华为云用户手册

护网检查—访问控制 表11 访问控制风险项检查项目 检查项目 检查内容 安全组入方向规则控制检查 安全组入方向规则应满足最小化访问控制原则。 一般，在非业务需要的情况下，以下情况视为未按最小化访问控制（风险由高到低）：源地址为0.0.0.0/0；公网地址的掩码小于32；内网地址的掩码小于24。 IPv4：源地址为0.0.0.0/0；公网地址的掩码小于32；内网地址的掩码小于24。 IPv6：源地址为::/0。

护网检查—敏感信息排查 表12 敏感信息排查风险项检查项目 检查项目 检查内容 OBS桶的ACL权限检查 OBS桶ACL是基于账号或用户组的桶级访问控制，桶的拥有者可以通过桶ACL授予指定账号或用户组特定的访问权限。 匿名用户指未注册华为云的普通访客。如果OBS桶的ACL赋予了匿名用户桶的访问权限或ACL访问权限，表示所有人无需经过任何身份验证即可访问OBS桶。 检查所有OBS桶，是否给匿名用户赋予桶访问权限或者ACL访问权限。 OBS桶日志记录启用检查 对象存储服务 （Object Storage Service，OBS）的桶日志记录，指用户开启一个桶的日志记录功能后，OBS会自动对这个桶的访问请求记录日志，并生成日志文件写入用户指定的桶（即目标桶）中。通过访问日志记录，桶的拥有者可以深入分析访问该桶的用户请求性质、类型或趋势。 检查所有OBS桶，是否开启日志记录功能。 数据库中敏感信息检查 数据安全中心 服务（Data Security Center，DSC）根据敏感数据发现策略来识别数据库中的敏感数据，基于多种预置脱敏算法+用户自定义脱敏算法，实现全栈敏感数据防护。 检查数据库中是否存在敏感信息。 OBS中敏感信息检查 数据安全中心服务（Data Security Center，DSC）根据敏感数据发现策略来识别数据库中的敏感数据，基于多种预置脱敏算法+用户自定义脱敏算法，实现全栈敏感数据防护。 检查OBS中是否存在敏感信息。 ES中敏感信息检查 数据安全中心服务（Data Security Center，DSC）根据敏感数据发现策略来识别数据库中的敏感数据，基于多种预置脱敏算法+用户自定义脱敏算法，实现全栈敏感数据防护。 检查ES中是否存在敏感信息。

护网检查—安全套件覆盖 表7 安全套件覆盖风险项检查项目 检查项目 检查内容 主机防护状态检查 企业主机安全 服务（Host Security Service，HSS）是提升主机整体安全性的服务，通过主机管理、风险预防、入侵检测、高级防御、安全运营、网页防篡改功能，全面识别并管理主机中的信息资产，实时监测主机中的风险并阻止非法入侵行为，帮助企业构建服务器安全体系，降低当前服务器面临的主要安全风险。 检查主机是否已开启防护。 主机Agent状态检查 企业主机安全服务（Host Security Service，HSS）是一个用于全面保障主机整体安全的服务，能帮助您高效管理主机的安全状态，并构建服务器安全体系，降低当前服务器面临的主要安全风险。 在主机中安装Agent后，您的主机才能收到HSS的保护。 检查主机Agent是否为在线状态。 主机安全检测状态检查 企业主机安全服务（Host Security Service，HSS）将实时检测主机中的风险和异常操作，在每日凌晨将对主机执行全面扫描。执行配置检测后，您可以根据检测结果中的相关信息，修复主机中含有风险的配置项或忽略可信任的配置项。 检查主机的检测结果是否存在异常。 WAF（云模式）基础防护配置检查 Web基础防护开启后，默认防范SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等常规的Web攻击。 检查WAF在云模式下是否已开启Web基础防护。 WAF（云模式）防护策略配置检查 Web基础防护支持“拦截”（发现攻击行为后立即阻断并记录）和“仅记录”（发现攻击行为后只记录不阻断攻击）模式，检测版仅支持“仅记录”模式。 WAF中所有待防护的 域名 应开启Web基础防护并设置为拦截模式，开启后，默认防范SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等常规的Web攻击。 检查WAF在云模式下是否已开启Web基础防护并设置为拦截模式。 WAF（独享模式）基础防护配置检查 Web基础防护开启后，默认防范SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等常规的Web攻击。 检查WAF在独享模式下是否已开启Web基础防护。 WAF（独享模式）防护策略配置检查 Web基础防护支持“拦截”（发现攻击行为后立即阻断并记录）和“仅记录”（发现攻击行为后只记录不阻断攻击）模式，检测版仅支持“仅记录”模式。 WAF中所有待防护的域名应开启Web基础防护并设置为拦截模式，开启后，默认防范SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等常规的Web攻击。 检查WAF在独享模式下是否已开启Web基础防护并设置为拦截模式。 网站高危漏洞检查 漏洞管理服务（CodeArts Inspector）可以帮助您快速检测出您的网站存在的漏洞，提供详细的漏洞分析报告，并针对不同类型的漏洞提供专业可靠的修复建议。 检查网站中是否存在高危漏洞。 网站中危漏洞检查 漏洞管理服务（CodeArts Inspector）可以帮助您快速检测出您的网站存在的漏洞，提供详细的漏洞分析报告，并针对不同类型的漏洞提供专业可靠的修复建议。 检查网站中是否存在中危漏洞。 扫描时间检查 漏洞管理服务（CodeArts Inspector）可以帮助您快速检测出您的网站存在的漏洞，提供详细的漏洞分析报告，并针对不同类型的漏洞提供专业可靠的修复建议。 检查扫描时间是否已超过一周。 SA专业版购买检查 态势感知提供基础版、标准版和专业版三个版本，不同版本有不同功能使用范围。 专业版可以呈现全局安全态势。通过动态安全检测和威胁分析，并提供安全加固建议。 检查是否已购买SA专业版。 主机Agent版本检查 在主机中安装Agent后，您的主机将受到HSS云端防护中心全方位的安全保障，在安全控制台可视化界面上，您可以统一查看并管理同一区域内所有主机的防护状态和主机安全风险。 企业主机安全服务有基础版、企业版、旗舰版和网页防篡改版四个版本。 基础版一般只用于测试、个人用户防护主机账户安全。建议您选择企业版及以上版本。 检查所有主机Agent是否为企业版及以上版本。

