华为云用户手册

响应示例 状态码： 200 Response of DeleteDataobjectRelation { "code" : "909494e3-558e-46b6-a9eb-07a8e18ca62f", "message" : "Error message", "request_id" : "Error message", "success" : false, "total" : 41, "limit" : 3, "offset" : 10, "data" : { "success_ids" : [ "909494e3-558e-46b6-a9eb-07a8e18ca62f" ], "error_ids" : [ "909494e3-558e-46b6-a9eb-07a8e18ca62f" ] }}

响应示例 状态码： 200 Response of CreateDataobjectRelation { "code" : "909494e3-558e-46b6-a9eb-07a8e18ca62f", "message" : "Error message", "request_id" : "Error message", "success" : false, "total" : 41, "limit" : 3, "offset" : 10, "data" : { "success_ids" : [ "909494e3-558e-46b6-a9eb-07a8e18ca62f" ], "error_ids" : [ "909494e3-558e-46b6-a9eb-07a8e18ca62f" ] }}

URI POST /v1/{project_id}/workspaces/{workspace_id}/soc/{dataclass_type}/{data_object_id}/{related_dataclass_type} 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String ID of project 最小长度：32 最大长度：36 workspace_id 是 String ID of workspace 最小长度：32 最大长度：36 dataclass_type 是 String type of dataclass 最小长度：1 最大长度：64 data_object_id 是 String ID of dataobject 最小长度：32 最大长度：36 related_dataclass_type 是 String type of related dataclass 最小长度：1 最大长度：64

请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String 用户Token。 通过调用 IAM 服务获取用户Token接口获取（响应消息头中X-Subject-Token的值）。 最小长度：1 最大长度：2097152 content-type 是 String application/json;charset=UTF-8 缺省值：application/json;charset=UTF-8 最小长度：1 最大长度：64 表3 请求Body参数 参数 是否必选 参数类型 描述 ids 否 Array of strings search ids 最小长度：32 最大长度：64

响应参数 状态码： 200 表4 响应Header参数 参数 参数类型 描述 X-request-id String This field is the request ID number for task tracking. Format is request_uuid-timestamp-hostname. 表5 响应Body参数 参数 参数类型 描述 code String Id value 最小长度：0 最大长度：64 message String Error message 最小长度：0 最大长度：32 request_id String Error message 最小长度：0 最大长度：32 success Boolean Error message 最小长度：1 最大长度：32 total Integer tatal count 最小值：0 最大值：99999 limit Integer current page count 最小值：0 最大值：9999 offset Integer current page size 最小值：0 最大值：100 data DataResponse object indicator batch operation response 表6 DataResponse 参数 参数类型 描述 success_ids Array of strings id list 最小长度：32 最大长度：64 error_ids Array of strings id list 最小长度：32 最大长度：64

支持的授权项 策略包含系统策略和自定义策略，如果系统策略不满足授权要求，管理员可以创建自定义策略，并通过给用户组授予自定义策略来进行精细的访问控制。 权限：允许或拒绝某项操作。 授权项：自定义策略中支持的Action，在自定义策略中的Action中写入授权项，可以实现授权项对应的权限功能。 权限 授权项 依赖关系说明 查询配额 cnad:quota:get - 查询单个防护策略详情 cnad:policy:get - 查询统计数据 cnad:countReport:get - 查询资产安全状态 cnad:securityStatusReport:get - 查询每周安全统计数据 cnad:weekStatisticsReport:get - 创建告警通知 cnad:alarmConfig:create 如果授予用户告警通知权限，需要同时授予用户“cnad:alarmConfig:create”授权项和“华北-北京四”的“ SMN Administrator”权限。 删除告警通知 cnad:alarmConfig:delete 如果授予用户告警通知权限，需要同时授予用户“cnad:alarmConfig:delete”授权项和“华北-北京四”的“SMN Administrator”权限。 查询告警通知 cnad:alarmConfig:get 如果授予用户告警通知权限，需要同时授予用户“cnad:alarmConfig:get”授权项和“华北-北京四”的“SMN Administrator”权限。 更新实例 cnad:package:put - 绑定防护IP到实例 cnad:protectedIp:create 如果授予用户为CNAD实例绑定对象的权限，需要同时授予用户“cnad:protectedIp:create”授权项和实例所属区域的“vpc:publicIps:list”（查询弹性公网IP）授权项。 例如，用户在“华北-北京四”购买了一个CNAD实例。如果授予用户为CNAD实例绑定对象的权限，则需要授予该用户“cnad:protectedIp:create”授权项和“华北-北京四”的“vpc:publicIps:list”授权项，使该用户只能操作“华北-北京四”实例上绑定的防护对象。 创建防护策略 cnad:policy:create - 更新防护策略 cnad:policy:put - 删除防护策略 cnad:policy:delete - 绑定防护策略到防护IP cnad:bindPolicy:create - 移除防护IP的防护策略 cnad:unbindPolicy:create - 创建IP黑白名单 cnad:blackWhiteIpList:create - 删除IP黑白名单 cnad:blackWhiteIpList:delete - 更新防护IP标签 cnad:ipTag:put - 查询清洗范围 cnad:cleanScaleDropList:list - 查询实例列表 cnad:packageDropList:list - 查询防护策略列表 cnad:policyDropList:list - 查询防护IP列表 cnad:protectedIpDropList:list - 查询实例详情 cnad:package:list - 查询防护策略详情 cnad:policy:list - 查询防护IP列表 cnad:protectedIp:list - 查询总流量数据 cnad:trafficTotalReport:list - 查询攻击流量 cnad:trafficAttackReport:list - 查询总数据包 cnad:packetTotalReport:list - 查询攻击数据包 cnad:packetAttackReport:list - 查询DDoS防护趋势 cnad:cleanCountReport:list - 查询清洗流量峰值统计数据 cnad:cleanKbpsReport:list - 查询攻击类型分布 cnad:attackTypeReport:list - 查询攻击事件 cnad:attackReport:list - 查询Top10被攻击IP cnad:attackTop:list - 创建实例 cnad:package:create 如果授予用户购买CNAD权限，需要同时授予用户“cnad:package:create”授权项和所有区域以下BSS授权项： bss:order:update 操作订单权限 bss:contract:update 修改合同商务 bss:balance:view 查看帐户 bss:order:pay 支付权限

