操作（Action） 操作（Action）即为SCP策略中支持的授权项。 “访问级别”列描述如何对操作进行分类（list、read和write等）。此分类可帮助您了解在SCP策略中相应操作对应的访问级别。 “资源类型”列指每个操作是否支持资源级权限。 资源类型支持通配符号*表示所有。如果此列没有值（-），则必须在SCP策略语句的Resource元素中指定所有资源类型（“*”）。 如果该列包含资源类型，则必须在具有该操作的语句中指定该资源的URN。 资源类型列中必需资源在表中用星号（*）标识，表示使用此操作必须指定该资源类型。 关于AAD定义的资源类型的详细信息请参见资源类型（Resource）。 “条件键”列包括了可以在SCP策略语句的Condition元素中支持指定的键值。 如果该授权项资源类型列存在值，则表示条件键仅对列举的资源类型生效。 如果该授权项资源类型列没有值（-），则表示条件键对整个授权项生效。 如果此列条件键没有值（-），表示此操作不支持指定条件键。 关于AAD定义的条件键的详细信息请参见条件（Condition）。 您可以在SCP策略语句的Action元素中指定以下AAD的相关操作。 表1 AAD支持的授权项 授权项 描述 访问级别 资源类型（*为必须） 条件键 aad:alarmConfig:create 授予创建告警设置的权限。 write alarmConfig * - aad:alarmConfig:put 授予修改告警设置的权限。 write alarmConfig * - aad:alarmConfig:get 授予查询告警设置的权限。 read alarmConfig * - aad:alarmConfig:delete 授予删除告警设置的权限。 write alarmConfig * - aad:certificate:delete 授予删除证书的权限。 write certificate * - aad:certificate:list 授予查询证书列表的权限。 list certificate * - aad:certificate:set 授予修改域名对应证书的权限。 write certificate * - domain * g:EnterpriseProjectId aad:dashboard:delete 授予删除报表日志配置的权限。 write - - aad:dashboard:get 授予获取报表数据和日志配置的权限。 read - - aad:dashboard:set 授予修改报表日志配置的权限。 write - - aad:domain:create 授予添加防护域名的权限。 write domain * g:EnterpriseProjectId aad:domain:delete 授予删除防护域名的权限。 write domain * g:EnterpriseProjectId aad:domain:get 授予查询防护域名详情的权限。 read domain * g:EnterpriseProjectId aad:domain:list 授予查询域名列表的权限。 list domain * g:EnterpriseProjectId aad:domain:put 授予修改域名防护属性的权限。 write domain * g:EnterpriseProjectId aad:forwardingRule:create 授予添加转发规则的权限。 write forwardingRule * g:EnterpriseProjectId aad:forwardingRule:delete 授予删除转发规则的权限。 write forwardingRule * g:EnterpriseProjectId aad:forwardingRule:get 授予查询转发规则的权限。 read forwardingRule * g:EnterpriseProjectId aad:forwardingRule:list 授予导出转发规则的权限。 list forwardingRule * g:EnterpriseProjectId aad:forwardingRule:put 授予修改转发规则中的回源IP的权限。 write forwardingRule * g:EnterpriseProjectId aad:instance:create 授予创建实例的权限。 write instance * g:EnterpriseProjectId aad:instance:get 授予查询实例属性的权限。 read instance * g:EnterpriseProjectId aad:instance:list 授予查询实例列表的权限。 list instance * g:EnterpriseProjectId aad:instance:put 授予修改实例属性的权限。 write instance * g:EnterpriseProjectId aad:policy:create 授予添加防护规则的权限。 write policy * g:EnterpriseProjectId aad:policy:delete 授予删除防护规则的权限。 write policy * g:EnterpriseProjectId aad:policy:get 授予查询防护规则详情的权限。 read policy * g:EnterpriseProjectId aad:policy:list 授予查询防护规则列表的权限。 list policy * g:EnterpriseProjectId aad:policy:put 授予修改防护规则的权限。 write policy * g:EnterpriseProjectId aad:quotas:get 授予查询防护规格的权限。 read - - aad:whiteBlackIpRule:create 授予添加防护黑白名单的权限。 write whiteBlackIpRule * g:EnterpriseProjectId aad:whiteBlackIpRule:delete 授予删除防护黑白名单的权限。 write whiteBlackIpRule * g:EnterpriseProjectId aad:whiteBlackIpRule:list 授予查询防护黑白名单列表的权限。 list whiteBlackIpRule * g:EnterpriseProjectId aad:protectedIp:put 授予修改防护对象标签的权限。 write - - aad:protectedIp:list 授予查询防护对象列表的权限。 list - - aad:package:put 授予修改防护包的权限。 write package * - aad:package:list 授予查询防护包列表的权限。 list package * - aad:block:put 授予解封IP的权限。 write - - aad:block:list 授予查询封堵ip列表的权限。 list - - aad:block:get 授予查询封堵和解封信息的权限。 read - - aad:alarmConfig:create 授予创建告警设置的权限。 write alarmConfig * - aad:alarmConfig:put 授予修改告警设置的权限。 write alarmConfig * - aad:alarmConfig:get 授予查询告警设置的权限。 read alarmConfig * - aad:alarmConfig:delete 授予删除告警设置的权限。 write alarmConfig * - aad:certificate:delete 授予删除证书的权限。 write certificate * - aad:certificate:list 授予查询证书列表的权限。 list certificate * - aad:certificate:set 授予修改域名对应证书的权限。 write certificate * - domain * g:EnterpriseProjectId aad:dashboard:delete 授予删除报表日志配置的权限。 write - - aad:dashboard:get 授予获取报表数据和日志配置的权限。 read - - aad:dashboard:set 授予修改报表日志配置的权限。 write - - aad:domain:create 授予添加防护域名的权限。 write domain * g:EnterpriseProjectId aad:domain:delete 授予删除防护域名的权限。 write domain * g:EnterpriseProjectId aad:domain:get 授予查询防护域名详情的权限。 read domain * g:EnterpriseProjectId aad:domain:list 授予查询域名列表的权限。 list domain * g:EnterpriseProjectId aad:domain:put 授予修改域名防护属性的权限。 write domain * g:EnterpriseProjectId aad:forwardingRule:create 授予添加转发规则的权限。 write forwardingRule * g:EnterpriseProjectId aad:forwardingRule:delete 授予删除转发规则的权限。 write forwardingRule * g:EnterpriseProjectId aad:forwardingRule:get 授予查询转发规则的权限。 read forwardingRule * g:EnterpriseProjectId aad:forwardingRule:list 授予导出转发规则的权限。 list forwardingRule * g:EnterpriseProjectId aad:forwardingRule:put 授予修改转发规则中的回源IP的权限。 write forwardingRule * g:EnterpriseProjectId aad:instance:create 授予创建实例的权限。 