文章目录

前言
一、如何选择 DDoS 高防和 DDoS 原生高级防护？
二、如何购买和使用 DDoS 高防？
- 2.1、购买 DDoS 高防
- 2.2、DDoS 高防域名网站类业务接入流程
- 2.3、配置防护域名
- 2.4、上传证书
- 2.5、选择实例和线路
- 2.6、本地验证
- 2.7、修改 DNS 解析
- 2.8、放行高防回源 IP 段
- 2.9、非域名类业务接入 DDoS 高防
- 2.10、管理域名
- 2.11、配置防护策略
- 2.12、管理转发规则
三、如何购买和使用 DDoS 原生高级防护
- 3.1、购买 DDoS 原生高级防护实例
- 3.2、添加防护对象
- 3.3、创建防护策略
- 3.4、配置防护策略
- 3.5、查看数据报表
- 3.6、开启 CNAD 告警通知
- 3.7、配置 DDoS 阶梯调度策略
四、DDoS 防护服务的应用场景
- 4.1、DDoS 高防应用场景
- 4.2、DDoS 原生高级防护应用场景
五、续（补充）
总结

前言

DDoS 攻击是使得用户电脑的网络或系统资源耗尽，服务暂时中断或停止，导致合法用户不能够访问正常网络服务的行为。针对 DDoS 攻击，华为云提供多种安全防护方案，DDoS 原生高级防护和 DDoS 高防可为用户提供全面海量的 DDoS 防护服务。在本文中我们将接着《DDoS 攻击与防护（一）：如何识别 DDoS 攻击？DDoS 防护 ADS 服务有哪些？》的内容给大家介绍如何购买和使用 DDoS 高防和 DDoS 原生高级防护，并带大家了解 DDoS 高防和 DDoS 原生高级防护应用场景。

前文回顾：《DDoS 攻击与防护（一）：如何识别 DDoS 攻击？DDoS 防护 ADS 服务有哪些？》

一、如何选择 DDoS 高防和 DDoS 原生高级防护？

在选择 DDoS 高防和 DDoS 原生高级防护时，我们对 DDoS 防护竞争力各方面数据进行详细对比，具体如下图所示：

DDoS 高防和 DDoS 原生高级防护在全球支持计划方面：

已启动拉美，俄罗斯，中东地区高防机房采购；
运营商合建提供近源清洗能力。

二、如何购买和使用 DDoS 高防？

2.1、购买 DDoS 高防

对于 DDoS 高防的购买流程，作为参考，具体如下图所示：

2.2、DDoS 高防域名网站类业务接入流程

DDoS 高防域名网站类业务接入流程以流程图的形式演示，具体如下图所示：

2.3、配置防护域名

对于防护域名的配置，作为参考，具体如下图所示：

对于其中的三个配置项防护域名、源站类型和证书说明如下：

防护域名：用户的实际业务对外提供服务所使用的域名。示例：单域名：www.example.com；泛域名：*.example.com。
源站类型：待添加防护域名的源站的类型。
源站 IP：真实服务器的公网 IP 地址，最多可输入 20 个 IP 地址，IP 地址间以“，”分隔。
源站域名：当前仅支持华为云 WAF CNAME。
转发协议：DDoS 高防转发客户端（例如浏览器）请求的协议类型。包括“HTTP”、“HTTPS”两种协议类型。
源站端口：DDoS 高防转发客户端请求到服务器的业务端口。
证书：“源站类型”选择“源站 IP”且“转发协议”选择“HTTPS”时，需要上传证书

2.4、上传证书

有关上传证书的操作，作为参考，具体如下图所示：

2.5、选择实例和线路

选择实例和线路的操作，作为参考，具体如下图所示：

选择实例和线路需要注意：

一个域名可以选择多条线路（高防 IP），选择多个高防 IP 时请确保各高防 IP 所配置的转发规则个数以及转发规则的转发协议、转发端口和业务类型保持一致。
为了避免业务产生跨运营商访问，每个高防实例配置了多运营商线路，建议您在选择实例和线路时选择一组完整的实例线路。

2.6、本地验证

打开 Telnet，执行以下命令，测试已接入 DDoS 高防的源站 IP 是否能成功建立连接。

以源站 IP 对外开放的 80 端口为例，对应命令如下：

telnet 源站 IP 80

如果可以连通，则说明 Telnet 公网地址在本机网络环境可用。
如果无法连通，则需要更换本地测试机网络环境，因为某些企业网可能配置过内部网络限制。例如连接手机 Wi-Fi 热点以切换为运营商网络。

