修改hosts文件来优化访问速度 选择访问速度最快的服务器，并将其IP地址和域名写入hosts文件来优化访问速度。 我们有以下两种方法来判断访问速度最快的服务器IP地址： 使用ping命令判断访问速度最快的服务器IP地址。 具体操作请参考方法一：使用ping命令判断访问速度最快的服务器IP地址。 使用Ping检测工具和PingInfoView工具查找访问速度最快的服务器IP地址。 具体操作请参考方法二：使用Ping检测工具和PingInfoView工具查找访问速度最快的服务器IP地址。

修改hosts文件来优化访问速度 选择访问速度最快的服务器，并将其IP地址和域名写入hosts文件来优化访问速度。 我们有以下两种方法来判断访问速度最快的服务器IP地址： 使用ping命令判断访问速度最快的服务器IP地址。 具体操作请参考方法一：使用ping命令判断访问速度最快的服务器IP地址。 使用Ping检测工具和PingInfoView工具查找访问速度最快的服务器IP地址。 具体操作请参考方法二：使用Ping检测工具和PingInfoView工具查找访问速度最快的服务器IP地址。

修改hosts文件来优化访问速度 选择访问速度最快的服务器，并将其IP地址和域名写入host文件来优化访问速度。 我们有以下两种方法来判断访问速度最快的服务器IP地址： 使用ping命令判断访问速度最快的服务器IP地址。 具体操作请参考方法一：使用ping命令判断访问速度最快的服务器IP地址。 使用Ping检测工具和PingInfoView工具查找访问速度最快的服务器IP地址。 具体操作请参考方法二：使用Ping检测工具和PingInfoView工具查找访问速度最快的服务器IP地址。

怎样检查域名解析是否生效？ 方法一：使用查询命令检测是否生效 ping 域名 nslookup -qt=类型 域名 dig -t 类型 域名 具体的操作方法请参考： 使用Ping命令检查域名解析是否生效（适用于Windows、Linux操作系统主机） 使用nslookup命令检查域名解析是否生效（适用于Windows、Linux操作系统主机） 使用dig命令检查域名解析是否生效（适用于Linux操作系统主机） 方法二：使用自助域名检测工具 如图1所示，在域名检测工具中输入域名进行查询，如果返回信息和设计的解析记录集一致，则表示该域名解析已经生效。 华为云暂未提供自助域名检测工具，您可以自行搜索公开的自助域名检测工具使用，或使用•方法一：使用查询命令检测是否生效。 图1 自助域名检测工具

各版本支持的功能特性 云模式各个版本、独享模式适用的安全功能特性如表3所示，请您根据业务需求选择对应的服务版本。其中，云模式支持入门版、标准版、专业版和铂金版四种版本，您可以通过升级云模式版本和规格从较低版本升级到任一更高版本，以满足更多防护功能需求。 云模式的专业版和铂金版支持定制非标准端口，您可以提交工单申请开通定制的非标准端口。 标识说明： √：表示在当前版本中支持。 ×：表示在当前版本中不支持。 表3 安全功能特性 功能模板 入门版 标准版 专业版 铂金版 独享版 域名/带宽/规则扩展包 × √ √ √ × 域名备案检查 √ √ √ √ × 支持添加泛域名 × √ √ √ √ 非80、443标准端口防护 × √ √ √ √ 非80、443标准端口定制 × × √ √ × 批量灵活配置防护策略 √（仅支持批量配置全局白名单（原误报屏蔽）规则） × √ √ √ 为防护策略批量配置适用的防护域名 × × √ √ √ 支持IPv6防护 须知： 支持IPv6防护的版本/Region，请参考哪些版本/Region支持IPv6防护？ × × √ √ × 常见的Web应用攻击防护，包括SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等 √ √ √ √ √ 云端自动更新最新0Day漏洞防护规则，及时下发0Day漏洞虚拟补丁 × √ √ √ √ Webshell检测 √ √ √ √ √ 深度检测，同形字符混淆、通配符变形的命令注入、UTF7、Data URI Scheme等深度反逃逸检测 √ √ √ √ √ header全检测，对请求里header中所有字段进行攻击检测 √ √ √ √ √ CC攻击防护 × √ √ √ √ 精准访问防护 × √（不支持全检测） √ √ √ 引用表管理 × × √ √ √ IP黑白名单设置，支持批量导入IP地址/IP地址段 × √ √ √ √ 支持对指定国家、省份的IP自定义访问控制 × √ √ √ √ 网页防篡改 × √ √ √ √ 检测并拦截搜索引擎、扫描器、脚本工具、其它爬虫等爬虫行为 × × √ √ √ 检测并拦截JS脚本反爬虫检测行为 × × √ √ √ 防敏感信息泄露 × × √ √ √ 全局白名单（原误报屏蔽）规则 √ √ √ √ √ 隐私屏蔽 × √ √ √ √

WAF支持云模式、独享模式和ELB模式三种部署模式，其中云模式支持“入门版”、“标准版（原专业版）”、“专业版（原企业版）”和“铂金版（原旗舰版）”四种服务版本。各模式和各版本支持的功能有差异。例如，仅“专业版（原企业版）”和“铂金版（原旗舰版）”支持IPv6。 功能模板 云模式 独享模式 ELB模式 入门版 标准版（原专业版） 专业版（原企业版） 铂金版（原旗舰版） 域名备案检查 √ √ √ √ × × 域名/带宽/规则扩展包 × √ √ √ × × 支持添加泛域名 × √ √ √ √ √ 非80、443标准端口防护 × √ √ √ √ √ 非80、443标准端口定制 × × √ √ × - 批量灵活配置防护策略 √（仅支持批量配置误报屏蔽策略） × √ √ √ √ 为防护策略批量配置适用的防护域名 × × √ √ √ √ 支持IPv6防护 × × √ √ × × 常见的Web应用攻击防护，包括SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等 √（只检测，不支持拦截） √ √ √ √ √ 云端自动更新最新0Day漏洞防护规则，及时下发0Day漏洞虚拟补丁 × √ √ √ √ √ Webshell检测 √ √ √ √ √ √ 深度检测，同形字符混淆、通配符变形的命令注入、UTF7、Data URI Scheme等深度反逃逸检测 √ √ √ √ √ √ header全检测，对请求里header中所有字段进行攻击检测 √ √ √ √ √ √ CC攻击防护 × √ √ √ √ √ 精准访问防护 × √（不支持全检测） √ √ √ √ 引用表管理 × × √ √ √ √ IP黑白名单设置 × √ √ √ √ √ 支持对指定国家、省份的IP自定义访问控制 × × √ √ √ √ 网页防篡改 × √ √ √ √ × 检测并拦截搜索引擎、扫描器、脚本工具、其它爬虫等爬虫行为 × × √ √ √ √ 检测并拦截JS脚本反爬虫检测行为 × × √ √ √ × 防敏感信息泄露 × × √ √ √ × 误报屏蔽 √ √ √ √ √ √ 隐私屏蔽 × √ √ √ √ √

