽略”该事件。 若不合法，请将该事件标记为“手动处理”，建议执行以下操作： 删除可疑帐号 删除主机中无用的系统登录帐号，如SSH帐号。 删除主机中MySQL、FTP使用的无用的帐号。 限制帐号权限 通过限制关键配置项，限制非管理员的文件访问权限和文件修改权限，防止未授权的访问权限和使用操作。 提权操作 服务器名称：云服务器的名称。 IP地址：受影响服务器的IP地址。 提权方式：提权的方式。 提权文件路径：提权文件的路径。 状态：处理告警事件的状态，“已处理”或者“未处理”。 若检测出提权操作，建议您立即确认该提权操作是否合法。 若合法，您可以“忽略”该事件。 若不合法，请将该事件标记为“手动处理”，建议您立即登录系统阻止非法创建和修改系统帐号或者篡改文件的行为，并全面排查系统风险，避免系统遭受进一步破坏。 Rootkit程序 服务器名称：云服务器的名称。 IP地址：受影响服务器的IP地址。 Rootkit名称：Rootkit的名称。 子模块名称：子模块的名称。 特征：Rootkit程序特征。 状态：处理告警事件的状态，“已处理”或者“未处理”。 若检测出Rootkit程序安装，建议您立即确认该Rootkit安装是否合法。 若合法，您可以“忽略”该事件。 若不合法，请将该事件标记为“手动处理”，建议您立即登录系统终止该Rootkit安装行为，并全面排查系统风险，避免系统遭受进一步破坏。

背景信息 程序运行认证功能支持将重点防御的主机加入到白名单策略中，通过检测白名单中指定的应用程序区分“可信”、“不可信”和“未知”，防止未经白名单授权的程序运行。可避免您的主机受到不可信或恶意程序的侵害，还能防止不必要的资源浪费、保证您的资源被合理利用。 在创建白名单策略之后，您可以通过在需要重点防御的主机中应用该白名单策略，企业主机安全将检测服务器中是否存在可疑或恶意进程，并对不在白名单中的进程进行告警提示或者隔离。 非白名单中的应用程序启动时，会触发告警。 非白名单内的应用程序启动，可能是新启动的正常程序，或是被入侵后植入的恶意程序。 若提示告警的应用程序为正常程序、常用程序或者您安装的第三方程序，建议您将该应用程序加入白名单。已加入白名单的应用程序再次启动时，将不再触发告警。 若该进程为恶意程序，建议您及时清理该进程，并查看计划任务等配置文件是否被篡改。