自助解封策略说明 自助解封策略规则说明如下： 对于同一防护IP，当日首次解封时间必须大于封堵时间30分钟以上才能解封。解封时间=2（n-1）*30分钟（n表示解封次数）。 例如，当日第一次解封需要封堵开始后30分钟，第二次解封需要封堵开始后60分钟，第三次解封需要封堵开始后120分钟。 对于同一防护IP，如果上次解封时间和本次封堵时间间隔小于30分钟，则本次解封时间的间隔=2n*30分钟（n表示解封次数）。 例如，该IP已解封过一次，上次解封时间为10:20，本次发生封堵时间为10:40，两者时间间隔小于30分钟，则本次需要封堵开始后120分钟才能解封，即12:40可以解封（本次发生封堵时间10:40后120分钟）。 如果您在30分钟内解封过其他任一IP，即使满足以上条件，您也不能对该IP进行解封。 DDoS防护会根据风控自动调整自助解封次数和间隔时长。

操作步骤 登录管理控制台。 进入自助解封页面，如图1所示。 图1 进入自助解封页面 在自助解封页面，查看“解封配额”（今日解封配额、今日剩余解封配额）和“封堵统计”（总解封次数、手动解封次数、自动解封次数、当前封堵IP数）信息。 每月剩余总配额每月1日凌晨刷新，每天剩余配额每天刷新。 配额刷新说明如下： 如果该月使用次数为96次及以下，每日凌晨刷新4次配额。 如果该月已使用次数为98次，则之后只更新为2次配额。 如果该月100次配额使用完，则该月不再更新配额。 选择“解封记录”页签，查看解封详细信息，如图2所示，相关参数说明如表1所示。 图2 解封记录 表1 解封记录参数说明 参数 说明 IP 解封的防护IP。 封堵时间 防护IP进入黑洞封堵的时间。 解封时间 防护IP解除黑洞封堵的时间。 解封类型 防护IP解封的方式，包括“手动解封”和“自动解封”。 状态 防护IP解封的状态。 执行者 进行解封操作的用户。

CNAD自定义策略样例 示例1：授权用户查询防护IP列表 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "cnad:protectedIpDropList:list" ] } ]} 示例2：拒绝用户删除IP黑白名单规则 拒绝策略需要同时配合其他策略使用，否则没有实际作用。用户被授予的策略中，一个授权项的作用如果同时存在Allow和Deny，则遵循Deny优先。 如果您给用户授予“CNAD FullAccess”的系统策略，但不希望用户拥有“CNAD FullAccess”中定义的删除IP黑白名单规则的权限（cnad:blackWhiteIpList:delete），您可以创建一条相同Action的自定义策略，并将自定义策略的Effect设置为“Deny”，然后同时将“CNAD FullAccess”和拒绝策略授予用户，根据Deny优先原则用户可以对CNAD执行除了删除IP黑白名单规则的所有操作。以下策略样例表示：拒绝用户删除IP黑白名单规则。 { "Version": "1.1", "Statement": [ { "Effect": "Deny", "Action": [ "cnad:blackWhiteIpList:delete" ] }, ]}

操作步骤 登录管理控制台。 进入域名列表入口，如图1所示。 图1 域名列表入口 在目标域名所在行的“业务类型”列，单击“更换”。 在弹出的“更换证书”对话框中，上传新证书或者选择已有证书。 “上传方式”选择“手动上传”时，在对话框中输入证书名称，并将证书内容和私钥文件粘贴到对应的文本框中，如图2所示。 DDoS高防将对私钥文件进行加密保存，保障证书私钥的安全性。 图2 手动上传证书 DDoS高防当前仅支持PEM格式证书。如果证书为非PEM格式，请参考表1将证书转换为PEM格式，再上传。 表1 证书转换命令 格式类型 转换方式 CER/CRT 将“cert.crt”证书文件直接重命名为“cert.pem”。 PFX 通过openssl工具进行转换。 提取私钥命令，以“cert.pfx”转换为“cert.key”为例。 openssl pkcs12 -in cert.pfx -nocerts -out cert.key -nodes 提取证书命令，以“cert.pfx”转换位“cert.pem”为例。 openssl pkcs12 -in cert.pfx -nokeys -out cert.pem P7B 通过openssl工具进行转换。 执行转换命令。openssl pkcs7 -print_certs -in incertificat.p7b -out cert.cer 获取“cert.cer”文件中证书文件的内容。 将证书内容保存为PEM格式。 DER 通过openssl工具进行转换。 提取私钥命令，以“privatekey.der”转换为“privatekey.pem”为例。 openssl rsa -inform DER -outform PEM -in privatekey.der -out privatekey.pem 提取证书命令，以 “cert.cer”转换为“cert.pem”为例。 openssl x509 -inform der -in cert.cer -out cert.pem 在Windows操作系统上执行openssl命令，请确保您已安装openssl工具。 “上传方式”选择“选择已有证书”时，在“证书”的下拉框中选择已经上传的证书，如图3所示。 图3 选择已有证书 单击“确定”，证书更新完成。