验证方法 检查AD服务器防火墙或安全组设置，确保已开启表1端口。 AD服务器端口要求请参考Active Directory and Active Directory Domain Services Port Requirements。 通过ECS服务，在与用户相同的VPC中创建一台Windows OS的实例，并将该实例加入已有域。 ECS相关配置与操作请参考《弹性云服务器用户指南》，使用RDP客户端工具（例如 “mstsc”）或VNC方式登录Windows实例。 使用RDP客户端工具（例如 “mstsc”）或VNC方式登录Windows实例。 将ADTest.zip下载到Windows实例，然后解压。 在“ADTest.exe”所在文件夹空白区域中，按住“Shift”，单击右键，选择“在此处打开命令窗口”。 在打开的“命令提示符”中，输入以下命令检查AD管理服务器连通性。 ADTest.exe -file ADTest.cfg -ip AD的IP地址 -domain AD的域名 -user 域管理员帐号 命令示例： ADTest.exe -file ADTest.cfg -ip 192.168.161.78 -domain abc.com -user vdsadmin 输入“vdsadmin”的密码。 检查返回的测试结果是否全部为“SUCCEEDED”，如果包含“FAILED”，请根据提示信息检查AD管理服务器配置或防火墙端口。

准备工作 业务接入DDoS高防前，请您根据实际的业务类型完成如表2所示准备工作。 业务接入DDoS高防时，建议您先使用测试业务环境进行测试，测试通过后再正式接入生产业务环境。 表2 接入DDoS高防前准备工作 业务类型 准备工作 网站业务 获取需要接入的网站域名信息，包含网站的源站服务器IP（仅支持公网IP的防护）、端口信息等。 确认所接入的网站域名已完成ICP备案。 如果您的网站支持HTTPS协议访问，您需要准备相应的证书和私钥信息，一般包含格式为“.crt”的公钥文件或格式为“.pem”的证书文件、格式为“.key”的私钥文件。 具有网站DNS域名解析管理员的帐号，用于修改DNS解析记录，将网站流量切换至DDoS高防。 检查网站业务是否已有信任的访问客户端（例如监控系统、通过内部固定IP或IP段调用的API接口、固定的程序客户端请求等）。 业务接入DDoS高防后，需要将这些信任的客户端IP加入白名单。 非网站业务 获取业务对外提供服务的端口、协议类型。 如果业务通过域名访问，需要准备DNS域名解析管理员账号，用于修改DNS解析记录将网站流量切换至DDoS高防。

验证方法 检查AD服务器防火墙或安全组设置，确保已开启表1端口。 AD服务器端口要求请参考Active Directory and Active Directory Domain Services Port Requirements。 通过ECS服务，在与用户桌面相同的VPC中创建一台Windows OS的实例，并将该实例加入已有域。 ECS相关配置与操作请参考《弹性云服务器用户指南》，使用RDP客户端工具（例如 “mstsc”）或VNC方式登录Windows实例。 使用RDP客户端工具（例如 “mstsc”）或VNC方式登录Windows实例。 将ADTest.zip下载到Windows实例，然后解压。 在“ADTest.exe”所在文件夹空白区域中，按住“Shift”，单击右键，选择“在此处打开命令窗口”。 在打开的“命令提示符”中，输入以下命令检查AD管理服务器连通性。 ADTest.exe -file ADTest.cfg -ip AD的IP地址 -domain AD的域名 -user 域管理员帐号 命令示例： ADTest.exe -file ADTest.cfg -ip 192.168.161.78 -domain abc.com -user vdsadmin 输入“vdsadmin”的密码。 检查返回的测试结果是否全部为“SUCCEEDED”，如果包含“FAILED”，请根据提示信息检查AD管理服务器配置或防火墙端口。

方法二：使用Ping检测工具和PingInfoView工具查找访问速度最快的服务器IP地址 您也可以通过修改hosts文件来优化访问速度，具体步骤如下： 使用管理员角色（Administrator）登录您的云服务器。 通过浏览器访问Ping检测工具。我们以http://ping.chinaz.com为例。 输入想要访问的网站，进行Ping检测。我们以访问www.example.com为例，记录检测结果列表中响应时间最低的IP 。 下载PingInfoView，无需安装，解压后运行PingInfoView.exe即可使用。 打开PingInfoView，将通过步骤3获取到的IP地址复制到对应的输入框中，并点击OK。 复制搜索结果中延迟最低的IP地址。 打开C:\Windows\System32\drivers\etc\，将之前复制的IP地址以如下方式写入hosts文件末行。 hosts文件是操作系统的核心文件之一，请根据需要谨慎修改，建议修改前备份hosts文件。 如果hosts文件里写明了DNS解析IP，那么只能使用这个IP解析网站地址。 修改host文件后如果再次出现卡顿想要重新替换IP，请先去掉host文件里关于网站的配置，然后重复执行本节的操作选取新的IP地址。 例如复制的ip地址为99.84.178.238，则将99.84.178.238 www.example.com写入到hosts文件的末行，保存后关闭。 重新访问中国大陆外网站，则卡顿或无法访问的问题会有所好转。 若问题仍未解决，我们建议您更换中国大陆外区域的云服务器。