安全上云合规检查—检测 表3 检测风险项检查项目 检查项目 检查内容 ELB健康状态检查 弹性负载均衡（Elastic Load Balance，ELB）定期向后端服务器发送请求健康检查，通过健康检查来判断后端服务器是否可用。 如果判断出后端服务器健康检查异常，ELB会将异常后端服务器的流量分发到正常后端服务器。 当异常后端服务器恢复正常运行后，ELB会自动恢复其承载业务流量能力。 检查所有ELB实例是否开启健康检查功能，以及检查后端服务器状态是否正常。 CTS 启用检查 云审计 服务（Cloud Trace Service，CTS）可以将当前账户下所有的操作记录在追踪器中，通过查询和审计操作记录，实现安全分析、资源变更、合规审计、问题定位等。 检查是否已经开通CTS，以及检查是否有一个追踪器的状态为正常。 OBS桶日志记录启用检查 对象存储服务（Object Storage Service，OBS）的桶日志记录，指用户开启一个桶的日志记录功能后，OBS会自动对这个桶的访问请求记录日志，并生成日志文件写入用户指定的桶（即目标桶）中。通过访问日志记录，桶的拥有者可以深入分析访问该桶的用户请求性质、类型或趋势。 检查所有OBS桶，是否开启日志记录功能。 数据库安全审计启用检查（云上RDS场景） 数据库安全审计提供旁路模式审计功能，通过实时记录用户访问数据库行为，形成细粒度的审计报告，对风险行为和攻击行为进行实时告警，对数据库的内部违规和不正当操作进行定位追责。 检查是否已启用数据库安全审计。 云监控服务 启用检查 云监控 （Cloud Eye）服务为用户提供一个针对弹性云服务器、带宽等资源的立体化监控平台。使您全面了解云上的资源使用情况、业务的运行状况，并及时收到异常告警做出反应，保证业务顺畅运行。 检查是否已启用云监控服务。 云监控服务中的主机监控检查 主机监控针对主机提供多层次指标监控，包括基础监控、操作系统监控和进程监控。 基础监控为用户提供免安装的基础指标监控服务；操作系监控和进程监控通过在主机中安装开源插件，为用户主机提供系统级、主动式、细颗粒度的监控服务。 检查主机监控中的弹性云服务器是否已安装监控插件。 云监控服务中站点监控检查 站点监控用于模拟真实用户对远端服务器的访问，从而探测远端服务器的可用性、连通性等问题。 检查是否配置站点监控。

