华为云用户手册

短信控制台访问异常如何处理？ 异常现象 处理建议 进入控制台一直在转圈，不显示。 进入控制台提示没有权限，无法访问。 已申请短信签名和模板，仍无法购买套餐包（按钮灰色，无法点击）。 签名管理页面，已申请的短信签名未显示；模板管理页面，已申请的短信模板未显示。 请检查本地网络，确保能正常访问公网。 请参考浏览器兼容性，选择合适的浏览器。 请切换区域（如：华北-北京一）后重试。 请清理浏览器缓存后重试。 请更换电脑访问短信控制台。 请确认是否修改过华为云账号的账号名，修改回原账号名后重试。 父主题： 故障排除

短信群发助手中，为何无法选择短信签名和模板？ 使用群发助手提交发送任务时，请按先后顺序依次选择“短信应用” 、 “短信签名”、“短信模板”。 国内短信应用、签名、模板之间的关联关系，详见短信资源介绍。若下拉选项为空，请按下表处理。 参数 问题现象 可能原因 处理建议 短信应用 下拉选项为空，显示“暂无数据” 该华为云账号下还未添加短信应用。 请先创建短信应用。 短信签名 未选择“短信应用”。 已选择的“短信应用”下无可用的短信签名。 请检查“短信应用”参数，并确认选择正确。 请检查该应用下是否有可用的非验证码类短信签名。若没有，请先申请短信签名。 短信模板 未选择“短信应用”。 （仅国内短信）未选择“短信签名”。 （仅国内短信）已选择的“短信签名”下无可用的短信模板。 请检查“短信应用”参数，并确认选择正确。 （仅国内短信）请检查“短信签名”参数，并确认选择正确。 （仅国内短信）请检查该签名下是否有可用的短信模板。若没有，请先申请短信模板。 父主题： 故障排除

为什么之前申请的应用、签名和模板没有了？ 短信平台不会删除您的短信应用、签名和模板。你可以做如下尝试： 请检查目前控制台的区域是否为开通服务、申请应用、签名和模板的区域，如果您中途切换区域，签名和模板不会同步转移。建议您尝试切换到华北-北京四或华南-广州查看应用、签名和模板是否存在。 请确认您之前使用的签名和模板是否为测试签名和模板，测试的签名和模板的使用有效期为1个月，到期将会自动清除。 图1 测试的签名示例 图2 测试的模板示例 请确认您在筛选签名和模板时，筛选条件设置是否合理。如模板的实际创建时间为2022/6/1，筛选“创建时间”却设置为2022/6/1之前，则该模板不显示。 父主题： 故障排除

为什么个别号码收不到短信？ 个别号码收不到短信，请通过短信控制台查看短信发送状态。 如果状态显示错误码，请参考状态回执错误码处理。例如当状态码显示MBBLACK时，说明手机号码位于黑名单中，可能是该号码回复过退订信息或者该号码用户向工信部投诉过，如果该号码需要接收短信，可以联系华为云客服处理。 如果短信发送状态显示成功，手机未收到短信，建议检查接收方手机号码是否欠费停机、手机是否关机，无信号，或者手机本地是否有拦截。如果手机状态正常，仍收不到短信，建议报工单联系华为云客服处理。 父主题： 故障排除