示例流程 图1 给用户授权服务权限流程 创建用户组并授权 在IAM控制台创建用户组，并授予 DDoS高防服务 权限“AAD FullAccess”。 创建用户并加入用户组 在IAM控制台创建用户，并将其加入1中创建的用户组。 用户登录并验证权限 新创建的用户登录控制台，验证权限： 单击页面左上方的，选择除DDoS高防服务外（假设当前策略仅包含“AAD FullAccess”）的任一服务，若提示权限不足，表示“AAD FullAccess”已生效。

操作步骤 登录管理控制台。 进入域名列表入口，如图1所示。 图1 域名列表入口 在需要修改域名业务配置的域名所在行的“操作”列，单击“编辑”。 在弹出的对话框“域名业务配置编辑”中，修改域名业务配置。 如果要与其它域名复用同一个高防IP与端口，请确保其它域名与当前域名的“源站类型”相同。 如果要将域名的“源站类型”从“源站IP”改为“源站域名”时，请确保当前域名的“WEB基础防护”处于关闭状态。 图2 修改域名业务配置 单击“确定”。

操作步骤 登录管理控制台。 进入域名列表入口，如图1所示。 图1 域名列表入口 查看域名信息。 表1 参数说明 参数名称 说明 域名 防护的域名。 CNAME 域名通过CNAME解析的CNAME信息。 单击，可以复制“CNAME”。 实例与线路 域名的CNAME接入状态。 域名的实例线路信息，单击“查看详情”，可以查看域名配置的实例线路的详细信息。 开启“CNAME自动调度”，高防IP被黑洞时将自动进行DNS调度来保证业务的可用性。 源站IP/域名 填写的源站IP/域名。 业务类型 域名的业务类型。 “HTTPS/WebSockets”证书的“更换”，单击“更换”，可以更新域名绑定的证书。详细操作，请参见更新证书。 安全防护 域名的流量攻击防护、WEB基础防护和CC防护开启状态。 对于配置了“源站IP”的“网站类”业务，用户可以为域名开启网站防护功能。 对于配置了“源站域名”的“网站类”业务，无需为域名开启网站防护功能。 对于“非网站类”业务，系统只提供默认开启的流量攻击防护。 操作 单击“编辑”，可以修改域名业务配置信息。 单击“删除”，可以删除域名。

查看转发规则信息 登录管理控制台。 进入转发规则列表入口，如图1所示。 图1 转发规则列表入口 查看转发规则信息。 表1 参数说明 参数名称 说明 转发协议/端口 转发规则的转发协议和转发端口。 状态 转发规则当前运行的状态。 转发模式 LVS（Linux Virtual Server）的转发规则模式。 源站区域 转发规则添加的源站区域。 源站IP 转发规则添加的源站IP。 如果需要修改源站IP，可以单击“编辑”，修改源站IP。 权重 转发规则的权重 操作 单击“删除”，删除转发规则。

删除转发规则 当实例不需要某个转发规则时，您可以删除该转发规则。 登录管理控制台。 进入转发规则列表入口，如图3所示。 图3 转发规则列表入口 删除转发规则。 单个删除转发规则： 在待删除的转发规则所在行的“操作”列，单击“删除”。 在弹出的对话框中，单击“确定”。 批量删除转发规则： 勾选需要删除的转发规则，单击“批量删除”。 单次最多删除50条转发规则（由页面限制， Console单页最多展示50条转发规则）。 在弹出的对话框中，单击“确定”。

查看CC攻击防护日志 登录管理控制台。 进入CC攻击防护入口，如图2所示。 图2 CC攻击防护入口 在“全部域名”下拉列表中，选择要查看的域名（可以是一个具体的域名或全部域名）。 在界面右上角，选择要查看的历史时间段（昨天、今天、近3天、近7天、近30天），相关参数说明如表2所示。 表2 CC攻击防护参数说明 参数 说明 请求次数 访问者访问指定域名的总次数。 若“全部域名”下拉列表中选择的是“全部域名”，则统计的是访问全部已开启WAF的域名的总次数。 请求峰值 每秒访问指定域名的最高次数。 若“全部域名”下拉列表中选择的是“全部域名”，则统计的是每秒访问全部已开启WAF的域名的最高次数。 攻击次数 攻击指定域名的次数。 攻击源个数 攻击指定域名的攻击源个数。 次数统计（次） 请求次数：访问次数趋势图。 攻击次数：攻击次数趋势图。 攻击类型分布 查看攻击事件类型。 单击“攻击类型分布”中的其中一个颜色区域，可查看指定域名被攻击的类型、攻击的次数、以及攻击占比。 当不需要展示某种类型的攻击时，单击事件分布图右侧攻击类型对应的颜色方块，取消在事件分布圆环中的展示。 TOP5攻击源IP(次) TOP5攻击源IP的攻击次数统计。