安全上云合规检查—身份与访问管理 表2 身份与访问管理风险项检查项目 检查项目 检查内容 IAM 用户启用检查 启用 统一身份认证 （Identity and Access Management，IAM）服务后，系统默认用户组admin中的IAM用户，可以使用华为云所有服务。 检查所有IAM用户列表，是否已启用至少两个IAM用户，以及IAM用户所属的用户组是否都为admin用户组。 IAM用户开启登录保护检查 在IAM的安全设置中启用登录保护后，登录时还需要通过虚拟MFA或短信或邮件验证，再次确认登录者身份，进一步提高账号安全性，有效避免钓鱼式攻击或者用户密码意外泄漏，保护您安全使用云产品。 检查在IAM的安全设置中是否开启登录保护。 IAM用户开启操作保护检查 在IAM的安全设置中开启操作保护后，主账户及子用户在控制台进行敏感操作（如：删除弹性云服务器、解绑弹性IP等）时，将通过虚拟MFA、手机短信或邮件再次确认操作者身份，进一步提高账号安全性，有效保护您安全使用云产品。 检查IAM用户是否开启操作保护。 管理员账号AK/SK启用检查 访问密钥（AK/SK，Access Key ID/Secret Access Key）是账号的长期身份凭证。 由于管理员具有IAM用户管理权限，且具有大范围的操作权限。为了避免因AK/SK泄露带来的安全隐患，建议管理员账号不启用AK/SK身份凭证。 检查管理员账户是否启用访问密钥。 IAM用户密码配置检查 IAM用户的密码策略建议设置强密码策略。建议满足以下要求：包含以下字符中的3种：大写字母、小写字母、数字和特殊字符；密码最小长度为8；新密码不能与最近的历史密码相同（重复次数设置为3） 检查IAM用户的密码策略是否符合要求。 IAM登录验证策略（账号锁定策略）检查 拥有安全管理员权限（Security Administrator权限）的用户可以设置登录验证策略来提高用户信息和系统的安全性。 IAM允许用户设置账号锁定策略，即如果在限定时间长度内达到登录失败次数后，用户会被锁定一段时间，锁定时间结束后，才能重新登录。 建议设置为在60分钟内登录失败5次，用户被锁定。 检查账号锁定策略是否设置为在60分钟内登录失败5次，用户被锁定。 IAM登录验证策略（账号锁定时限）检查 拥有安全管理员权限（Security Administrator权限）的用户可以设置登录验证策略来提高用户信息和系统的安全性。 用户可设置账号锁定策略，即如果在限定时间长度内达到登录失败次数后，用户会被锁定一段时间，锁定时间结束后，才能重新登录。 IAM应允许用户设置账号锁定时间，且在此期间用户将无法输入密码。账号锁定时限建议设置为15分钟。 检查账号锁定时限是否设置为15分钟。 IAM密码策略（防止密码重复使用）检查 IAM允许用户设置密码策略。 启用防止密码重复使用规则后，新密码不能与最近使用的密码相同。 检查IAM密码策略是否启用密码重复使用规则，且重复次数小于五次。 会话超时策略检查 IAM允许用户设置会话到期时间。如果用户超过设置的时长未操作界面，会话将会失效，需要重新登录。 检查会话时限是否设置为15分钟。 账号停用策略检查 IAM用户可以通过使用用户名和密码登录华为云控制台。如果用户在90天或更长时间内未登录控制台，建议禁用该用户的控制台访问权限。 检查账号停用策略是否启用，且有效期设置为90天。 IAM用户密码强度检查 IAM用户的登录密码建议设置为安全程度强的密码。 IAM用户设置的登录密码分为弱、中、强三个级别。安全性高的密码可以使账号更安全，建议您定期更换密码以保护账号安全。 检查IAM用户的密码强度是否为最高级别。 CBH实例登录开启多因子认证检查 通过Web浏览器或SSH客户端登录CBH实例时应开启用户的多因子认证，进一步提高 堡垒机 账号安全性。多因子认证方式有：手机短信、手机令牌、USBKey、动态令牌。 检查CBH实例是否已开启多因子认证。