为什么短信发送失败？ 短信发送失败的可能原因很多，按业务流程梳理的典型场景有如下几种： 接口调用失败，即调用短信业务API发送短信，短信平台返回了携带错误码的响应信息。请参考API错误码处理。 接口调用成功，一直未返回状态报告，手机也未收到短信。 请拨打接收号码确认是否为空号、关机、停机等无法正常接收短信的状态。短信平台最多72小时一定会返回状态报告。 可能是您的短信内容触发了运营商的人工审核流程，通常一个模板初次触发人工审核通过后，后续就不会再触发了。如您的短信内容反复触发运营商的人工审核流程，而您的业务对短信的实时性要求较高，请联系客服确认问题并申请免审核。其中，如果是华为平台拦截，在运营经理许可的情况下，可以将该类模板配置为免审核。如果是运营商拦截，请修改短信内容（修改模板变量赋值或重新申请模板），避免出现敏感词。 接口调用成功，状态报告显示短信发送失败。请参考状态回执错误码处理。 接口调用成功，状态报告显示短信发送成功（DELIVRD），但手机未收到短信。 请检查短信是否被拦截到垃圾信箱里。 手机有没有信号，能否正常接收其他短信。 手机收件箱是不是已满，删除一些看是否可以正常接收。 将SIM卡换到其他手机上进行测试。 请重启手机后，查看是否接收正常。 账户因欠费导致短信业务被停用。请您先进行账户充值，然后登录控制台-签名管理，查看短信签名是否需要激活。 如果无需激活，账户充值完毕后即可使用。 如果签名状态显示“待激活”，则该签名激活后才能使用，点击“激活"，激活申请提交至运营经理审核，待审核完毕后即可使用。 父主题： 故障排除

如何处理调用短信API超时？ 如果在您在服务器上调用短信API超时，没有响应。 处理建议如下： 请检查请求地址是否正确，修正后重试。 请检查客户服务器IP地址是否为国际IP地址，被限制接入，建议购买国内服务器。 当您的业务满足如下两个要求时，可以申请将国际IP地址加入短信平台IP白名单： 客户的服务部署在华为云海外节点上，有对口的客户经理清楚的了解客户的相关业务。 国际IP入口必须只是行业短信（通知短信和验证码短信），且短信签名和内容需要报备。 请检查客户服务器防火墙配置，放通短信控制台中应用管理页面指定的API接入地址的端口。 请检查客户服务器网络（如：内网、局域网等），能否正常访问短信服务接入 域名 。 ping smsapi.cn-north-1.myhuaweicloud.com 父主题： 故障排除

开通短信服务异常，如何处理？ 异常现象 处理建议 提示“您尚未绑定邮箱，去绑定”。 请进入账号中心，查看是否已绑定注册邮箱。如果未绑定，请绑定后重试；如果已绑定，请修改绑定后重试。 提示“检测到华为云账号变更，请联系客服进行资源的关联”。 请确认是否修改过华为云账号的账号名，修改回原账号名后重试，或提供修改前后的账号名，联系华为云客服处理。 提示“没有余额无法正常开通”。 请参考如何给账户充值，充值后再开通短信服务。 提示“暂不支持 IAM 用户开通服务，请使用主账号登录后开通服务”。 消息&短信暂只支持主账号开通服务，请使用主账号登录开通，授予子账号对应区域的消息&短信服务权限。 查询服务是否开通报错。 请检查账号实名认证信息，确认已通过华为云企业实名认证。请确认用户基本信息已完善，手机号已绑定。 国内短信请单击页面左上角“控制台”，切换区域至华北-北京四。 请确认已勾选“我已阅读并同意《消息&短信服务使用声明》”。 请清理浏览器缓存后重试。 单击“立即开通”无反应或页面未跳转。 无法单击“立即开通”（按钮呈灰色，不可点击）。 父主题： 故障排除

使用限制 单账号跟踪的事件可以通过 云审计 控制台查询。多账号的事件只能在账号自己的事件列表页面去查看，或者到组织追踪器配置的OBS桶中查看，也可以到组织追踪器配置的 CTS /system日志流下面去查看。 用户通过云审计控制台只能查询最近7天的操作记录。如果需要查询超过7天的操作记录，您必须配置转储到 对象存储服务 (OBS)或 云日志 服务(LTS)，才可在OBS桶或LTS日志组里面查看历史事件信息。否则，您将无法追溯7天以前的操作记录。 云上操作后，1分钟内可以通过云审计控制台查询管理类事件操作记录，5分钟后才可通过云审计控制台查询数据类事件操作记录。