准备工作 业务接入DDoS高防前，请您根据实际的业务类型完成如表2所示准备工作。 业务接入DDoS高防时，建议您先使用测试业务环境进行测试，测试通过后再正式接入生产业务环境。 表2 接入DDoS高防前准备工作 业务类型 准备工作 网站业务 获取需要接入的网站域名信息，包含网站的源站服务器IP（仅支持公网IP的防护）、端口信息等。 确认所接入的网站域名已完成ICP备案。 如果您的网站支持HTTPS协议访问，您需要准备相应的证书和私钥信息，一般包含格式为“.crt”的公钥文件或格式为“.pem”的证书文件、格式为“.key”的私钥文件。 具有网站DNS域名解析管理员的帐号，用于修改DNS解析记录，将网站流量切换至DDoS高防。 检查网站业务是否已有信任的访问客户端（例如监控系统、通过内部固定IP或IP段调用的API接口、固定的程序客户端请求等）。 业务接入DDoS高防后，需要将这些信任的客户端IP加入白名单。 非网站业务 获取业务对外提供服务的端口、协议类型。 如果业务通过域名访问，需要准备DNS域名解析管理员账号，用于修改DNS解析记录将网站流量切换至DDoS高防。

方法二：使用Ping检测工具和PingInfoView工具查找访问速度最快的服务器IP地址 您也可以通过修改hosts文件来优化访问速度，具体步骤如下： 使用管理员角色（Administrator）登录您的弹性云服务器。 通过浏览器访问Ping检测工具。我们以http://ping.chinaz.com为例。 输入想要访问的网站，进行Ping检测。我们以访问www.example.com为例，记录检测结果列表中响应时间最低的IP 。 下载PingInfoView，无需安装，解压后运行PingInfoView.exe即可使用。 打开PingInfoView，将通过步骤3获取到的IP地址复制到对应的输入框中，并单击OK。 复制搜索结果中延迟最低的IP地址。 打开C:\Windows\System32\drivers\etc\，将之前复制的IP地址以如下方式写入hosts文件末行。 hosts文件是操作系统的核心文件之一，请根据需要谨慎修改。 建议您备份hosts文件，您可以直接复制粘贴hosts文件生成一个副本。也可以复制hosts文件，将内容备份。 如果hosts文件里写明了DNS解析IP，那么只能使用这个IP解析网站地址。 修改hosts文件后如果再次出现卡顿想要重新替换IP，请先去掉hosts文件里关于网站的配置，然后重复执行本节的操作选取新的IP地址。 例如复制的ip地址为99.84.178.238，则将99.84.178.238 www.example.com写入到hosts文件的末行，保存后关闭。 重新访问中国大陆外网站，则卡顿或无法访问的问题会有所好转。 若问题仍未解决，我们建议您更换中国大陆外区域的弹性云服务器。

方法二：使用Ping检测工具和PingInfoView工具查找访问速度最快的服务器IP地址 您也可以通过修改hosts文件来优化访问速度，具体步骤如下： 使用管理员角色（Administrator）登录您的弹性云服务器。 通过浏览器访问Ping检测工具。我们以http://ping.chinaz.com为例。 输入想要访问的网站，进行Ping检测。我们以访问www.example.com为例，记录检测结果列表中响应时间最低的IP 。 下载PingInfoView，无需安装，解压后运行PingInfoView.exe即可使用。 打开PingInfoView，将通过步骤3获取到的IP地址复制到对应的输入框中，并单击OK。 复制搜索结果中延迟最低的IP地址。 打开C:\Windows\System32\drivers\etc\，将之前复制的IP地址以如下方式写入hosts文件末行。 hosts文件是操作系统的核心文件之一，请根据需要谨慎修改。 建议您备份hosts文件，您可以直接复制粘贴hosts文件生成一个副本。也可以复制hosts文件，将内容备份。 如果hosts文件里写明了DNS解析IP，那么只能使用这个IP解析网站地址。 修改hosts文件后如果再次出现卡顿想要重新替换IP，请先去掉hosts文件里关于网站的配置，然后重复执行本节的操作选取新的IP地址。 例如复制的ip地址为99.84.178.238，则将99.84.178.238 www.example.com写入到hosts文件的末行，保存后关闭。 重新访问中国大陆外网站，则卡顿或无法访问的问题会有所好转。 若问题仍未解决，我们建议您更换中国大陆外区域的弹性云服务器。

产品规格差异 漏洞扫描服务提供了基础版、专业版、高级版和企业版四种服务版本。其中，基础版配额内的服务免费，部分功能按需计费；专业版、高级版和企业版需要收费。 VSS各服务版本支持的计费方式、功能和规格说明如下所示，您可以根据业务需求选择相应的服务版本。 表1 VSS各服务版本计费方式 服务版本 支持的计费方式 说明 价格详情 基础版 配额内的服务免费 按需计费 基础版配额内仅支持Web网站漏洞扫描（域名个数：5个，扫描次数：5个域名每日总共可以扫描5次）是免费的。 基础版提供的以下功能按需计费： 可以将Web漏洞扫描或主机漏洞扫描任务升级为专业版规格进行扫描，扫描完成后进行一次性扣费。 主机扫描一次最多支持20台主机。 产品价格详情 专业版 包年/包月 相对于按需付费，包年/包月购买方式能够提供更大的折扣，对于长期使用者，推荐该方式。包周期计费为按照订单的购买周期来进行结算。 高级版 包年/包月 企业版 包年/包月 表2 VSS各服务版本功能说明 功能 基础版 专业版 高级版 企业版 常见Web漏洞检测 √ √ √ √ 端口扫描 √ √ √ √ 自定义登录方式 √ √ √ √ Web 2.0高级爬虫 √ √ √ √ 网站指纹识别 √ √ √ √ 扫描任务管理 √ √ √ √ 漏洞查看及管理 √ √ √ √ CVE漏洞扫描 × √ √ √ 弱密码检测 × √ √ √ 网页内容合规检测（文字） × √ √ √ 操作系统漏洞扫描 × √ √ √ 操作系统基线检查 × √ √ √ 中间件基线检查 × √ √ √ 扫描完毕短信通知 × √ √ √ 查看漏洞修复建议 × √ √ √ 下载扫描报告 × √ √ √ 安全监测（定时扫描） × √ √ √ 网页内容合规检测（图片） × × × √ 网站挂马检测 × × × √ 链接健康检测（死链、暗链、恶意外链） × × × √ 操作系统等保合规检查 × × × √ 支持手动探索文件导入 × × × √ 表3 VSS各服务版本支持的扫描配额说明 版本 域名/IP个数 扫描次数 单个任务时长 任务优先级 单用户并发扫描数 基础版 Web漏扫：包含5个二级域名或IP:端口。 Web漏扫：5个域名每日总共可以扫描5次 2小时 低 默认Web漏扫最大并发为1个域名。 专业版 Web漏扫：包含1个二级域名或IP:端口。 主机漏扫：包含20个IP地址。 无限制 高 默认Web漏扫最大并发为3个域名。 默认主机漏扫最大并发为5个IP。 高级版 Web漏扫：默认包含1个一级域名（不限制下属二级域名个数）/IP（不限制端口个数）。 主机漏扫：不限制IP地址个数。 无限制 高 默认Web漏扫最大并发为5个域名。 默认主机漏扫最大并发为10个IP。 企业版 Web漏扫：默认包含5个一级域名（不限制下属二级域名个数）/IP（不限制端口个数）。 主机漏扫：不限制IP地址个数。 说明： 当默认的扫描配额不能满足您的需求时，您可以通过购买扫描配额包增加扫描配额（一个扫描配额包中包含一个一级域名扫描配额）。 无限制 高 默认Web漏扫最大并发为10个域名。 默认主机漏扫最大并发为20个IP。 说明： 更高并发需要，请提交工单联系专业工程师为您服务。 一级域名指用户通过华为云或者第三方域名注册商，购买注册的域名。 二级域名指无需购买注册，可直接在一级域名下添加的子域名。 例如：一级域名：example.com, example.com.cn，二级域名：test.example.com, test.example.com.cn，详细请参考域名注册。

