华为云用户手册

pooler_connect_max_loops 参数说明：pooler建链重试功能使用，主备切换场景增强建链稳定性，若节点间pooler建链失败会跟备机重试建连，此时若恰好备机升主机成功，则可以在重试阶段建链成功。该参数可以设置重试总轮数，增强建链稳定性。当参数设置为0时，可以关闭重试功能，业务只跟主机建链而不跟备机重试。 该参数属于USERSET类型参数，请参考表2中对应设置方法进行设置。 取值范围：整型，最小值为0，最大值为20。 默认值：1

max_coordinators 参数说明：集群中CN的最大数目，当集群规模有变化时，如增加节点、减少节点，可能需要调整该参数。扩容时，请确保此参数值大于需要扩容到的集群中CN的个数，否则会导致扩容失败。缩容时，若此参数值偏大，CN启动时会消耗更多的内存资源，但总体来说对CN内存影响不大。 参数类型：整型 参数单位：无 取值范围：2~1024 默认值：128 设置方式：该参数属于POSTMASTER类型参数，不建议修改此参数，若需修改，请参考表2中对应设置方法进行设置。 设置建议：按照集群的实际规格进行设置，当该参数小于集群当前CN个数，会导致节点创建失败。由于CN启动时，会根据参数值提前申请内存，所以当该参数值变大，系统会消耗更多内存资源，但总体来说对CN内存影响不大。

max_datanodes 参数说明：集群中DN的最大数目，当集群规模有变化时，如增加节点、减少节点，可能需要调整该参数。扩容时，请确保此参数值大于需要扩容到的集群中DN总分片数，否则会导致扩容失败。缩容时，若此参数值偏大，CN启动时会消耗更多的内存资源，但总体来说对CN内存影响不大。 参数类型：整型 参数单位：无 取值范围：2-65535 默认值：256 设置方式：该参数属于POSTMASTER类型参数，不建议修改此参数，若需修改，请参考表2中对应设置方法进行设置。 设置建议：按照集群的实际规格进行设置，当该参数小于集群当前DN个数，会导致节点创建失败。由于CN启动时，会根据参数值提前申请内存，所以当该参数值变大，系统会消耗更多内存资源，但总体来说对CN内存影响不大。

pooler_port 参数说明：cm_agent、cm_ctl等内部工具运维管理端口，初始化用户或系统管理员通过客户端连接数据库所使用端口。 该参数属于POSTMASTER类型参数，请参考表2中对应设置方法进行设置。 取值范围：CN或DN实例的GUC参数"port"值加1。 默认值：CN或DN实例的GUC参数"port"默认值加1，CN实例该参数默认值为8001，DN实例该参数默认值为40001。

max_pool_size 参数说明：CN的连接池与其它某个CN/DN的最大连接数，当集群规模有变化时，如增加节点、减少节点，可能需要调整该参数。 参数类型：整型 参数单位：无 取值范围：1~65535 默认值： 独立部署： 32768（60核CPU/480G内存）；16384（32核CPU/256G内存）；8192（16核CPU/128G内存）；4096（8核CPU/64G内存）；2048（4核CPU/32G内存）；1000（4核CPU/16G内存） 设置方式：该参数属于POSTMASTER类型参数，请参考表2中对应设置方法进行设置。 设置建议：按照不同实例规格下的默认值进行设置，该参数值需要大于max_connections，调整时需预留内部线程所消耗的连接。当业务并发高时，会消耗连接池中CN至其他CN/DN的连接，如果该参数配置过小，连接数达到上限时会产生报错，导致业务失败。由于CN启动时，会根据参数值提前申请内存，所以当该参数值变大，系统会消耗更多内存资源，但总体来说对CN内存影响不大。

persistent_datanode_connections 参数说明：会话是否会释放获得的连接。 该参数属于BACKEND类型参数，请参考表2中对应设置方法进行设置。 取值范围：布尔型 off表示会释放获得连接。 on表示不会释放获得连接。 打开此开关后，会存在会话持有连接但并未运行查询的情况，导致其他查询申请不到连接报错。出现此问题时，需约束会话数量小于等于max_active_statements。 默认值：off

dilatation_shard_count_for_disk_capacity_alarm 参数说明：扩容场景下，设置新增的扩容分片数，用于上报磁盘容量告警时的阈值计算。 该分片数请与实际扩容分片数设置为一致。 取值范围：整型，0~231 - 1，单位为个。该参数设置为0，表示关闭磁盘扩容告警上报；该参数设置为大于0，表示开启磁盘扩容告警上报，且告警上报的阈值根据此参数设置的分片数量进行计算。修改后可以reload生效，参数修改请参考表2进行设置。 默认值：1

environment_threshold 参数说明：agent所监控的物理环境和节点状态信息的阈值，超过阈值会打印日志。具体分别表示为内存使用率阈值，cpu占用率阈值，磁盘使用率阈值，实例的内存使用率阈值，实例的线程池使用率阈值。 取值范围：字符串，（0，0，0，0，0），阈值范围为[0,100]，单位为%，0表示关闭检测。修改后可以reload生效，参数修改请参考表2进行设置。 默认值：（0，0，0，0，0）

