华为云用户手册

DDoS防护 AAD-开启CNAD告警通知:操作步骤

操作步骤登录管理控制台。进入告警通知页面，如图1所示。图1 告警通知页面在弹出的“告警通知设置”对话框中，开启告警通知，即将告警通知开关设置为。图2 “告警通知设置”对话框在“通知主题”下拉列表选择已创建的主题或者单击“管理消息通知服务主题”创建新的主题，用于配置接收告警通知的终端。单击“管理消息通知服务主题”创建新主题的操作步骤如下：参见创建主题创建一个主题。参见添加订阅配置接收告警通知的手机号码、邮件地址等终端，即为创建的主题添加一个或多个订阅。更多关于主题和订阅的信息，请参见《消息通知服务用户指南》。单击“应用”，告警通知设置完成。

DDoS防护 AAD
DDoS防护 AAD-配置黑白名单:操作步骤

操作步骤登录管理控制台。进入防护策略列表入口，如图1所示。图1 防护策略列表入口在“实例”下拉列表框中，选择需要配置黑名单或白名单的实例。配置黑白名单。配置黑名单IP 选择“黑名单IP”页签，单击“添加”。在弹出的对话框中，输入需要进行拦截的IP或IP/掩码，如图2所示。图2 添加黑名单IP 每个实例可添加100个黑名单IP，黑名单中的IP会被拦截。单击“确定”。在“黑名单IP”界面，单击操作列的“删除”或选择要删除的黑名单执行“批量删除”，被删除的黑名单IP，设备将不再拦截其访问流量。配置白名单选择“白名单IP”页签，单击“添加”。在弹出的对话框中，输入需要被放行的IP或IP/掩码，如图3所示。图3 添加白名单IP 每个实例可添加100个白名单IP，白名单中的IP会被放行。单击“确定”。在“白名单IP”界面，单击操作列的“删除”或选择要删除的白名单执行“批量删除”，被删除的白名单IP，设备将不再直接放行其访问流量。

DDoS防护 AAD
DDoS防护 AAD-修改域名的高防IP解析线路:操作步骤

操作步骤登录管理控制台。进入域名列表入口，如图1所示。图1 域名列表入口在域名所在行的“实例与线路”列，单击“查看详情”。修改域名的高防IP解析线路，操作步骤如下：关闭域名的高防IP解析线路。在高防IP界面，选择实例和线路后，将“域名解析”变更为，关闭该高防实例和线路下高防IP的域名解析功能。域名解析功能关闭后，用户仍然可以使用该高防IP的A记录方式。新增域名的高防解析线路。在高防IP界面，单击“新增线路”。在“新增线路”对话框中，勾选新增的实例和线路，单击“确定”。将“域名解析”变更为，开启新增的高防实例和线路下高防IP的域名解析功能。删除域名的高防解析线路。关闭待删除的高防IP的域名解析功能，详细步骤请参见关闭域名解析。选择实例和线路，单击“删除线路”。单击“确定”。

