---

前言

DDoS 攻击是使得用户电脑的网络或系统资源耗尽，服务暂时中断或停止，导致合法用户不能够访问正常网络服务的行为。针对 DDoS 攻击，华为云提供多种安全防护方案，DDoS 原生高级防护和 DDoS 高防可为用户提供全面海量的 DDoS 防护服务。在本文中我们将接着《DDoS 攻击与防护（一）：如何识别 DDoS 攻击？DDoS 防护 ADS 服务有哪些？》的内容给大家介绍如何购买和使用 DDoS 高防和 DDoS 原生高级防护，并带大家了解 DDoS 高防和 DDoS 原生高级防护应用场景。

---

前文回顾：《DDoS 攻击与防护（一）：如何识别 DDoS 攻击？DDoS 防护 ADS 服务有哪些？》

一、如何选择 DDoS 高防和 DDoS 原生高级防护？

在选择 DDoS 高防和 DDoS 原生高级防护时，我们对 DDoS 防护竞争力各方面数据进行详细对比，具体如下图所示：

DDoS 高防和 DDoS 原生高级防护在全球支持计划方面：

• 已启动拉美，俄罗斯，中东地区高防机房采购；
• 运营商合建提供近源清洗能力。

二、如何购买和使用 DDoS 高防？

2.1、购买 DDoS 高防

对于 DDoS 高防的购买流程，作为参考，具体如下图所示：

2.2、DDoS 高防域名网站类业务接入流程

DDoS 高防域名网站类业务接入流程以流程图的形式演示，具体如下图所示：

2.3、配置防护域名

对于防护域名的配置，作为参考，具体如下图所示：

对于其中的三个配置项防护域名、源站类型和证书说明如下：

• 防护域名：用户的实际业务对外提供服务所使用的域名。示例：单域名：www.example.com；泛域名：*.example.com。
• 源站类型：待添加防护域名的源站的类型。
  源站 IP：真实服务器的公网 IP 地址，最多可输入 20 个 IP 地址，IP 地址间以“，”分隔。
  源站域名：当前仅支持华为云 WAF CNAME。
  转发协议：DDoS 高防转发客户端（例如浏览器）请求的协议类型。包括“HTTP”、“HTTPS”两种协议类型。
  源站端口：DDoS 高防转发客户端请求到服务器的业务端口。
• 证书：“源站类型”选择“源站 IP”且“转发协议”选择“HTTPS”时，需要上传证书

2.4、上传证书

有关上传证书的操作，作为参考，具体如下图所示：

2.5、选择实例和线路

选择实例和线路的操作，作为参考，具体如下图所示：

选择实例和线路需要注意：

• 一个域名可以选择多条线路（高防 IP），选择多个高防 IP 时请确保各高防 IP 所配置的转发规则个数以及转发规则的转发协议、转发端口和业务类型保持一致。
• 为了避免业务产生跨运营商访问，每个高防实例配置了多运营商线路，建议您在选择实例和线路时选择一组完整的实例线路。

2.6、本地验证

打开 Telnet，执行以下命令，测试已接入 DDoS 高防的源站 IP 是否能成功建立连接。

• 以源站 IP 对外开放的 80 端口为例，对应命令如下：

telnet 源站 IP 80

• 如果可以连通，则说明 Telnet 公网地址在本机网络环境可用。
• 如果无法连通，则需要更换本地测试机网络环境，因为某些企业网可能配置过内部网络限制。例如连接手机 Wi-Fi 热点以切换为运营商网络。

执行以下命令，测试域名接入 DDoS 高防配置是否正确，命令如下：

telnet 在目标域名的“CNAME”列，单击，复制域名的 C... 中的 CNAME 值 80

• 如果可以连接，说明配置成功。
• 如果无法连接，请确认域名参数是否配置正确。

2.7、修改 DNS 解析

修改 DNS 解析流程，作为参考，具体如下图所示：

对于其中的四个配置项主机记录、类型、线路类型和值说明如下：

• 主机记录：域名的别名（后缀无需用户手动填写）。
• 类型：记录集的类型。
• 线路类型：用于 DNS 服务器在解析域名时，根据访问者的来源，返回对应的服务器 IP 地址。
• 值：需指向的域名。

2.8、放行高防回源 IP 段

高防回源 IP 段信息具体如下图所示：

• 回源 IP 时 DDoS 高防用来代理客户端请求服务器时用的源 IP，在服务器看来，接入 DDoS 高防后所有的源 IP 都会变成 DDoS 高防的回源 IP，以确保源站安全、稳定、可用。
• 如果源站已配置防火墙或安装安全软件，为了防止高防回源 IP 被源站限速，需要将高防回源 IP 段添加到源站的防火墙或其它防护软件的白名单中，即放行高防回源 IP 段，以确保高防的回源 IP 不受源站安全策略影响。