安全上云合规检查—基础设施防护 表4 基础设施防护风险项检查项目 检查项目 检查内容 安全组入方向规则控制检查 安全组入方向规则应满足最小化访问控制原则。 一般，在非业务需要的情况下，以下情况视为未按最小化访问控制（风险由高到低）：源地址为0.0.0.0/0；公网地址的掩码小于32；内网地址的掩码小于24。 高危端口、远程管理端口暴露检查 安全组是一个逻辑上的分组，为具有相同安全保护需求并相互信任的云服务器提供访问策略。安全组创建后，可以在安全组中设置出方向、入方向规则，这些规则会对安全组内部的云服务器出入方向网络流量进行访问控制，当云服务器加入该安全组后，即受到这些访问规则的保护。 安全组入方向规则中不应对外开放或未最小化开放高危端口、远程管理端口。 高危端口如下：20，21，135，137，138，139，445，389，593，1025 未最小化开放指的是：源地址为0.0.0.0/0；公网地址的掩码小于32；内网地址的掩码小于24 检查安全组入方向规则中是否存在对外开放或未最小化开放高危端口、远程管理端口。 绑定EIP的E CS 配置密钥对登录检查 当存在ECS对外暴露EIP的情况下，为安全起见，弹性云服务器登录时应使用密钥方式进行身份验证。 日志指标过滤和告警事件（VPC更改）检查 日志审计模块是信息安全审计功能的核心必备组件，是企事业单位信息系统安全风险管控的重要组成部分。云审计服务（Cloud Trace Service，以下简称CTS），是华为 云安全 解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 检查CTS中是否存在因VPC更改而产生的日志和告警事件。 日志指标过滤和告警事件（网络网关更改）检查 日志审计模块是信息安全审计功能的核心必备组件，是企事业单位信息系统安全风险管控的重要组成部分。云审计服务（Cloud Trace Service，以下简称CTS），是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 检查CTS中是否存在因网络网关更改而产生的日志和告警事件。 日志指标过滤和告警事件（安全组更改）检查 日志审计模块是信息安全审计功能的核心必备组件，是企事业单位信息系统安全风险管控的重要组成部分。云审计服务（Cloud Trace Service，以下简称CTS），是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 检查CTS中是否存在因安全组更改而产生的日志和告警事件。 日志指标过滤和告警事件（子网更改）检查 日志审计模块是信息安全审计功能的核心必备组件，是企事业单位信息系统安全风险管控的重要组成部分。云审计服务（Cloud Trace Service，以下简称CTS），是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 检查CTS中是否存在因子网更改而产生的日志和告警事件。 日志指标过滤和告警事件（VPN更改）检查 日志审计模块是信息安全审计功能的核心必备组件，是企事业单位信息系统安全风险管控的重要组成部分。云审计服务（Cloud Trace Service，以下简称CTS），是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 检查CTS中是否存在因VPN更改而产生的日志和告警事件。 ELB实例（共享型）启用访问控制检查 共享型负载均衡器用户可以通过添加白名单和黑名单的方式控制访问负载均衡监听器的IP。通过白名单能够设置允许特定IP访问，而其它IP不许访问。通过黑名单能够设置允许特定的IP不能访问，而其它IP允许访问。 检查弹性负载均衡（Elastic Load Balance，ELB）实例，是否开启访问控制策略。 网络ACL规则配置检查 网络ACL是对子网的访问控制策略系统，根据与子网关联的入站/出站规则，判断数据包是否被允许流入/流出关联子网。同一个VPC内的子网间设置网络ACL，可以增加额外的安全防护层，实现更精细、更复杂的安全访问控制。 检查是否配置网络ACL规则。 用于VPC对等连接路由表检查 对等连接是指两个VPC之间的网络连接，因此用于对等连接的路由表应满足最小访问权限。 本端路由的目的地址最好限定在最小子网网段内，对端路由的目的地址最好限定在最小子网网段内。 检查用于对等连接的路由表是否满足最小访问权限。 VPC规划检查 如果在当前区域下有多套业务部署，且希望不同业务之间进行网络隔离时，则可为每个业务在当前区域建立相应的VPC。 两个VPC之间可以采用对等连接进行互连。 VPC具有区域属性，默认情况下，不同区域的VPC之间内网不互通，同区域的不同VPC内网不互通，同一个VPC下的不同可用区之间内网互通。 检查VPC规范是否合理。 WAF启用（云模式/独享模式/ELB模式）检查 启用 Web应用防火墙 （Web Application Firewall， WAF）服务后，网站所有的公网流量都会先经过Web应用防火墙，恶意攻击流量在Web应用防火墙上被检测过滤，而正常流量返回给源站IP，从而确保源站IP安全、稳定、可用。 检查是否已启用WAF。 WAF回源配置检查（未配置ELB） 使用Web应用防火墙（Web Application Firewall， WAF）服务后，需配置源站服务器只允许来自WAF的访问请求访问源站，既可保障访问不受影响，又能防止源站IP暴露。 未使用弹性负载均衡（Elastic Load Balance，ELB）情况下，检查在ECS关联的安全组源地址中，是否添加WAF回源IP。 WAF防护策略配置（地理位置访问控制）检查 WAF的防护策略应配置地理位置访问控制，可针对指定国家、地区的来源IP自定义访问控制。配置后，可以进一步减小业务网站的攻击面（检测版和专业版暂不支持该功能）。 Web基础防护配置检查 Web基础防护支持“拦截”（发现攻击行为后立即阻断并记录）和“仅记录”（发现攻击行为后只记录不阻断攻击）模式，检测版仅支持“仅记录”模式。 WAF中所有待防护的域名应开启Web基础防护并设置为拦截模式，开启后，默认防范SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等常规的Web攻击。 检查是否已开启Web基础防护并设置为拦截模式。 CodeArts Inspector启用检查 漏洞管理服务（ CodeArts Inspector）是针对网站进行 漏洞扫描 的一种安全检测服务，可以帮助快速检测出网站存在的漏洞，提供详细的漏洞分析报告，并针对不同类型的漏洞提供专业可靠的修复建议。 检查是否已启用CodeArts Inspector服务。 Anti-DDoS流量清洗启用检查 DDoS原生基础防护（Anti-DDoS流量清洗）服务为华为云内公网IP资源，提供网络层和应用层的DDoS攻击防护，并提供攻击拦截实时告警，有效提升用户带宽利用率，保障业务稳定可靠。 检查是否已启用Anti-DDoS流量清洗服务。 DDoS高防启用检查 DDoS高防（Advanced Anti-DDoS，AAD）是企业重要业务连续性的有力保障。DDoS高防通过高防IP代理源站IP对外提供服务，将恶意攻击流量引流到高防IP清洗，确保重要业务不被攻击中断。 检查是否已启用DDoS高防。 云堡垒机 启用检查 云堡垒机（Cloud Bastion Host，CBH）是华为云的一款4A统一安全管控平台，为企业提供集中的账号、授权、认证和审计管理服务。启用后，可实现对服务器、云主机、数据库、应用系统等云上资源的集中管理和运维审计，不仅能保障系统运行安全，且满足相关合规性规范。 检查是否已启用云堡垒机服务。 主机安全防护启用检查 企业主机安全服务（Host Security Service，HSS）是提升主机整体安全性的服务。可以全面识别并管理主机中的信息资产，实时监测主机中的风险并阻止非法入侵行为，帮助企业构建服务器安全体系，降低当前服务器面临的主要安全风险。 主机实例应安装HSS且开启防护，版本要求至少为企业版（旗舰版、网页防篡改版更优）。 检查主机是否开启主机安全防护。 HSS网页防篡改启用与防护目录配置检查 网页防篡改可实时监控网站目录，并通过备份恢复被篡改的文件或目录，保障重要系统的网站信息不被恶意篡改，防止出现挂马、黑链、非法植入恐怖威胁、色情等内容。 有网站或者关键系统防篡改需求，以及有应用安全防护需求的主机，应开启HSS中的网络防篡改防护并配置好防护目录。 检查主机是否开启网络防篡改防护且已配置好防护目录。 主机紧急修复漏洞检查 企业主机安全服务（Host Security Service，HSS）提供漏洞管理功能，检测Linux软件漏洞、Windows系统漏洞和Web-CMS漏洞。 检查HSS中是否存在紧急修复漏洞。 CDN访问控制配置检查 当客户CDN需要对访问者身份进行识别和过滤，限制部分用户访问，提高CDN的安全性，应配置防盗链与IP黑名单。 检查CDN是否配置访问控制规则。