DDoS防护 AAD
DDoS防护 AAD-非域名类业务接入DDoS高防:操作步骤

操作步骤登录管理控制台。进入转发规则列表入口，如图1所示。图1 转发规则列表入口在“转发配置”界面，添加转发规则。在界面右上角的搜索框，可以通过输入转发协议或端口，搜索对应规则。单个添加转发规则单击“转发配置”界面的“添加”。在“添加转发规则”对话框中，填写转发规则信息，如图2所示，参数填写请参考表1。图2 添加转发规则表1 添加转发规则参数名称说明转发协议该参数表示用户的实际业务对外提供服务所使用的协议类型，包含： tcp：是一种面向连接的、可靠的、基于字节流的传输层通信协议。 udp：是一种无连接的传输层协议，提供面向事务的简单不可靠信息传送服务。转发端口该参数表示用户的实际业务对外提供服务时用于引流的端口，取值范围1～65535。同一高防线路内，网站类业务和非网站类业务不能复用同一个端口号。源站端口该参数表示用户的实际业务对外提供服务所使用的端口，取值范围1～65535。源站IP 该参数表示用户实际业务对外提供服务所使用的公网IP。配置转发规则后，用户需要根据实际的接入方式修改域名，修改完成后高防IP会自动将流量转发到源站IP。最多可输入20个IP地址，IP地址间以“,”分隔。请填写真实有效的公网IP地址。请将“转发端口”和“源站端口”配置为非高危端口，以免转发规则配置失败。有关高危端口的详细介绍，请参见配置转发规则时为什么某些端口配置失败？。单击“确定”。批量添加转发规则单击“转发配置”界面的“批量添加”。在“批量添加转发规则”对话框中，单击选择文件，单击“导入”。图3 批量添加转发规则导入文件仅支持.txt文件。文件中内容从左至右依次是转发协议、转发端口、源站端口、源站IP，中间由空格分隔。多个源站IP使用英文逗号分隔。一行只能填写一条转发规则。各个字段的填写规范请参照表1。文件中添加的转发规则条目数不允许超过当前配额限制。在配额限制内，单次最大导入条目为200条。

DDoS防护 AAD
DDoS防护 AAD-线路购买指南:使用须知

使用须知以上两条种高防线路仅适用于业务服务器在中国大陆地域内的DDoS高防防护场景。如果您需要防护的业务服务器在中国大陆以外的地域，请访问国际站。请确认购买线路的帐号同时具有“CAD Administrator”和“BSS Administrator”角色，或者该帐号具有“Tenant Administrator”角色。 BSS Administrator：费用中心、资源中心、帐号中心的所有执行权限。项目级角色，在同项目中勾选。 Tenant Administrator：除统一身份认证服务外，其他所有服务的所有执行权限。

DDoS防护 AAD
DDoS防护 AAD-线路购买指南:关于弹性防护带宽

关于弹性防护带宽弹性防护带宽可设置为大于或等于保底带宽。如果弹性防护带宽等于保底带宽，意味着当前最高防护带宽就是保底带宽值，这样不会产生后付费；如果弹性带宽设置为大于保底带宽，则当前最高防护带宽值为弹性带宽值。遇到大于保底带宽，但小于弹性防护带宽的攻击时， DDoS高防服务能够进行有效防护，但是会产生后付费，后付费收费详情请参见产品价格详情。用户可以在第一次购买DDoS高防的页面选择弹性带宽值，如图1所示。图1 选择防护弹性带宽用户可在控制台上根据自身流量情况进行自行调整，单击“编辑”，如图2所示。调整各线路弹性带宽，调整前请仔细了解后付费，后付费收费详情请参见产品价格详情。图2 修改防护弹性带宽

DDoS防护 AAD
DDoS防护 AAD-线路购买指南:各线路规格和购买场景推荐

各线路规格和购买场景推荐表1 各线路区别说明线路名称保底防护带宽弹性防护带宽购买场景推荐 BGP 10G、20G BGP最高200G（最高清洗能力根据网络流量实时动态调整，有时会低于200G）。可同时满足电信、联通和其它运营商（如移动、教育网、铁通、长城宽带等）线路访问业务和200G以内大流量攻击防护需求（保底带宽最高20G，弹性防护带宽最高200G）。 BGP Pro 10G、20G、30G、60G、100G、300G、600G BGP Pro最高600G（最高清洗能力根据网络流量实时动态调整，有时会低于600G）。动态BGP线路，防御容量大，适合对于网络延迟、抖动要求比较苛刻的业务。

DDoS防护 AAD
DDoS防护 AAD-配置水印防护:操作步骤

操作步骤登录管理控制台。单击管理控制台左上角的，选择区域或项目。进入防护策略页面，如图1所示。图1 防护策略页面在目标防护策略所在行的“操作”列中，单击“配置策略”。在“水印防护”配置框中，单击“自定义防护”。图2 水印防护配置框在弹出的“水印防护设置”页面中，单击“新建水印”。在“新建水印”对话框中，设置水印参数。图3 新建水印表1 水印参数说明参数说明水印名称输入水印名称。协议当前仅支持UDP协议。关键字输入关键字，最多可输入两个关键字。端口范围支持的端口范围为1~65535。单击“确定”，水印添加成功。如您需要详细的水印配置指导，请参考水印防护配置指导章节。