查看DDoS攻击防护日志 登录管理控制台。 进入DDoS攻击防护入口，如图1所示。 图1 DDoS攻击防护入口 选择待查看的实例名称、线路地址和历史时间段（24小时、近3天、近7天、近30天、自定义，其中，自定义可以查看90天内的防护日志），相关参数说明如表1所示。 表1 DDoS攻击参数说明 参数 说明 高防入流量峰值 每秒访问指定实例指定IP的最高流量。 攻击流量峰值 每秒攻击指定实例指定IP的最高流量。 DDoS攻击次数 DDoS攻击指定实例指定IP的次数。 流量 查看接收流量和攻击流量趋势图。 报文 查看接收数据包和攻击数据包趋势图。 攻击类型分布 查看攻击事件类型。 单击“攻击类型分布”中的其中一个颜色区域，可查看指定域名被攻击的类型、攻击的次数、以及攻击占比。 当不需要展示某种类型的攻击时，单击事件分布图右侧攻击类型对应的颜色方块，取消在事件分布圆环中的展示。 TOP5攻击类型流量清洗 TOP5攻击类型次数统计。 DDos攻击事件 查看DDoS攻击事件。 说明： 关于DDoS攻击事件报表中攻击源的字段，请您注意以下几点说明： 进行中的攻击事件可能不展示攻击源。 一些只包含部分攻击类型的攻击事件不含攻击源。 攻击源随机采样，不是全量的攻击源信息。 在防护日志页面的流量或报文的图表中，不同的查询时间间隔对应的展示粒度不同，具体如下： 查询时间＜20分钟：展示粒度为1分钟。 20分钟＜查询时间＜40分钟：展示粒度为2分钟。 40分钟＜查询时间＜60分钟：展示粒度为3分钟。 1小时＜查询时间≤6小时：展示粒度为5分钟。 6小时＜查询时间≤24小时：展示粒度为10分钟。 1天＜查询时间≤7天：展示粒度为30分钟。 7天＜查询时间≤15天：展示粒度为1小时。 15天＜查询时间≤30天：展示粒度为14小时。