模板消息体说明 转码启用的模板消息内容如下所示。 尊敬的用户，您的视频转码任务已经启动。任务ID：{task_id}，请登录转码Console或调用转码API获取详细转码信息。 转码/截图/转封装/生成动图完成（成功）的模板消息内容如下所示。 尊敬的用户，您的视频{转码/截图/转封装/生成动图}任务已成功完成。任务ID：{task_id}，请登录转码Console或调用转码API获取详细转码信息。 转码/截图/转封装/生成动图完成（失败）的模板消息内容如下所示。 尊敬的用户，您的视频{转码/截图/转封装/生成动图}任务处理时出现错误。任务ID：{task_id}，错误码：{err_code}，错误信息：{err_msg}。

授权方式说明 媒体处理 服务提供两种授权方式，您选择其中一种即可。两种授权方式的主要区别在于访问对象存储的角色不同，导致转码后的文件的所属不同。 授权方式 授权说明 桶授权 媒体处理服务仅拥有已授权桶的读写权限。 媒体处理服务通过MPC角色访问您的对象存储资源，转码后的文件存储在输出桶，您可以下载或删除，但是该文件属于媒体处理服务，不会继承输出桶的桶策略。 如果需要改变转码文件的权限，需要单独设置该文件的ACL。设置方式请参见配置对象ACL权限。 委托授权 媒体处理服务拥有您所有桶的读写权限。子账号不支持委托授权。 媒体处理服务通过您的角色访问对象存储资源，转码后的文件属于您的角色，可以继承输出桶的桶策略。

计费周期 按需计费CFW资源按秒计费，每一个小时整点结算一次费用（以UTC+8时间为准），结算完毕后进入新的计费周期。计费的起点以CFW实例创建成功的时间点为准，终点以实例删除时间为准。 云防火墙 从创建到启动需要一定时长，计费的起点是创建成功的时间点，而非创建时间。 例如，您在8:45:30成功购买了一套按需计费的专业版云防火墙，然后在8:55:00将其删除，则计费周期为8:00:00 ~ 9:00:00，在8:45:30 ~ 8:55:30间产生费用，该计费周期内的计费时长为600秒。

计费示例 假设您在2024/04/18 9:59:30购买了一套按需计费的专业版云防火墙，最大产生了10 GB流量，计费资源包括专业版和10 GB流量，然后在2024/04/18 10:45:46将其删除，则： 第一个计费周期为9:00:00 ~ 10:00:00，在9:59:30 ~ 10:00:00间产生费用，该计费周期内的计费时长为30秒。 第二个计费周期为10:00:00 ~ 11:00:00，在10:00:00 ~ 10:45:46间产生费用，该计费周期内的计费时长为2746秒。 您需要为每个计费周期付费，各项CFW资源单独计费，计费公式如表 计费公式所示。产品价格详情中标出了资源的每小时价格，您需要将每小时价格除以3600，得到每秒价格。 表1 计费公式 产品信息 计费公式 服务版本 服务版本 * 计费时长 实际使用流量 使用流量 * 流量价格。 图1给出了上述示例配置的费用计算过程。 图中价格仅供参考，实际计算请以云防火墙价格详情中的价格为准。 图1 按需计费CFW费用计算示例

CFW计费模式概述 云防火墙提供包年/包月、按需计费两种计费模式，以满足不同场景下的用户需求。如您需要快速了解CFW服务不同计费模式的具体价格，请参见CFW价格详情。 包年/包月：一种预付费模式，即先付费再使用，按照订单的购买周期进行结算。购买周期越长，享受的折扣越大。一般适用于设备需求量长期稳定的成熟业务。 按需计费：一种后付费模式，即先使用再付费，按照云防火墙实际使用时长计费，秒级计费，按小时结算。按需计费模式允许您根据实际业务需求灵活地调整资源使用，无需提前预置资源，从而降低预置过多或不足的风险。一般适用于电商抢购等设备需求量瞬间大幅波动的场景。 表1列出了计费模式的区别。 表1 计费模式 计费模式 包年/包月 按需计费 付费方式 预付费 按照订单的购买周期结算。 后付费 按照云防火墙实际使用时长和实际处理流量计费。 计费周期 按订单的购买周期计费。 秒级计费，按小时结算。 使用量类型 服务版本； 扩展包数量（扩展防护公网IP数、扩展防护流量峰值、扩展VPC数） 服务版本 使用时长 变更计费模式 不支持变更为按需计费模式。 不支持变更为包年/包月计费模式。 变更规格 支持变更服务版本规格。 不涉及 适用场景 适用于可预估资源使用周期的场景，购买时长越久价格越优惠。 比按需计费模式更优惠。对于长期使用者，推荐该方式。 适用于计算资源需求波动的场景，可以随时开通，随时删除。 父主题： 计费模式