约束与限制 SA基础版暂不支持使用基线检查功能。标准版暂不支持云服务基线查看详情功能。为及时了解云服务配置状态，以及确保云服务的配置的合理性，建议您购买专业版。 操作账号权限检查。使用基线检查功能时，除了需要“SA FullAccess”、“SA ReadOnlyAccess”策略权限，还需要“Tenant Administrator”权限和IAM相关权限，请提前授予操作账号对应权限。 “Tenant Administrator”权限和IAM相关权限配置详细操作请参见配置基线检查功能所需的权限。 基线检查功能为Region级别功能，具体上线region请以SA控制台显示为准。

背景信息 HSS专项分析 主机安全服务（Host Security Service，HSS）是以工作负载为中心的安全产品，集成了主机安全、 容器安全 和网页防篡改，旨在解决混合云、多云数据中心基础架构中服务器工作负载的独特保护要求。HSS通过对主机、容器进行系统完整性的保护、应用程序控制、行为监控和基于主机的入侵防御等，保护工作负载免受攻击。 在SA中的HSS业务分析页面，您可以查看您所有资产的风险指数、风险趋势、TOP5事件类型以及您开通的主机安全和 容器安全服务 数量，帮助您实时了解主机和容器的安全状态和存在的安全风险。 WAF专项分析 Web应用防火墙（Web Application Firewall， WAF）对网站业务流量进行多维度检测和防护，结合深度机器学习智能识别恶意请求特征和防御未知威胁，全面避免网站被黑客恶意攻击和入侵。 在SA中的WAF业务分析页面，您可以查看昨天、今天、3天、7天或者30天内所有防护网站或所有实例以及指定防护网站或实例的防护日志。包括请求与各攻击类型统计次数，QPS、响应码信息，以及事件分布、受攻击域名 Top10、攻击源IP Top10、受攻击URL Top10、攻击来源区域 Top10和业务异常监控 Top10等防护数据。 安全总览页面统计数据每隔2分钟刷新一次。 DBSS专项分析 数据库安全服务（Database Security Service）是一个智能的数据库安全服务，基于机器学习机制和大数据分析技术，提供数据库审计，SQL注入攻击检测，风险操作识别等功能，保障云上数据库的安全。 在SA中的DBSS业务分析页面，您可以查看最近30分钟、最近1小时、最近24小时、7天或者30天内数据库的总体审计情况、风险分布、会话统计以及SQL分布情况。

