阿里云在安全上倡导的是责任共担模型， 简单说就是云平台的安全由阿里云负责， 但云上租户自己的网络、主机、业务、数据的安全，需要租户自己负责，那作为一个租户，具体该怎么做呢？

记得小时候的“三字经”郎朗上口，至今不忘。 因此我就想，云上的安全能否也用3字经的方式表达？即简单又清晰，因此整理了下面9个安全“三字经”。

就是通过虚拟网络的技术，Virtual Private Cloud，简称VPC，把每个租户的业务系统放到一个私有网络中， 在不同VPC的租户之间，网络是天然隔离的，VPC对于客户业务来说，就像是一个天然的堡垒。

业务放到VPC这个堡垒之后，需要对外提供服务。大家都知道，每个IP对外提供了6万多个端口，每个端口相当于是业务系统对外开放的大门， 因此这第二步工作，就是要把门关好。

最好是缺省禁止访问，只放开必要的业务端口，比如TCP 80，443。同时，如果没有主动外联的业务，那就设置从内到到都禁止的规则，以免服务万一中木马后，对外通报信息，暴露了公网IP。

另外如果是有远程管理的需求，最好采用VPN方式访问，不应该把管理端口直接暴露在公网上。

云盾的安骑士产品提供自研漏洞补丁，在漏洞爆发和官方未发布补丁的窗口期，帮助客户一键修复漏洞，拦截黑客攻击。

业务放到VPC堡垒后，也只对外开放了http端口，但任然防不住有些互联上的窃贼通过SQL注入等方式获取窃取业务系统的数据。因此针对web业务的Web应用防火墙（简称WAF），就成为防火墙web应用的必须品。

另外一些互联网“窃贼”，为了获取网站上活动的奖品、红包，注册了大量账号来进行“撸羊毛”的行为。我们在云盾WAF的高级及以上版本，集成了业务风控功能。通过在业务中无缝插入滑屏校验码，以判断是人的注册行为，还是机器的注册行为。判断是机器的行为，则自动被禁止。

再次，大家都支持http业务是明文的，很容易被监控，被劫持。 因此，很有必要通过SLB + 证书的功能，把http的业务应用转变为https。来防止这一部分的窃贼。

 这就是“防住贼”这3方面的意思。

构建好上面的防护体系之后，还需要日常的“勤检测”，来判断我现在的系统是否有漏洞？现在是否安全？到达谁在攻击攻击？ 攻击者对我哪些业务资产感兴趣？

这就需要“态势感知”系统，和传统基于结果的态势感知，云上态势感知最大的差距在于，其是基于全量的云、管、端的数据的分析。云就是云上的威胁情报、管就是租户管道的全流量分析，端就是服务器端的实时监测。同时在其企业版本中，还可以通过大屏的方式将态势感知直观的展示出来，方便日常运维。

值得一提的是，在线下态势感知项目都是百万级， 而在云上受到云计算的红利，客户的拥有成本随着ECS的数量，从几千到几万不等。

备份是业务快速恢复最后的兜底措施，因此大家一定要重视。并且在阿里云ECS上提供了自动的快照功能。

以上这6步，基本就构建了云上安全的基础防护体系。对于一些特殊的业务，如游戏类或电商类业务，比较容易受到DDoS攻击，还需要选购DDoS高防IP服务，用于保障在被攻击时业务的连续性。

另外，对应电商类的业务来说，先知平台的安全众测服务也是必须的，特别是类似“0元支付”的业务逻辑漏洞，通过安全产品是无法解决的。如果有这种业务，最好就需要采用先知平台的安全众测，来提前规避业务的损失。

除此之外，很多云上的企业处于业务高速发展阶段，更多的人员投入到业务相关，基础安全建设，特别是安全攻防方面的人员配置不足，云盾也推出了安全管家服务，做好客户的帮手，帮助客户一起保护好云上资产的安全。

最后，我想说：安全是一个整体，入侵往往发生在最薄弱环节，不能头疼医头，脚痛医脚，需要在业务上云时就有一套完整的安全防护体系，而不是等出了安全事故才想去应该搞安全。

有人会说，我在云上的ECS也不过几台，怎么在安全上的投入比ECS还贵啊。 其实客户在云上的安全投入和ECS数量并不强相关，而是和业务系统的价值强相关，一般和交易相关(钱)、和用户注册相关(人)、和企业业务数据相关的应用，均是应重点防护的应用。