操作步骤 登录管理控制台。 进入域名列表入口，如图1所示。 图1 域名列表入口 在域名列表左上方，单击“添加域名”。 在添加域名界面配置域名信息，如图2所示，相关参数说明如表1所示。 图2 配置网站类域名信息 表1 域名配置参数说明 参数名称 说明 示例 防护域名 用户的实际业务对外提供服务所使用的域名。 单域名：输入防护的单域名。例如：www.example.com。 泛域名 如果各子域名对应的服务器IP地址相同：输入防护的泛域名。例如：子域名a.example.com，b.example.com和c.example.com对应的服务器IP地址相同，可以直接添加泛域名*.example.com。 如果各子域名对应的服务器IP地址不相同：请将子域名按“单域名”方式逐条添加。 单域名：www.example.com 泛域名：*.example.com 源站类型 待添加防护域名的源站的类型。 源站IP：真实服务器的公网IP地址，最多可输入20个IP地址，IP地址间以“,”分隔。 源站域名 当前仅支持华为云WAF CNAME。 转发协议 DDoS高防转发客户端（例如浏览器）请求的协议类型。包括“HTTP”、“HTTPS”两种协议类型。 源站端口 DDoS高防转发客户端请求到服务器的业务端口。 “转发协议”选择“HTTP”时，可以选择如下端口（27个）：80、81、82、83、84、85、133、134、140、141、144、151、881、1135、1139、8006、8078、8080、8087、8093、8097、8182、18080、19101、19501、21028、40010。 “转发协议”选择“HTTPS”时，可以选择如下端口（19个）：443、882、1818、4006、4430、4443、5443、6443、7443、8443、9443、13080、14443、20000、28443、30001、30003、30004、30005。 须知： 如果待添加域名与其它域名使用同一个高防IP（高防线路）与协议/端口，待添加域名和其它域名的“源站类型”必须保持一致，且注意： 如果其他域名的“源站类型”为“源站IP”，请确保其它域名已开启Web攻击防护，详细操作请参考开启WEB基础防护和CC防护。 如果其他域名的“源站类型”为“源站域名”，请确保其它域名与待添加域名是在同一个WAF区域接入的WAF防护。 如果“源站类型”选择“源站域名”，请确保您的业务在接入WAF时选择了使用代理，否则接入高防后会导致业务不通。 华为云WAF接入DDoS高防后，如果后续您的业务需要拆除WAF防护，请首先把业务从DDoS高防拆除。 源站IP：XXX.XXX.1.1 转发协议：HTTP 源站端口：80 证书 “源站类型”选择“源站IP”且“转发协议”选择“HTTPS”时，需要上传证书。有关上传证书的详细操作，请参见5。 - （可选）上传证书。 “源站类型”选择“源站IP”且“转发协议”选择“HTTPS”时，您需要导入证书。 您可以在“证书”下拉列表框中选择已有证书，或上传新证书。 上传新证书的操作步骤如下。 单击“上传”，在弹出的“上传证书”对话框中，输入证书名称，粘贴证书和私钥文本内容，如图3所示，相关参数说明如表2所示。 建议证书名称长度不超过10个字符，且不包括特殊字符。 图3 上传证书 当前只支持TLS 1.0、TLS 1.1、TLS 1.2版本证书的上传。 当前仅支持PEM格式证书。 同一用户的证书名不可重复。 选取已有证书功能支持模糊搜索。 表2 证书参数说明 参数名称 说明 证书文件 证书输入格式如下： -----BEGIN CERTIFICATE-----MIIDljCCAv+gAwIBAgIJAMD2jG2tYGQ6MA0G CS qGSIb3DQEBBQUAMIGPMQswCQYDVQQGEwJDSDELMAkGA1UECBMCWkoxCzAJBgNVBAcTAkhaMQ8wDQYDVQQKEwZodWF3ZWkxDzANBgNVBAsTBmh1YXdlaTEPMA0GA1UEAxMGaHVhd2VpMQ8wDQYDVQQpEwZzZXJ2ZXIxIjAgBgkqhkiG9w0BCQEWE3p3YW5nd2VpZGtkQDE2My5jb20wHhcNMTUwMzE4MDMzNjU5WhcNMjUwMzE1MDMzNjU5WjCBjzELMAkGA1UEBhMCQ0gxCzAJBgNVBAgTAlpKMQswCQYDVQQHEwJIWjEPMA0GA1UEChMGaHVhda2VpMQ8wDQY......-----END CERTIFICATE----- 证书文件内容的复制方法： PEM格式证书：用文本编辑器直接打开进行复制。 非PEM格式证书：先转换成PEM格式，再用文本编辑器直接打开进行复制。 说明： 证书转换方法请参考如何将非PEM格式的证书转换为PEM格式？。 私钥文件 私钥输入格式如下： -----BEGIN RSA PRIVATE KEY-----MIIDljCCAv+gAwIBAgIJAMD2jG2tYGQ6MA0GCSqGSIb3DQEBBQUAMIGPMQswCQYDVQQGEwJDSDELMAkGA1UECBMCWkoxCzAJBgNVBAcTAkhaMQ8wDQYDVQQKEwZodWF3ZWkxDzANBgNVBAsTBmh1YXdlaTEPMA0GA1UEAxMGaHVhd2VpMQ8wDQYDVQQpEwZzZXJ2ZXIxIjAgBgkqhkiG9w0BCQEWE3poYW5nd2VpZGtkQDE2My5jb20wHhcNMTUwMzE4MDMzNjU5WhcNMjUwMzE1MDMzNjU5WjCBjzELMAkGA1UEBhMCQ0gxCzAJBgNVBAgTAlpKMQswCQYDVQQHEwJIWjEPMA0GA1UEChMGaHVhd2VpMQ8wDQYDVQQLEwZ-----END RSA PRIVATE KEY----- 私钥文件内容的复制方法： PEM格式证书：用文本编辑器直接打开进行复制。 非PEM格式证书：先转换成PEM格式，再用文本编辑器直接打开进行复制。 说明： 证书转换方法请参考如何将非PEM格式的证书转换为PEM格式？。 单击“确定”。 单击“下一步”，选择高防实例与线路，如图4所示。 图4 选择高防实例与线路 一个域名可以选择多条线路（高防IP），选择多个高防IP时请确保各高防IP所配置的转发规则个数以及转发规则的转发协议、转发端口和业务类型保持一致。 单击“提交并继续”，弹出如图5所示界面。 建议您单击“下一步”，跳过本步骤，后续参照步骤四：修改DNS解析完成DNS解析配置。 图5 修改DNS解析 在弹出如图6所示界面中，单击“完成”，完成防护域名配置。 域名配置完成，系统跳转至“域名接入”界面，您可以在域名列表中查看添加的防护域名。 图6 高防回源IP段 如果源站已配置防火墙或安装安全软件，请将高防回源IP地址段添加到源站的防火墙、ACL或者其他任何安全软件，即对回源IP段设置为放行，以确保高防的回源IP不受源站安全策略影响。有关放行回源IP的详细操作，请参见步骤二：放行高防回源IP段。 DDoS高防作FullNAT，会替换真实用户IP并且将客户业务的访问流量汇聚到高防回源IP。 在没有启用DDoS高防时：对于源站来说真实客户端的地址是非常分散的，且正常情况下每个源IP的请求量都不大。 在启用DDoS高防后：由于高防回源的IP段固定且有限，对于源站来说所有的请求都是来自高防回源IP段，因此分摊到每个回源IP上的请求量会增大很多（可能被误认为回源IP在对源站进行攻击）。此时，如果源站有其它防御DDoS的安全策略，很可能对回源IP进行拦截或者限速。例如，最常见的502错误。