alarm_component 参数说明：设置用于处理告警内容的告警组件的位置。 取值范围：字符串。修改后可以reload生效，参数修改请参考表2进行设置。 若前置脚本gs_preinstall中的--alarm-type参数设置为5时，表示未对接第三方组件，告警写入system_alarm日志，此时GUC参数alarm_component的取值为：/opt/huawei/snas/bin/snas_cm_cmd。 若前置脚本gs_preinstall中的--alarm-type参数设置为1时，表示对接第三方组件，此时GUC参数alarm_component的值为第三方组件的可执行程序的绝对路径。 默认值：/opt/huawei/snas/bin/snas_cm_cmd

resilience_threadpool_reject_cond 参数说明：用于控制线程池过载逃生的线程池使用率比例。该参数仅在GUC参数enable_thread_pool和use_workload_manager打开时生效。该参数属于SIGHUP类型参数，请参考表1中对应设置方法进行设置。 取值范围：字符串，长度大于0 该参数分为recover_threadpool_percent、overload_threadpool_percent 2部分，这2个部分的具体含义如下： recover_threadpool_percent：线程池恢复正常状态时的线程池使用率，当线程池使用率小于该值时，停止过载逃生并放开新连接接入，取值为0~INT_MAX，设置为多少表示百分之多少。 overload_threadpool_percent：线程池过载时的线程池使用率，当线程池使用率大于该值时，表示当前线程池已经过载，触发过载逃生kill会话并禁止新连接接入，取值为0~INT_MAX，设置为多少表示百分之多少。 默认值：'0,0'，表示关闭线程池逃生功能。 示例： resilience_threadpool_reject_cond = '50,90' 表示线程池使用率超过90%后禁止新连接接入并kill堆积的会话，kill会话过程中线程池使用率下降到50%时停止kill会话并允许新连接接入。 线程池使用率可以通过DBE_PERF.local_threadpool_status视图查询获得；线程池设置的初试线程池线程数目可以通过查询thread_pool_attr参数获得。 该参数如果设置的百分比过小，则会频繁触发线程池过载逃生流程，会使正在执行的会话被强制退出，新连接短时间接入失败，需要根据实际线程池使用情况慎重设置。 use_workload_manager参数关闭的情况下，如果打开bypass_workload_manager，则该参数也会生效，但是因为bypass_workload_manager是SIGHUP类型，reload方式设置后需要重启数据库才会使得当前功能生效。 recover_threadpool_percent和overload_threadpool_percent的值可以同时为0，除此之外，recover_threadpool_percent的值必须要小于overload_threadpool_percent，否则会设置不生效。

thread_pool_stream_attr 参数说明：用于控制stream线程池功能的详细属性，stream线程只在DN生效，该参数仅在enable_thread_pool打开后生效，仅sysadmin用户可以访问。该参数属于POSTMASTER类型参数，请参考表1中对应设置方法进行设置。 取值范围：字符串，长度大于0 该参数分为4个部分，'stream_thread_num, stream_proc_ratio ,group_num ,cpubind_info'，这4个部分的具体含义如下： stream_thread_num：stream线程池中的线程总数，取值范围是0~4096。其中0的含义是数据库根据系统CPU core的数量来自动配置线程池的线程数，如果参数值大于0，线程池中的线程数等于stream_thread_num。线程池大小推荐根据硬件配置设置，计算公式如下：stream_thread_num = CPU核数*3~5，stream_thread_num最大值为4096。 stream_proc_ratio：预留给stream线程的proc数量比例，浮点类型，默认为0.2，预留proc计算方式为：stream_proc_ratio * stream_thread_num。 group_num：线程池中的线程分组个数，取值范围是0~64。其中0的含义是数据库根据系统NUMA组的个数来自动配置线程池的线程分组个数，如果参数值大于0，线程池中的线程组个数等于group_num。thread_pool_stream_attr的group_num需与thread_pool_attr的group_num配置和使用保持一致，若设置为不同值，以thread_pool_attr的group_num为准。 cpubind_info：线程池是否绑核的配置参数。可选择的配置方式有集中：1. '(nobind)' ，线程不做绑核；2. '(allbind)'，利用当前系统所有能查询到的CPU core做线程绑核；3. '(nodebind: 1, 2)'，利用NUMA组1,2中的CPU core进行绑核；4. '(cpubind: 0-30)'，利用0-30号CPU core进行绑核；5. '(numabind: 0-30)'，在NUMA组内利用0-30号CPU core进行绑核。该参数不区分大小写。thread_pool_stream_attr的cpubind_info需与thread_pool_attr的cpubind_info配置和使用保持一致，若设置为不同值，以thread_pool_attr的cpubind_info为准。 默认值： stream_thread_num：16 stream_proc_ratio：0.2 group_num、cpubind_info：参见thread_pool_attr。