DDoS防护 AAD
DDoS防护 AAD-开发示例:计算报文的水印值示例代码

计算报文的水印值示例代码计算水印信息结构如图1所示。图1 计算水印信息结构图水印数据结构定义如下代码所示 typedef struct { unsigned int userId; /* 用户标识ID */ unsigned int payload; /* 业务载荷 */ unsigned short destPort; /* 业务目的端口 */ unsigned short rsv; /* 保留字段，2字节填充 */ unsigned int destIp; /* 业务目的IP */ unsigned int key; /* 水印关键字 */} UdpWatermarkInfo; 字节序需要使用网络序。业务载荷不满4字节的，使用0进行填充。计算CRC哈希值可以使用CPU硬件加速接口进行替换，以提升处理性能。 unsigned int UdpFloodWatermarkHashGet(unsigned int userId, unsigned int payload, unsigned short destPort, unsigned int destIp, unsigned int key){ UdpWatermarkInfo stWaterInfo; stWaterInfo.destIp = destIp; stWaterInfo.destPort = destPort; stWaterInfo.userId = userId; stWaterInfo.payload = payload; stWaterInfo.key = key; stWaterInfo.rsv = 0; return CRC32Hash(0, (UCHAR *)&stWaterInfo, sizeof(stWaterInfo));}

DDoS防护 AAD
DDoS防护 AAD-配置DDoS高防日志:日志字段说明

日志字段说明本章节介绍了DDoS高防日志包含的日志字段。表2 全量日志字段说明字段说明示例 ip 被攻击IP 1.1.1.1 ip_id 被攻击IP的id 0a726edf--fa163eaa216e(-脱敏处理) attack_type 攻击的类型 UDP Fragment Flood,Blacklist attack_protocol 该字段尚未使用，默认都是0 0 attack_start_time 攻击开始时间，毫秒级时间戳 1662629582000 attack_status 攻击状态，0-攻击结束，2-攻击中 2 drop_kbits 分钟级别的最大攻击流量，单位bit 3029824 attack_pkts 分钟级别的最大攻击报文数 4046912 duration_elapse 已结束安全事件的持续时间，单位秒 5 end_time 攻击结束时间，毫秒级时间戳。未结束的安全事件，该字段为0 1662629587000 max_drop_kbps 攻击流量的峰值，单位kbps 39627 max_drop_pps 攻击报文的峰值，单位pps 68412

DDoS防护 AAD
DDoS防护 AAD-设置Anti-DDoS默认防护策略:关闭手动设置的默认防护策略

关闭手动设置的默认防护策略若新购买的公网IP不需要按照手动设置的默认防护策略开启防护，您可以关闭手动设置的默认防护策略。关闭后，新购买的弹性公网IP，自动开启Anti-DDoS的“默认防护”模式的DDoS攻击防护。选择“公网IP”页签，单击“设置默认防护策略”。在弹出的设置默认防护策略窗口中，勾选“默认防护”，关闭手动设置的默认防护策略，如图3所示。当“防护设置”勾选为“默认防护”时，“流量清洗阈值”默认为“120Mbps”。图3 关闭手动设置的默认防护策略单击“确定”，关闭手动设置的默认防护策略。关闭手动设置的默认防护策略后，新购买的公网IP按照“默认防护”开启DDoS攻击防护。