如何测试在WAF中配置的源站IP是IPv6地址？ 执行此操作前，请确认已在WAF中添加了域名并完成了域名接入。 假如已在WAF中添加域名www.example.com。通过以下方法可以测试配置的源站IP是否是IPv6地址： 在Windows中打开cmd命令行工具。 执行dig AAAA www.example.com命令。 若返回的结果里有IPv6格式的IP地址，如图1所示，则证明配置的源站IP是IPv6地址。 图1 测试结果

产品规格差异 漏洞扫描服务提供了基础版、专业版、高级版和企业版四种服务版本。其中，基础版配额内的服务免费，部分功能按需计费；专业版、高级版和企业版需要收费。 VSS各服务版本支持的计费方式、功能和规格说明如下所示，您可以根据业务需求选择相应的服务版本。 表1 VSS各服务版本计费方式 服务版本 支持的计费方式 说明 价格详情 基础版 配额内的服务免费 按需计费 基础版配额内仅支持Web网站漏洞扫描（域名个数：5个，扫描次数：5个域名每日总共可以扫描5次）是免费的。 基础版提供的以下功能按需计费： 可以将Web漏洞扫描或主机漏洞扫描任务升级为专业版规格进行扫描，扫描完成后进行一次性扣费。 主机扫描一次最多支持20台主机。 产品价格详情 专业版 包年/包月 相对于按需付费，包年/包月购买方式能够提供更大的折扣，对于长期使用者，推荐该方式。包周期计费为按照订单的购买周期来进行结算。 高级版 企业版 表2 VSS各服务版本功能说明 功能 基础版 专业版 高级版 企业版 常见Web漏洞检测 √ √ √ √ 端口扫描 √ √ √ √ CVE漏洞扫描 √ √ √ √ 自定义登录方式 √ √ √ √ Web 2.0高级爬虫 √ √ √ √ 网站指纹识别 √ √ √ √ 扫描任务管理 √ √ √ √ 漏洞查看及管理 √ √ √ √ 弱密码检测 × √ √ √ 网页内容合规检测（文字） × √ √ √ 操作系统漏洞扫描 × √ √ √ 操作系统基线检查 × √ √ √ 中间件基线检查 × √ √ √ 扫描完毕短信通知 × √ √ √ 查看漏洞修复建议 × √ √ √ 下载扫描报告 × √ √ √ 安全监测（定时扫描） × √ √ √ 网页内容合规检测（图片） × × × √ 网站挂马检测 × × × √ 链接健康检测（死链、暗链、恶意外链） × × × √ 操作系统等保合规检查 × × × √ 支持手动探索文件导入 × × × √ 表3 VSS各服务版本支持的扫描配额说明 版本 域名/IP个数 单个任务时长 任务优先级 单用户并发扫描数 基础版 Web漏扫：包含5个二级域名或IP:端口。 Web漏扫：5个域名每日总共可以扫描5次。 2小时 低 默认Web漏扫最大并发为1个域名。 专业版 Web漏扫：包含1个二级域名或IP:端口。 主机漏扫：包含20个IP地址。 无限制 高 默认Web漏扫最大并发为3个域名。 默认主机漏扫最大并发为5个IP。 高级版 Web漏扫：默认包含1个一级域名（不限制下属二级域名个数）/IP（不限制端口个数）。 主机漏扫：不限制IP地址个数。 无限制 高 默认Web漏扫最大并发为5个域名。 默认主机漏扫最大并发为10个IP。 企业版 Web漏扫：默认包含5个一级域名（不限制下属二级域名个数）/IP（不限制端口个数）。 主机漏扫：不限制IP地址个数。 说明： 当默认的扫描配额不能满足您的需求时，您可以通过购买扫描配额包增加扫描配额（一个扫描配额包中包含一个一级域名扫描配额）。 无限制 高 默认Web漏扫最大并发为10个域名。 默认主机漏扫最大并发为20个IP。 说明： 更高并发需要，请提交工单联系专业工程师为您服务。