主机扫描权限异常如何处理？ 当使用主机扫描功能遇到如下报错时， CodeArts Inspector.00050001: The user role has no permission to access the interface. User: AAA:user:BBB is not authorized to perform: kms:cmk:decryptData. 需登录AAA账号，检查BBB用户是否含有kms:cmk:decryptData权限。 如果没有kms:cmk:decryptData权限，可参考IAM指导文档手动添加相应的权限再进行互通性测试。 父主题： 主机扫描类

如何确认目的主机是否支持公钥认证登录和root登录？ 执行如下命令查看配置文件是否开启公钥认证和root登录： egrep 'PubkeyAuthentication|PermitRootLogin' /etc/ssh/sshd_config 若出现如下回显则表示开启了公钥认证方式。 PubkeyAuthentication yes 若出现如下回显则表示允许root登录。 PermitRootLogin yes 父主题： 主机扫描类

如何生成私钥和私钥密码？ 当主机扫描通过密钥的方式来登录目的主机时，会涉及到私钥和私钥密码的填写。 私钥和私钥密码的生成方式如下： 在目的主机上执行ssh-keygen命令生成公钥和私钥，按照提示信息输入生成密钥的文件路径，并输入2次私钥密码。 执行ls命令可查看在设置的文件路径下生成的公钥和私钥文件。 将公钥配到目的主机的sshd服务认证配置里面，然后执行systemctl restart sshd命令重启ssh服务。 执行cat命令查看私钥文件内容，并将私钥内容进行复制，拷贝至“授权信息管理”页面的私钥文本框中，并输入私钥密码。 到此，源主机就有了私钥，目的主机就有了公钥，源主机发起连接请求到目的主机时，目的主机会随机发送一个字符串给源主机，源主机利用私钥加密该字符串，然后发送给目的主机，目的主机利用公钥解密该字符串，如果和发送时匹配，则认证通过。 父主题： 主机扫描类

使用跳板机扫描内网主机和直接扫描公网主机，在扫描能力方面有什么区别？ 使用跳板机扫描内网主机和直接扫描公网主机，在扫描能力方面区别如表1所示。 表1 扫描能力差异介绍 扫描能力 通过公网IP直接扫描公网主机 通过跳板机扫描内网主机 操作系统安全补丁扫描 支持 支持 远程服务/协议 漏洞扫描 支持 不支持 说明： 远程服务/协议类漏洞的扫描依赖于扫描器与被测目标的相关端口直接交互，因此不能通过跳板机完成测试验证。 操作系统安全配置扫描 支持 支持 Web中间件安全配置扫描 支持 支持 等保合规扫描 支持 支持 父主题： 主机扫描类

开启基于HTTP的WinRM服务 以Windows系统管理员身份运行PowerShell。 执行如下命令查看基于HTTP的WinRM是否开启。 winrm enumerate winrm/config/listener 如果存在报错信息，则表示WinRM服务未开启，请执行3。 如果不存在报错信息，则表示WinRM服务已开启，请执行4。 执行如下命令开启WinRM，选择y完成设置。 winrm quickconfig 配置Auth。 执行如下命令查看Auth信息。 winrm get winrm/config/service/auth 执行如下命令修改“Basic”的值为“true”。 当返回值中“Basic”为“true”时，无需执行该步骤。 winrm set winrm/config/service/auth '@{Basic="true"}' 配置加密方式为允许非加密。 执行如下命令查看Service信息。 winrm get winrm/config/service 当返回值中“AllowUnencrypted”为“false”时，请执行5.b。 执行如下命令修改“AllowUnencrypted”的值为“true”。 winrm set winrm/config/service '@{AllowUnencrypted="true"}' 执行如下命令检查基于HTTP的WinRM服务是否开启成功。 winrm e winrm/config/listener 查看返回值，输出结果有HTTP的“Listener”且“Enabled”为“true”，则为开启状态。