DDoS防护 AAD
DDoS防护 AAD-基本原理

基本原理通常UDP Flood的防御方式有两种，一种是动态指纹学习，一种是UDP限流，前者可能会将正常的业务载荷学习成攻击指纹，容易造成误杀，后者会将正常流量和攻击流量一起进行阻断，影响您的正常业务使用。图1 设备防护原理图如图2所示，华为云解决方案通过在UDP报文中增加水印头部信息，用以标识正常的业务报文，线下AntiDDoS设备在接收到UDP报文后，通过检查UDP水印的正确性，可以高效准确放行正常的业务报文，阻断攻击报文。图2 水印解决方案客户端和AntiDDoS设备需要使用相同的信息结构和计算规则，其中计算规则是指计算水印值的哈希因子和哈希算法，在本方案中，哈希因子使用了目的IP、目的端口、用户标识和水印关键字，哈希算法使用CRC32。父主题：水印防护配置指导

DDoS防护 AAD
DDoS防护 AAD-CNAD使用概览

CNAD使用概览开通CNAD服务后，将华为云公网IP资源绑定到CNAD实例后，CNAD提供的安全能力就可以直接加载到云服务。 CNAD的使用概览如表1所示。表1 CNAD使用概览子流程说明购买CNAD实例详细操作请参见购买DDoS原生高级防护实例。添加防护对象将华为云上的公网IP资源添加为防护对象，才能为公网IP资源开启DDoS原生高级防护。详细操作请参见添加防护对象。创建防护策略创建防护策略。详细操作请参见创建防护策略。配置防护策略 DDoS原生高级防护提供了丰富全面的防护规则，您可以根据业务需求配置相应的防护策略。详细操作请参见配置防护策略。配置阶梯调度策略开启联动防护后，可自动联动调度DDoS高防对DDoS原生防护-全力防基础版防护的云资源进行防护。详细操作请参见配置DDoS阶梯调度策略。开启告警通知开启告警通知后，当IP遭受DDoS攻击时，您可以第一时间接收告警通知。详细操作请参见开启CNAD告警通知。查看数据防护可查看到昨天、今天、3天范围内的访问与攻击统计次数等信息。详细操作请参见查看/下载CNAD防护数据报表。父主题： DDoS原生高级防护操作指南

DDoS防护 AAD
DDoS防护 AAD-购买DDoS原生高级防护实例:约束限制

约束限制请确认购买实例的帐号同时具有“CNAD FullAccess”和“BSS Administrator”角色，或者该帐号具有“Tenant Administrator”角色。当前支持购买DDoS原生高级防护实例的区域说明如下（实际以控制台显示为准）： DDoS原生防护-全力防基础版华北-北京四华东-上海一华南-广州西南-贵阳一 DDoS原生防护-全力防高级版华北-北京二华北-北京四华东-上海一华南-广州 DDoS原生防护-标准版华北-北京四华东-上海一华南-广州 DDoS原生高级防护只能防护购买区域的云资源，不能跨区域防护。例如，购买的DDoS原生防护-全力防基础版实例时，如果“资源所在地”选择为“华北-北京四”，则DDoS原生防护-全力防基础版只能防护“华北-北京四”区域的云资源。

DDoS防护 AAD
DDoS防护 AAD-配置IP黑白名单:操作步骤

操作步骤登录管理控制台。进入防护策略页面，如图1所示。图1 防护策略页面在目标防护策略所在行的“操作”列中，单击“配置策略”。在“IP黑白名单”配置框中，单击“自定义防护”，如图2所示。图2 IP黑白名单配置框在弹出的“IP黑白名单设置”页面中，选择“黑名单”或“白名单”页签后，单击“添加”。在弹出的对话框中，输入黑名单IP/IP段（需要拦截的IP）或白名单IP/IP段（需要放行的IP）后，单击“确定”，如图3和图4所示。图3 添加黑名单IP 图4 添加白名单IP

DDoS防护 AAD
DDoS防护 AAD-配置协议封禁:操作步骤

操作步骤登录管理控制台。进入防护策略页面，如图1所示。图1 防护策略页面在目标防护策略所在行的“操作”列中，单击“配置策略”。在“协议封禁”配置框中，单击“设置”，如图2所示。图2 协议封禁配置框在弹出的“协议封禁设置”对话框中，选择开启或关闭封禁的协议，单击“确定”。图3 设置协议封禁：开启封禁，可以阻止UDP/TCP/ICMP协议流量访问。：关闭封禁，允许UDP/TCP/ICMP协议流量访问。

