恶意攻击者通过暴力破解、钓鱼等手段获取用户账号和密码，进而入侵服务器。登录管理模块通过分析日常登录服务器的行为，结合用户的登录习惯，形成云端用户登录模型。当发生暴力破解或异常登录时，能快速识别并封禁攻击源IP，同时发出安全告警提醒。帮您加强对登录请求的管控，维护业务安全运行。

1. 功能介绍

登录管理模块支持检测4种异常登录行为，包括：暴力破解登录、异常地区登录、异常账号登录、异常时间登录。

功能名称		功能说明
检测暴力破解登录		系统持续监控登录尝试的频率和模式，一旦发现有大量连续且失败的登录尝试，就会立即触发警报，并采取措施封禁可疑IP登录，从而拦截非法登录行为。
检测异常地区登录		每当发生登录请求时，系统会分析登录请求的地理位置信息。如果请求来自非常规地区，系统会立即进行风险提醒。
检测异常账号登录		实时监控并识别登录服务器的异常账号，若发现登录请求来自非常用账号，系统会立即进行风险提醒。
检测异常时间登录		分析登录请求的时间信息，识别异常时间段的登录尝试（如深夜或凌晨，这些时间段往往是黑客进行非法访问的高峰期），并进行风险提醒。

2. 使用前提

1. 版本要求：云安全中心的基础版、标准版、企业版用户，均可使用登录管理功能。
2. 安全配置：为确保防护效果，请您务必按照 登录管理设置 的指导，正确设置安全策略。
3. 若您需要及时收到风险提醒通知，可按照 告警设置 的指导，正确设置通知策略。

3. 使用说明

3.1 登录管理列表

登录管理列表页面为您展示所有服务器的实时防护结果。无需手动触发扫描，只要确保安全策略设置无误，系统会实时为您监控异常登录行为。一旦发现任何可疑登录行为，将会展示在此页面上。

登录云安全中心控制台后，选择 安全防护-登录管理-登录管理列表 ，进入登录管理页面。

3.1.1 查看风险情况

1. 在页面上方的总览区域，通过统计图，您可以查看到：

   1. 风险概览：存在风险的服务器数量和未收保护的服务器数量。
   2. 风险分布：了解各类异常登录风险的分布占比。
2. 在列表区域，您可以查看每台服务器被暴力破解成功或拒绝的次数、异地登录次数、异常账号登录次数、异常时间登录次数以及正常登录次数。

3. 列表区域中，点击任意异常登录类型的次数，可进入该服务器的 异常登录详情页面 ，深入查看更多登录信息：

   1. 近24小时内登录事件的趋变化，帮助您识别潜在的安全风险时段。

   2. 近24小时的登录事件详情。

      • 包括登录关键信息，包括来源IP、登录账号、登录方式、登录状态、来源IP状态。
      • IP管理：对来源IP进行加白（允许访问）、加黑（阻止访问）操作，以强化安全策略。

3.1.2 查看服务器防护状态

1. 在列表中查看服务器的基础信息及防护状态，包括：服务器名称、IP、标签、安全组件版本、安全组件状态、登录策略状态。
2. 查看单个服务器的安全策略设置。点击服务器操作列的“查看设置”按钮，选择并点击需要查看的设置类型，点击后跳转至策略设置页面查看。

3.2 登录管理设置

在登录管理设置菜单中，您可以管理和自定义适合业务的安全防护策略。

3.2.1 IP黑白名单

被写入黑名单中的IP地址，将无法对云服务器进行登录；被写入白名单中的IP地址，将被判别为是安全可信的IP地址，各种登录防范规则将会对其放行。

选择 安全防护->登录管理->登录管理设置->IP黑白名单，进入IP黑白名单页面。

1. 创建IP黑/白名单
   点击 添加白名单/添加黑名单 按钮打开添加弹窗，填写以下配置项后点击确认提交弹窗即可成功创建白名单，以下对每个配置项进行详细说明：

   1. IP地址：填写需要加白（允许访问）/加黑（禁止访问）的IP地址，若您一次添加多个IP地址，会在列表中生成多行IP白名单。填写时注意：

      1. 多个IP之间使用英文逗号分隔
      2. IP段，使用子网掩码形式，例如：192.168.1.0/24
      3. IP和IP段之间使用英文逗号分隔
   2. 生效范围：表示IP白/黑名单在哪些服务器上生效。可以选择全部服务器或部分服务器，选择部分服务器时可以按照服务器所属区域、主机名称、IP地址快速搜索（注意：IP地址对全部服务器加白可能造成恶意IP访问，对全部服务器加黑可能影响正常的业务访问，需要根据实际情况慎重操作）。
   3. 备注：根据需要选填，可以填写备注或标记信息。

2. 删除IP黑/白名单：选中黑/白名单列表中的某行数据后，点击操作列的删除按钮即可删除。

   删除IP白名单后，该IP不再被“放行”，云安全中心会继续监控该IP的登录行为，发现异常会告警提示； 删除IP黑名单后，该IP不再被限制访问权限，该IP可以正常向服务器发出访问请求。

