产品订购

服务器安全卫士（原生版）、网页防篡改（原生版）属于平台级产品，不区分资源池，进入产品订购页正常购买防护配额即可纳管二类节点区域的资产。

• 服务器安全卫士（原生版）
• 网页防篡改（原生版）

支持纳管的区域

支持纳管的二类节点区域如下，根据主机所在区域选择不同的纳管方案：

资源池大区
如下区域，使用方案一
如下区域，使用方案二
华东地区
上海4/杭州（AZ1）/杭州（AZ2）/苏州（AZ1）/苏州（AZ2）/苏州（AZ3）/芜湖
南昌
华南地区
长沙2（AZ1）/长沙2（AZ2）/武汉2（AZ1）/福州（AZ1）/福州（AZ2）/深圳
南宁/海口（AZ1）/广州4
西北地区
西安2（AZ1）/西安2（AZ2）/西安2（AZ3）/乌鲁木齐/兰州/西宁
中卫
西南地区
贵州/成都3
重庆/昆明
北方地区
郑州/内蒙3
青岛（AZ1）/青岛（AZ2）/北京2/太原/石家庄（AZ1）/石家庄（AZ2）/天津/长春/哈尔滨/沈阳3/华北（AZ3）

方案一：通过VPC终端节点安装Agent

创建终端节点

在需要安装服务器安全卫士（原生版）或网页防篡改（原生版）Agent的主机所在的VPC中创建终端节点。

1. 选择主机所在的资源池，进入VPC终端节点管理控制台。

   

2. 在需要安装服务器安全卫士（原生版）或网页防篡改（原生版）Agent的主机所在的VPC中创建终端节点。

   示例：

   

   创建终端节点参数说明：

   参数
   说明
   区域
   选择主机所在的区域。
   服务类型
   选择“按名称查找服务”。
   服务名称
   请参见下述“终端节点服务名称”列表，获取对应区域的服务名称。
   虚拟私有云
   选择待安装Agent的主机所在VPC的名称。
   子网
   根据实际情况自动填写。
   IPv4地址
   可以选择自动分配IP地址，或手动指定IP地址，为需要安装Agent的主机提供服务的IP。
   

   终端节点服务名称：

   资源池大区
   资源池名称
   终端节点服务名称
   华东地区
   上海4
   cn-sh1.44a01abc-3fa6-4ac6-9444-43181dc20139
   杭州（AZ1）/杭州（AZ2）
   cn-hz1.b4c2cdb9-5b74-4f0b-a323-70e0c0637b23
   苏州（AZ1）/苏州（AZ2）/苏州（AZ3）
   cn-jssz1.ctcss.a3a55793-cfed-42bd-9f2f-9a0cf513d215
   芜湖
   cn-ahwh1.2368a9c5-4fba-4058-8c4f-288599af47e6
   华南地区
   长沙2
   cn-hncs1.39dc6f84-6a3d-4a7f-82f9-b5810ec83733
   武汉2
   cn-hbwh1.a8cded11-bc2f-460c-ac6c-b70818dff444
   福州（AZ1）/福州（AZ2）
   cn-fz1.f892afa6-05c4-402d-948f-32b377b39c4d
   深圳
   cn-sz1.5de5e030-9644-4c5b-b764-0f97f520ab00
   西北地区
   西安2（AZ1）/西安2（AZ2）/西安2（AZ3）
   cn-snxy1.f9a99aa3-5bf8-4b17-acce-cb6019fe74c6
   乌鲁木齐
   cn-xjcj1.35b01e6d-420e-4c94-9472-7e281792c4ea
   兰州
   cn-gslz1.80129d9f-074f-49d7-84ee-9c76dafbf35b
   西宁
   cn-qhxn1.040b1a6c-0524-4979-a0d3-d373f39230ea
   西南地区
   贵州
   cn-gz1.68bf9153-0996-409a-a475-923834f86a09
   成都3
   cn-sccd1.9d84fe68-b3ce-46ea-8344-edb0e88397e8
   北方地区
   郑州
   cn-hazz1.09353e17-7be4-424d-84dd-65dcc94d15a4
   内蒙3
   cn-nmhh1.c1e55989-e719-4b50-ab7e-9a21526ac637
   

Agent安装

登录控制台

1. 登录服务器安全卫士（原生版）或网页防篡改（原生版）控制台。

2. 在左侧导航栏，选择“资产管理 > 服务器列表”，单击“安装Agent”。

   

Linux主机安装Agent

1. 切换到“Linux系统”选项卡。

2. 复制“云外主机”安装命令，将安装命令中的ctcssextap.ctyun.cn替换成VPC内指定终端节点提供服务的IP。

   

   注意
   需要复制客户自己页面的命令后修改关键地址，请勿直接复制控制台或文档中的命令进行执行，否则可能导致Agent安装失败。
   

3. 在Linux云主机中，以管理员权限执行修改后的安装命令进行安装。

Windows主机安装Agent

1. 切换到“Windows系统”选项卡。

2. 复制“云外主机”安装命令，将安装命令中的ctcssextap.ctyun.cn替换成VPC内指定终端节点提供服务的IP。

   