 就像同样的一个仓库，如果存放的是黄金，和存放普通货物。安全的防护基本肯定是不一定的。

阿里云安全类产品和服务包括云安全、身份管理、数据安全、业务安全、安全服务、安全解决方案等，其中DDoS防护、Web应用防火墙、SSL 证书、安骑士、访问控制、游戏盾等是其中的明星产品，以下是阿里云最新的安全类产品汇总及作用总结。

优惠推荐：购买阿里云安全类产品和服务，可以使用阿里云产品通用代金券抵扣购买金额，节约购买成本，代金券领取地址为阿里云官方云小站：

阿里云DDoS防护服务是以阿里云覆盖全球的DDoS防护网络为基础，结合阿里巴巴自研的DDoS攻击检测和智能防护体系，向您提供可管理的DDoS防护服务，自动快速的缓解网络攻击对业务造成的延迟增加，访问受限，业务中断等影响，从而减少业务损失，降低潜在DDoS攻击风险。

对网站或者APP的业务流量进行恶意特征识别及防护，将正常、安全的流量回源到服务器。避免网站服务器被恶意入侵，保障业务的核心数据安全，解决因恶意攻击导致的服务器性能异常问题。

SSL证书（SSL Certificates）为网站和移动应用（APP）提供HTTPS保护，对流量加密，防止数据被窃取。使用阿里云证书的三大优势：统一运维管理云上+云下所有证书；与云产品深度集成，可一键部署证书到CDN、SLB等产品；提供“证书托管”增值服务，帮您管理证书续签及自动更新。

云安全中心（态势感知）
云安全中心是一个实时识别、分析、预警安全威胁的统一安全管理系统，通过防勒索、防病毒、防篡改、合规检查等安全能力，帮助用户实现威胁检测、响应、溯源的自动化安全运营闭环，保护云上资产和本地主机并满足监管合规要求。

SAAS化云原生防火墙，全面梳理云上资产的互联网暴露和风险情况，一键防护；IPS虚拟补丁可智能防御高危漏洞；集成威胁情报，支持阻断主动外联行为、业务间访问关系可视，网络流量审计，等保必备。

集中管理资产权限，全程记录操作数据，实时还原运维场景，助力企业用户构建云上统一、安全、高效运维通道；保障云端运维工作权限可管控、操作可审计、合规可遵从。

以企业IT资产为核心，提供全面、快速、精准的漏洞扫描及风险监测服务，帮助企业持续地发现暴露在互联网边界上的常见安全风险。

操作审计(ActionTrail)会记录您的云账户资源操作，提供操作记录查询，并可以将审计事件保存到您指定的日志服务Logstore或者OSS存储空间。利用ActionTrail保存的所有操作记录，您可以实现安全分析、资源变更追踪以及合规性审计。

配置审计服务为您提供面向资源的配置历史追踪、配置合规审计、自动修正“不合规”配置等能力。面对大量资源，让您轻松实现基础设施的自主监管，确保持续性合规。

云安全中心高级版（服务器安全护卫），增加安全评分，安全报告，云安全最佳实践等功能。 支持查杀病毒木马，勒索软件，挖矿病毒，实时监控进程可疑行为，网站后门，主机异常事件，敏感文件篡改，异常网络连接，异常账号，应用入侵事件。

终端访问控制系统（公测中）
终端访问控制系统助力企业数字办公转型，安全管理企业办公终端，高效连接员工设备与企业资源，无论员工身在何处，都是理想办公空间。

RAM 使您能够安全地集中管理对阿里云服务和资源的访问。您可以使用 RAM 创建和管理用户和组，并使用各种权限来允许或拒绝他们对云资源的访问。

应用身份服务（IDaaS）是一个集中式身份管理服务，为政企客户提供统一的应用门户、用户目录、单点登录、集中授权、以及行为审计等中台服务。 IDaaS 支持 SAML、OIDC、CAS 等常见身份联邦协议，也可以与钉钉通讯录、AD、HR 系统等身份源打通，做到统一的身份权限管理和应用访问控制。

智能解析数据库通信流量，细粒度审计数据库访问行为，帮助企业精准识别、记录云上数据安全威胁，为云端数据库提供全方位的安全、诊断、维护及合规能力。

加密服务基于国家密码局认证的硬件加密机，提供了云上数据加解密解决方案，用户能够对密钥进行安全可靠的管理，也能使用多种加密算法来对云上业务的数据进行可靠的加解密运算。