操作步骤 登录管理控制台。 进入购买DDoS高防实例入口，如图1所示。 图1 购买DDoS高防实例入口 图1为非首次购买DDoS高防入口。当您首次购买DDoS高防时，请在页面单击“立即购买”。 在“购买DDoS防护”界面，“实例类型”选择“DDoS高防”或“DDoS高防国际版”。 设置DDoS高防实例规格，如图2和图3所示，相关参数说明分别如表1和表2所示。 图2 购买DDoS高防 图3 购买DDoS高防国际版 表1 DDoS高防规格参数说明 参数 说明 取值样例 接入类型 当前支持“网站类”和“IP接入”。 说明： 网站类：华为云通过智能算法为您选择最佳接入点，并且不再提供固定的高防IP。推荐使用“域名接入”的用户购买并使用。 IP接入：仅提供IP端口防护，提供固定的高防IP。推荐使用“四层转发规则”的用户购买并使用。 网站类 线路资源 当前支持“BGP”和“BGP Pro”。 有关线路的详细介绍，请参见线路购买指南。 BGP 保底防护带宽 保底防护带宽支持配置的范围说明如下： BGP：10G、20G BGP Pro：10G、20G、30G、60G、100G、300G、400G、500G、600G、800G、1000G 当攻击峰值小于保底防护带宽时，不会新增任何额外费用。如果需要提升防护性能，可以设置“弹性防护带宽”。 10G 弹性防护带宽 弹性防护带宽支持配置的范围说明如下： BGP：10G、20G、30G、40G、50G、60G、70G、80G、100G、150G、200G BGP Pro：10G、20G、30G、40G、50G、60G、70G、80G、100G、200G、300G、400G、500G、600G、700G、800G、1000G 攻击峰值超过保底防护带宽时产生弹性防护费用，后扣费。 攻击峰值超过弹性防护带宽时，高防IP会被拉近黑洞，无法对外提供服务。 在购买高防实例后，可以根据业务实际情况，修改弹性防护带宽。 说明： 弹性防护带宽不能小于保底防护带宽。如果用户选择的弹性防护带宽等于保底防护带宽，则弹性防护功能不生效。 弹性防护带宽支持范围具体请参考线路购买指南。 10G 防护域名数 （仅接入规则选择为：“网站类”时可选择）默认提供50个，可以付费增加，最多可支持200个。 50 转发规则数 （仅接入规则选择为：“IP接入”时可选择）默认提供50个，可以付费增加，最多可支持200个。 50 业务带宽 高防实例的回源业务带宽，从高防实例转发回源站的干净流量带宽。业务带宽支持配置的范围为100Mbps～2000Mbps。 请您统计将要接入华为云DDoS高防实例的所有业务日常入方向和出方向总流量的峰值，您选择的最大业务带宽应大于这些业务的网络入、出方向总流量峰值中较大的值。 注意： 如果您购买的实例业务带宽低于上述中的峰值流量大小，可能会丢包或者影响业务，在这种情况下请及时升级业务带宽。升级规格请参见升级防护带宽和业务带宽。 假如，您有两个业务（业务A和业务B）需要接入DDoS高防服务，业务A正常业务流量峰值均不超过50 Mbps，业务B正常业务流量峰值均不超过70 Mbps，业务流量总和不超过120Mbps。在这种情况下，您只需要确保购买的实例的最大业务带宽大于120Mbps即可保证业务的正常运行。 100M 表2 DDoS高防国际版规格参数说明 参数 说明 线路资源 海外BGP：适用于亚太地区。 IP个数 多个：为用户的每个业务系统单独提供高防IP，上限为所选规格内包含的防护域名与防护端口的总和。 业务类型 网站类：适用于网站业务。 通用类：适用于网站及TCP业务。 保底防护带宽 若业务类型为网站类： 50Gbit/s：提供最高50Gbit/s防护。 无限防：提供无上限全力防护。 若业务类型为通用类： 50Gbit/s：提供最高50Gbit/s防护。 无限防：提供无上限全力防护。 端口数 “业务类型”为“网站类” “保底防护带宽”为“50Gbit/s”：0个 “保底防护带宽”为“无限防”：0个 “业务类型”为“通用类” “保底防护带宽”为“50Gbit/s”：10个 “保底防护带宽”为“无限防”：2个 防护域名数 “业务类型”为“网站类” “保底防护带宽”为“50Gbit/s”：5个 “保底防护带宽”为“无限防”：10个 “业务类型”为“通用类” “保底防护带宽”为“50Gbit/s”：2个 “保底防护带宽”为“无限防”：5个 业务带宽 业务带宽指高防机房将清洗后的干净流量，转发给源站所占用的带宽。 业务带宽支持范围：10Mbit/s～500Mbit/s。 高防机房在华为云外，建议购买的高防业务带宽规格大于或等于源站出口带宽。 选择“购买时长”和“购买数量”，如图4所示，相关参数说明如表3所示。 图4 选择购买时长和购买数量 表3 购买参数说明 参数 说明 取值样例 实例名称 高防实例名称。 名称长度小于等于32个字符。 名称只能由中文字符、大小写英文字母、数字、下划线和中划线组成。 CAD-0001 企业项目 企业项目针对企业用户使用，只有开通了企业项目的客户，或者权限为企业主帐号的客户才可见。如需使用该功能，请开通企业管理功能。企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。 说明： “default”为默认企业项目，帐号下原有资源和未选择企业项目的资源均在默认企业项目内。 只有注册的华为云帐号购买WAF时，“企业项目”下拉列表中才可以选择到“default”。 - 购买时长 可以选择1个月～1年的时长。 1 购买数量 选择购买的实例个数，每个用户默认最多可以购买5个实例。 1 “自动续费”为可选项。勾选“自动续费”后，系统将在产品到期前自动续费。 单击“立即购买”。 在“订单详情”页面，如果您确认订单无误，单击“去支付”。 在“购买DDoS高防”的支付界面，单击“确认付款”，完成订单支付。 系统跳转至DDoS高防实例列表界面。