开启基于HTTPS的WinRM服务 基于HTTPS的WinRM只支持Windows Server 2016及以上版本。 以Windows系统管理员身份运行PowerShell。 执行如下命令查看基于HTTPS的WinRM是否开启。 winrm e winrm/config/listener 输出结果有HTTPS的“Listener”且“Enabled”为“true”，则为开启状态。如果未开启，则请直接执行4。 校验WinRM是否使用用户名密码验证及使用的证书是否正确。 执行如下命令查看是否使用用户名密码验证。 执行如下命令查看Auth信息。 winrm get winrm/config/service/auth 执行如下命令修改“Basic”的值为“true”。 当返回值中“Basic”为“true”时，无需执行该步骤。 winrm set winrm/config/service/auth '@{Basic="true"}' 执行如下命令校验WinRM使用的证书是否正确。 ls Cert:\LocalMachine\My\ 如果有输出，且“Thumbprint”与2的Thumbprint对应，“CN”名与主机名对应，则基于HTTPS的WinRM已配置完成。 如果不满足上面任意一条则请直接执行5替换HTTPS WinRM使用的证书。 以Windows系统管理员身份运行cmd，并执行如下命令创建基于HTTPS的WinRM服务。 该步中需要使用CN与主机名相同的证书，如果不同，请先执行5.a生成证书。 winrm create winrm/config/Listener?Address=*+Transport=HTTPS @{Port="5986" ;Hostname="" ;CertificateThumbprint=""} 执行成功结果如上图。其中，“Port”为监听端口（建议不做更改），“CertificateThumbprint”为证书的Thumbprint，“Hostname”为主机名，可通过在PowerShell中输入如下命令获取： hostname 可再通过2～3验证HTTPS WinRM配置是否正确。 替换HTTPS WinRM使用证书。 生成CN与主机名相同的自签名证书。 在PowerShell中输入如下命令创建证书： $params = @{ Type = 'SSLServerAuthentication' Subject = 'CN=' TextExtension = @( '2.5.29.37={text}1.3.6.1.5.5.7.3.1' ) KeyAlgorithm = 'RSA' KeyLength = 2048 CertStoreLocation = 'Cert:\LocalMachine\My\' } New-SelfSignedCertificate @params 其中，除“Subject”的值外，其他值请和上述命令保持一致，“Subject”值的格式为“CN=hostname”，hostname的获取见4。 生成成功会输出证书的Subject和Thumbprint。 执行如下命令替换证书。 Set-WSManInstance -ResourceURI winrm/config/Listener -SelectorSet @{Address="*"; Transport="HTTPS"} -ValueSet @{CertificateThumbprint=""} 其中，“CertificateThumbprint”为证书的Thumbprint，可再通过2～3验证HTTPS WinRM配置是否正确。

为什么安装了最新kernel后，仍报出系统存在低版本kernel漏洞未修复？ 使用yum update kernel将kernel更新至最新版本后，漏洞管理服务扫描EulerOS仍报出大量kernel漏洞。这种情况不属于漏洞管理服务工具误报，而是由于升级kernel之后未及时重启并使用最新版本的kernel运行。kernel升级到最新版本后未重启并运行，实际上仍然使用未升级前的kernel扫描系统，所以漏洞仍然存在。 执行 如下命令可以查看当前系统安装了哪些版本的 kernel。 rpm -qa | grep kernel 执行如下命令可以查看当前系统实际使用的是什么版本的kernel。 uname -a 上面例子中就是实际使用的是低版本的存在大量CVE漏洞的kernel，因此使用漏洞管理服务扫描仍会报kernel存在CVE-2020-0465等漏洞。 此案例对于使用了CentOS、EulerOS、Red Hat、SUSE的用户均适用。 此外还有某些情况下，用户使用的yum源并不是操作系统官方最新的源，也即yum源中没有操作系统最新的安全补丁，此种情况下也可能报出kernel漏洞未修复的问题。此种情况下需要更新yum源为操作系统官方源或者向操作系统提供方寻求安全补丁的支持。总之，需要基于漏洞管理服务扫描报告中的“修复建议”中的installed version和fixed version的内容，进行分析和修复。 父主题： 主机扫描类