write instance * g:EnterpriseProjectId aad:instance:get 授予查询实例属性的权限。 read instance * g:EnterpriseProjectId aad:instance:list 授予查询实例列表的权限。 list instance * g:EnterpriseProjectId aad:instance:put 授予修改实例属性的权限。 write instance * g:EnterpriseProjectId aad:policy:create 授予添加防护规则的权限。 write policy * g:EnterpriseProjectId aad:policy:delete 授予删除防护规则的权限。 write policy * g:EnterpriseProjectId aad:policy:get 授予查询防护规则详情的权限。 read policy * g:EnterpriseProjectId aad:policy:list 授予查询防护规则列表的权限。 list policy * g:EnterpriseProjectId aad:policy:put 授予修改防护规则的权限。 write policy * g:EnterpriseProjectId aad:quotas:get 授予查询防护规格的权限。 read - - aad:whiteBlackIpRule:create 授予添加防护黑白名单的权限。 write whiteBlackIpRule * g:EnterpriseProjectId aad:whiteBlackIpRule:delete 授予删除防护黑白名单的权限。 write whiteBlackIpRule * g:EnterpriseProjectId aad:whiteBlackIpRule:list 授予查询防护黑白名单列表的权限。 list whiteBlackIpRule * g:EnterpriseProjectId aad:protectedIp:put 授予修改防护对象标签的权限。 write - - aad:protectedIp:list 授予查询防护对象列表的权限。 list - - aad:package:put 授予修改防护包的权限。 write package * - aad:package:list 授予查询防护包列表的权限。 list package * - aad:block:put 授予解封IP的权限。 write - - aad:block:list 授予查询封堵ip列表的权限。 list - - aad:block:get 授予查询封堵和解封信息的权限。 read - - AAD的API通常对应着一个或多个授权项。表2展示了API与授权项的关系，以及该API需要依赖的授权项。 表2 API与授权项的关系 API 对应的授权项 依赖的授权项 POST /v1/{project_id}/cad/alart/config aad:alarmConfig:create - POST /v1/cnad/alarm-config aad:alarmConfig:put - DELETE /v1/cnad/alarm-config aad:alarmConfig:delete - GET /v1/{project_id}/cad/alart/list aad:alarmConfig:get - GET /v1/cnad/alarm-config aad:alarmConfig:get - DELETE /v1/aad/certificate/del aad:certificate:delete - GET /v1/{project_id}/cad/domains/certificatelist aad:certificate:list - GET /v1/aad/certificate-details aad:certificate:list - POST /v1/{project_id}/cad/domains/certificate aad:certificate:set - POST /v1/aad/configs/lts/delete aad:dashboard:delete - GET /v1/{project_id}/cad/ddosinfo/events_type aad:dashboard:get - GET /v1/aad/configs/lts_region aad:dashboard:get - GET /v1/aad/configs/lts aad:dashboard:get - GET /v1/{project_id}/waf/event/timeline aad:dashboard:get - GET /v1/{project_id}/waf/event/request/peak aad:dashboard:get - GET /v1/{project_id}/waf/event/attack/type aad:dashboard:get - GET /v1/{project_id}/waf/event/attack/source/num aad:dashboard:get - GET /v1/{project_id}/waf/event/attack/source aad:dashboard:get - GET /v1/{project_id}/cad/instances/flow_pps aad:dashboard:get - GET /v1/{project_id}/cad/instances/flow_bps aad:dashboard:get - GET /v1/{project_id}/cad/instances/events aad:dashboard:get - GET /v1/{project_id}/cad/ddosinfo/peak aad:dashboard:get - POST /v1/aad/configs/lts aad:dashboard:set - POST /v1/{project_id}/aad/domains aad:domain:create - POST /v1/{project_id}/cad/domains/del aad:domain:delete - GET /v1/{project_id}/aad/domains/{domain_id}/service-config aad:domain:get - GET /v1/{project_id}/cad/domains/ports aad:domain:list - GET /v1/{project_id}/cad/domains/name aad:domain:get - GET /v1/{project_id}/cad/domains/line/{enterprise_project_id} aad:domain:list - GET /v1/{project_id}/cad/domains/instances aad:domain:get - GET /v1/{project_id}/cad/domains/brief aad:domain:get - GET /v1/{project_id}/aad/domains/waf-list aad:domain:list - GET /v1/{project_id}/cad/domains aad:domain:list - POST /v1/{project_id}/aad/domains/{domain_id}/service-config aad:domain:put - POST /v1/{project_id}/cad/domains/switch aad:domain:put - POST /v1/{project_id}/cad/domains/cnameDispatchSwitch aad:domain:put - POST /v1/{project_id}/cad/domains/cname/switch aad:domain:put - POST /v1/{project_id}/cad/instances/protocol_rule aad:forwardingRule:create - POST /v1/{project_id}/cad/instances/protocol_rule/import aad:forwardingRule:create - DELETE /v1/{project_id}/cad/instances/protocol_rule/{rule_id} aad:forwardingRule:delete - POST /v1/{project_id}/cad/instances/protocol_rule/batchdel aad:forwardingRule:delete - GET /v1/{project_id}/cad/instances/rules aad:forwardingRule:get - GET /v1/{project_id}/cad/instances/protocol_rule/export aad:forwardingRule:list - PUT /v1/{project_id}/cad/instances/protocol_rule/{rule_id} aad:forwardingRule:put - POST /v1/{project_id}/cad/instances/cad_open aad:instance:create - GET /v1/{project_id}/cad/products aad:instance:create - GET /v1/{project_id}/{resource_type}/{resource_id}/tags aad:instance:get - GET /v1/{project_id}/cad/upgradeproducts/{instance_id} aad:instance:get - GET /v1/{project_id}/cad/instances/detail/{instance_id} aad:instance:get - GET /v1/{project_id}/aad/instances/brief-list