背景信息 态势感知 SA服务即将下线，态势感知 SA的能力将由 安全云脑 SecMaster服务提供。为了避免影响您的业务，建议您使用安全云脑，购买安全云脑详细操作请参见购买安全云脑。 态势感知提供基础版、标准版、专业版供您选择。 用户可 免费体验 基础版。 基础版仅提供检测部分威胁风险，呈现一定云上资产安全态势。 为及时和深入了解资产安全状况，确保云上资产安全，建议您升级为标准版或专业版。 标准版提供一定种类的威胁检测和分析服务，包括威胁分析、告警设置、主机漏洞、安全日志管理等功能。若需要使用标准版，你需根据全局资产数购买配额，一个资产配额支持全方位防护一台资产。 专业版提供更多种类的威胁检测和分析服务，包含威胁分析、告警设置、主机漏洞、网站漏洞、基线检查、安全日志管理及综合大屏等功能。若需使用专业版服务，您需根据全局资产数购买配额，一个资产配额支持全方位防护一台资产。 更多基础版、标准版、专业版功能差异，请参见服务版本差异。 综合大屏提供“综合态势感知大屏”和“主机安全态势大屏”两种大屏模式，集中展示云上综合安全态势和主机安全状况。综合大屏功能为专业版额外选购付费项目，您可以在购买资产配额后，参考开通综合大屏再购买。 基础版不支持退订。 标准版不支持直接升级到专业版，且专业版也不支持直接变更到标准版。如需使用对应版本，需退订当前版本后再进行购买。 标准版仅支持通过包周期计费模式进行购买。 不支持部分配额购买标准版，部分配额购买专业版。 综合大屏为专业版额外选购付费项目，如需使用综合大屏，请先购买专业版。

安全监控 “安全监控”板块展示待处理威胁告警、待修复漏洞、合规检查问题的安全监控统计数据。 图2 安全监控 表1 安全监控参数说明 参数名称 参数说明 威胁告警 呈现最近7天内未处理威胁告警，可快速了解资产遭受的威胁告警类型和数量，呈现威胁告警的统计结果。 此处严重等级含义如下： 致命：即致命风险，表示您的资产中检测到了入侵事件，建议您立即查看告警事件的详情并及时进行处理。 高危：即高危风险，表示资产中检测到了可疑的异常事件，建议您立即查看告警事件的详情并及时进行处理。 其他：即其他类型（中危、低危、提示）风险，表示服务器中检测到了有风险的异常事件，建议您及时查看该告警事件的详情。 单击威胁告警模块，系统将列表实时呈现近7天内TOP5的威胁告警事件，可快速查看威胁告警详情，监控威胁告警状况，如图3所示。 列表呈现近7天TOP5的威胁告警事件的信息，包括威胁告警名称、告警等级、资产名称、告警发现时间。 若列表显示内容为空，表示近7天无威胁告警事件。 单击“查看更多”，可跳转到“检测结果”页面，查看更多的威胁告警信息，并可自定义过滤条件查询告警信息，查看威胁告警详细操作请参见告警列表。 图3 查看实时威胁告警 漏洞 展示您资产中TOP5漏洞类型，以及近24小时内还未修复的漏洞总数和不同漏洞风险等级对应的数量。 此处严重等级含义如下： 致命：即致命风险，表示您的资产中检测到了漏洞事件，建议您立即查看漏洞事件的详情并及时进行处理。 高危：即高危风险，表示资产中检测到了可疑的异常事件，建议您立即查看漏洞事件的详情并及时进行处理。 其他：即其他类型（中危、低危、提示）风险，表示服务器中检测到了有风险的异常事件，建议您及时查看该漏洞的详情。 单击漏洞模块中的“漏洞类型Top5”栏，系统将列表呈现TOP5（根据某个漏洞影响的主机数量进行排序）的漏洞类型。 此处的TOP等级是根据某个漏洞影响的主机数量进行排序，受影响主机数量越多排名越靠前。 仅当主机中Agent版本为2.0时，才会在“漏洞类型Top5”中显示对应数据。如未显示数据或需要查看TOP5漏洞类型，请将主机将Agent1.0升级至Agent2.0。 图4 漏洞类型 单击漏洞模块中的“实时监控最新漏洞风险事件 Top5”栏，系统将列表实时呈现近24小时内TOP5的漏洞事件，可快速查看漏洞详情，如图5所示。 列表呈现当日最新TOP5漏洞事件详情，包括漏洞名称、漏洞等级、资产名称、漏洞发现时间。 若列表显示内容为空，表示当日无漏洞事件。 单击“查看更多”，可跳转到“检查结果”页面，查看更多的漏洞信息，并可自定义过滤条件查询漏洞信息，查看漏洞详细操作请参见漏洞列表。 图5 查看实时漏洞 合规检查 展示您资产中近30天内存在的合规风险总数量和不同危险等级的合规检查风险对应的数量。 此处严重等级含义如下： 致命：即致命风险，表示您的资产中检测到了不合规的配置，建议您立即查看合规异常事件的详情并及时进行处理。 高危：即高危风险，表示资产中检测到了可疑的异常配置，建议您立即查看合规异常事件的详情并及时进行处理。 其他：即其他类型（中危、低危、提示）风险，表示服务器中检测到了有风险的异常配置，建议您及时查看该合规检查项目的详情。 单击合规检查异常模块，系统将列表实时呈现近30天内TOP5的合规检查异常事件，可快速查看合规检查详情，如图6所示。 列表呈现最近一次合规检查中TOP的合规异常事件详情，包括合规检查项目名称、等级、资产名称、发现时间。 若列表显示内容为空，表示近30天无合规异常事件。 单击“查看更多”，可跳转到“检查结果”页面，查看更多的合规异常信息，并可自定义过滤条件查询合规检查信息，查看合规检查详细操作请参见基线检查列表。 图6 查看合规异常事件