主机互通性测试异常如何处理？ 通过互通性测试可以测试待扫描的主机与扫描环境的连通性是否正常。 主机互通性测试不同异常提示的处理方法如下： 目标机或跳板机的SSH服务未开启，无法登录，请开启SSH服务。 目标机或跳板机的SSH服务连接超时，请确认网络是否可连通或是否有防火墙阻隔。 待扫描的主机或跳板机的IP地址网络不通，解决办法请参见如何解决主机不能访问？。 目标机或跳板机的系统账户密码错误，认证失败，请确认授权信息是否正确。 主机授权信息中用户密码不正确，解决办法请参见配置Linux主机授权。 目标机或跳板机的系统账户密钥错误，认证失败，请确认授权信息是否正确。 主机授权信息中用户密钥不正确，解决办法请参见配置Linux主机授权。 目标机的系统账户登录成功但权限不足，无法得到最完整、准确的扫描结果，请确认是否增加系统账户的权限。 主机授权信息中root权限加固场景下，用户密码不正确，解决办法请参见配置普通用户和sudo提权用户漏洞扫描失败案例。 Windows系统暂不支持互通性测试，请使用Linux系统主机进行互通性测试。 父主题： 主机扫描类

如何配置跳板机进行内网扫描？ 使用跳板机进行内网扫描的网络示意图如图1所示。 图1 网络示意图 创建主机扫描任务，IP地址栏填写目标主机的内网IP。 添加跳板机配置。 配置的跳板机“公网IP”需与被测目标机的内网环境互通。 添加跳板机后，还需在该跳板机的ssh配置文件“/etc/ssh/sshd_config”中添加：AllowTcpForwarding yes，用于支持SSH授权登录转发。修改配置后需重启sshd服务。 父主题： 主机扫描类

配置普通用户和sudo提权用户漏洞扫描操作案例 默认情况下，Linux系统没有将普通用户列入到sudoer列表中（普通用户 is not in the sudoers file. This incident will be reported.）: 登录系统并切换到root权限。 输入#vi /etc/sudoers，就会打开sudoers配置文件。 在配置文件末尾添加：普通用户名 ALL=(ALL:ALL) ALL，输入 :wq! ，保存修改。 说明： 使用漏洞管理服务的sudo提权扫描功能时，认证凭据输入位置的“普通用户密码”和“sudo密码”请保持一致，均为“普通用户”的密码。 对于在“/etc/sudoers”中配置了“Defaults targetpw”的操作系统，需要输入root密码才能提权执行命令，因此建议暂时先将“Defaults targetpw”相关配置注释掉，扫描完成后再恢复原配置。 扫描完成后，请还原配置。 父主题： 主机扫描类