DDoS防护 AAD
DDoS防护 AAD-查看防护对象信息:操作步骤

操作步骤登录管理控制台。进入防护对象页面，如图1所示。图1 防护对象页面查看防护对象信息，相关参数说明如表1所示。表1 防护对象相关参数说明参数说明防护IP CNAD防护的IP资源。标签防护IP设置的标签信息。状态防护IP的防护状态。防护策略防护IP所配置的防护策略。所属区域防护IP所在的区域。所属实例防护IP所在的实例。操作单击“查看报表”，跳转到数据报表页面，查看防护数据信息。防护IP未配置防护策略时，单击设置策略，可以为防护IP选择防护策略。

DDoS防护 AAD
DDoS防护 AAD-DDoS原生高级防护监控指标说明:监控指标

监控指标表1 DDoS原生高级防护服务支持的监控指标指标ID 指标名称指标含义取值范围测量对象监控周期（原始指标） ip_drop_rate 丢弃流量该指标为DDoSIP丢弃流量带宽 ≥0kb/s DDoS原生高级防护 60秒 instance_drop_rate 丢弃流量该指标为DDoS实例丢弃流量带宽 ≥0kb/s DDoS原生高级防护 60秒 ip_back_to_source_rate 回源带宽该指标为DDoSIP回源流量带宽 ≥0kb/s DDoS原生高级防护 60秒 instance_back_to_source_rate 回源带宽该指标为DDoS实例回源流量带宽 ≥0kb/s DDoS原生高级防护 60秒 ip_internet_in_rate 入流量该指标为DDoSIP入流量带宽 ≥0kb/s DDoS原生高级防护 60秒 instance_internet_in_rate 入流量该指标为DDoS实例入流量带宽 ≥0kb/s DDoS原生高级防护 60秒 ip_new_connection 新建连接该指标为DDoSIP新建连接数 ≥0count/s DDoS原生高级防护 60秒 instance_new_connection 新建连接该指标为DDoS实例新建连接数 ≥0count/s DDoS原生高级防护 60秒 ip_concurrent_connection 并发连接该指标为DDoSIP并发连接数 ≥0count/s DDoS原生高级防护 60秒 instance_concurrent_connection 并发连接该指标为DDoS实例并发连接数 ≥0count/s DDoS原生高级防护 60秒

DDoS防护 AAD
DDoS防护 AAD-DDoS高防监控指标说明:监控指标

监控指标表1 DDoS高防服务支持的监控指标指标ID 指标名称指标含义取值范围测量对象监控周期（原始指标） ip_drop_rate 丢弃流量该指标为高防IP丢弃流量宽带 ≥0kb/s DDoS高防 1分钟 instance_drop_rate 丢弃流量该指标为高防实例丢弃流量宽带 ≥0kb/s DDoS高防 1分钟 ip_back_to_source_rate 回源带宽该指标为高防IP回源流量带宽 ≥0kb/s DDoS高防 1分钟 instance_back_to_source_rate 回源带宽该指标为高防实例回源流量带宽 ≥0kb/s DDoS高防 1分钟 ip_internet_in_rate 入流量该指标为高防IP入流量带宽 ≥0kb/s DDoS高防 1分钟 instance_internet_in_rate 入流量该指标为高防实例入流量带宽 ≥0kb/s DDoS高防 1分钟 ip_new_connection 新建连接该指标为高防IP新建连接数 ≥0count/s DDoS高防 1分钟 instance_new_connection 新建连接该指标为高防实例新建连接数 ≥0count/s DDoS高防 1分钟