2.9、非域名类业务接入 DDoS 高防

如果您的业务没有域名，仅通过公网 IP 对外提供服务，您可以通过配置转发规则将业务接入 DDoS 高防。配置转发规则后，高防 IP 会自动将流量转发到源站 IP，具体如下图所示：

2.10、管理域名

修改域名的高防 IP 解析路线，作为参考，具体如下图所示：

修改源站 IP，作为参考，具体如下图所示：

修改域名业务配置，作为参考，具体如下图所示：

2.11、配置防护策略

配置黑白名单，作为参考，具体如下图所示：

配置流量封禁，作为参考，具体如下图所示：

配置 CC 攻击防护规则，需要网站类业务已开启“WEB 基础防护”，作为参考，具体如下图所示：

2.12、管理转发规则

包括查看转发规则信息、批量导出转发规则以及删除转发规则，作为参考，具体如下图所示：

三、如何购买和使用 DDoS 原生高级防护

3.1、购买 DDoS 原生高级防护实例

购买 DDoS 原生高级防护实例，作为参考，具体如下图所示：

3.2、添加防护对象

添加防护对象，作为参考，具体如下图所示：

3.3、创建防护策略

创建防护策略，作为参考，具体如下图所示：

3.4、配置防护策略

配置防护策略，作为参考，具体如下图所示：

3.5、查看数据报表

查看数据报表，作为参考，具体如下图所示：

3.6、开启 CNAD 告警通知

开启 CNAD 告警通知，作为参考，具体如下图所示：

3.7、配置 DDoS 阶梯调度策略

配置 DDoS 阶梯调度策略，作为参考，具体如下图所示：

四、DDoS 防护服务的应用场景

4.1、DDoS 高防应用场景

DDoS 高防应用场景可以归纳为以下几类，具体如下图所示：

• 娱乐（游戏）：娱乐（游戏）行业是 DDoS 攻击的重灾区，高效 IP 能保证游戏的可用性和持续性，提高用户体验，在商家活动、节日游戏等旺季时段提供防护。
• 金融：满足金融行业的合规性要求，保证线上交易的实时性、安全稳定性。
• 政府：满足国家政务云建设标准的安全需求，为重大会议、活动、敏感时期提供安全保障，保障民生服务正常可用，维护政府公信力。
• 电商：为用户访问互联网提供防护，使业务正常不中断，在电商大促等活动时段提供防护功能。
• 企业：保证企业站点服务持续可用，避免 DDoS 攻击造成经济和企业形象损失问题，降低维护费用，节省安全成本。

4.2、DDoS 原生高级防护应用场景

DDoS 原生高级防护应用场景可以归纳为以下几类，具体如下图所示：

DDoS 原生高级防护适用于部署在华为云服务上，且华为云服务有公网 IP 资源的业务。

• 能够满足业务规模大、对网络质量要求高的用户——电商、门户网站。
• 业务带宽或 QPS 较大——在线视频、直播等业务带宽要求比较高的领域。
• IPv6 类型业务防护需求——IPv6 业务。
• 华为云上公网 IP 资源较多，业务中大量端口、域名、IP 需要 DDoS 攻击防护——在线教育。

五、续（补充）

由于 DDoS 攻击与防护内容较多且篇幅有限，我们将整体内容拆分为两部分，需要查看全文的小伙伴们点击下面链接自行查阅：

《DDoS 攻击与防护（一）：如何识别 DDoS 攻击？DDoS 防护 ADS 服务有哪些？》
《DDoS 攻击与防护（二）：DDoS 防护购买和使用入门指南，DDoS 防护服务有哪些应用场景？》

---

总结

DDoS 攻击与防护两篇文章，分别给大家介绍了 DDoS 攻击、DDoS 防护 ADS、DDoS 高防和 DDoS 原生高级防护的特性，DDoS 高防和 DDoS 原生高级防护的购买和使用，DDoS 高防和 DDoS 原生高级防护的应用场景五个部分的内容。在购买和使用过程中我们需要明确 DDoS 高防和 DDoS 原生高级防护的适用场景和应用特性：DDoS 高防服务通过高防 IP 代理源站 IP 对外提供服务，将所有的公网流量都引流至高防 IP，进而隐藏源站，避免源站（用户业务）遭受大流量 DDoS 攻击；而 DDoS 原生高级防护适用于部署在华为云服务上，且华为云服务有公网 IP 资源的业务。

---

我是白鹿，一个不懈奋斗的程序猿。望本文能对你有所裨益，欢迎大家的一键三连！若有其他问题、建议或者补充可以留言在文章下方，感谢大家的支持！