使用dig命令检查域名解析是否生效（适用于Linux操作系统主机） 在Linux操作系统主机上使用dig命令前需要先安装dig工具。安装dig工具的操作步骤请参考关于dig命令的扩展知识。 验证A类型解析：用于指定域名的IP地址解析。 在本地主机单击“搜索”，输入cmd，打开命令窗口。 然后输入以下命令检查解析是否生效。 dig -t a 域名 示例：dig -t a example.com 回显信息如图9所示，显示的IP地址与设置域名解析的IP地址保持一致，则说明解析已经生效。 图9 使用dig检查A类型解析是否生效 验证CNAME类型解析：用于指定域名的CNAME值，适用于CDN、WAF、云速建站场景等场景。 在本地主机单击“搜索”，输入cmd，打开命令窗口。 然后输入以下命令检查解析是否生效。 dig -t cname 域名 示例：dig -t cname examplesite.com 回显信息如图10所示，显示的CNAME值与设置域名解析的CNAME值一致，则说明解析已经生效。 图10 使用dig检查CNAME类型解析是否生效 验证MX类型解析：用于指定邮箱服务器的地址。 在本地主机单击“搜索”，输入cmd，打开命令窗口。 然后输入以下命令检查解析是否生效。 dig -t mx 域名 示例：dig -t mx example123.com 回显信息如图11所示，显示的地址与设置域名解析的邮箱地址值一致，则说明解析已经生效。 图11 使用dig检查MX类型解析是否生效 验证NS类型解析：用于指定解析服务商的 DNS 地址。 在本地主机单击“搜索”，输入cmd，打开命令窗口。 然后输入以下命令检查解析是否生效。 dig -t ns 域名 示例：dig -t ns example123.top 回显信息如图12所示，显示的IP地址与设置解析域名的服务商的DNS地址一致，则说明解析已经生效。 图12 使用dig检查NS类型解析是否生效 验证反向解析。 在本地主机单击“搜索”，输入cmd，打开命令窗口。 然后输入以下命令检查解析是否生效。 dig -x IP地址 示例：dig -x 119.x.xx.xx 回显信息如图13所示，name取值与设置的反向解析的域名一致，则说明解析已经生效。 图13 使用dig检查反向解析是否生效 查询指定权威DNS的域名解析是否生效。 在本地主机单击“搜索”，输入cmd，打开命令窗口。 然后输入以下命令检查解析是否生效。 dig -t 类型 域名 @权威DNS地址 示例：测试域名example.com在权威DNS114.114.114.114的解析是否生效，执行如下命令， dig -t a example.com @114.114.114.114 回显信息如图14所示，example.com使用权威域名114.114.114.114的解析已经生效。 图14 使用dig查询指定权威DNS的域名解析是否生效

测试环境 区域：华北-北京一。 可用分区：可用区1。 弹性云服务器（Elastic Cloud Server，简称ECS）：规格选择通用计算型c3.2xlarge.2，8U16GB，操作系统镜像使用CentOS7.4 64位版本，详见图1。由于压测工具需要安装额外的编译工具，建议ECS绑定弹性IP。 图1 ECS配置 RDS for MySQL 8.0测试环境如下： 区域：西南-贵阳一。 可用分区：可用区1。 弹性云服务器（Elastic Cloud Server，简称ECS）：规格选择通用计算增强型 | c6.4xlarge.2 | 16vCPUs | 32GB，操作系统镜像使用CentOS 7.6 64bit位版本。由于压测工具需要安装额外的编译工具，建议ECS绑定弹性IP。

收集范围 服务过程中收集及产生的个人数据如表1所示： 表1 个人数据范围列表 类型 收集方式及目的 是否可以修改 是否必须 生命周期 IP 调用接口 否 是 日志清空时删除 需要记录审计日志 管理检测与响应单申请交付页面填写 否 是 申请交付页面勾选了保留IP选项，会保留至租户销户时删除。 申请交付页面未勾选保留IP选项，系统不会保存。 网站域名/IP是管理检测与响应相关服务单交付必要信息 省市 管理检测与响应单创建等保安全服务单页面填写 否 是 工单处理完成后自动清除 等保安全服务单交付必要信息 手机号 管理检测与响应单创建等保安全服务单页面填写 否 是 工单处理完成后自动清除 等保安全服务单交付必要信息 邮箱 管理检测与响应单创建等保安全服务单页面填写 否 否 工单处理完成后自动清除 等保安全服务单交付可选信息