敏感数据保护 SDDP
敏感数据保护（Sensitive Data Discovery and Protection），在满足等保v2.0“安全审计”及“个人信息保护”的合规要求的基础上，为客户提供敏感数据识别、数据安全审计、数据脱敏、智能异常检测等数据安全能力，形成一体化的数据安全解决方案。

密钥管理服务（KMS）提供安全合规的密钥托管和密码服务，助您轻松使用密钥来加密保护敏感的数据资产，控制云上的分布式计算和存储环境。您可以追踪密钥的使用情况，配置密钥的自动轮转策略，以及利用托管密码机所具备的中国国家密码管理局或者FIPS认证资质，来满足您的监管合规需求。

革命性网络安全产品，精准定位黑客并完成风险隔离，彻底解决APP类业务的DDoS/CC攻击问题。

内容安全基于深度学习技术， 提供图片、视频、语音、文字等多媒体的内容风险智能识别服务，不仅能帮助用户降低色情、暴恐、涉政等违规风险，而且能大幅度降低人工审核成本。

阿里巴巴十余年业务风险管控最佳实践。基于大数据、流式计算、机器学习算法，为客户提供决策引擎平台、风险识别API、专家定制建模等多维风控服务，一站式解决企业在用户注册、运营活动、交易、信贷审核等关键业务中所遇到的欺诈问题。

依托活体检测、人脸比对等生物识别技术、证件 OCR 识别技术等进行的自然人真实身份的核验服务。（只针对企业用户开放）

专业检测高级爬虫，降低爬虫、自动化工具对网站的业务影响，提供对Web网页端/H5页面/APP/API全方位防护。主要防护场景：航空占座、电商黄牛、恶意撞库、核心接口被刷、刷票刷积分、游戏作弊等。

阿里云安全管家服务是阿里云安全专家基于阿里云多年安全最佳实践经验为云上用户提供的全方位安全技术和咨询服务，为云上用户建立和持续优化云安全防御体系，保障用户业务安全。

云安全产品托管服务是针对云上安全产品提供的高级专家服务，提供咨询+技术支持的模式发挥云安全产品最佳防护效果，解决漏洞闭环难题，保障用户业务安全。

以攻击者思维，模拟黑客对业务系统进行全面深入的安全测试，帮助企业挖掘出正常业务流程中的安全缺陷和漏洞。
助力企业先于黑客发现安全风险，防患于未然。

先知平台提供私密的安全众测服务，可帮助企业全面发现业务漏洞及风险，按效果付费。企业加入先知平台后，可自主发布奖励计划，激励先知平台的安全专家来测试和提交企业自身网站或业务系统的漏洞，保证安全风险可以快速进行响应和修复，防止造成更大的业务损失。相比传统渗透测试，先知具有测试效率高、测试人员多、测试效果好、性价比高等优势。

整合云安全产品的技术优势，联合优质等保咨询、等保测评合作资源，为您提 供了一站式服务，全面覆盖等保定级、备案、建设整改以及测评阶段，帮助高 效地通过等保测评。

安全应急响应服务是由阿里云与授权安全合作伙伴提供的黑客入侵事件处理服务，能够帮助用户正确应对黑客入侵事件，清理木马后门、分析入侵原因，降低安全事件带来的损失，帮助客户快速恢复业务。

根据企业具体情况与需求，定制个性化的安全培训课程计划，帮助企业人员了解并掌握相关安全知识。通过培训，帮助企业在研发和运维过程中尽量避免由于安全知识的匮乏而造成信息安全事故。

未经安全评估的系统可能存在大量的安全漏洞，对客户的业务带来巨大的损失。企业需要在业务系统上线时进行安全风险排查，免遭黑客入侵。安全评估服务，由阿里云认证的专业安全技术合作伙伴对系统进行全面的安全隐患排查，从技术角度分析出业务中存在的安全问题，并指导客户进行加固和修复。

检查源代码中的缺点和错误信息，分析并找到这些问题引发的安全漏洞，并提供代码修订措施和建议。由阿里云认证的合作伙伴提供专业服务。

在客户授权委托的情况下，远程登录得到客户的业务系统服务器上，对外网或内网主机进行全方位的基线加固和组件升级，提前修补系统潜在的各种高危漏洞和安全威胁。由阿里云认证的合作伙伴提供专业服务。