thread_pool_attr 参数说明：用于控制线程池功能的详细属性，该参数仅在enable_thread_pool打开后生效，仅sysadmin用户可以访问。该参数属于POSTMASTER类型参数，请参考表1中对应设置方法进行设置。 取值范围：字符串，长度大于0 该参数分为3个部分，'thread_num, group_num, cpubind_info'，这3个部分的具体含义如下： thread_num：线程池中的线程总数，取值范围是0~4096。其中0的含义是数据库根据系统CPU core的数量来自动配置线程池的线程数，如果参数值大于0，线程池中的线程数等于thread_num。线程池大小推荐根据硬件配置设置，计算公式如下：thread_num = CPU核数*3~5，thread_num最大值为4096。 group_num：线程池中的线程分组个数，取值范围是0~64。其中0的含义是数据库根据系统NUMA组的个数来自动配置线程池的线程分组个数，如果参数值大于0，线程池中的线程组个数等于group_num。 cpubind_info：线程池是否绑核的配置参数。可选择的配置方式有集中：1. '(nobind)' ，线程不做绑核；2. '(allbind)'，利用当前系统所有能查询到的CPU core做线程绑核；3. '(nodebind: 1, 2)'，利用NUMA组1,2中的CPU core进行绑核；4. '(cpubind: 0-30)'，利用0-30号CPU core进行绑核；5. '(numabind: 0-30)'，在NUMA组内利用0-30号CPU core进行绑核。该参数不区分大小写。 默认值： 独立部署：'1024,2,(nobind)'（60核CPU/480G内存，32核CPU/256G内存）；'512,2,(nobind)'（16核CPU/128G内存）；'256,2,(nobind)'（8核CPU/64G内存）；'128,2,(nobind)'（4核CPU/32G内存）；'64,2,(nobind)'（4核CPU/16G内存）

创建鉴权规则 应用网关最多支持创建5条鉴权规则，最多可同时启用1条鉴权规则。 登录微服务引擎控制台。 在左侧导航栏选择“应用网关 ”。 在左侧导航栏选择“访问控制”。 单击“创建鉴权规则”，在弹出框中配置如下参数，其中带*为必填参数。 表1 鉴权规则配置参数 类别 参数 说明 鉴权类型 *鉴权规则名称 自定义输入合法的鉴权规则名称。 鉴权类型 当前只支持自定义鉴权。 *鉴权服务 可在下拉框中选择已接入该应用网关的服务。 *端口 当“鉴权服务”选择的服务，其来源为 CS E Nacos引擎、CSE ServiceComb引擎和CCE服务时，需要配置此参数。 当“鉴权服务”选择的服务，其来源为固定地址时，不存在此参数。 *鉴权接口 鉴权服务的接口路径。网关访问的实际鉴权服务路径为：此处配置的接口路径拼接客户端请求路径。例如此处配置的接口路径为“/auth ”，客户端请求路径为“/hello”，则网关访问的鉴权服务路径为“/auth/hello”。 请求中允许携带的请求头 此处配置的请求头，如果出现在客户端请求中，则会添加到鉴权请求的请求头里。请至少添加鉴权token所在的请求头。Host、Method、Path和Content-Length请求头会被默认添加，您无需手动添加。 请求中是否允许携带Body 可单击设置允许携带Body，输入Body最大字节数， 响应中允许保留的响应头 此处配置的响应头如果出现在鉴权响应中，则会添加到客户端请求的请求头中。需要注意，客户端请求本身携带相同字段的请求头会被覆盖。 超时时间 网关等待鉴权服务响应的最大时间，超时后，会认为鉴权服务不可用。 鉴权服务容错模式 选择鉴权服务容错模式，当前支持： 全部拦截：当鉴权服务不可用时（鉴权服务建立连接失败、超时或者返回5xx请求），网关拦截客户端请求。 全部放通：当鉴权服务不可用时（鉴权服务建立连接失败、超时或者返回5xx请求），网关放通客户端请求。 规则条件 选择鉴权模式 当前支持的鉴权模式为黑名单模式，即符合条件的需要鉴权，其余不需要鉴权。 匹配规则 单击“ 新增匹配规则”可添加匹配规则，选择域名、设置服务地址、选择请求方法，添加请求头。服务地址支持前缀匹配、精确匹配和正则匹配： 前缀匹配：以前缀作为匹配条件。注意末尾要加上/*，如输入参数为/opt/*，则匹配以/opt开头的所有服务地址。 精确匹配：即完全匹配，如输入参数为/opt，则匹配路径等于/opt的所有服务地址。 正则匹配：以正则表达式作为匹配条件，如输入参数为/o[opt][opt]，则匹配符合该正则语法的所有服务地址，如/opt、/ooo、/otp等。正则语法规范见RE2正则语法规范。 说明： 多个匹配规则间是“或”的关系。最多允许配置10条匹配规则。单个匹配规则内是“与”的关系。 单击“确定”，鉴权规则创建完成，则在鉴权规则列表显示新创建的鉴权规则。 对于新创建的鉴权规则，默认是关闭状态，可在鉴权规则的“启用状态”列，单击，在弹出确认框中，单击“确认”，则该条鉴权规则为启用状态。 对于已启用的鉴权规则，可在鉴权规则的“启用状态”列，单击，在弹出确认框中，单击“确认”，则关闭该条鉴权规则。