终端防护与响应服务 表1 规格清单 一级分类 二级分类 规格名称 规格描述 终端接入 终端UI Agent UI交互 支持终端操作日志，隔离区，信任区UI交互。 终端安装 终端安装 支持Windows7，Window10，Window11，WindowsServer2012 R2及以上操作系统的终端，安装EDR Agent后终端资产在云端自动发现。 安装包管理 域控安装 支持租户管理员配置域控策略，域控中受控主机自动安装EDR。 邮件分享邀请安装 支持租户管理员设置需要安装EDR的用户邮箱列表，在线一键发送邮件，邀请用户安装EDR。 Agent安装包直接下载 支持租户管理员登录华为乾坤控制台后，选择Agent安装包直接下载后安装。 终端升级 自动升级 终端升级 终端上线后自动升级到最新版。 终端卸载 终端卸载 终端卸载 支持租户管理员远程卸载，支持终端用户通过PIN码卸载。 主动防护 防篡改 文件防篡改 支持用户自定义数据存储位置，数据类型，可访问进程等属性，定义数据资产防篡改策略。内核级保护文件数据资产安全，实时拦截恶意加密、删除等篡改行为。 诱饵捕获 诱饵捕获 基于海量勒索样本攻击路径分析，勒索必经路径放置诱饵文件，优先命中诱饵触发告警事件。 黑白名单 黑名单 支持客户按进程特征SHA256、进程名称自定义进程黑名单列表，拦截不希望在终端上运行的进程。支持按终端独立配置和按终端组批量方式配置。 病毒防护 云查杀 Agent采集可疑文件和进程特征信息，云端集成威胁情报服务亿级病毒文件特征库引擎能力即时查杀，特征库实时更新。 病毒报告导出 支持批量租户下各终端的病毒扫描报告。 病毒处置 支持高威胁病毒文件自动处置隔离，支持人工处置隔离。 实时防御 支持共享文件，文件下载，软件安装等场景病毒实时扫描。 周期查杀 制定病毒扫描任务，定时执行。 在线查杀 支持租户管理员远程指定在线终端执行病毒扫描，支持快速查杀、全盘查杀和自定义查杀。 威胁检测 异常登录 异常登录 基于用户配置策略（登录合法IP，合法登录账户，合法登录时间），检测规则外的异常登录事件。 威胁事件检测 异常入侵进程 支持实时检出主机上运行进程的监控，实时联动威胁信誉引擎，检测是否存在恶意进程。 挖矿病毒检测 基于DNS过滤日志和恶意域名库，针对终端主机请求挖矿木马域名的检测，支持3400+矿池库，覆盖90个家族，常见挖矿币种8类（XMRBTCETHDASHLTCHNSPASCZEC）；识别精确率100%；基于挖矿运行时上下文攻击行为识别挖矿木马，行为特征包括但不限于挖矿命令行特征、CPUGPU占用率、创建持久化任务等常见TTP。支持挖矿检测检出率80%，精确率95%+，具备未知挖矿变种检测能力。 暴力破解 暴力破解攻击是通过使用某一账号、密码字典（通常为网络社工收集），尝试枚举登录，如果登录成功，则可获取用户账号密码。算法基于日志检测针对RDP、SMB、FTP等协议的暴力破解，支持常规暴力破解和慢速分布式暴力破解检测，精确率99%+；支持检测终端上暴力破解成功的高危威胁事件；支持检测终端主机失陷后正在尝试暴力破解其他主机的事件。 勒索病毒检测 基于DNS过滤日志和恶意域名库，针对终端主机请求勒索域名的检测；自研L0~L3四层检测和响应框架，支持活跃勒索样本及其变种样本快速精准检出，活跃勒索样本检出率99%。 威胁溯源 事件溯源 事件溯源 基于DNS检测挖矿进程，自动溯源挖矿进程关联攻击链条，支持一键处置攻击链条上多个异常进程和文件。检测到勒索软件入侵，自动化溯源勒索软件入侵路径，影响范围，支持进程调用链，文件创建和篡改关系，网络、注册表、服务等元素溯源。 响应处置 隔离区和信任区 信任区 支持租户管理员在线创建信任文件和进程名单，支持用户在本地设置信任文件和进程。 隔离区 支持终端隔离区管理，隔离文件清理和恢复等操作。 响应处置动作 定时任务处置 支持清理主机上定时任务。 文件隔离 支持主机文件隔离处置。 进程终止 支持主机运行进程终止处置。 威胁事件响应方式 边界联动处置 华为乾坤边界防护与响应服务联动，支持网络边界的天关设备设置IP黑名单，快速阻断威胁攻击源。华为乾坤边界防护与响应服务检测主机恶意文件下载后，通过EDR溯源查找恶意文件下载位置，支持一键清理。华为乾坤边界防护与响应服务检测主机发送恶意外联行为，如挖矿域名请求，远控木马外联等，联动EDR溯源查找恶意外联进程，支持一键终止恶意进程。 自动处置 支持病毒文件自动隔离处置。支持挖矿木马事件自动处置模型管理，基于检测事件研判精准度，事件攻击路径溯源，自动匹配处置方案，下发处置动作。支持勒索攻击事件自动处置模型管理，基于检测事件研判精准度，事件攻击路径溯源，自动匹配处置方案，下发处置动作。 忽略 支持人工选择威胁事件忽略处置。 封禁攻击源 华为乾坤边界防护与响应服务联动，支持网络边界的天关设备设置IP黑名单，快速阻断威胁攻击源。 一键处置 支持人工通过威胁事件管理页面一键下发处置动作。 已人工处置 支持人工选择威胁事件，设置“已人工处置”的状态。 安全感知 安全报告和事件通知 报表订阅 按月为用户提供安全服务报告，安全服务报告将以邮件形式发送至用户订阅邮箱。通过安全服务报告，客户可清晰了解以下信息：1、安全服务概况； 2、终端风险影响评估；3、终端威胁事件分类和统计；4、终端威胁事件数量及趋势；5、安全风险加固建议。 事件通知 检测到高危害威胁事件后，立即通过短信方式及时通知预警。短信接收人范围支持按需订阅。 终端安全可视 租户首页概览 支持终端安全态势统计，终端Top10风险终端，最近一个月安全风险趋势统计等能力。 运行进程查看 远程实时查看在线终端运行中进程信息（类似Windows任务管理器。支持联动威胁信誉引擎，在线查看各进程威胁情报信息。 终端详情 支持终端操作系统版本、CPU型号、内存规格、IP地址和等信息采集和展示，集中管理。支持DHCP自动分配终端IP的场景，终端主机的历史IP，集中管理，支持历史IP查询关联。

排查方式 通过域名网站检测平台一键检测。 图1 域名网站检测 根据检测结果，解决域名实际存在的问题。 图2 域名检测结果 用户根据可能出现的问题自主排查，具体排查思路如下： 以下排查思路根据原因的出现概率进行排序，建议您从高频率原因往低频率原因排查，从而帮助您快速找到问题的原因。 如果解决完某个可能原因仍未解决问题，请继续排查其他可能原因。 图3 解析不生效排查思路 检查域名状态是否正常：检查域名是否过期、状态是否正常 检查域名的DNS服务器地址是否是华为云DNS：如果域名设置的是非华为云DNS服务器地址，则无法正常解析。 检查解析记录集的添加是否正确：检查域名解析配置是否正确 确认是否在24小时内修改过域名的DNS：运营商Local DNS缓存了域名的NS记录，则最长需要48小时才能刷新成新的NS记录，变更为修改后的DNS服务器。 检查权威DNS解析是否生效：使用nslookup命令检查域名在权威DNS的解析是否生效 提交工单

sec-nip-attack IPS攻击日志的保留字段如表5所示。 表5 sec-nip-attack 字段 类型 字段含义 SyslogId String 日志序号。 Vsys String 虚拟系统名称。 Policy String 安全策略名称。 SrcIp String 报文的源IP地址 DstIp String 报文的目的IP地址 SrcPort String 报文的源端口（对于ICMP报文，该字段为0）。 DstPort String 报文的目的端口（对于ICMP报文，该字段为0）。 SrcZone String 报文的源安全域。 DstZone String 报文的目的安全域。 User String 用户名。 Protocol String 签名检测到的报文所属协议。 Application String 签名检测到的报文所属应用。 Profile String 配置文件的名称。 SignName String 签名的名称。 SignId String 签名的ID。 EventNum String 日志归并引入字段，是否归并需根据归并频率及日志归并条件来确定，不发生归并则为1。 Target String 签名所检测的报文所攻击的对象。具体情况如下： server：攻击对象为服务端。 client：攻击对象为客户端。 both：攻击对象为服务端和客户端。 Severity String 签名所检测的报文所造成攻击的严重性。具体情况如下： information：表示严重性为提示。 low：表示严重性为低。 medium：表示严重性为中。 high：表示严重性为高。 Os String 签名所检测的报文所攻击的操作系统。具体情况如下： all：所有系统。 android：安卓系统。 ios：苹果系统。 unix-like：Unix系统。 windows：Windows系统。 other：其他系统。 Category String 签名检测到的报文攻击特征所属的威胁分类。 Action String 签名动作。 alert：签名动作为告警。 block：签名动作为阻断。 Reference String 签名的参考信息。 Extend String 增强模式下的取证字段。