PCI DSS对于所有涉及支付卡行业的安全方面作出标准的要求，其中包括安全管理、策略、过程、网络体系结构、软件设计的要求的列表等，全面保障交易安全。阿里云联合认证的合作伙伴提供专业服务。

通过评估安全风险、建设基础防护、防控业务风险三步，企业可快速评估自身安全问题，建设云上基础安全能力。

阿里云提供一站式等保安全解决方案，助力企业更高效、专业地完成等保认证。

基于新零售企业的业务高并发、活动大促、恶意刷接口、业务安全等特点，提供全面的自适应安全防护体系，保障新零售业务的稳定、安全。

阿里云云盾基于对海量用户设备、IP、账户行为的画像分析，自动识别虚假账户及盗号，屏蔽垃圾信息及非法广告，同时对图片和视频进行智能鉴黄、鉴恐，降低spam，专注正常运营。

基于合规的阿里云平台，并标配多项高等级安全能力，满足政务应用系统的综合安全防御需求，为此提供一个合规、安全、可靠的政务专属云平台；只需业务上阿里政务云，便可一站式解决安全、合规等需求；减少传统繁琐建设流程。

专有云云盾是阿里云面向大中型私有云企业用户，提供的一揽子云原生安全产品系列，覆盖主机安全、应用安全、网络安全、数据安全、运维审计等租户级和平台级安全，构建专有云纵深防御安全体系，全力保障您专有云业务的安全平稳运行，并满足合规要求。

作者：阿里云最新优惠和活动汇总

来源：简书（本公司简书在平台账号）

著作权归作者所有。商业转载请联系作者获得授权，非商业转载请注明出处。

        （2）成功注册设备后，获得的diviceId（不是这个截图里的，而是截图所代表的这一步完成之后，会自动收到一份txt，是那里面的）

三、连接到华为云平台（CONNECT）

        一份MQTT报文由三个部分组成，分别是固定报头+可变报头+负载。我们先不去了解报文的每一个字段，每一个数字详细是什么含义，先来组装一个CONNECT报文。（以下出现的都是十六进制）

        先打开我们的网络调试助手，我们利用它来将字符串转化为十六进制，还能统计长度。要转化的字符串如下：

        然后在前面加上它的长度的十六进制码，右下角有十进制的长度，我们手算装换一下进制就行：

        然后我们计算上面这一大串的长度，笔者这里为163，转化为十六进制就是A3，这里要注意一下了，如果大于128，A3后面要加01放进固定报头中，我这里是A3 01，so，最后的报文：

        按照我的界面来配置界面，回复20 02 00 00 即为连接成功，回复其它的就是连接失败了，太久没有回复就是你滴十六进制码有问题，建议检查一下长度，有没有缺00，总长度后面是否要加01。连接成功后，在控制台找到所有设备。看到已经有了一个绿色的点，在线。

         到此为止，我们已经完成了连接到平台的过程，发送的那一大串十六进制码，就是所谓的CONNECT报文。

四、上报数据（PUBLISH）

        接下来是PUBLISH报文，相信看到这里，你应该对报文有些许认识了吧，没有太多深奥的东西，就是一串十六进制的数字串，但是它的每个字节都有它的含义，少了一个字节，机器就辨认不出来。

        如果你已经理解的话，那么只要知道结构，报文就可以自己整理出来了吧！

        （3）负载：依旧看华为云的指南，其实就是这段代码，复制过来，咱们把回车删掉，弄成一行。有一点要提，这个负载我们弄成十六进制后就不用在前面加长度了。

        命令下发就更简单了，是平台给我们发命令，发送完CONNECT报文后，我们打开华为云平台的命令下发，点击确定：

写到这里我本来是想把MQTT的报文的各种结构、细节、资料什么的全部都copy贴过来的，如果上面的步骤都有好好过完的话，看懂MQTT协议应该是没有什么问题的了，但是随便一搜就能搜到的东西我也不好意思水字数了，CSDN上有很多人总结得比我更厉害（其实是因为我懒，哈哈哈）。我一直都是这样的观点，有基础才能看得懂，没基础，看别人写的经验、帖子，就是对着干巴巴的文字呲牙。实践之后形成感性的认识，才能更好接收理论上的知识。

        最后，这是我写的第一篇文章，自己也是个新手，如果有写的不对的地方，希望大家不吝赐教！