   注意
   需要复制客户自己页面的命令后修改关键地址，请勿直接复制控制台或文档中的命令进行执行，否则可能导致Agent安装失败。
   

3. 在Windows云主机中打开PowerShell（按 win + R组合键打开运行，输入 powershell执行）。

4. 在打开的PowerShell控制台以管理员权限执行安装命令进行安装。

控制台查看

1. 登录服务器安全卫士（原生版）控制台。

2. 在左侧导航栏，选择“资产管理 > 服务器列表”，在服务器列表页面查看纳管的资产是否存在。

3. 查看资产防护状态是否正常。

   

4. 对需要防护的服务器切换版本，绑定企业版配额。

   

方案二：通过接入公网安装Agent

前提条件

云外主机通过公网接入服务器安全卫士（原生版）控制台或网页防篡改（原生版）控制台，请确保：

• 待纳管的云主机均可以正常连通ctcssextap.ctyun.cn的5661、5662、16463三个端口。
• 接入的所有公网IP都需要提交官网工单给天翼云安全卫士的后台人员添加IP白名单，否则可能导致安装Agent失败。

接入方式

支持公网直连和代理方式两种接入方式，使用场景区别如下：

接入方式
使用场景
公网直连
待接入的服务器较少（小于等于3台）。
所有服务器均可以直通公网ctcssextap.ctyun.cn地址。
所有服务器的出口公网IP都唯一固定（由于这些IP需要提供给服务端配置IP白名单，所以需要保证唯一固定）。
代理方式
如果待接入的服务器较多（大于3台），或者只有部分（至少一台）服务器能连通公网，建议通过代理方式接入。

公网直连

直接为服务器安装部署服务器安全卫士（原生版）的Agent。

代理方式

使用能连通公网的服务器（配置最低2C4G）作为代理，其他服务器通过代理做转发，这种方式只需将作为代理的这些服务器IP加白即可，且运维成本较低。

• 代理可以使用所在云平台自身的NAT网关功能（具体可以参考对应平台NAT网关产品的相关文档）。
• 也可以使用自建的四层负载均衡（传输层TCP负载）服务代理ctcssextap.ctyun.cn域名的5661、5662、16463三个端口，待接入的服务器通过配置hosts解析将ctcssextap.ctyun.cn解析到代理服务器地址即可。此处代理服务器出公网的IP也需要保证唯一固定不变。

如下分别提供了基于开源nginx和haproxy实现四层网络代理的配置文件参考：

基于nginx代理的配置参考：

worker_processes  auto;
user nginx;
events {
  worker_connections  10240;
}

stream {
  upstream ctcss_5661 {
    server ctcssextap.ctyun.cn:5661;
  }
  upstream ctcss_5662 {
    server ctcssextap.ctyun.cn:5662;
  }
  upstream ctcss_16463 {
    server ctcssextap.ctyun.cn:16463;
  }

  server {
    listen 5661;
    proxy_pass ctcss_5661;
  }
  server {
    listen 5662;
    proxy_pass ctcss_5662;
  }
  server {
    listen 16463;
    proxy_pass ctcss_16463;
  }
}

基于haproxy代理的配置参考：

global
    log         127.0.0.1 local2
    pidfile     /var/run/haproxy.pid
    maxconn     500000
    user        haproxy
    group       haproxy
    daemon
nbproc 6

defaults
    mode                    http
    log                     global
    option                  httplog
    option                  dontlognull
    option http-server-close
    option forwardfor       except 127.0.0.0/8
    option                  redispatch
    retries                 3
    timeout http-request    10s
    timeout queue           1m
    timeout connect         10s
    timeout client          8h
    timeout server          8h
    timeout http-keep-alive 10s
    timeout check           10s
    maxconn                 400000

listen socket_server
    bind *:5661
    mode   tcp
    option tcpka
    balance roundrobin
    server socket_server ctcssextap.ctyun.cn:5661 check inter 3000 rise 2 maxconn 250000 fall 3

listen update_server
    bind *:5662
    mode   tcp
    option tcpka
    balance roundrobin
   server update_server ctcssextap.ctyun.cn:5662 check inter 3000 rise 2 maxconn 25000 fall 3

listen es_server
    bind *:16463
    mode   tcp
    option tcpka
    balance  roundrobin
    server es_server ctcssextap.ctyun.cn:16463 check inter 3000 rise 2 maxconn 250000 fall 3

Agent安装

登录控制台

1. 登录服务器安全卫士（原生版）控制台。

2. 在左侧导航栏，选择“资产管理 > 服务器列表”，单击“安装Agent”。

   

Linux主机安装Agent

1. 复制“云外主机”安装命令。
2. 在Linux云主机中以管理员权限执行安装命令进行安装。

Windows主机安装Agent

1. 复制“云外主机”安装命令。
2. 在Windows云主机中打开PowerShell（按 win + R组合键打开运行，输入 powershell执行）。
3. 在打开的PowerShell控制台以管理员权限执行安装命令进行安装。

控制台查看

1. 登录服务器安全卫士（原生版）控制台。

2. 在左侧导航栏，选择“资产管理 > 服务器列表”，在服务器列表页面查看纳管的资产是否存在。

3. 查看资产防护状态是否正常。

   

4. 对需要防护的服务器切换版本，绑定企业版配额。

   

常见问题解答

Q：能ping通ctcssextap.ctyun.cn，但是执行Agent安装命令立即退出，Agent安装没有成功。

A：服务器的公网IP需要加白，如果没有加白，请提交官网工单给天翼云安全卫士的后台人员添加IP白名单。