漏洞管理服务可以扫描本地的物理服务器吗？ 漏洞管理服务可以扫描本地的物理服务器。若需要扫描本地的物理服务器，需要满足以下条件。 本地网络可通外网。 本地物理服务器为Linux操作系统，且满足以下版本要求： EulerOS：支持的最低系统版本为EulerOS 2.2。 CentOS：支持的最低系统版本为CentOS 6.5。 RedHat：支持的最低系统版本为Red Hat Enterprise Linux 6.10。 Ubuntu：支持的最低系统版本为Ubuntu 16.04 server。 SUSE：支持的最低系统版本为SUSE Enterprise 11 SP4。 OpenSUSE：支持的最低系统版本为OpenSUSE 13.2。 Debian：支持的最低系统版本为Debian 8.2.0。 Kylin OS：支持的系统版本为Kylin OS V10 SP1。 统信UOS：支持的系统版本为统信UOS V20。 Huawei Cloud EulerOS：支持的系统版本为HCE 2.0。 openEuler：支持的系统版本为openEuler 20.03。 可以远程登录到本地物理服务器。 本地物理服务器满足以上条件后，可以在漏洞管理服务界面通过添加跳板机的方式，使用漏洞管理服务扫描本地的物理服务器。 有关物理服务器使用漏洞管理服务的详细介绍，请参见物理服务器可以使用漏洞管理服务吗？。 父主题： 主机扫描类

漏洞管理服务的扫描IP有哪些？ 如果您的网站设置了防火墙或其他安全策略，将导致漏洞管理服务的扫描IP被当成恶意攻击者而误拦截。因此，在使用漏洞管理服务前，请您将以下扫描IP添加至网站访问的白名单中： 119.3.232.114，119.3.237.223，124.70.102.147，121.36.13.144，124.70.109.117，139.9.114.20，119.3.176.1，121.37.207.185，116.205.135.49，110.41.36.44，139.9.57.171，139.9.1.44，121.37.200.40 漏洞管理服务会模拟客户端使用随机端口连接被测试设备，建议放通来自漏洞管理服务这些ip的全量端口。 父主题： 产品咨询类

漏洞管理服务支持多个账号共享使用吗？ 漏洞管理服务支持多个账号或多个IAM用户共享使用，说明如下： 多个账号共享使用 例如，您通过注册华为云创建了2个账号（“domain1”和“domain2”），如果您将“domain1”的权限委托给“domain2”，则“domain2”可以使用“domain1”的漏洞管理服务。 有关委托管理的详细操作，请参见创建委托。 多个IAM用户共享使用 例如，您通过注册华为云创建了1个账号（“domain1”），且由“domain1”账号在IAM中创建了2个IAM用户（“sub-user1a”和“sub-user1b”），如果您授权了“sub-user1b”用户漏洞管理服务的权限策略，则“sub-user1b”用户可以使用“sub-user1a”用户的漏洞管理服务。 有关漏洞管理服务权限管理的详细操作，请参见创建用户并授权使用漏洞管理服务。 父主题： 产品咨询类

漏洞管理服务从哪些漏洞源获得已知漏洞信息？ 漏洞管理服务的已知漏洞信息来源主要为各操作系统厂商的安全公告、NVD公开漏洞库等。漏洞信息来源及修复建议中可能会包含一些公网域名，主要提供用户漏洞的官方参考链接，便于用户参考，具体如下所示： en.wikipedia.org、wiki.debian.org、lkml.iu.edu、www.huaweicloud.com、github.com、lists.apache.org、spring.io、oval.mitre.org、usn.ubuntu.com、ubuntu.com、lists.suse.com、bugzilla.suse.com、www.suse.com、lists.centos.org、access.redhat.com、bugzilla.redhat.com、lists.debian.org、salsa.debian.org、security-tracker.debian.org、bugs.debian.org、packages.debian.org、developer.huaweicloud.com、api.msrc.microsoft.com、support.microsoft.com、portal.msrc.microsoft.com、lists.fedoraproject.org、bodhi.fedoraproject.org、www.kylinos.cn、repo.huaweicloud.com、src.uniontech.com、nvd.nist.gov、git.launchpad.net、people.ubuntu.com、cve.mitre.org、secdb.alpinelinux.org、cve.mitre.org、www.hweuleros.com等公网域名。 父主题： 产品咨询类