3. 编辑IP黑/白名单：选中黑/白名单列表中的某行数据后，点击操作列的编辑按钮即可进入编辑状态，对该条数据进行修改。

4. 查看IP黑/白名单：

   1. 可以快速筛选需要查看的名单类型：黑名单或白名单。
   2. 支持通过搜索查找被加白/黑的IP地址，并查看这些IP地址在哪些服务器上被添加了设置。
   3. 支持通过生效服务器的名称查找黑/白名单，从而定位某个服务器上限制了哪些IP访问、或对哪些IP做了加白操作。

   4. 通过“生效服务器”列，查看该条IP黑/白名单被设置在了哪几台服务器上。

      1. 鼠标放在眼睛图标上，可查看具体的服务器名称。

      2. 若有未生效的，可点击失败提示，打开下发进度弹窗查看详细添加状态。

         

5. 正常登录记录。通过开关，可以设置是否需要记录正常的登录行为。

   1. 若打开，则对正常的业务登录行为进行记录，可以在登录管理列表中查看到。
   2. 若关闭，则不记录正常的业务登录行为，只记录异常的登录行为，在登录管理列表中查看不到正常记录。

3.2.2 常用登录地址

您可以根据业务需要设置常用的登录地址，每当发生登录请求时，系统会分析登录请求的地理位置信息，如果请求不是您设置的常用地区，系统会立即进行风险提醒（若无设定，则默认所有地区请求正常）。

1. 添加常用登录地址

   点击 添加常用登录地址 按钮，在弹窗中填入必要信息（包括按省、市细化的中国地区或按洲配置的海外地区、生效的服务器范围及可选备注），确认后提交即可成功创建一条常用登录地址设置。

2. 删除常用登录地址：选中常用登录地址列表中的某行数据后，点击操作列的删除按钮即可删除。
3. 修改常用登录地址：选中常用登录地址列表中的某行数据后，点击操作列的编辑按钮即可进入编辑状态，对该条数据进行修改。

4. 查看常用登录地址：

   1. 支持通过地址名称或生效服务器名称搜索查看设置详情。
   2. 在“生效服务器”列，鼠标悬停于眼睛图标上，可查看具体的服务器名称。

   3. 若有添加失败情况，点击失败提示，打开下发进度弹窗查看详细添加状态。

      

3.2.3 常用登录账号

您可以根据业务需要设置常用的登录账号，系统实时监控并识别登录服务器的异常账号，若发现登录请求来自非常用账号，会立即进行风险提醒。（若无设定，则默认所有账号请求正常）。

1. 添加常用登录账号

   点击 添加常用登录账号 按钮，在弹窗中填入必要信息（包括操作系统类型、根据所选操作类型填写有效常用登录账号、明确的生效服务器范围以及备注信息），确认后提交即可成功创建一条常用登录地址设置。

2. 删除常用登录账号：选中常用登录账号列表中的某行数据后，点击操作列的删除按钮即可删除。
3. 修改常用登录账号：选中常用登录账号列表中的某行数据后，点击操作列的编辑按钮即可进入编辑状态，对该条数据进行修改。

4. 查看常用登录账号：

   1. 支持通过常用登录账号名称或生效服务器名称搜索查看设置详情。
   2. 在“生效服务器”列，鼠标悬停于眼睛图标上，可查看具体的服务器名称。

   3. 若有添加失败情况，点击失败提示，打开下发进度弹窗查看详细添加状态。

      

3.2. 常用登录时间

您可以根据业务需要设置常用的登录时间，实时监控并分析登录请求的时间信息，若发现有异常时间段的登录尝试（如深夜或凌晨，这些时间段往往是黑客进行非法访问的高峰期），会进行风险提醒。

1. 添加常用登录时间

   点击 添加常用登录时间 按钮，在弹窗中填入必要信息（包括细化到分钟级的常用登录时间、生效的服务器范围及可选备注），确认后提交即可成功创建一条常用登录时间设置。

2. 删除常用登录时间：选中常用登录时间列表中的某行数据后，点击操作列的删除按钮即可删除。
3. 修改常用登录时间：选中常用登录时间列表中的某行数据后，点击操作列的编辑按钮即可进入编辑状态，对该条数据进行修改。

4. 查看常用登录时间：

   1. 支持通过生效服务器名称搜索查看设置详情。
   2. 在“生效服务器”列，鼠标悬停于眼睛图标上，可查看具体的服务器名称。

   3. 若有添加失败情况，点击失败提示，打开下发进度弹窗查看详细添加状态。

      

4. 常见问题排查

若使用登录管理功能中遇到问题，可通过以下方法排查。

如果给某台服务器设置了多条配置，哪条生效？

1. 给某台服务器设置多条配置时，这些配置都会同时生效。
2. 但有一个特殊场景：IP白名单和IP黑名单是互相冲突的一组配置，同时出现时白名单>黑名单。

给某台服务器同时设置了IP黑名单、IP白名单，会出现冲突吗？

1. IP白名单和IP黑名单是互相冲突的一组配置，同时出现时白名单>黑名单。