责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的 云安全 挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任，如图1所示。 华为云：负责云服务自身的安全，提供安全的云。华为云的安全责任在于保障其所提供的 IaaS、PaaS 和 SaaS 各类各项云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从。 租户：负责云服务内部的安全，安全地使用云。 华为云租户的安全责任在于对使用的 IaaS、PaaS 和 SaaS 类各项云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、 虚拟主机 和访客虚拟机的操作系统，虚拟防火墙、API 网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施，包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型 父主题： 安全

防护措施 根据服务访问请求统计，判断网站是否有大量单IP请求发生，如果有则说明网站很有可能遭受了CC攻击。 登录管理控制台，将您的网站成功接入 Web应用防火墙 。关于域名接入的具体操作请参见添加防护域名。 在目标域名所在行的“防护策略”栏中，单击“已开启N项防护”，进入“防护策略”页面，确认“CC攻击防护”的“状态”为“开启”。 图1 CC防护规则配置框 开启WAF的“CC攻击防护”后，添加CC防护规则，配置对域名下的请求进行基于IP限速的检测，针对业务特性，设置限速频率，并配置人机验证，防止误拦截正常用户，针对网站所有url进行防护，配置如图2所示。 图2 IP限速 限速模式：选择“源限速”、“IP限速”，根据IP区分单个Web访问者。 限速频率：单个Web访问者在限速周期内可以正常访问的次数，如果超过该访问次数，Web应用防火墙服务将暂停该Web访问者的访问。 防护动作：防止误拦截正常用户，选择“人机验证”。 人机验证：表示在指定时间内访问超过次数限制后弹出验证码，进行人机验证，完成验证后，请求将不受访问限制。 阻断：表示在指定时间内访问超过次数限制将直接阻断。 仅记录：表示在指定时间内访问超过次数限制将只记录不阻断。

防护措施 根据服务访问请求统计，判断网站是否有大量同一IP请求发生，如果有则说明网站很有可能遭受了CC攻击。 登录管理控制台，将您的网站成功接入Web应用防火墙。关于域名接入的具体操作请参见添加防护域名。 在目标域名所在行的“防护策略”栏中，单击“已开启N项防护”，进入“防护策略”页面，确认“CC攻击防护”的“状态”为“开启”。 图1 CC防护规则配置框 开启WAF的“CC攻击防护”后，添加CC防护规则，配置“用户限速”模式，输入用户标识，即Cookie字段中的变量名。为了更加有效的标识用户，建议使用“sessionid”或“token”这类标识网站后台颁发给用户的唯一标识字段。 “防护模式”选择“阻断”模式，设置“阻断时长”，能够在攻击被拦截后，攻击者需额外等待一段时间， 该设置能进一步对攻击者行为进行限制，建议对安全要求非常高的用户设置。 图2 添加CC防护规则 限速模式：选择“源限速”、“用户限速”，根据Cookie键值区分单个Web访问者。 用户标识：为了更加有效的标识用户，建议使用“sessionid”或“token”这类标识网站后台颁发给用户的唯一标识字段。 限速频率：单个Web访问者在限速周期内可以正常访问的次数，如果超过该访问次数，Web应用防火墙服务将暂停该Web访问者的访问。 “全局计数”：根据不同的限速模式，将已经标识的请求在一个或多个WAF节点上的计数聚合。默认为每WAF节点单独计数，开启后本区域所有节点合并计数。“IP限速”不能满足针对某个用户进行限速，需要选择“用户限速”或“其他”的Referer限速，此时标识的请求可能会访问到不同的WAF节点，开启全局计数后，将请求访问的一个或多个WAF节点访问量聚合，达到全局统计的目的。 防护动作：选择“阻断”模式。该模式可设置“阻断时长”，在攻击被拦截后，攻击者需额外等待一段时间才能访问正常的网页， 该设置能进一步对攻击者行为进行限制，建议对安全要求非常高的用户设置。 人机验证：表示在指定时间内访问超过次数限制后弹出验证码，进行人机验证，完成验证后，请求将不受访问限制。 阻断：表示在指定时间内访问超过次数限制将直接阻断。 仅记录：表示在指定时间内访问超过次数限制将只记录不阻断。 阻断页面：可选择“默认设置”或者“自定义”。

攻击源来自海外或IDC机房IP CC攻击中很大比例的攻击来源于海外IP和IDC机房IP的情形。 对于面向中国用户的网站，在遭受攻击时可以通过封禁海外访问来缓解攻击压力。推荐您使用WAF的地理位置访问控制功能，封禁中国境外IP地址的访问，具体操作请参见配置地理位置访问控制规则。 如果您已经开启了WAF的威胁情报访问控制规则，可以封禁常见IDC库的爬虫IP，例如华为、腾讯。详细操作请参见配置威胁情报访问控制。 威胁情报访问控制功能现处于公测阶段，如需使用请提交工单申请开通。