漏洞管理服务与HSS、WAF有什么区别？ 漏洞管理服务支持主机和Web漏洞扫描，从攻击者的视角扫描漏洞，提供详细的漏洞分析报告，并针对不同类型的漏洞提供专业可靠的修复建议。HSS是提升主机整体安全性的服务，通过安装在主机上的Agent守护主机安全，全面识别并管理主机中的信息资产。漏洞管理服务中的主机漏扫和HSS的区别如下： 漏洞管理服务功能：远程 漏洞扫描工具 ，不用部署在主机上，包括Web漏洞扫描、操作系统漏洞扫描、资产及内容合规检测、安全配置基线检查。从类似黑盒的外部视角，对目标主机网站等进行扫描，发现暴露在外的安全风险。 HSS功能：终端主机安全防护工具，部署在主机上，包括资产管理、漏洞管理、基线检查、入侵检测、程序运行认证、文件完整性校验、安全运营、网页防篡改等功能，注重的是运行在主机上的业务的安全防护。 WAF是对网站业务流量进行多维度检测和防护，降低数据被篡改、失窃的风险。 华为云提供的漏洞管理服务、HSS服务、WAF服务，帮助您全面从网站、主机、Web应用等层面防御风险和威胁，提升系统安全指数。建议三个服务搭配使用。 表1 漏洞管理服务、HSS、WAF的区别 服务名称 所属分类 防护对象 功能差异 漏洞管理服务（CodeArts Inspector） 应用安全、主机安全 提升网站、主机整体安全性。 多元漏洞检测 网页内容检测 网站健康检测 基线合规检测 主机漏洞扫描 企业主机安全 （HSS） 主机安全 提升主机整体安全性。 资产管理 漏洞管理 入侵检测 基线检查 网页防篡改 Web应用防火墙 （WAF） 应用安全 保护Web应用程序的可用性、安全性。 Web基础防护 CC攻击防护 精准访问防护 父主题： 产品咨询类

Apache Log4j2漏洞检测相关问题 网站漏洞扫描 和主机扫描是否支持Apache Log4j2漏洞检测？检测原理有何不同？ 答：网站漏洞扫描和主机扫描支持Apache Log4j2漏洞检测，但检测原理不同。网站漏洞扫描的检测原理是基于漏洞POC验证，如果没有攻击入口或路径，或已经开启了Web应用防火墙等防护措施，则无法扫出来；主机扫描的检测原理是登录操作系统之后探测JAR包版本，匹配是否在受影响的版本范围之内，相对高效。 建议有条件的话，使用网站漏洞扫描和主机扫描远程扫描，若发现问题请尽快按处置办法进行操作。 Apache Log4j2漏洞之前能扫出来，后来扫不出来，不稳定是什么原因？ 答：只要扫出来过Apache Log4j2漏洞，建议马上排查相应网站或主机，尽快按处置办法进行操作。 后面扫不出来的原因，可能是网站已修复，或已通过Web应用防火墙等防护措施解决，另外由于该漏洞POC验证相对复杂，涉及较多网络交互，网络环境因素如安全组策略加固等变动，也可能导致漏洞不能稳定扫出来，但建议客户还是尽快排查处置，彻底规避风险。 哪些版本支持Apache Log4j2漏洞检测？ 答：当前包括基础版（可免费开通）在内的所有版本均支持，但由于基础版规格有较多限制，如不支持主机漏洞扫描、Web漏洞扫描的扫描时长和次数受限，可能存在扫描不全面的问题。建议有条件的话，根据业务需求购买专业版及以上版本进行全面扫描。 不同版本规格说明请参见服务版本。 父主题： 产品咨询类

网站cookie值发生变化时，如何进行网站漏洞扫描？ 当某个网站挂载多个子网站，且需要对这些网站都进行漏洞扫描（使用cookie登录方式）时，如果您从网站主入口登录后，再进入其他子网站，网站的cookie值可能会发生改变。对于cookie值发生改变的子网站，您需要为这些子网站单独完成扫描任务的创建。 您也可采用共用cookie方式，来避免cookie值发生变化。被扫描站点的多个页面之间，是否会共用cookie，取决您的web站点是否支持此功能。 有关设置网站cookie登录方式的详细操作，请参见网站登录设置。 有关创建扫描任务的详细操作，请参见创建扫描任务。 父主题： 网站扫描类