授权列表 权限 授权项 依赖的授权项 IAM 项目(Project) 企业项目(Enterprise Project) 查询主机安全防护列表 hss:hosts:list vpc:ports:get vpc:publicIps:list ecs:cloudServers:list √ √ 云服务器开启或关闭防护 hss:hosts:switchVersion - √ √ 手动检测 hss:hosts:manualDetect - √ √ 手动检测返回检测状态 hss:manualDetectStatus:get - √ √ 查询弱口令检测报告 hss:weakPwds:list - √ √ 查询帐户破解防护报告 hss:accountCracks:list - √ √ 帐户破解防护解除拦截IP hss:accountCracks:unblock - √ √ 查询恶意程序检测报告 hss:maliciousPrograms:list - √ √ 查询异地登录检测报告 hss:abnorLogins:list - √ √ 查询关键文件变更报告 hss:keyfiles:list - √ √ 查询开放端口信息列表 hss:ports:list - √ √ 查询漏洞列表 hss:vuls:list - √ √ 批量操作漏洞 hss:vuls:operate - √ √ 查询帐号信息列表 hss:accounts:list - √ √ 查询软件信息列表 hss:softwares:list - √ √ 查询Web路径列表 hss:webdirs:list - √ √ 查询进程信息列表 hss:processes:list - √ √ 查询配置检测报告 hss:configDetects:list - √ √ 查询网站后门检测报告 hss:webshells:list - √ √ 查询风险帐号检测报告 hss:riskyAccounts:list - √ √ 云服务器风险统计 hss:riskyDashboard:get - √ √ 查询口令复杂度策略检测报告 hss:complexityPolicys:list - √ √ 批量操作恶意程序 hss:maliciousPrograms:operate - √ √ 批量操作开放端口 hss:ports:operate - √ √ 操作配置检测风险 hss:configDetects:operate - √ √ 批量操作网站后门 hss:webshells:operate - √ √ 设置常用登录地 hss:commonLocations:set - √ √ 查询常用登录地 hss:commonLocations:list - √ √ 设置常用登录IP hss:commonIPs:set - √ √ 查询常用登录IP hss:commonIPs:list - √ √ 设置登录IP白名单 hss:whiteIps:set - √ √ 查询登录IP白名单 hss:whiteIps:list - √ √ 设置自定义弱口令 hss:weakPwds:set - √ √ 查询自定义弱口令 hss:weakPwds:get - √ √ 设置Web路径 hss:webDirs:set - √ √ 查询Web路径 hss:webDirs:get - √ √ 查询双因子认证服务器列表 hss:twofactorAuth:list - √ √ 设置双因子认证 hss:twofactorAuth:set - √ √ 开启或关闭恶意程序自动隔离查杀 hss:automaticKillMp:set - √ √ 查询恶意程序自动隔离查杀 hss:automaticKillMp:get - √ √ 订阅安全报告 hss:safetyReport:set - √ √ 查询安全报告 hss:safetyReport:list - √ √ 查询包周期配额 hss:quotas:get - √ √ 购买配额 hss:quotas:set - √ √ 查询Agent下载地址 hss:installAgent:get - √ √ 卸载Agent hss:agent:uninstall - √ √ 查询主机安全告警 hss:alertConfig:get - √ √ 设置主机安全告警 hss:alertConfig:set - √ √ 查询网页防篡改防护列表 hss:wtpHosts:list vpc:ports:get vpc:publicIps:list ecs:cloudServers:list √ √ 开启或关闭网页防篡改 hss:wtpProtect:switch - √ √ 设置备份服务器 hss:wtpBackup:set - √ √ 查询备份服务器 hss:wtpBackup:get - √ √ 设置防护目录 hss:wtpDirectorys:set - √ √ 查询防护目录列表 hss:wtpDirectorys:list - √ √ 查询网页防篡改防护记录 hss:wtpReports:list - √ √ 设置特权进程 hss:wtpPrivilegedProcess:set - √ √ 查询特权进程列表 hss:wtpPrivilegedProcesses:list - √ √ 设置防护模式 hss:wtpProtectMode:set - √ √ 查询防护模式 hss:wtpProtectMode:get - √ √ 设置防护文件系统 hss:wtpFilesystems:set - √ √ 查询防护文件系统列表 hss:wtpFilesystems:list - √ √ 设置定时关闭防护 hss:wtpScheduledProtections:set - √ √ 查询定时关闭防护设置 hss:wtpScheduledProtections:get - √ √ 设置网页防篡改告警 hss:wtpAlertConfig:set - √ √ 查询网页防篡改告警 hss:wtpAlertConfig:get - √ √ 查询网页防篡改统计信息 hss:wtpDashboard:get - √ √ 查询策略组信息 hss:policy:get - √ √ 设置策略组信息 hss:policy:set - √ √ 查询程序运行认证 hss:ars:get - √ √ 设置程序运行认证 hss:ars:set - √ √ 查询入侵检测事件列表 hss:event:get - √ √ 入侵检测事件操作 hss:event:set - √ √ 查询服务器分组信息 hss:hostGroup:get - √ √ 设置服务器组 hss:hostGroup:set - √ √ 文件完整性管理 hss:keyfiles:set - √ √ 查询关键文件变更报告 hss:keyfiles:list - √ √ 查询自启动列表 hss:launch:list - √ √