测试环境 区域：华北-北京一。 可用分区：可用区1。 弹性云服务器（Elastic Cloud Server，简称ECS）：规格选择通用计算型c3.2xlarge.2，8U16GB，操作系统镜像使用CentOS7.4 64位版本，详见图1。由于压测工具需要安装额外的编译工具，建议ECS绑定弹性IP。 图1 ECS配置 RDS for PostgreSQL 12，RDS for PostgreSQL 13测试环境如下： 区域：华北-北京四 可用分区：可用区1 弹性云服务器（Elastic Cloud Server，简称ECS）：规格选择通用计算增强型 | c6.4xlarge.2 | 16vCPUs | 32GB，操作系统镜像使用CentOS 7.6 64bit位版本。由于压测工具需要安装额外的编译工具，建议ECS绑定弹性IP。

工作原理 未使用代理 当网站没有接入到WAF前，DNS直接解析到源站的IP，所以当网站接入WAF后，需要把DNS解析到WAF的CNAME，这样流量才会先经过WAF，WAF再将流量转到源站，实现网站流量检测和攻击拦截。 使用了DDoS高防等代理 当网站没有接入到WAF前，DNS解析到高防等代理，流量先经过高防等代理，高防等代理再将流量直接转到源站。网站接入WAF后，需要将高防等代理回源地址修改为WAF的“CNAME”，这样流量才会被高防等代理转发到WAF，WAF再将流量转到源站，实现网站流量检测和攻击拦截。 为了确保WAF转发正常，在修改DNS解析配置前，建议您参照本地验证进行本地验证确保一切配置正常。 为了防止其他用户提前将您的域名配置到Web应用防火墙上，从而对您的域名防护造成干扰，建议您到DNS服务商处添加“子域名”，并为它配置“TXT记录”。WAF会据此判断域名的所有权真正属于哪个用户。具体的配置方法请参见未配置子域名和TXT记录的影响。

工作原理 未使用代理 当网站没有接入到WAF前，DNS直接解析到源站的IP，所以当网站接入WAF后，需要把DNS解析到WAF的CNAME，这样流量才会先经过WAF，WAF再将流量转到源站，实现网站流量检测和攻击拦截。 使用了DDoS高防等代理 当网站没有接入到WAF前，DNS解析到高防等代理，流量先经过高防等代理，高防等代理再将流量直接转到源站。网站接入WAF后，需要将高防等代理回源地址修改为WAF的“CNAME”，这样流量才会被高防等代理转发到WAF，WAF再将流量转到源站，实现网站流量检测和攻击拦截。 为了确保WAF转发正常，在修改DNS解析配置前，建议您参照本地验证进行本地验证确保一切配置正常。 为了防止其他用户提前将您的域名配置到Web应用防火墙上，从而对您的域名防护造成干扰，建议您到DNS服务商处添加“子域名”，并为它配置“TXT记录”。WAF会据此判断域名的所有权真正属于哪个用户。具体的配置方法请参见未配置子域名和TXT记录的影响。

功能总览 功能总览 全部 威胁检测服务 日志检测 威胁情报管理 白名单管理 数据同步 告警详情 查看检测结果 威胁检测服务 威胁检测服务（Managed Threat Detection，简称MTD），通过接入目标区域中您在华为云操作所涉及到的IAM日志、DNS日志、CTS日志、OBS日志、VPC日志，持续实时监控日志中访问者的IP或域名是否存在潜在的恶意活动和未经授权行为并进行告警。此服务集成了AI智能引擎、威胁情报、规则基线三种检测方式，智能检测来自多个云服务（包含IAM服务、DNS服务、CTS服务、OBS服务、VPC服务）日志数据中的访问行为，去发现是否存在潜在威胁，对可能存在威胁的访问行为生成告警信息，输出告警结果。您可通过告警描述对告警信息进行核查、处理，在未造成信息泄露等重大损失之前，及时对潜在威胁进行处理，对服务安全进行升级加固，从而保护您的帐户安全、保障服务稳定运行。 支持区域：“华南-广州”、“华东-上海一”、“华北-北京四”。 什么是威胁检测服务？ 威胁检测服务快速使用流程 应用场景 功能特性 日志检测 通过对日志源的开启或关闭，实现对服务新产生的日志数据的检测控制，开启或关闭后不影响历史已检测的数据及结果。 支持区域：“华南-广州”、“华东-上海一”、“华北-北京四”。 关闭日志检测 开启日志检测 查看日志检测信息 威胁情报管理 您可对威胁情报信息进行导入、删除，通过导入Plaintext格式的第三方威胁情报数据源及可信IP列表，导入后服务将优先关联检测您导入的情报内的IP地址或域名进行威胁检测，删除后将取消情报数据的优先检测规则。 支持区域：“华南-广州”、“华东-上海一”、“华北-北京四”。 导入威胁情报 删除威胁情报 查看威胁情报信息 白名单管理 您可对白名单信息进行导入、删除，通过导入Plaintext格式的可信IP列表，导入后服务将优先对白名单内的IP地址或域名进行忽略，删除后将取消白名单信息的忽略规则。 支持区域：“华南-广州”、“华东-上海一”、“华北-北京四”。 导入白名单 删除白名单 查看白名单信息 数据同步 威胁检测服务告警结果默认保存30天，按照等保合规要求数据至少需要存储180天，为了满足等保合规要求对于MTD数据的存储要求，需将MTD数据转存至OBS桶满足等保合规要求。 支持区域：“华南-广州”、“华东-上海一”、“华北-北京四”。 告警详情 威胁检测服务目前支持3种检测方式，分别是威胁情报、规则基线、AI引擎，涵盖71种告警类型。 支持区域：“华南-广州”、“华东-上海一”、“华北-北京四”。 查看告警类型详情 查看检测结果 查看检测结果 创建威胁检测服务后，产生告警时可查看检测的告警详情。 支持区域：“华南-广州”、“华东-上海一”、“华北-北京四”。 查看检测结果