大流量高频CC攻击 在大规模CC攻击中，单台傀儡机发包的速率往往远超过正常用户的请求频率。针对这种场景，直接对请求源IP设置限速规则是最有效的办法。建议您使用CC攻击的基于IP限速的模式，具体请参见基于IP限速的配置。 配置示例：您可以配置以下CC规则，当一个IP在30秒内访问当前域名下任意路径的次数超过1000次，则封禁该IP的请求10个小时。该规则可以作为一般中小型站点的预防性配置。 在实际场景中，您需要根据自身业务需求调整限速模式和触发防护的限速频率，并选择合适的防护动作，以达到更有针对性、更精细化的防护效果。例如，为了预防登录接口受到恶意高频撞库攻击的影响，您可以配置路径（示例：使用“前缀为”逻辑符，将匹配内容设置为/login.php）。 “域名聚合统计”：开启后，泛域名对应的所有子域名的请求次数合并限速(不区分访问IP)。例如，配置的泛域名为“*.a.com”，会将所有子域名（b.a.com，c.a.com等）的请求一起聚合统计。 “全局计数”：仅云模式支持配置该参数。默认为每WAF节点单独计数，开启后本区域所有节点合并计数。

请求特征畸形或不合理 由于很多CC攻击请求是攻击者随意构造的，仔细观察日志后，往往会发现这些请求有很多与正常请求不相符的畸形报文特征。常见的畸形报文特征及防护策略： 以下的防护配置是通过WAF的精准访问防护规则实现的，具体的操作请参见配置精准访问防护规则。 User-agent异常或畸形：例如，包含Python等自动化工具特征、明显格式错乱的UA（例如Mozilla///）、明显不合理的UA（例如www.example.com）。如果存在该请求特征，可以直接封禁请求。 配置示例：拦截User-agent包含Mozilla///的内容 User-agent不合理：例如，对于微信推广的H5页面，正常用户都应该通过微信发起访问，如果UA来自于Windows桌面浏览器（例如MSIE 6.0），则明显是不合理的。如果存在该请求特征，可以直接封禁请求。 配置示例：拦截User-agent包含MSIE 6.0的内容 Referer异常：例如，不带Referer或Referer固定且来自于非法站点，则可以封禁这种请求（访问网站首页或第一次访问页面的情形除外）。针对只能通过某个站内地址跳转访问的URL，您可以从Referer角度分析行为异常，决定是否封禁。 配置示例：拦截不带Referer的请求 Cookie异常：正常用户往往会在请求中带上属于网站本身业务集的一些cookie（第一次访问页面的情形除外）。很多情况下，CC攻击的报文不会携带任何cookie。您可以从这个角度出发，封禁不带cookie的访问请求。 配置示例：拦截不带Cookie的请求 缺少某些HTTP Header：例如，针对一些业务中需要的认证头等，正常用户的请求会携带，而攻击报文则不会。 配置示例：拦截Header不带authorization头的请求。 不正确的请求方法：例如，只有POST请求的接口被大量GET请求攻击，则可以直接封禁GET请求。 配置示例：拦截GET请求。

我的业务需要严格的安全防护，有攻击时宁可错杀不可漏掉 针对您的需求，推荐您在完成网站接入后，为网站设置以下防护功能： Web基础防护（拦截模式）：帮助您防范SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等常规的Web攻击，并支持深度反逃逸识别、对请求里header中所有字段进行攻击检测、Shiro解密检测、Webshell检测。 操作导航：在“防护策略”页面，单击策略名称，进入“防护配置”页面，选择“Web基础防护”区域，选择“拦截”模式，开启所有的检测项。具体的操作请参见配置Web基础防护规则。 CC攻击防护（阻断模式）：通过限制单个IP/Cookie/Referer访问者对防护网站上源端的访问频率，精准识别并阻断CC攻击。 操作导航：在“防护策略”页面，单击策略名称，进入“防护配置”页面，选择“CC攻击防护”区域，添加规则，“防护动作”配置为“阻断”。具体的操作请参见配置CC攻击防护规则。 精准访问防护（阻断模式）：对HTTP首部、Cookie、访问URL、请求参数或者客户端IP进行条件组合，定制化防护策略，为您的网站带来更精准的防护。 操作导航：在“防护策略”页面，单击策略名称，进入“防护配置”页面，选择“精准访问防护”区域，添加规则，“防护动作”配置为“阻断”。具体的操作请参见配置精准访问防护规则。 IP黑白名单设置（拦截模式）：封禁与业务不相关的IP地址和地址段。 操作导航：在“防护策略”页面，单击策略名称，进入“防护配置”页面，选择“黑白名单设置”区域，添加规则，“防护动作”配置为“拦截”。具体的操作请参见配置IP黑白名单规则。 地理位置访问控制（拦截模式）：封禁来自特定区域的访问或者允许特定区域的来源IP的访问，解决部分地区高发的恶意请求问题。可针对指定国家、地区的来源IP自定义访问控制。 操作导航：在“防护策略”页面，单击策略名称，进入“防护配置”页面，选择“地理位置访问控制”区域，添加规则，“防护动作”配置为“拦截”。具体的操作请参见配置地理位置访问控制规则。