DDoS防护 AAD
DDoS防护 AAD-云审计服务支持的DDoS防护操作列表

云审计服务支持的DDoS防护操作列表云审计服务（Cloud Trace Service， CTS ）记录了DDoS防护相关的操作事件，方便用户日后的查询、审计和回溯，具体请参见云审计服务用户指南。云审计服务支持的DDoS防护操作列表如表1所示。表1 云审计支持的DDoS防护操作列表操作名称资源类型事件名称更新告警通知配置 alarmConfig updateAlarmConfig 删除告警通知配置 alarmConfig deleteAlarmConfig 创建防护包 package createPackage 更新防护包 package updatePackage 绑定IP到防护包 package bindIpToPackage 从防护包上解绑IP package unbindIpToPackage 删除防护包 package DeletePackage 创建策略 policy createPolicy 更新策略 policy updatePolicy 绑定IP到策略 policy bindIpToPolicy 从策略中解绑IP policy unbindIpToPolicy 添加黑白名单 policy addblackWhiteIpList 删除黑白名单 policy deleteblackWhiteIpList 删除策略 policy deletePolicy 配置全量日志的日志组和日志流 cnad updateLogConfig 关闭全量日志的日志组和日志流 cnad deleteLogConfig 给防护IP打标签 cnad updateTagForIp 父主题：云审计服务支持的相关操作

DDoS防护 AAD
DDoS防护 AAD-配置连接防护:操作步骤

操作步骤登录管理控制台。单击管理控制台左上角的，选择区域或项目。进入防护策略页面，如图1所示。图1 防护策略页面在目标防护策略所在行的“操作”列中，单击“配置策略”。在“连接防护”配置框中，单击“设置”。图2 连接防护配置框开启“TCP连接耗尽攻击防御”，在弹出的对话框中，设置连接防护参数。图3 连接防护设置表1 连接防护设置参数说明参数说明目的IP地址并发连接数检查当目的IP地址的TCP并发连接数大于“连接数阈值”时，启动针对TCP连接耗尽攻击的防御。防御启动后，开始对源IP地址进行检查。设置范围：1-80000000。目的IP地址新建连接速率检查当目的IP地址每秒新增加的TCP连接数大于“连接速率阈值”时，启动针对TCP连接耗尽攻击的防御。防御启动后，开始对源IP地址进行检查。设置范围：1-10000000。源IP地址新建连接速率检查源IP地址新建连接速率检查：当针对TCP连接耗尽攻击的防御启动后，如果某个源IP地址在“检查周期”内发起的TCP连接数大于“连接数阈值”，则将该源IP地址作为攻击源上报ATIC管理中心。设置范围范围：连接数，1-80000000；时间周期，1-60（s）。源IP地址连接数检查当针对TCP连接耗尽攻击的防御启动后，如果某个源IP地址的TCP并发连接数大于“连接数阈值”值，则将该源IP地址作为攻击源上报ATIC管理中心。设置范围：1-80000000。单击“确定”。

DDoS防护 AAD
DDoS防护 AAD-Anti-DDoS自定义策略:Anti-DDoS自定义策略样例

Anti-DDoS自定义策略样例示例1：授权用户查询Anti-DDoS默认防护策略 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "anti-ddos:defaultDefensePolicy:get" ] } ]}

DDoS防护 AAD
DDoS防护 AAD-AAD权限及授权项:支持的授权项

支持的授权项策略包含系统策略和自定义策略，如果系统策略不满足授权要求，管理员可以创建自定义策略，并通过给用户组授予自定义策略来进行精细的访问控制。权限：允许或拒绝某项操作。授权项：自定义策略中支持的Action，在自定义策略中的Action中写入授权项，可以实现授权项对应的权限功能。权限授权项查询实例详情 aad:instance:get 查询实例列表 aad:instance:list 创建实例 aad:instance:create 修改实例 aad:instance:put 查询证书列表 aad:certificate:list 上传证书 aad:certificate:create 删除证书 aad:certificate:delete 获取域名详情 aad:domain:get 获取域名列表 aad:domain:list 添加域名 aad:domain:create 编辑域名 aad:domain:put 删除域名 aad:domain:delete 查询防护策略 aad:policy:get 查询开启防护策略的域名列表 aad:policy:list 创建防护策略 aad:policy:create 更新防护策略 aad:policy:put 删除防护策略 aad:policy:delete 创建黑白名单规则 aad:whiteBlackIpRule:create 删除黑白名单规则 aad:whiteBlackIpRule:delete 查询黑白名单规则列表 aad:whiteBlackIpRule:list 查询配额 aad:quotas:get 查询转发规则 aad:forwardingRule:get 导出转发规则 aad:forwardingRule:list 添加转发规则 aad:forwardingRule:create 修改转发规则 aad:forwardingRule:put 删除转发规则 aad:forwardingRule:delete 查看数据报表 aad:dashboard:get 查询告警通知 aad:alarmConfig:get 创建告警通知 aad:alarmConfig:create