操作步骤 登录管理控制台。 进入防护策略列表入口，如图1所示。 图1 防护策略列表入口 在“实例”下拉列表框中，选择需要配置流量封禁的实例。 选择“流量封禁”页签，查看该实例的“海外流量封禁/UDP流量封禁”状态，如图2所示。 图2 流量封禁 表1 参数说明 参数名称 说明 线路 高防实例的线路和IP信息。 海外流量封禁 默认“未封禁”。 ：开启“海外流量封禁”的线路。未触发攻击清洗情况下，海外流量仍然可以访问，触发攻击清洗的情况下，所有海外访问流量都会被清洗掉。 ：关闭“海外流量封禁”。 UDP流量封禁 默认“未封禁”。 ：开启“UDP流量封禁”的线路，可以阻止UDP流量的访问。 ：关闭“UDP流量封禁”。

操作步骤 登录管理控制台。 进入告警通知页面，如图1所示。 图1 告警通知页面 在弹出的“告警通知设置”对话框中，开启告警通知，即将告警通知开关设置为。 图2 “告警通知设置”对话框 在“通知主题”下拉列表选择已创建的主题或者单击“管理 消息通知 服务主题”创建新的主题，用于配置接收告警通知的终端。 单击“管理消息通知服务主题”创建新主题的操作步骤如下： 参见创建主题创建一个主题。 参见添加订阅配置接收告警通知的手机号码、邮件地址等终端，即为创建的主题添加一个或多个订阅。 更多关于主题和订阅的信息，请参见《消息通知服务用户指南》。 单击“应用”，告警通知设置完成。

操作步骤 登录管理控制台。 进入域名列表入口，如图1所示。 图1 域名列表入口 在域名所在行的“实例与线路”列，单击“查看详情”。 修改域名的高防IP解析线路，操作步骤如下： 关闭域名的高防IP解析线路。 在高防IP界面，选择实例和线路后，将“域名解析”变更为，关闭该高防实例和线路下高防IP的域名解析功能。域名解析功能关闭后，用户仍然可以使用该高防IP的A记录方式。 新增域名的高防解析线路。 在高防IP界面，单击“新增线路”。 在“新增线路”对话框中，勾选新增的实例和线路，单击“确定”。 将“域名解析”变更为，开启新增的高防实例和线路下高防IP的域名解析功能。 删除域名的高防解析线路。 关闭待删除的高防IP的域名解析功能，详细步骤请参见关闭域名解析。 选择实例和线路，单击“删除线路”。 单击“确定”。

操作步骤 登录管理控制台。 进入防护策略列表入口，如图1所示。 图1 防护策略列表入口 在“实例”下拉列表框中，选择需要配置黑名单或白名单的实例。 配置黑白名单。 配置黑名单IP 选择“黑名单IP”页签，单击“添加”。 在弹出的对话框中，输入需要进行拦截的IP或IP/掩码，如图2所示。 图2 添加黑名单IP 每个实例可添加100个黑名单IP，黑名单中的IP会被拦截。 单击“确定”。 在“黑名单IP”界面，单击操作列的“删除”或选择要删除的黑名单执行“批量删除”，被删除的黑名单IP，设备将不再拦截其访问流量。 配置白名单 选择“白名单IP”页签，单击“添加”。 在弹出的对话框中，输入需要被放行的IP或IP/掩码，如图3所示。 图3 添加白名单IP 每个实例可添加100个白名单IP，白名单中的IP会被放行。 单击“确定”。 在“白名单IP”界面，单击操作列的“删除”或选择要删除的白名单执行“批量删除”，被删除的白名单IP，设备将不再直接放行其访问流量。

操作步骤 登录管理控制台。 进入转发规则列表入口，如图1所示。 图1 转发规则列表入口 在“转发配置”界面，添加转发规则。 在界面右上角的搜索框，可以通过输入转发协议或端口，搜索对应规则。 单个添加转发规则 单击“转发配置”界面的“添加”。 在“添加转发规则”对话框中，填写转发规则信息，如图2所示，参数填写请参考表1。 图2 添加转发规则 表1 添加转发规则 参数名称 说明 转发协议 该参数表示用户的实际业务对外提供服务所使用的协议类型，包含： tcp：是一种面向连接的、可靠的、基于字节流的传输层通信协议。 udp：是一种无连接的传输层协议，提供面向事务的简单不可靠信息传送服务。 转发端口 该参数表示用户的实际业务对外提供服务时用于引流的端口，取值范围1～65535。 同一高防线路内，网站类业务和非网站类业务不能复用同一个端口号。 源站端口 该参数表示用户的实际业务对外提供服务所使用的端口，取值范围1～65535。 源站IP 该参数表示用户实际业务对外提供服务所使用的公网IP。 配置转发规则后，用户需要根据实际的接入方式修改域名，修改完成后高防IP会自动将流量转发到源站IP。 最多可输入20个IP地址，IP地址间以“,”分隔。 请填写真实有效的公网IP地址。 请将“转发端口”和“源站端口”配置为非高危端口，以免转发规则配置失败。有关高危端口的详细介绍，请参见配置转发规则时为什么某些端口配置失败？。 单击“确定”。 批量添加转发规则 单击“转发配置”界面的“批量添加”。 在“批量添加转发规则”对话框中，单击选择文件，单击“导入”。 图3 批量添加转发规则 导入文件仅支持.txt文件。 文件中内容从左至右依次是转发协议、转发端口、源站端口、源站IP，中间由空格分隔。多个源站IP使用英文逗号分隔。 一行只能填写一条转发规则。各个字段的填写规范请参照表1。 文件中添加的转发规则条目数不允许超过当前配额限制。在配额限制内，单次最大导入条目为200条。