操作步骤 登录PerfTest控制台，在左侧导航栏中选择“PerfTest测试工程”。 在待编辑PerfTest测试工程所在行，单击。 在“测试任务”页签中，选择待编辑的测试任务，单击“任务名称”进入“用例步骤”页签。 在“用例步骤”页签中，选择待添加请求信息的用例，单击“添加请求”。 在“检查点”页签，参照表1设置基本信息。 表1 检查点参数 参数 参数说明 启动结果检查 启用检查点后，通过自定义校验信息来验证服务端的返回内容是否正确。 响应码 仅在“报文”页签中“协议类型”为“HTTP”或者“HTTPS”时，需要设置。 响应报文携带的HTTP/HTTPS协议响应状态码，通常包括1XX，2XX，3XX，4XX和5XX。具体含义详见各协议规范。 头域 仅在“报文”页签中“协议类型”为“HTTP”或者“HTTPS”时，需要设置。 HTTP/HTTPS协议的Header部分，具体可以支持的Header详见各协议规范。 单击“添加头域检查”。 设置“头域名”，详情请参见头域说明。 设置检查条件。 内容 HTTP/HTTPS/TCP/UDP/WEBSOCKET协议的Body部分，为HTTP/HTTPS/TCP/UDP/WEBSOCKET协议请求、响应的负载部分。 单击“添加内容检查”。 设置检查条件。 条件规则 AND：需要全部符合才能检查通过。 OR：只需一条符合即可检查通过。 配置完成后，单击“确定”。

操作步骤 在目标域名所在行的“接入状态”栏，单击，复制“CNAME”值。 ping“CNAME”值并记录“CNAME”对应的IP地址。 以域名www.example5.com为例，该域名已添加到WAF的网站配置中，且WAF为其分配了以下CNAME值：xxxxxxxdc1b71f718f233caf77.waf.huaweicloud.com。 在Windows中打开cmd命令行工具，运行ping xxxxxxxdc1b71f718f233caf77.waf.huaweicloud.com获取WAF的回源IP。如图1所示，在响应结果中可以看到用来防护您的域名的WAF回源IP。 图1 ping cname 在本地修改hosts文件，将域名及“CNAME”对应的WAF回源IP添加到“hosts”文件。 用记事本或notepad++等文本编辑器打开hosts文件，hosts文件一般位于“C:\Windows\System32\drivers\etc\”路径下。 在hosts文件添加如图6 追加记录内容，前面的IP地址即在步骤2中获取的WAF回源IP地址，后面的域名即被防护的域名。 图2 追加记录 修改hosts文件后保存，然后本地ping一下被防护的域名。 图3 ping域名 预期此时解析到的IP地址应该是2中绑定的WAF回源IP地址。如果依然是源站地址，可尝试刷新本地的DNS缓存（Windows的cmd下可以使用ipconfig/flushdns命令）。 清理浏览器缓存，在浏览器中输入防护域名，测试网站域名是否能正常访问。 如果hosts绑定已经生效（域名已经本地解析为WAF回源IP）且WAF的配置正确，访问该域名，预期网站能够正常打开。 手动模拟简单的Web攻击命令，测试Web攻击请求。 将Web基础防护的状态设置为“拦截”模式，具体方法请参见配置Web基础防护规则。 清理浏览器缓存，在浏览器中输入模拟SQL注入攻击的测试域名，测试WAF是否拦截了此条攻击。 图4 访问被拦截 在左侧导航树中，选择“防护事件”，进入“防护事件”页面，查看防护域名测试的各项数据。

返回404状态码 访问CDN加速后的资源，返回404状态码，请按照以下步骤排查： 测试源站的URL访问是否404，排查是否是源站异常，测试步骤详见排查访问异常是CDN节点问题还是源站问题。 如果源站访问正常，请登录CDN控制台，在域名基本配置中检查回源HOST是否正确，详见回源HOST。 源站与回源HOST的区别如下所示： 源站：源站决定了用户回源时访问的地址，即源站服务器IP。 回源HOST：回源HOST决定了回源时访问到该IP地址上的具体站点。 示例：源站IP为x.x.x.x，加速域名www.example.com，源站中部署了多个站点：www.a.com、www.b.com。 如果您想要CDN回源到本服务器，您需要在CDN侧将源站配置为：x.x.x.x。 CDN默认回源HOST为加速域名www.example.com。如果您需要访问到的站点为www.a.com，您就需要将回源HOST配置为www.a.com；如果您需要访问到的站点为www.b.com，您就需要将回源HOST配置为www.b.com。 如果您的源站是OBS桶，则回源HOST必须是OBS桶域名。 如果您的源站为第三方对象存储桶，您需要将回源HOST修改为您的对象存储桶域名。 检查源站配置是否正确，登录CDN控制台，在域名基本配置中检查源站的配置是否为该域名的源站服务器，若不是，请修改成对应的服务器IP或域名。

8. 工服工帽检测 工帽检测开关：默认值为1，表示检测。0表示不检测。 工服检测开关：默认值为1，表示检测。0表示不检测。 目标框渲染开关：输出图像是否绘制告警目标边框，默认为0，表示不绘制。1表示用红色绘制告警目标边框。 检测区域渲染开关：输出图像是否绘制检测区域，默认为0，表示不绘制。1表示用黄色绘制用户设定区域。 图片压缩比：取值范围[20, 100]，默认为90，表示图片压缩比为90%。 检测区域设置：表示检测区域，该字段为JSON格式的字符串，例如：{"polygons":[{"data":[[84,389],[1840,349],[1824,526],[78,526]]}]}。未设置检测区域时，默认全屏都是检测区域。