DDoS防护 AAD
DDoS防护 AAD-步骤三：本地验证（网站类）:操作步骤

操作步骤登录管理控制台。进入域名列表入口，如图1所示。图1 域名列表入口在目标域名的“CNAME”列，单击，复制域名的CNAME值。打开Telnet，执行以下命令，测试已接入DDoS高防的源站IP是否能成功建立连接。 telnet 源站IP 80 以源站IP对外开放的80端口为例。如果可以连通，则说明Telnet公网地址在本机网络环境可用。如果无法连通，则需要更换本地测试机网络环境，因为某些企业网有可能配置过内部网络限制。例如连接手机Wi-Fi热点以切换为运营商网络。执行以下命令，测试域名接入DDoS高防配置是否正确。 telnet 在目标域名的“CNAME”列，单击，复制域名的C...中的CNAME值 80 如果可以连通，说明配置成功。如果无法连通，请确认域名参数是否配置正确。如您需测试防护域名是否配置正确，请参见：接入防护域名后，如何测试防护域名是否配置正确？如您需验证WAF基础防护是否正确开启，请参见：WAF本地验证。

DDoS防护 AAD
DDoS防护 AAD-AAD自定义策略:AAD自定义策略样例

AAD自定义策略样例示例1：授权用户查询防护策略 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "aad:policy:get" ] } ]} 示例2：拒绝用户删除IP黑白名单规则拒绝策略需要同时配合其他策略使用，否则没有实际作用。用户被授予的策略中，一个授权项的作用如果同时存在Allow和Deny，则遵循Deny优先。如果您给用户授予“AAD FullAccess”的系统策略，但不希望用户拥有“AAD FullAccess”中定义的删除IP黑白名单规则的权限（aad:whiteBlackIpRule:delete），您可以创建一条相同Action的自定义策略，并将自定义策略的Effect设置为“Deny”，然后同时将“AAD FullAccess”和拒绝策略授予用户，根据Deny优先原则用户可以对AAD执行除了删除IP黑白名单规则的所有操作。以下策略样例表示：拒绝用户删除IP黑白名单规则。 { "Version": "1.1", "Statement": [ { "Effect": "Deny", "Action": [ "aad:whiteBlackIpRule:delete" ] }, ]}

DDoS防护 AAD
DDoS防护 AAD-购买自助解封配额:操作步骤

操作步骤登录管理控制台。进入自助解封页面，如图1所示。图1 进入自助解封页面在界面右上角，单击“购买解封配额”，进入“自助解封包”页面。选择自助解封配额“业务规模”和“购买时长”，如图2所示。图2 设置自助解封配额规格勾选“自动续费”后，当服务期满时，系统会自动按照购买周期进行续费。在界面右下角单击“立即购买”。在“订单详情”页面，如果您确认订单无误，单击“去支付”。在“购买DDoS防护”的支付界面，单击“确认付款”，完成订单支付。付款成功后，系统跳转至自助解封界面。当“解封总配额”显示“100 次/月”时，说明自助解封配额购买成功。

DDoS防护 AAD
人脸识别服务 FRS-调用API报错"APIG.0101","API not exist or not published to environment"，该怎么办:解决办法