aad:instance:list - GET /v1/{project_id}/cad/sourceip aad:instance:list - GET /v1/{project_id}/cad/instances aad:instance:list - POST /v1/{project_id}/{resource_type}/{resource_id}/tags/action aad:instance:put - POST /v1/{project_id}/cad/instances/cad_spec_upgrade aad:instance:put - PUT /v1/{project_id}/cad/instances/{instance_id}/name aad:instance:put - PUT /v1/{project_id}/cad/instances/{instance_id}/elastic/{ip_id} aad:instance:put - POST /v1/{project_id}/aad/policies/waf/cc aad:policy:create - POST /v1/cnad/policies aad:policy:create - DELETE /v1/{project_id}/aad/policies/waf/cc/{rule_id} aad:policy:delete - DELETE /v1/cnad/policies/{policy_id} aad:policy:delete - GET /v1/{project_id}/cad/flowblock aad:policy:get - GET /v1/cnad/policies/{policy_id} aad:policy:get - GET /v1/{project_id}/aad/policies/waf/cc aad:policy:list - GET /v1/cnad/policies aad:policy:list - PUT /v1/{project_id}/aad/policies/waf/cc/{rule_id} aad:policy:put - POST /v1/{project_id}/cad/flowblock/udp aad:policy:put - POST /v1/{project_id}/cad/flowblock/foreign aad:policy:put - POST /v1/cnad/policies/{policy_id}/ip-list/add aad:policy:put - POST /v1/cnad/policies/{policy_id}/bind aad:policy:put - POST /v1/cnad/policies/{policy_id}/ip-list/delete aad:policy:put - POST /v1/cnad/policies/{policy_id}/unbind aad:policy:put - PUT /v1/cnad/policies/{policy_id} aad:policy:put - GET /v1/{project_id}/aad/quotas/domain-port aad:quotas:get - GET /v1/{project_id}/scc/waf/quota aad:quotas:get - GET /v1/{project_id}/cad/quotas aad:quotas:get - GET /v1/{project_id}/cad/ip/quotas aad:quotas:get - GET /v1/{project_id}/cad/bwlist/quota aad:quotas:get - GET /v1/{project_id}/aad/user-configs aad:quotas:get - POST /v1/{project_id}/cad/bwlist aad:whiteBlackIpRule:create - POST /v1/{project_id}/cad/bwlist/delete aad:whiteBlackIpRule:delete - GET /v1/{project_id}/cad/bwlist aad:whiteBlackIpRule:list - PUT /v1/cnad/protected-ips/tags aad:protectedIp:put - GET /v1/cnad/protected-ips aad:protectedIp:list - POST /v1/cnad/packages/{package_id}/protected-ips aad:package:put - PUT /v1/cnad/packages/{package_id}/name aad:package:put - GET /v1/cnad/packages aad:package:list - GET /v1/cnad/packages/{package_id}/unbound-protected-ips aad:package:list - POST /v1/unblockservice/{domain_id}/unblock aad:block:put - GET /v1/unblockservice/{domain_id}/block-list aad:block:list - GET /v1/unblockservice/{domain_id}/unblock-quota-statistics aad:block:get - GET /v1/unblockservice/{domain_id}/block-statistics aad:block:get - GET /v1/unblockservice/{domain_id}/unblock-record aad:block:get - GET /v1/{project_id}/cad/instances/{instance_id}/elastic_count/{ip_id} aad:instance:get - GET /v1/{project_id}/cad/instances/{data_center}/elastic/{line}/{ip_id} aad:instance:get - GET /v1/aad/remain-vip-number aad:quotas:get - GET /v1/aad/instance/connection-num aad:dashboard:get - PUT /v1/{project_id}/cad/instances/{instance_id}/pp-switch aad:instance:put - GET /v1/aad-service/ces/{domain_id}/dims-info aad:instance:list - GET /v1/aad-service/ces/v2/{domain_id}/instances aad:instance:list - GET /v1/{project_id}/cad/instances/security-statistics aad:instance:list - GET /v1/aad/domain/instances/rules aad:domain:list - POST /v1/aad/policy/modify aad:policy:put - POST /v1/aad/geoip aad:policy:put - GET /v1/aad/geoip aad:policy:get - DELETE /v1/aad/geoip/{ruleId} aad:policy:delete - PUT /v1/aad/geoip/{ruleId} aad:policy:put - POST /v1/aad/whiteip aad:policy:put - GET /v1/aad/whiteip aad:policy:get - DELETE /v1/aad/whiteip aad:policy:delete - POST /v1/aad/custom aad:policy:put - GET /v1/aad/custom aad:policy:get - PUT /v1/aad/custom/{ruleId} aad:policy:put - DELETE /v1/aad/custom/{ruleId} aad:policy:delete - GET /v1/aad/policy/details aad:policy:get - POST /v1/aad/cc/intelligent/modify aad:policy:put - GET /v1/aad/geoip/map aad:policy:get - GET /v1/aad/instances/{instance_id}/{ip}/ddos-statistics aad:dashboard:get - GET /v1/aad/protected-domains/{domain_id} aad:domain:get - GET /v1/aad/protected-domains aad:domain:list - PUT /v1/aad/protected-domains/{domain_id} aad:domain:put - POST /v1/aad/instances/{instance_id}/{ip}/rules/batch-create aad:forwardingRule:create - POST /v1/aad/instances/{instance_id}/{ip}/rules/batch-delete aad:forwardingRule:delete - GET /v1/aad/instances/{instance_id}/{ip}/rules aad:forwardingRule:list - PUT /v1/aad/instances/{instance_id}/{ip}/rules/{rule_id} aad:forwardingRule:put - GET /v1/aad/instances aad:instance:list -