我的业务经常受到爬虫骚扰或面临数据泄露、被篡改的风险 针对您的需求，推荐您在完成网站接入后，为网站设置以下防护功能： 网页防篡改：帮助您锁定需要保护的网站页面，当被锁定的页面在收到请求时，返回已设置的缓存页面，预防源站页面内容被恶意篡改。 操作导航：在“防护策略”页面，单击策略名称，进入“防护配置”页面，选择“网页防篡改”区域，添加规则，完成相关设置。具体操作请参见配置网页防篡改规则。 防敏感信息泄露：帮助您对返回页面中包含的敏感信息做屏蔽处理，防止用户的敏感信息（例如：身份证号、电话号码、电子邮箱等）泄露。 操作导航：在“防护策略”页面，单击策略名称，进入“防护配置”页面，选择“防敏感信息泄露”区域，添加规则，完成相关设置。具体操作请参见配置防敏感信息泄露规则。 网站反爬虫： 特征反爬虫：帮助您为网站放行合法爬虫（例如Googlebot、Baiduspider）的访问请求，或者拦截大多数脚本和自动化程序的爬虫攻击。 JS脚本反爬虫：开启JS脚本反爬虫后，帮助您完成JS脚本的的检测，您也可以自定义JS脚本反爬虫的防护策略。 操作导航：在“防护策略”页面，单击策略名称，进入“防护配置”页面，选择“网站反爬虫”区域，添加规则，完成相关设置。具体操作请参见配置网站反爬虫防护规则。 威胁情报访问控制：提供IDC机房IP库平台（例如鹏博士、谷歌公司、腾讯、美团网等其他平台），当目标IP库平台内的来源IP向网站下任意路径发起访问请求时，将触发控制规则，即拦截、放行或者仅记录请求。 操作导航：在“防护策略”页面，单击策略名称，进入“防护配置”页面，选择“威胁情报访问控制”区域，添加规则，完成相关设置。具体操作请参见配置威胁情报访问控制。

我是专业的安全人员，需要做全面的Web入侵运营 针对您的需求，推荐您在完成网站接入后，为网站设置以下防护功能： Web基础防护：帮助您防范SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等常规的Web攻击，并支持深度反逃逸识别、对请求里header中所有字段进行攻击检测、Shiro解密检测、Webshell检测。 操作导航：在“防护策略”页面，单击策略名称，进入“防护配置”页面，选择“Web基础防护”区域，选择“拦截”或者“仅记录”模式，开启所有的检测项。具体的操作请参见配置Web基础防护规则。 自定义防护策略（自由组合防护配置规则）：防护配置规则的自由组合配置，为您的网站定制适合的防护策略，全方位的防护您的网站。 操作导航：在“防护策略”页面，进行相关的配置，具体的操作请参见防护配置引导。

我是新手，不懂安全，也没有特殊需求 您可能是基于等保要求或出于提升企业安全水位（达到预防目的）等考虑购买了Web应用防火墙。这种情况下，您可以在完成网站接入后直接使用WAF的默认基础防护设置，不做任何调整。WAF提供的默认防护能力足够为网站抵御绝大部分的基础Web威胁。 建议您多关注Web应用防火墙控制台的“安全总览”和“防护事件”页面，了解业务情况和攻击情况。具体操作可参见以下文档： 安全总览 查看防护日志

请求示例 开启实例TDE（不使用TDE轮转） PUT https://{Endpoint}/v3/054e292c9880d4992f02c0196d3ea468/instances/3d39c18788b54a919bab633874c159dfin04/tde {} 开启实例TDE（使用TDE轮转） { "rotate_day": 365, "secret_id":"d0964270-2716-405b-bc3a-12a942451716", "secret_name":"test", "secret_version":"v10" }

操作步骤 访问 设备接入服务 ，单击“管理控制台 ”进入设备接入控制台。 依次单击“规则 - 数据转发 - 策略配置 - 数据流转积压策略”进入积压策略配置界面。 图1 策略配置界面 在弹出的界面中填写名称、描述、积压大小、积压时间等信息后，单击确定即可完成积压策略创建。 图2 创建积压策略 表1 参数说明 参数名称 描述 策略名称 长度为4-256，只允许中文、字母、数字以及_?'#().,&%@!-等字符的组合。 描述 关于该策略的描述，长度为4-256，只允许中文、字母、数字以及_?'#().,&%@!-等字符的组合。 积压大小 单个转发规则流转数据在IoT 物联网平台 最大积压（缓存）大小，单位为B，最大可配置为1073741823 B，即1GB。 积压时间 单个转发规则流转数据在IoT物联网平台最大积压（缓存）时间，单位为秒，最大可配置为86399秒，即24小时。