解决办法例如，调用人脸识别中查询服务状态接口时报错APIG.0101，解决方法如下所示。参考API使用说明获取正确的请求样例。 # 查询服务状态https://{endpoint}/v1/{project_id}/subscribe 将请求样例中的“{endpoint}”进行替换。人脸识别服务的请求地请参考终端节点章节进行获取。例如，如果您的服务部署在华北-北京四区域，则该区域的endpoint为“face.cn-north-4.myhuaweicloud.com”。将请求样例中的“{project_id}”进行替换。项目ID的获取方法请参见获取项目ID。检查URI中的区域信息是否和调用服务配置的区域是否对应。

人脸识别服务 FRS
人脸识别服务 FRS-如何获取OBS桶内最近图片的地址URL:操作步骤

操作步骤在OBS管理控制台左侧导航栏选择“桶列表”。在桶列表单击待操作的桶，进入“概览”页面。在左侧导航栏，单击“对象”。单击待共享对象，在网页上方显示对象的信息。“链接”显示该对象的共享链接地址，如图所示。匿名用户单击该链接地址即可通过浏览器访问该对象。对象链接地址格式为：https://桶名.域名/文件夹目录层级/对象名。如果该对象存在于桶的根目录下，其链接地址将不会有文件夹目录层级。图1 对象链接对于存储类别为归档存储的对象，如果要让匿名用户通过URL访问，则需要先确认对象的状态是否为“已恢复”。对象类型不同，通过浏览器访问该对象的方式不同。例如：.txt、.html等文件可直接通过浏览器打开浏览，而.exe、.dat等文件则会在浏览器打开时，自动下载到本地。

人脸识别服务 FRS
人脸识别服务 FRS-什么是区域和可用区域:如何选择区域

如何选择区域选择区域时，您需要考虑以下几个因素：地理位置一般情况下，建议就近选择靠近您或者您的目标用户的区域，这样可以减少网络时延，提高访问速度。不过，在基础设施、BGP网络品质、资源的操作与配置等方面，中国大陆各个区域间区别不大，如果您或者您的目标用户在中国大陆，可以不用考虑不同区域造成的网络时延问题。在除中国大陆以外的亚太地区有业务的用户，可以选择“中国-香港”、“亚太-曼谷”或“亚太-新加坡”区域。在非洲地区有业务的用户，可以选择“南非-约翰内斯堡”区域。在欧洲地区有业务的用户，可以选择“欧洲-巴黎”区域。云服务之间的关系如果多个云服务一起搭配使用，需要注意：不同区域的弹性云服务器、关系型数据库、对象存储服务内网不互通。不同区域的弹性云服务器不支持跨区域部署在同一负载均衡器下。资源的价格不同区域的资源价格可能有差异，请参见华为云服务价格详情。

人脸识别服务 FRS
人脸识别服务 FRS-什么是区域和可用区域:什么是区域、可用区

什么是区域、可用区我们用区域和可用区来描述数据中心的位置，您可以在特定的区域、可用区创建资源。区域（Region）：从地理位置和网络时延维度划分，同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。Region分为通用Region和专属Region，通用Region指面向公共租户提供通用云服务的Region；专属Region指只承载同一类业务或只面向特定租户提供业务服务的专用Region。可用区（AZ，Availability Zone）：一个AZ是一个或多个物理数据中心的集合，有独立的风火水电，AZ内逻辑上再将计算、网络、存储等资源划分成多个集群。一个Region中的多个AZ间通过高速光纤相连，以满足用户跨AZ构建高可用性系统的需求。图1阐明了区域和可用区之间的关系。图1 区域和可用区目前，华为云已在全球多个地域开放云服务，您可以根据需求选择适合自己的区域和可用区。

人脸识别服务 FRS

共100000条

undefined

意见反馈

0/200

提交取消

提交成功！非常感谢您的反馈，我们会继续努力做到更好反馈提交失败！请稍后重试！

华为云用户手册

7*24

备案

专业服务

退订

建议反馈

售前咨询热线