执行以下命令，测试域名接入 DDoS 高防配置是否正确，命令如下：

telnet 在目标域名的“CNAME”列，单击，复制域名的 C... 中的 CNAME 值 80

如果可以连接，说明配置成功。
如果无法连接，请确认域名参数是否配置正确。

2.7、修改 DNS 解析

修改 DNS 解析流程，作为参考，具体如下图所示：

对于其中的四个配置项主机记录、类型、线路类型和值说明如下：

主机记录：域名的别名（后缀无需用户手动填写）。
类型：记录集的类型。
线路类型：用于 DNS 服务器在解析域名时，根据访问者的来源，返回对应的服务器 IP 地址。
值：需指向的域名。

2.8、放行高防回源 IP 段

高防回源 IP 段信息具体如下图所示：

回源 IP 时 DDoS 高防用来代理客户端请求服务器时用的源 IP，在服务器看来，接入 DDoS 高防后所有的源 IP 都会变成 DDoS 高防的回源 IP，以确保源站安全、稳定、可用。
如果源站已配置防火墙或安装安全软件，为了防止高防回源 IP 被源站限速，需要将高防回源 IP 段添加到源站的防火墙或其它防护软件的白名单中，即放行高防回源 IP 段，以确保高防的回源 IP 不受源站安全策略影响。

2.9、非域名类业务接入 DDoS 高防

如果您的业务没有域名，仅通过公网 IP 对外提供服务，您可以通过配置转发规则将业务接入 DDoS 高防。配置转发规则后，高防 IP 会自动将流量转发到源站 IP，具体如下图所示：

2.10、管理域名

修改域名的高防 IP 解析路线，作为参考，具体如下图所示：

修改源站 IP，作为参考，具体如下图所示：

修改域名业务配置，作为参考，具体如下图所示：

2.11、配置防护策略

配置黑白名单，作为参考，具体如下图所示：

配置流量封禁，作为参考，具体如下图所示：

配置 CC 攻击防护规则，需要网站类业务已开启“WEB 基础防护”，作为参考，具体如下图所示：

2.12、管理转发规则

包括查看转发规则信息、批量导出转发规则以及删除转发规则，作为参考，具体如下图所示：

三、如何购买和使用 DDoS 原生高级防护

3.1、购买 DDoS 原生高级防护实例

购买 DDoS 原生高级防护实例，作为参考，具体如下图所示：

3.2、添加防护对象

添加防护对象，作为参考，具体如下图所示：

3.3、创建防护策略

创建防护策略，作为参考，具体如下图所示：

3.4、配置防护策略

配置防护策略，作为参考，具体如下图所示：

3.5、查看数据报表

查看数据报表，作为参考，具体如下图所示：

3.6、开启 CNAD 告警通知

开启 CNAD 告警通知，作为参考，具体如下图所示：

3.7、配置 DDoS 阶梯调度策略

配置 DDoS 阶梯调度策略，作为参考，具体如下图所示：

四、DDoS 防护服务的应用场景

4.1、DDoS 高防应用场景

DDoS 高防应用场景可以归纳为以下几类，具体如下图所示：

娱乐（游戏）：娱乐（游戏）行业是 DDoS 攻击的重灾区，高效 IP 能保证游戏的可用性和持续性，提高用户体验，在商家活动、节日游戏等旺季时段提供防护。
金融：满足金融行业的合规性要求，保证线上交易的实时性、安全稳定性。
政府：满足国家政务云建设标准的安全需求，为重大会议、活动、敏感时期提供安全保障，保障民生服务正常可用，维护政府公信力。
电商：为用户访问互联网提供防护，使业务正常不中断，在电商大促等活动时段提供防护功能。
企业：保证企业站点服务持续可用，避免 DDoS 攻击造成经济和企业形象损失问题，降低维护费用，节省安全成本。

4.2、DDoS 原生高级防护应用场景

DDoS 原生高级防护应用场景可以归纳为以下几类，具体如下图所示：

DDoS 原生高级防护适用于部署在华为云服务上，且华为云服务有公网 IP 资源的业务。

能够满足业务规模大、对网络质量要求高的用户——电商、门户网站。
业务带宽或 QPS 较大——在线视频、直播等业务带宽要求比较高的领域。
IPv6 类型业务防护需求——IPv6 业务。
华为云上公网 IP 资源较多，业务中大量端口、域名、IP 需要 DDoS 攻击防护——在线教育。

五、续（补充）

由于 DDoS 攻击与防护内容较多且篇幅有限，我们将整体内容拆分为两部分，需要查看全文的小伙伴们点击下面链接自行查阅：

《DDoS 攻击与防护（一）：如何识别 DDoS 攻击？DDoS 防护 ADS 服务有哪些？》
《DDoS 攻击与防护（二）：DDoS 防护购买和使用入门指南，DDoS 防护服务有哪些应用场景？》