应用场景 当您的网站类业务部署在华为云ECS上时，您可以为网站业务配置“DDoS原生高级防护+独享WAF”联动防护，即网站业务接入独享模式WAF后将WAF独享引擎的ELB绑定的公网IP添加到DDoS原生高级防护实例进行防护，实现DDoS原生高级防护和独享WAF双重防护，同时防御四层DDoS攻击和七层Web攻击、CC攻击等，大幅提升网站业务的安全性和稳定性。 网站业务部署“DDoS原生高级防护+独享WAF”联动防护后，所有业务流量经过WAF独享引擎进行安全清洗后，攻击流量（包括DDoS攻击、Web攻击、CC攻击等）被丢弃，正常的业务流量被WAF转发到源站服务器。

计费方式 DDoS原生高级防护提供DDoS原生标准版、DDoS原生防护-全力防基础版、DDoS原生防护-全力防高级版三种服务版本，根据您选择的版本和规格参数计费。 DDoS原生标准版、DDoS原生防护-全力防高级版提供包周期预付费计费模式，使用越久越便宜。包周期计费按照订单的购买周期来进行结算。 DDoS原生防护-全力防基础版提供按需和包周期的计费模式。 表1 计费项信息 版本 计费项目 计费方式 说明 DDoS原生标准版 实例 按购买的实例数量计费。 每个实例的防护规格说明如下： 防护能力：20G 防护IP数：1个 防护次数：10次 IP更换次数：5次 购买时长：1个月 业务带宽：默认提供100M DDoS原生防护-全力防基础版 实例 按购买的实例数量计费。 - 防护IP数 每个DDoS原生防护-全力防基础版实例防护的IP个数。 取值范围为50～500，且防护IP数必须设置为5的倍数。 防护次数 每个DDoS原生防护-全力防基础版实例防护的次数。 防护次数：无限次 购买时长 提供包月和包年的购买模式。 支持“3个月”、“6个月”或“1年”。 DDoS原生防护-全力防高级版 实例 按购买的实例数量计费。 - 防护IP数 每个DDoS原生防护-全力防高级版实例防护的IP个数。 取值范围为50～500，且防护IP数必须设置为5的倍数。 防护次数 每个DDoS原生防护-全力防高级版实例防护的次数。 防护次数：无限次 购买时长 提供包月和包年的购买模式。 支持“3个月”、“6个月”或“1年”。 有关DDoS原生高级防护支持的业务规格详细介绍，请参见DDoS原生高级防护业务规格。