概述 当转发目标（如第三方应用服务器等）由于性能等原因无法快速处理IoT物联网平台流转数据时，未能及时处理的流转数据会积压（缓存）在IoT物联网平台。目前IoT物联网平台默认配置单个转发规则流转数据的最大积压（缓存）大小为1GB，最大积压（缓存）时间为24小时，超过最大积压（缓存）大小或积压（缓存）时间时，最早未被处理的流转数据会被丢弃直至满足积压（缓存）大小和时间限制。 客户可以根据自身的业务场景以及转发目标（如第三方应用服务器等）的性能等情况，在IoT物联网平台上创建合适的积压策略，控制流转数据在IoT物联网平台的积压情况。 例如：当业务对数据实时性的要求高于完整性，而转发目标（如第三方应用服务器等）长时间性能不足或业务中断一段时间，未能及时处理IoT物联网平台流转数据，导致流转数据大量积压在IoT物联网平台，转发目标（如第三方应用服务器等）接收到的数据一直是延迟、滞后的数据， 此时可以考虑使用积压策略配置较小的积压大小和积压时间，丢弃过时的数据，接收、处理较为实时的流转数据。

制作CA证书 在浏览器中访问这里，下载并进行安装OpenSSL工具，安装完成后配置环境变量。 在 D:\certificates 文件夹下，以管理员身份运行cmd命令行窗口。 生成密钥对（rootCA.key）： 生成“密钥对”时输入的密码在生成“证书签名请求文件”、“CA证书”，“验证证书”以及“设备证书”时需要用到，请妥善保存。 openssl genrsa -des3 -out rootCA.key 2048 使用密钥对生成证书签名请求文件： 生成证书签名请求文件时，要求填写证书唯一标识名称（Distinguished Name，DN）信息，参数说明如下表1 所示。 表1 提示 参数名称 取值样例 Country Name (2 letter code) []: 国家/地区 CN State or Province Name (full name) []: 省/市 GuangDong Locality Name (eg, city) []: 城市 ShenZhen Organization Name (eg, company) []: 组织机构（或公司名） Huawei Technologies Co., Ltd. Organizational Unit Name (eg, section) []: 机构部门 Cloud Dept. Common Name (eg, fully qualified host name) []: CA名称（CN） Huawei IoTDP CA Email Address []: 邮箱地址 / A challenge password []: 证书密码，如您不设置密码，可以直接回车 / An optional company name []: 可选公司名称，如您不设置，可以直接回车 / openssl req -new -key rootCA.key -out rootCA.csr 生成CA证书（rootCA.crt）： openssl x509 -req -days 50000 -in rootCA.csr -signkey rootCA.key -out rootCA.crt “-days”后的参数值指定了该证书的有效天数，此处示例为50000天，您可根据实际业务场景和需要进行调整。