支持的授权项 策略包含系统策略和自定义策略，如果系统策略不满足授权要求，管理员可以创建自定义策略，并通过给用户组授予自定义策略来进行精细的访问控制。策略支持的操作与API相对应，授权项列表说明如下： 权限：允许或拒绝某项操作。 授权项：自定义策略中支持的Action，在自定义策略中的Action中写入授权项，可以实现授权项对应的权限功能。 依赖的授权项：部分Action存在对其他Action的依赖，需要将依赖的Action同时写入授权项，才能实现对应的权限功能。 IAM项目(Project)/企业项目(Enterprise Project)：自定义策略的授权范围，包括IAM项目与企业项目。授权范围如果同时支持IAM项目和企业项目，表示此授权项对应的自定义策略，可以在IAM和企业管理两个服务中给用户组授权并生效。如果仅支持IAM项目，不支持企业项目，表示仅能在IAM中给用户组授权并生效，如果在企业管理中授权，则该自定义策略不生效。关于IAM项目与企业项目的区别，详情请参见：IAM与企业管理的区别。 “√”表示支持，“x”表示暂不支持。 企业主机安全服务（HSS）支持的自定义策略授权项如下所示： 授权列表，包含HSS对应的授权项，如查询主机安全防护列表、云服务器开启或关闭防护、手动检测等。

查看单个云服务器变更文件 在云服务器列表中，查看服务器对应的文件和注册表变更总数、变更文件、变更注册表和最后变更时间，如图3所示。 图3 云服务器列表页面 单击服务器名称，你可以在列表上方查看该服务器的变更统计总数，包括变更总数、变更文件数量、变更注册表数量，如图4所示。 可以通过单击“高级搜索”，输入“服务器名称”，选择“变更时间”搜索符合条件的服务器。 图4 服务器变更详情 在该服务器的文件列表中，您可以查看该服务器文件和注册表的变更详情。 包含“文件名称”、“路径”、“变更内容”、“变更类型”、“变更类别”和“变更时间”。 可以通过在列表上方输入文件名称或者文件路径，搜索符合条件的文件。 可以通过单击“高级搜索”，输入“文件名称”、“文件路径”，选择“变更时间”、“变更类型”、“变更类别”或者“信任状态”搜索符合条件的文件。

检测原理 表1 漏洞检测原理 漏洞分类 原理说明 Linux软件漏洞 通过与漏洞库进行比对，检测出系统和软件（例如：SSH、OpenSSL、Apache、MySQL等）是否存在的漏洞，将结果上报至管理控制台，并为您提供漏洞告警。 Windows系统漏洞 通过订阅微软官方更新，判断服务器上的补丁是否已经更新，并推送微软官方补丁，将结果上报至管理控制台，并为您提供漏洞告警。 Web-CMS漏洞 通过对Web目录和文件进行检测，识别出Web-CMS漏洞，将结果上报至管理控制台，并为您提供漏洞告警。 支持检测的软件类型如下： wordpress Joomla drupal discuz 漏洞管理显示24小时内检测到的结果。若检测到主机存在漏洞后，您修改了主机的名称，检测结果会显示原主机名称。

导出漏洞报告 在漏洞列表的右上角，单击，导出漏洞报告。 HSS支持导出5000条漏洞数据，超出的部分数据将无法导出。 例如：HSS检测到两个漏洞P1和P2，P1漏洞存在于N台主机中，P2漏洞存在于M台主机中，在导出漏洞报告时，则为N+M条漏洞数据。 报告是展示了全部主机的安全情况，因此导出的漏洞报告是全部主机的报告，不支持只导出单台主机报告。 主机安全服务每日凌晨会自动进行一次全面的扫描检测，扫描结束后可下载漏洞报告，若有手动扫描需求，可升级至主机安全（新版）进行手动检测，扫描后可立即导出扫描报告。

配置SSH登录IP白名单 SSH登录IP白名单功能是防护帐户爆破的一个重要方式，主要是限制需要通过SSH登录的服务器。 配置了白名单的服务器，只允许白名单内的IP通过SSH登录到服务器，拒绝白名单以外的IP： 启用该功能时请确保将所有需要发起SSH登录的IP地址都加入白名单中，否则您将无法SSH远程登录您的服务器。 若您的业务需要访问主机，但不需要SSH登录，则可以不用添加到白名单。 IP加入白名单后，帐户破解防护功能将不再对来自白名单中的IP登录行为进行拦截，该IP对您加入白名单的服务器登录访问将不受任何限制，请谨慎操作。 使用鲲鹏计算EulerOS（EulerOS with ARM）和Centos 8.0及以上版本的主机，SSH登录IP白名单功能对其不生效。 在“SSH登录IP白名单”页面，单击“添加白名单IP”。 图6 SSH登录IP白名单 在“添加SSH登录IP白名单”对话框中输入“白名单IP”，在“可选云服务器”列表中选择云服务器，如图7所示。 图7 配置白名单 “白名单IP”必须填写公网IP或者IP段（支持IPv6、IPv4地址）。如果设置的非公网IP地址，您将无法SSH远程登录您的服务器。