威胁检测 “威胁检测”板块展示近7天内您的资产中检测到的告警数量及类型。 威胁检测服务（Managed Threat Detection，MTD）持续监控恶意活动和未经授权的行为，从而保护账户和工作负载。该服务通过集成AI智能引擎、威胁情报、规则基线等检测模型，识别各类云服务日志中的潜在威胁并输出分析结果，从而提升用户告警、事件检测准确性，提升运维运营效率。 开通威胁检测服务（MTD）后，才支持检测云服务日志数据中的访问行为，发现是否存在潜在威胁，对可能存在威胁的访问行为生成告警信息，输出告警结果。如果未开通，请单击“立即开通”，购买威胁检测服务。 图8 开通威胁检测服务

安全评分 “安全评分”板块根据不同版本的威胁检测能力，评估整体资产安全健康得分，可快速了解未处理风险对资产的整体威胁状况，如图1。 图1 安全评分 分值范围为0～100，分值越大表示风险越小，资产更安全，安全分值详细说明请参见安全评分。 分值环形图不同颜色表示不同威胁等级。例如，黄色对应“中危”。 单击“立即处理”，系统右侧弹出“安全风险处理”页面，您可根据该页面的提示，参考对应的帮助文档或直接对风险进行处理。 安全风险处理页面中包含所有需要您尽快处理的安全风险和威胁，分为“威胁告警”、“漏洞”、“合规检查”三大类别。 “安全风险处理”页面中显示的数据为最近/最新检测后的数据结果，“检测结果”页面（单击“前往处理”，进入该页面）显示的是所有检测时间的各类数据详情，因此，安全风险处理页面的数据总数≤检测结果页面的数据总数。 处理安全风险： 在“安全评分”栏中，单击“立即处理”，系统右侧弹出“安全风险处理”页面。 在“安全风险处理”页面中，单击“前往处理”，进入检测结果页面。 选择一个或多个“未处理”状态的结果，单击“忽略”或“标记为线下处理”，对不同检测结果批量执行相应的处理操作。 忽略：如果确认该检测结果不会造成危害，在“忽略风险项”窗口记录“处理人”、“忽略理由”，可标记为“已忽略”状态。 标记为线下处理：如果该检测结果已在线下处理，在“标记为线下处理”窗口记录“处理人”、“处理时间”和“处理结果”，可标记为“已线下处理”状态。 资产风险修复，并手动刷新告警事件状态后，安全评分实时更新。资产安全风险修复后，也可以直接单击“重新检测”，重新检测资产并进行评分。 由于检测需要一定的时间，请您在单击“重新检测”按钮5分钟后，再刷新页面，查看最新检测的安全评分。 资产安全风险修复后，为降低安全评分的风险等级，需手动忽略或处理告警事件，刷新告警列表中告警事件状态。 安全评分显示为历史扫描结果，非实时数据，如需获取最新数据及评分，可单击“重新检测”，获取最近的数据。

安全评分扣分项 安全评分扣分项及其分值情况如表2所示。 表2 安全评分扣分项 分类 扣分项 单项扣分项 处理建议 最高扣分上限 合规检查 存在未处理的致命不合规项 10 按照合规修复建议指导进行合规问题修复，修复后重新触发扫描任务，自动刷新评分。 20 存在未处理的高危不合规项 5 存在未处理的中危不合规项 2 存在未处理的低危不合规项 0.1 漏洞 存在未处理的致命漏洞 10 按照漏洞修复建议指导进行漏洞修复，修复后重新触发漏洞扫描任务，自动刷新评分。 20 存在未处理的高危漏洞 5 存在未处理的中危漏洞 2 存在未处理的低危漏洞 0.1 威胁告警 存在未处理的致命告警事件 10 按照威胁事件处置指导建议进行修复，修复后自动刷新评分。 30 存在未处理的高危告警事件 5 存在未处理的中危告警事件 2 存在未处理的低危告警事件 0.1

