---

前言

DDoS 攻擊是使得用戶電腦的網絡或系統資源耗盡，服務暫時中斷或停止，導致合法用戶不能夠訪問正常網絡服務的行為。針對 DDoS 攻擊，華為云提供多種安全防護方案，DDoS 原生高級防護和 DDoS 高防可為用戶提供全面海量的 DDoS 防護服務。在本文中我們將接著《DDoS 攻擊與防護（一）：如何識別 DDoS 攻擊？DDoS 防護 ADS 服務有哪些？》的內容給大家介紹如何購買和使用 DDoS 高防和 DDoS 原生高級防護，并帶大家了解 DDoS 高防和 DDoS 原生高級防護應用場景。

---

前文回顧：《DDoS 攻擊與防護（一）：如何識別 DDoS 攻擊？DDoS 防護 ADS 服務有哪些？》

一、如何選擇 DDoS 高防和 DDoS 原生高級防護？

在選擇 DDoS 高防和 DDoS 原生高級防護時，我們對 DDoS 防護競爭力各方面數據進行詳細對比，具體如下圖所示：

DDoS 高防和 DDoS 原生高級防護在全球支持計劃方面：

• 已啟動拉美，俄羅斯，中東地區高防機房采購；
• 運營商合建提供近源清洗能力。

二、如何購買和使用 DDoS 高防？

2.1、購買 DDoS 高防

對于 DDoS 高防的購買流程，作為參考，具體如下圖所示：

2.2、DDoS 高防域名網站類業務接入流程

DDoS 高防域名網站類業務接入流程以流程圖的形式演示，具體如下圖所示：

2.3、配置防護域名

對于防護域名的配置，作為參考，具體如下圖所示：

對于其中的三個配置項防護域名、源站類型和證書說明如下：

• 防護域名：用戶的實際業務對外提供服務所使用的域名。示例：單域名：www.example.com；泛域名：*.example.com。
• 源站類型：待添加防護域名的源站的類型。
  源站 IP：真實服務器的公網 IP 地址，最多可輸入 20 個 IP 地址，IP 地址間以“，”分隔。
  源站域名：當前僅支持華為云 WAF CNAME。
  轉發協議：DDoS 高防轉發客戶端（例如瀏覽器）請求的協議類型。包括“HTTP”、“HTTPS”兩種協議類型。
  源站端口：DDoS 高防轉發客戶端請求到服務器的業務端口。
• 證書：“源站類型”選擇“源站 IP”且“轉發協議”選擇“HTTPS”時，需要上傳證書

2.4、上傳證書

有關上傳證書的操作，作為參考，具體如下圖所示：

2.5、選擇實例和線路

選擇實例和線路的操作，作為參考，具體如下圖所示：

選擇實例和線路需要注意：

• 一個域名可以選擇多條線路（高防 IP），選擇多個高防 IP 時請確保各高防 IP 所配置的轉發規則個數以及轉發規則的轉發協議、轉發端口和業務類型保持一致。
• 為了避免業務產生跨運營商訪問，每個高防實例配置了多運營商線路，建議您在選擇實例和線路時選擇一組完整的實例線路。

2.6、本地驗證

打開 Telnet，執行以下命令，測試已接入 DDoS 高防的源站 IP 是否能成功建立連接。

• 以源站 IP 對外開放的 80 端口為例，對應命令如下：

telnet 源站 IP 80

• 如果可以連通，則說明 Telnet 公網地址在本機網絡環境可用。
• 如果無法連通，則需要更換本地測試機網絡環境，因為某些企業網可能配置過內部網絡限制。例如連接手機 Wi-Fi 熱點以切換為運營商網絡。

執行以下命令，測試域名接入 DDoS 高防配置是否正確，命令如下：

telnet 在目標域名的“CNAME”列，單擊，復制域名的 C... 中的 CNAME 值 80

• 如果可以連接，說明配置成功。
• 如果無法連接，請確認域名參數是否配置正確。

2.7、修改 DNS 解析

修改 DNS 解析流程，作為參考，具體如下圖所示：

對于其中的四個配置項主機記錄、類型、線路類型和值說明如下：

• 主機記錄：域名的別名（后綴無需用戶手動填寫）。
• 類型：記錄集的類型。
• 線路類型：用于 DNS 服務器在解析域名時，根據訪問者的來源，返回對應的服務器 IP 地址。
• 值：需指向的域名。

2.8、放行高防回源 IP 段

高防回源 IP 段信息具體如下圖所示：

• 回源 IP 時 DDoS 高防用來代理客戶端請求服務器時用的源 IP，在服務器看來，接入 DDoS 高防后所有的源 IP 都會變成 DDoS 高防的回源 IP，以確保源站安全、穩定、可用。
• 如果源站已配置防火墻或安裝安全軟件，為了防止高防回源 IP 被源站限速，需要將高防回源 IP 段添加到源站的防火墻或其它防護軟件的白名單中，即放行高防回源 IP 段，以確保高防的回源 IP 不受源站安全策略影響。