关于弹性防护带宽 弹性防护带宽可设置为大于或等于保底带宽。 如果弹性防护带宽等于保底带宽，意味着当前最高防护带宽就是保底带宽值，这样不会产生后付费；如果弹性带宽设置为大于保底带宽，则当前最高防护带宽值为弹性带宽值。遇到大于保底带宽，但小于弹性防护带宽的攻击时，DDoS高防服务能够进行有效防护，但是会产生后付费，后付费收费详情请参见产品价格详情。 用户可以在第一次购买DDoS高防的页面选择弹性带宽值，如图1所示。 图1 选择防护弹性带宽 用户可在控制台上根据自身流量情况进行自行调整，单击“编辑”，如图2所示。调整各线路弹性带宽，调整前请仔细了解后付费，后付费收费详情请参见产品价格详情。 图2 修改防护弹性带宽

使用须知 以上两条种高防线路仅适用于业务服务器在中国大陆地域内的DDoS高防防护场景。如果您需要防护的业务服务器在中国大陆以外的地域，请访问国际站。 请确认购买线路的帐号同时具有“CAD Administrator”和“BSS Administrator”角色，或者该帐号具有“Tenant Administrator”角色。 BSS Administrator：费用中心、资源中心、帐号中心的所有执行权限。项目级角色，在同项目中勾选。 Tenant Administrator：除 统一身份认证 服务外，其他所有服务的所有执行权限。

各线路规格和购买场景推荐 表1 各线路区别说明 线路名称 保底防护带宽 弹性防护带宽 购买场景推荐 BGP 10G、20G BGP最高200G（最高清洗能力根据网络流量实时动态调整，有时会低于200G）。 可同时满足电信、联通和其它运营商（如移动、教育网、铁通、长城宽带等）线路访问业务和200G以内大流量攻击防护需求（保底带宽最高20G，弹性防护带宽最高200G）。 BGP Pro 10G、20G、30G、60G、100G、300G、600G BGP Pro最高600G（最高清洗能力根据网络流量实时动态调整，有时会低于600G）。 动态BGP线路，防御容量大，适合对于网络延迟、抖动要求比较苛刻的业务。

操作步骤 登录管理控制台。 单击管理控制台左上角的，选择区域或项目。 进入防护策略页面，如图1所示。 图1 防护策略页面 在目标防护策略所在行的“操作”列中，单击“配置策略”。 在“水印防护”配置框中，单击“自定义防护”。 图2 水印防护配置框 在弹出的“水印防护设置”页面中，单击“新建水印”。 在“新建水印”对话框中，设置水印参数。 图3 新建水印 表1 水印参数说明 参数 说明 水印名称 输入水印名称。 协议 当前仅支持UDP协议。 关键字 输入关键字，最多可输入两个关键字。 端口范围 支持的端口范围为1~65535。 单击“确定”，水印添加成功。 如您需要详细的水印配置指导，请参考水印防护配置指导章节。

计算报文的水印值示例代码 计算水印信息结构如图1所示。 图1 计算水印信息结构图 水印数据结构定义如下代码所示 typedef struct { unsigned int userId; /* 用户标识ID */ unsigned int payload; /* 业务载荷 */ unsigned short destPort; /* 业务目的端口 */ unsigned short rsv; /* 保留字段，2字节填充 */ unsigned int destIp; /* 业务目的IP */ unsigned int key; /* 水印关键字 */} UdpWatermarkInfo; 字节序需要使用网络序。 业务载荷不满4字节的，使用0进行填充。 计算CRC哈希值可以使用CPU硬件加速接口进行替换，以提升处理性能。 unsigned int UdpFloodWatermarkHashGet(unsigned int userId, unsigned int payload, unsigned short destPort, unsigned int destIp, unsigned int key){ UdpWatermarkInfo stWaterInfo; stWaterInfo.destIp = destIp; stWaterInfo.destPort = destPort; stWaterInfo.userId = userId; stWaterInfo.payload = payload; stWaterInfo.key = key; stWaterInfo.rsv = 0; return CRC32Hash(0, (UCHAR *)&stWaterInfo, sizeof(stWaterInfo));}

日志字段说明 本章节介绍了DDoS高防日志包含的日志字段。 表2 全量日志字段说明 字段 说明 示例 ip 被攻击IP 1.1.1.1 ip_id 被攻击IP的id 0a726edf--fa163eaa216e(-脱敏处理) attack_type 攻击的类型 UDP Fragment Flood,Blacklist attack_protocol 该字段尚未使用，默认都是0 0 attack_start_time 攻击开始时间，毫秒级时间戳 1662629582000 attack_status 攻击状态，0-攻击结束，2-攻击中 2 drop_kbits 分钟级别的最大攻击流量，单位bit 3029824 attack_pkts 分钟级别的最大攻击报文数 4046912 duration_elapse 已结束安全事件的持续时间，单位秒 5 end_time 攻击结束时间，毫秒级时间戳。未结束的安全事件，该字段为0 1662629587000 max_drop_kbps 攻击流量的峰值，单位kbps 39627 max_drop_pps 攻击报文的峰值，单位pps 68412