计费方式 华为云DDoS高防根据您选择业务宽带、保底防护宽带和弹性防护宽带的规格计费。 表1 计费项信息 计费项 计费方式 计费说明 业务带宽 预付费，按月/年付费。 高防机房将清洗后的干净流量，转发给源站所占用的带宽。 说明： 高防机房在华为云外，建议购买的高防业务带宽规格大于或等于源站出口带宽。 保底防护带宽 预付费，按月/年付费。 用于防御攻击的保底带宽。如果攻击峰值小于等于客户购买的保底防护带宽，客户无需支付月/年费以外的额外费用。 说明： 不同线路套餐的保底防护带宽的价格不同，具体请参考产品价格详情。 弹性防护带宽 后付费，按天付费。 用于防御攻击的最大可用带宽。计费规则请参考DDoS高防弹性带宽具体怎么计费。 弹性防护宽带的计费详情： 计费标准：取决于当日发生的攻击峰值，即一天内发生多次攻击，仅峰值最高的攻击参与计费。 后付费：根据实际攻击峰值产生弹性防护费用。如果没有攻击，便不会产生弹性防护费用。 规格可调整：DDoS高防服务管理控制台支持调整弹性防护带宽，调整后新的弹性防护带宽可立即生效。 可避免付费：将弹性防护带宽设置为与基础防护带宽一致，则可避免产生弹性防护的后付费费用。