2.9、非域名類業務接入 DDoS 高防

如果您的業務沒有域名，僅通過公網 IP 對外提供服務，您可以通過配置轉發規則將業務接入 DDoS 高防。配置轉發規則后，高防 IP 會自動將流量轉發到源站 IP，具體如下圖所示：

2.10、管理域名

修改域名的高防 IP 解析路線，作為參考，具體如下圖所示：

修改源站 IP，作為參考，具體如下圖所示：

修改域名業務配置，作為參考，具體如下圖所示：

2.11、配置防護策略

配置黑白名單，作為參考，具體如下圖所示：

配置流量封禁，作為參考，具體如下圖所示：

配置 CC 攻擊防護規則，需要網站類業務已開啟“WEB 基礎防護”，作為參考，具體如下圖所示：

2.12、管理轉發規則

包括查看轉發規則信息、批量導出轉發規則以及刪除轉發規則，作為參考，具體如下圖所示：

三、如何購買和使用 DDoS 原生高級防護

3.1、購買 DDoS 原生高級防護實例

購買 DDoS 原生高級防護實例，作為參考，具體如下圖所示：

3.2、添加防護對象

添加防護對象，作為參考，具體如下圖所示：

3.3、創建防護策略

創建防護策略，作為參考，具體如下圖所示：

3.4、配置防護策略

配置防護策略，作為參考，具體如下圖所示：

3.5、查看數據報表

查看數據報表，作為參考，具體如下圖所示：

3.6、開啟 CNAD 告警通知

開啟 CNAD 告警通知，作為參考，具體如下圖所示：

3.7、配置 DDoS 階梯調度策略

配置 DDoS 階梯調度策略，作為參考，具體如下圖所示：

四、DDoS 防護服務的應用場景

4.1、DDoS 高防應用場景

DDoS 高防應用場景可以歸納為以下幾類，具體如下圖所示：

• 娛樂（游戲）：娛樂（游戲）行業是 DDoS 攻擊的重災區，高效 IP 能保證游戲的可用性和持續性，提高用戶體驗，在商家活動、節日游戲等旺季時段提供防護。
• 金融：滿足金融行業的合規性要求，保證線上交易的實時性、安全穩定性。
• 政府：滿足國家政務云建設標準的安全需求，為重大會議、活動、敏感時期提供安全保障，保障民生服務正常可用，維護政府公信力。
• 電商：為用戶訪問互聯網提供防護，使業務正常不中斷，在電商大促等活動時段提供防護功能。
• 企業：保證企業站點服務持續可用，避免 DDoS 攻擊造成經濟和企業形象損失問題，降低維護費用，節省安全成本。

4.2、DDoS 原生高級防護應用場景

DDoS 原生高級防護應用場景可以歸納為以下幾類，具體如下圖所示：

DDoS 原生高級防護適用于部署在華為云服務上，且華為云服務有公網 IP 資源的業務。

• 能夠滿足業務規模大、對網絡質量要求高的用戶——電商、門戶網站。
• 業務帶寬或 QPS 較大——在線視頻、直播等業務帶寬要求比較高的領域。
• IPv6 類型業務防護需求——IPv6 業務。
• 華為云上公網 IP 資源較多，業務中大量端口、域名、IP 需要 DDoS 攻擊防護——在線教育。

五、續（補充）

由于 DDoS 攻擊與防護內容較多且篇幅有限，我們將整體內容拆分為兩部分，需要查看全文的小伙伴們點擊下面鏈接自行查閱：

《DDoS 攻擊與防護（一）：如何識別 DDoS 攻擊？DDoS 防護 ADS 服務有哪些？》
《DDoS 攻擊與防護（二）：DDoS 防護購買和使用入門指南，DDoS 防護服務有哪些應用場景？》

---

總結

DDoS 攻擊與防護兩篇文章，分別給大家介紹了 DDoS 攻擊、DDoS 防護 ADS、DDoS 高防和 DDoS 原生高級防護的特性，DDoS 高防和 DDoS 原生高級防護的購買和使用，DDoS 高防和 DDoS 原生高級防護的應用場景五個部分的內容。在購買和使用過程中我們需要明確 DDoS 高防和 DDoS 原生高級防護的適用場景和應用特性：DDoS 高防服務通過高防 IP 代理源站 IP 對外提供服務，將所有的公網流量都引流至高防 IP，進而隱藏源站，避免源站（用戶業務）遭受大流量 DDoS 攻擊；而 DDoS 原生高級防護適用于部署在華為云服務上，且華為云服務有公網 IP 資源的業務。

---

我是白鹿，一個不懈奮斗的程序猿。望本文能對你有所裨益，歡迎大家的一鍵三連！若有其他問題、建議或者補充可以留言在文章下方，感謝大家的支持！