总结

DDoS 攻击与防护两篇文章，分别给大家介绍了 DDoS 攻击、DDoS 防护 ADS、DDoS 高防和 DDoS 原生高级防护的特性，DDoS 高防和 DDoS 原生高级防护的购买和使用，DDoS 高防和 DDoS 原生高级防护的应用场景五个部分的内容。在购买和使用过程中我们需要明确 DDoS 高防和 DDoS 原生高级防护的适用场景和应用特性：DDoS 高防服务通过高防 IP 代理源站 IP 对外提供服务，将所有的公网流量都引流至高防 IP，进而隐藏源站，避免源站（用户业务）遭受大流量 DDoS 攻击；而 DDoS 原生高级防护适用于部署在华为云服务上，且华为云服务有公网 IP 资源的业务。

我是白鹿，一个不懈奋斗的程序猿。望本文能对你有所裨益，欢迎大家的一键三连！若有其他问题、建议或者补充可以留言在文章下方，感谢大家的支持！

DDoS 攻击与防护（二）：DDoS 防护购买和使用入门指南，DDoS 防护服务有哪些应用场景？相关推荐

DDOS攻击防御（二）
DDOS攻击防御(二) 1.自主防御方法及步骤 a.定期扫描漏洞,时打上补丁要确保服务器软件没有任何漏洞,防止攻击者入侵.确保服务器采用最新系统,并打上安全补丁. b.过滤不必要的服务和端口过滤不 ...
两个真实的DDOS攻击案例简析，看完你还敢轻视DDOS防护吗
一场疫情过后,DDoS防护被越来越多的人所重视.互联网技术是很多企业能活下去的关键点,如果说过去互联网技术只是让很多企业活得好,经过这次疫情,互联网技术则是很多企业能够活下去的关键点.互联网正在深入到 ...
DDoS 攻击与防护（一）：如何识别 DDoS 攻击？DDoS 防护 ADS 服务有哪些？
文章目录前言一.什么是 DDoS 防护 ADS? 1.1.什么是 DDoS 攻击? 1.2.如何识别 DDoS 攻击? 1.3.从 Web 访问流程分析 DDoS 攻击 1.4.DDoS 攻击类型 ...
「短小精悍」4步教你学会如何DDOS攻击与防护
前言: DDOS即分布式拒绝服务攻击,攻击者利用不同位置的大量"肉鸡"对目标发动大量的正常或非正常请求,耗尽目标主机资源和网络资源,使被攻击的主机不能正常为合法用户提供服务. DD ...
超低成本DDoS攻击来袭，看WAF如何绝地防护
一.DDoS攻击,不止于网络传输层网络世界里为人们所熟知的DDoS攻击,多数是通过对带宽或网络计算资源的持续.大量消耗,最终导致目标网络与业务的瘫痪:这类DDOS攻击, 工作在OSI模型的网络层与传 ...
产业安全公开课：2023年DDoS攻击趋势研判与企业防护新思路
2023年,全球数字化正在加速发展,网络安全是数字化发展的重要保障.与此同时,网络威胁日益加剧.其中,DDoS攻击作为网络安全的主要威胁之一,呈现出连年增长的态势,给企业业务稳定带来巨大挑战. 2月2 ...
超低成本DDoS攻击来袭，火山引擎WAF三大防护场景实现有效防护
网络安全世界中,人们所熟悉的DDoS攻击(分布式拒绝服务攻击),大多数是对带宽或者网络的计算资源进行消耗,最终导致目标网络或者业务瘫痪,无法访问. 除了常规的DDoS攻击,还有一类典型DDoS攻击手段 ...
《2021 DDoS攻击态势报告》解读 | 基于威胁情报的DDoS攻击防护
随着5G.云计算.大数据.物联网等新兴数字产业的发展,信息基础设施的建设规模也随之扩大,这无疑会导致越来越多的网络资产暴露在互联网上.这些资产一旦被DDoS攻击者所利用,将会对网络安全带来严重威胁.在 ...
盘点国内6大抗DDOS攻击服务商
近日,信息安全公司Verisign发布了2017年第一季度的分布式拒绝攻击(DDos)趋势报告.此份报告介绍了该公司在2017年1月1日-2017年3月31日这一阶段观察到的DDoS攻击频率,大小和类 ...

DDoS 攻击与防护（二）：DDoS 防护购买和使用入门指南，DDoS 防护服务有哪些应用场景？