计费示例 以包年/包月购买DDoS高防为例，假设您在2023/03/08 15:50:04购买了一个接入类型为网站类的DDoS高防实例，计费资源包括线路资源、保底防护带宽、弹性防护带宽、业务带宽、防护域名数。购买时长为1个月，并在到期前手动续费1个月，则： 第一个计费周期为：2023/03/08 15:50:04 ~ 2023/04/08 23:59:59 第二个计费周期为：2023/04/08 23:59:59 ~ 2023/05/08 23:59:59 图1给出了上述示例配置的费用计算过程。 图中价格仅为示例，实际价格请以控制台为准。 图1 费用计算示例

计费说明 DDoS高防的计费项主要由实例数量、保底防护带宽、弹性防护带宽、业务带宽、防护域名数、转发规则数组成。不同接入模式的计费项如表1所示。 表1 计费项 版本 计费模式 计费项 说明 DDoS高防 包年/包月（含后付费项目） 实例数 按购买的实例数量计费。 保底防护带宽 预付费，按月/年付费。 弹性防护带宽 后付费，按天付费。如果当天的攻击峰值≤保底防护带宽，则不会产生弹性防护带宽费用。 业务带宽 免费赠送100Mbps，超出部分按月/年付费。 防护域名数 每个实例防护的域名个数，域名接入类型才有该计费项。

计费示例 假设您在2023/03/08 15:50:04购买了一个DDoS原生防护-全力防基础版实例，计费资源包括防护IP数、业务带宽。购买时长为3个月，并在到期前手动续费3个月，则： 第一个计费周期为：2023/03/08 15:50:04 ~ 2023/06/08 23:59:59 第二个计费周期为：2023/06/08 23:59:59 ~ 2023/09/08 23:59:59 图1给出了上述示例配置的费用计算过程。 图中价格仅为示例，实际价格请以控制台为准。 图1 费用计算示例

适用场景 包年/包月计费模式需要用户预先支付一定时长的费用，适用于长期、稳定的业务需求。以下是一些适用于包年/包月计费模式的业务场景： 稳定业务需求：对于长期运行且资源需求相对稳定的业务，如企业官网、在线商城、博客等，包年/包月计费模式能提供较高的成本效益。 长期项目：对于周期较长的项目，如科研项目、大型活动策划等，包年/包月计费模式可以确保在整个项目周期内资源的稳定使用。 业务高峰预测：如果能预测到业务高峰期，如电商促销季、节假日等，可提前购买包年/包月资源以应对高峰期的需求，避免资源紧张。 数据安全要求高：对于对数据安全性要求较高的业务，包年/包月计费模式可确保资源的持续使用，降低因资源欠费而导致的数据安全风险。

适用计费项 DDoS防护服务不同版本，支持包年/包月的计费项如表1所示。 表1 计费项 版本 计费项 说明 DDoS原生防护-标准版 实例 按购买的实例数量计费。 DDoS原生防护-全力防基础版 实例 按购买的实例数量计费。 防护IP数 每个实例防护的IP个数。 业务带宽 业务使用的带宽资源。 DDoS原生防护-全力防高级版 实例 按购买的实例数量计费。 防护IP数 每个实例防护的IP个数。 业务带宽 业务使用的带宽资源。 DDoS高防 实例数 按购买的实例数量计费。 保底防护带宽 预付费，按月/年付费。 弹性防护带宽 后付费，按天付费。 业务带宽 免费赠送100Mbps，超出部分按月/年付费。 防护域名数 每个实例防护的域名个数，域名接入类型才有该计费项。 DDoS高防国际版 实例数量 按购买的实例数量计费。 保底防护带宽 预付费，按月/年付费。 业务带宽 预付费，按月/年付费。 防护域名数 每个实例防护的域名个数。 转发规则数 每个实例可添加的TCP/UDP转发规则。