第三方协议 第三方协议由生态伙伴基于华为云IoT泛协议设备端SDK开发。需至云市场单独购买协议解析插件，加载到设备侧网关，再结合IoTDA共同使用。通过网关来完成协议转换，将第三方协议转成MQTT协议，从而实现泛协议接入华为物联网平台。原理请见：说明文档。 支持方式：IoTDA + 生态协议插件，协议解析插件需通过云市场购买。 表2 第三方协议 使用场景 协议 协议描述 云市场 消防 JB-3208 火灾报警控制器协议 是一种为防火保护系统设计的智能报警控制器。它采用8路独立控制，可通过网络连接到多台控制器，可同时控制多台控制器，以实现跨区域的报警控制、系统状态查询及系统自检等功能。 链接 GB26875消防监测系统协议 是一种城市消防远程监控系统通讯协议，可全天候远程实现火灾报警联动、消防设施状态监测。 链接 报警主机协议 用于报警监控防火设备。可实现实时监控报警主机的状态信息、报警信息，并提供操作相关设备。可快速接入报警主机，将主机下各类传感器的信息及时传输上报。 链接 城市建设 智慧灯杆(路灯)协议 是一种智慧灯杆(路灯)协议插件，可以提供智能灯杆屏：远程管理，多屏同步，自动亮度和定时亮度，天气信息显示，远程断电，集群管理，AI智能审核等能力。 链接 管理 会议室管理系统协议 是一种可扩展的音视频解决方案，用于视频会议，可以有效提高员工参与度，帮助客户实现更佳的会议效果。 链接 DCIM能耗管理系统标准协议 是一种用于数据中心基础设施管理系统的协议，适用于微/小型数据中心、中大型数据中心、室外预制化数据中心。 链接 SNMP标准协议 SNMP是专门设计用于在 IP 网络管理网络节点（服务器、工作站、路由器、交换机及HUBS等）的一种标准协议，它是一种应用层协议。该协议可以使网络管理员能够管理网络效能，发现并解决网络问题以及规划网络增长。 链接 门禁 门禁协议 适用于小区入口门禁。采用人脸门禁系统，利用相关数据实现数字化安全管理，具备人员防夹、防尾随功能。 链接 AI门禁协议 用于自助闸机，可以实现现场采集信息与本地信息库进行黑/白名单的身份查验的功能，具有高安全性、高稳定性、高效率等特点。 链接 人脸门禁协议 用于门禁考勤，是一款可脱机或联网的人脸门禁考勤产品，支持刷卡四种验证方式，支持TCP/IP、U盘两种通信方式。 链接 环境监测 环境监测协议 可用于环境监测，监测设备是否出现故障，可以实现实时、远程、自动监测颗粒物浓度以及现场数据通过网络传输。 链接 环境监测与智慧路灯协议 这是一个用于对接环境监测以及智慧路灯系统的协议插件，插件中对接了智慧路灯的包括了智能照明、环境监测、视频监控、LED屏幕控制、广播任务发布等。实现了智能照明、绿色能源、智能安防、互通互联。 链接 视频监控 IVS协议 IVS监控是一款智能视频监控系统，可用于安防、交通、公共安全等领域。它具有高清图像、智能分析、实时响应等特点，能够帮助用户快速、准确地捕捉、分析现场信息。 链接 云平台协议 为用户提供视频监控服务的云端平台。它支持多种类型的视频监控设备，包括摄像机、网络摄像机、枪机、半球机等，可以通过云端平台进行远程监控和管理。 链接 DVR摄像头协议 用于实现图像的多画面显示，一般用于监看多个来自摄像头的画面录像功能。该插件主要完成视频信号的数字化和存储，通过矩阵切换模拟视频上电视墙显示，可以达到很好的图像效果。 链接 停车场 智慧停车场协议 为停车场提供围绕智慧停车业务的智能硬件、软件及云服务、智慧停车运营、城市级停车，实现智慧停车领域的全生态覆盖。 链接 充电桩协议 是一种充电桩协议插件，可以用于解决停车场景和充电场景的车场及车主需求，同时为管理方提供可持续性增益的运营办法。 链接 宣传 公共广播系统协议 是一种公共广播协议插件，可以用于帮助用户实现专业的广播播出和营销活动。通过移动网络或宽带网络，将节目、音乐、图片、视频等内容以公共广播的方式发送到指定的客户机。 链接 智慧云屏协议 用于商场屏幕投屏。该协议采用了云端管理的方式，使得用户可以随时随地更新显示内容，能够实时展示信息，并支持互动，提高显示效率。 链接 其他 科技汽车在线平台协议 用于汽车在线平台24小时实时定位。在使用汽车在线定位平台查看车辆的时候，平台上显示是实时定位信息，可用于个人及单位查找车辆。 链接 大屏协议 适用于多种终端设备与会议一体机智能互联可用于多场景进行如：智慧城市 云+端，行业指挥中心，新商业显示，智慧会议显示终端等。 链接

从这里开始 使用阶段 步骤 设备开发 1. 开通设备接入服务，参考开发指南，完成设备开发。 LiteOS设备（LwM2M），设备需要具有设备发放功能。 原生MQTT协议设备，需要完成设备引导接口开发，使设备具有设备发放功能。 注：若设备需要使用物联网卡，可在 全球SIM联接 服务购买物联网卡和套餐。 2. 设备完成设备发放平台接入地址和设备鉴权信息的烧录。设备发放平台接入地址请在控制台中获取。 LiteOS设备（LwM2M）：需要烧录设备发放平台接入地址、设备标识码、引导服务端PSK。 原生MQTT协议设备，需要烧录设备发放平台接入地址、设备ID、设备密钥。 设备发放 3. 证书：用于证书策略发放的设备需要上传证书，防止通信数据在传输过程被篡改造成安全风险。 4. 策略：策略用于控制设备按照指定策略或规则发放至不同的物联网平台。 5. 设备：将设备基本信息导入设备发放平台中，用于后续发放至不同的物联网平台。 设备接入物联网平台 6. 设备初次上电时，先接入到设备发放平台，随后通过Bootstrap流程引导设备获得目标物联网平台地址。 父主题： 设备发放

操作步骤 进入“策略”界面，单击展开“静态策略”，单击“添加实例”。 按照下方参数说明填写关键参数信息后，单击“确定”。 参数名称 说明 示例 关键字 即设备名称中的关键字。设备发放时，如果设备名称包含设置的关键字，则可按该实例进行发放。 将设备名称携带Beijing的设备发放至华北-北京四的物联网平台。 设备名称：WaterMeter-Beijing0001、WaterMeter-Beijing0002 关键字：Beijing 发放区域：华北-北京四 发放应用：beijing-app1 优先级别 发放策略的优先级，取值范围0 - 4，0为最低优先级。当一个设备符合多个发放策略时，按照优先级最高的策略实例发放。 发放区域 发放到指定区域后，设备将接入对应区域的设备接入服务。 所选区域未开通设备接入服务时，如果确定添加实例，系统将自动为您开通设备接入服务。不同区域设备接入服务价格不同，收费详情请参考价格说明。 发放应用 选择对应设备接入服务区域已创建的应用。在物联网平台中，设备由应用统一管理。 如果对应设备接入服务区域未创建应用，需要前往对应服务创建应用。