相关操作 编辑服务器组 在待修改的服务器组所在行的操作列，单击“编辑”，修改服务器组。 在弹出的对话框中，重新设置分组包含的云服务器。 完成修改后，单击“确定”，完成服务器组的修改。 查看服务器组 在服务器组列表中，单击服务组的名称，可以查看服务器组中主机的状态、Agent状态、防护状态、检测结果等信息。 删除服务器组 在需要删除的服务器组所在行的“操作”列，单击“删除”，删除单个服务器组。 服务器组被删除后，隶属于该服务器组的所有云服务器将被划分到“未分组”中。

分配服务器到组 若服务器没有被分配到服务器组，您可以将服务器分配到已创建的服务器组。 单击“云服务器”，进入云服务器列表界面。 选中需要分配到服务器组的一台或多台云服务器，单击“分配到组” ，将云服务器分配到服务器组，如图4所示。 图4 分配到服务器组 您也可以在云服务器所在行的操作列，单击“更多”，然后单击“分配到组”，分配云服务器到服务器组。 在弹出的对话框中，选择服务器组后，单击“确定”，完成分配云服务器到服务器组的操作，如图5所示。 图5 选择服务器组 一个云服务器只能分配到一个服务器组。

部署策略 在左侧导航栏，选择“主机管理”，单击“云服务器”，进入云服务器列表界面。 选中需要进行策略部署的一台或多台云服务器，单击“部署策略”，如图5所示。 图5 部署策略 在弹出的对话框中，选择策略组后，单击“确定”，完成部署策略操作。 图6 选择策略组 若当前云服务器已部署策略，再次部署策略时，会替换原有的策略组。 在1分钟内，策略组将被部署到所选主机上，对应的安全功能将会被启用。 对当前处于离线状态的主机，策略部署不会立即生效，需要等主机再次上线后，部署才会生效。 策略部署完成后，您可以通过开启或者关闭策略组中的策略的方式，或者修改策略组中策略内容的方式修改策略组。 已经部署的策略组不能删除。

操作须知 开启企业版防护时，默认绑定“默认企业版策略组”（包含“弱口令检测”和“网站后门检测”策略），应用于全部的云服务器，不需要单独部署策略。 购买“旗舰版”或者“网页防篡改赠送旗舰版”后，开启旗舰版/网页防篡改版防护时，默认绑定了“默认旗舰版策略组”。 用户也可以通过复制“默认旗舰版策略组”的方式，创建自定义策略组，将“默认旗舰版策略组”替换为用户的自定义策略组，更加灵活的应用于不同的云服务器或者云服务器组。

创建策略组 选择“default_premium_policy_group （默认旗舰版策略组）”策略组，在该策略组所在行的操作列中，单击“复制”，如图2所示。 图2 复制策略组 在弹出的对话框中，输入“策略组名称”和“描述”，如图3所示。 策略组的名称不能重复，如果尝试通过复制来创建一个同名的策略组，将会失败。 “策略组名称”和“描述”只能包含中文、字母、数字、下划线、中划线、空格，并且首尾不能为空格。 图3 创建策略组 单击“确定”，将会创建一个新的策略组。 单击已创建的策略组名称，进入策略组的策略页面，如图4所示。 图4 策略组策略 单击策略名称，修改具体的策略内容，详细信息请参见修改策略内容。 策略内容修改完成后，单击策略所在行的“开启”或者“关闭”，开启或者关闭对应的策略。

前提条件 已完成创建文件系统，并获取到文件系统的挂载地址。 存在至少一台与文件系统所属VPC相同的云服务器。 云服务器（ECS）上已配置了用于内网解析文件系统域名的DNS服务器的IP地址，具体配置操作请参见配置DNS。 针对SFS Turbo HPC型和HPC缓存型文件系统，使用域名（DNS）挂载文件系统时，不支持跨区域（Region）挂载，但可以通过指定IP的方式跨区域（Region）挂载，网络互通方式具体参考云连接CC“跨区域VPC互通”。