变更配置后对计费的影响 当前DDoS实例资源的规格不满足您的业务需要时，您可以在DDoS防护控制台发起升级规格操作，变更时系统将按照如下规则为您计算变更费用： 资源升配：新配置价格高于老配置价格，此时您需要支付新老配置的差价。 资源降配：DDoS实例暂不支持降配。 如果您需要从BGP 10G包月版本（假设：8700元/月）升级至BGP Pro 10G包月版本（假设：9800元/月），您当前版本剩余天数还20天。 计算公式如下： 升配费用=（新配置包月价格/30-旧配置包月价格/30）*剩余周期 那么你需要补充的费用是：（9800/30-8700/30）x20=733.34元。 更多信息请参见变更资源规格费用说明。

到期后影响 图2描述了包年/包月DDoS实例各个阶段的状态。购买后，在计费周期内资源正常运行，此阶段为有效期；资源到期而未续费时，将陆续进入宽限期和保留期。 图2 DDoS实例生命周期 到期预警 包年/包月DDoS实例在到期前第7天内，系统将向用户推送到期预警消息。预警消息将通过邮件、短信和站内信的方式通知到华为云账号的创建者。 到期后影响 当您的包年/包月DDoS实例到期未续费，首先会进入宽限期，资源状态变为“已过期”。宽限期内您可以使用DDoS防护服务，但以下操作将受到限制： 升级规格 如果您在宽限期内仍未续费DDoS实例，那么就会进入保留期，资源状态变为“已冻结”，您将无法对处于保留期的DDoS实例执行任何操作。 保留期到期后，如果DDoS实例仍未续费，那么DDoS实例将被释放，数据无法恢复。 华为云根据客户等级定义了不同客户的宽限期和保留期时长。 关于续费的详细介绍请参见续费概述。

DDoS原生高级防护的业务带宽需要计费吗？ DDoS原生高级防护提供DDoS原生标准版、DDoS原生防护-全力防基础版、DDoS原生防护-全力防高级版三种服务版本。 三种规格都需要支付业务带宽费用，只有DDoS原生标准版固定了带宽值，无法自选带宽大小。 相比DDoS高防（需要将流量引流到高防机房进行清洗，通过互联网产生额外业务带宽费用），DDoS原生标准版、DDoS原生防护-全力防基础版和DDoS原生防护-全力防高级版直接在华为云内进行回源，不产生通过互联网的额外业务带宽费用。 父主题： DDoS原生高级防护计费问题

原因分析 DDoS高防判定表1中的端口为高危端口，禁止使用。 表1 高危端口 协议 端口 TCP类 135、136、137、138、139、445、3333、4444、5554、6000、8090、9995、9996、25000、50050、53413、60000 UDP类 135、137、138、139、593、901、1027、1028、1068、2745、3127、3128、3333、5800、5900、6000、6129、6667、8090、8998、9996、25000、50050、5341、60000

为什么需要黑洞策略？ DDoS攻击不仅影响受害者，也会对华为云高防机房造成严重影响。而且DDoS防御需要成本，其中最大的成本就是带宽费用。 带宽是华为云向各运营商购买所得，运营商计算带宽费用时不会把DDoS攻击流量清洗掉，而是直接收取华为云的带宽费用。华为云DDoS原生基础防护（Anti-DDoS流量清洗）服务为用户提供免费的DDoS攻击防御能力，但是当攻击流量超出Anti-DDoS流量清洗阈值时，华为云会采取黑洞策略封堵IP。

如何解除黑洞 当服务器（云主机）进入黑洞后，您可以参考表1进行处理。 表1 解除黑洞方式 DDoS防护版本 解封策略 解除方法 DDoS原生基础防护（Anti-DDoS流量清洗） 说明： DDoS原生基础防护无需购买，默认开启。 当云主机进入黑洞24小时后，黑洞会自动解封。 如果系统监控到攻击流量没有停止，依然超过限定的阈值时，IP会再次被黑洞封堵。 等待自动解封。 DDoS原生高级防护 黑洞解封时间默认为24小时。 等待自动解封。 DDoS高防 联系华为云技术支持提前解封。 建议提升弹性带宽规格避免再次封堵。 可以通过升级规格提升弹性防护带宽上限以提前解封黑洞。