DDoS原生高级防护只能防护购买区域的公网IP资源，不能跨区域防护。

防护域名（www.example.com）部署在华为云上，且部署在支持购买DDoS原生高级防护实例的区域（例如，华北-北京四）。

防护域名（www.example.com）未接入WAF。

• 已购买“DDoS原生专业版”，且购买时选择开启联动防护。
• 已获取防护域名（www.example.com）的源站公网IP地址。
• 如果防护域名（www.example.com）未部署在“华东-上海一”区域，则防护域名所在区域已准备了备用公网IP地址。
• 已成功购买DDoS原生高级防护实例。 区域：选择防护域名（www.example.com）部署的区域（例如，华北-北京四）
• 已成功购买DDoS高防实例。

1.登录管理控制台。

2.添加防护对象。

进入DDoS原生高级防护实例列表页面。

在目标实例所在框的右上方，单击“设置防护对象”。

在弹出的“设置防护对象”对话框中，勾选防护域名（www.example.com）的源站公网IP后，单击“确定”。

3.创建防护策略。

进入DDoS原生高级防护的防护策略页面，如图2所示。

图2 防护策略页面

在防护策略列表的左上方，单击“创建策略”。

在弹出的“创建策略”对话框中，设置“策略名称”并选择所属实例后，单击“确定”。

4.在4中创建的防护策略所在行的“操作”列中，单击“配置策略”，配置防护策略。

5.将防护域名（www.example.com）接入DDoS高防。

进入DDoS高防域名列表入口，如图3所示。

图3 域名列表入口

在域名列表左上角，单击“添加域名”。

填写域名信息，如图4所示，单击“下一步”。

图4 配置网站类域名信息

须知：

“源站类型”选择“源站IP”，源站IP配置说明如下：

如果防护域名部署在“华东-上海一”区域，源站IP配置为防护域名的源站公网IP地址。

如果防护域名未部署在“华东-上海一”区域，源站IP需要配置为防护域名所在区域同一网段准备的备用公网IP地址。

在高防实例名称列表中选择实例与线路后，单击“提交并继续”。

单击“下一步”后，单击“完成”。

防护域名接入DDoS高防，获取域名的CNAME值（12b6003fd3c2e618.huaweisafedns.com），如图5所示。

图5 防护域名接入DDoS高防

6.配置阶梯调度规则。

进入阶梯调度页面。

在阶梯调度列表框左上角，单击“添加规则”。

在弹出添加规则对话框中，配置调度规则后，单击“确定”。

-高防资源类型：选择“互联网回源”或“专线回源”。

-高防CNAME：填写为5.e中的CNAME值。

-联动资源：选择防护域名的源站公网IP地址。

规则配置完成后，获取调度CNAME值（12b6003fd3c2e618.huaweisafehub.cn），如图6所示。

图6 获取调度CNAME值

7.修改DNS解析。

进入云解析页面的入口，如图7所示。

图7 云解析页面入口

单击防护域名（www.example.com）名称，进入解析记录页面。

在页面右上角，单击“添加记录集”。

在弹出的“添加记录集”对话框中，如图8所示。

-“主机记录”：配置的域名。

-“类型”：选择“CNAME-将域名指向另外一个域名”。

-“线路类型”：全网默认。

-“TTL(秒)”：一般建议设置为5分钟，TTL值越大，则DNS记录的同 步和更新越慢。

-“值”：输入6.c中的CNAME值。

其他的设置保持不变。

图8 添加记录集

单击“确定”，完成DNS配置，等待DNS解析记录生效。