主机安全事件统计 如图3所示，主机安全事件详情展示了当天威胁主机安全的5种告警类型，分别是暴力破解、异地登录、恶意程序、网站后门、文件变更。一个环形图表示一种类型，每个环形图中间的数字表示当天此种威胁出现的次数。环形图下方的风险主机台数体现了当天遭受此种威胁的主机数，亮蓝色的环形占总环形的比例表示风险主机占总资产的比例，以暴力破解环形图为例，当天一共有2台主机遭受了1次暴力破解。 图3 主机安全事件详情

风险主机地图 区域维度风险主机直观展示了当天不同华为云区域内是否有风险主机。没有风险主机的区域，指示灯为绿色，有威胁主机的区域，指示灯为红色。当用鼠标单击亮灯的区域时，则分别显示出该区域的主机总数、Windows系统主机台数、Linux系统主机台数和该区域的风险主机台数。通过将风险主机具象化，用户可以直观的了解资产的安全状况。 “华为云主机安全态势”大屏风险主机示意地图，根据华为云部署区域概略展示，背景地图不能做高精确定位。 “华为云主机安全态势”大屏风险主机示意地图，仅用于演示与汇报，不是为了任何非法目的，也不具有任何恶意。

前提条件 给用户组授权之前，请您了解用户组可以添加的SA权限，并结合实际需求进行选择，SA支持的系统权限，请参见SA系统权限。若您需要对除SA之外的其它服务授权，IAM支持服务的所有权限请参见系统权限。 如表1所示，包括了SA的所有系统权限。 表1 SA系统权限 策略名称 描述 类别 依赖关系 SA FullAccess 态势感知的所有权限。 系统策略 无 SA ReadOnlyAccess 态势感知只读权限，拥有该权限的用户仅能查看态势感知数据，不具备态势感知配置权限。 系统策略 无 目前，“SA FullAccess”或“SA ReadOnlyAccess”权限需要配合“Tenant Guest”权限才能使用。具体说明如下： 配置SA所有权限：“SA FullAccess”和“Tenant Guest”权限。 其中，如果需要使用SA的资源管理和基线检查功能需要配置以下权限： 资源管理：“SA FullAccess”和“Tenant Administrator”权限，详细操作请参见配置相关功能所需的权限。 基线检查：“SA FullAccess”、“Tenant Administrator”和IAM相关权限，详细操作请参见配置相关功能所需的权限。 配置SA只读权限：“SA ReadOnlyAccess”和“Tenant Guest”权限。

示例流程 图1 给用户授予SA权限流程 创建用户组并授权 在IAM控制台创建用户组，并授予态势感知的权限“SA FullAccess”和“Tenant Guest”。 创建用户并加入用户组 在IAM控制台创建用户，并将其加入1中创建的用户组。 用户登录并验证权限 新创建的用户登录控制台，切换至授权区域，验证权限： 在服务列表中选择除态势感知外（假设当前策略仅包含“SA FullAccess”）的任一服务，若提示权限不足，表示“SA FullAccess”已生效。 配置委托。 其中，如果需要使用SA的资源管理和基线检查功能需要配置以下权限： 资源管理：“SA FullAccess”和“Tenant Administrator”权限，详细操作请参见配置相关功能所需的权限。 基线检查：“SA FullAccess”、“Tenant Administrator”和IAM相关权限，详细操作请参见配置相关功能所需的权限。

网站漏洞 态势感知通过接入漏洞管理服务的扫描结果数据，集中呈现网站存在的漏洞，提供详细的漏洞分析结果，并针对不同类型的漏洞提供专业可靠的修复建议。 网站漏洞共支持8大类漏洞项的检测，详情扫描内容参见表2。 表2 网站漏洞检测项说明 检测项 说明 Web常规漏洞扫描 默认必选扫描项。扫描常规的30+种Web漏洞，包括XSS、SQL等网站漏洞。 端口扫描 （可选）扫描服务器端口的开放状态，检测出容易被黑客发现的“入侵通道”。 弱密码扫描 （可选）扫描网站的弱密码漏洞。 全方位的OS连接，涵盖90%的中间件，支持标准Web业务弱密码检测、操作系统、数据库等弱口令检测。 丰富的弱密码匹配库，模拟黑客对各场景进行弱口令探测。 CVE漏洞扫描 （可选）接入公共暴露漏洞库（Common Vulnerabilities and Exposures，CVE），根据漏洞库快速更新漏洞规则，扫描CVE最新漏洞。 网页内容合规检测（文字） （可选）检测网站文字的合规性。 网页内容合规检测（图片） （可选）检测网站图片的合规性。 网站挂马检测 （可选）检测网站的挂马漏洞风险。 链接健康检测 （可选）检测网站的链接地址健康性，避免死链、暗链、恶意链接。

背景介绍 态势感知通过集成华为云安全公告、漏洞扫描数据，以及实施扫描任务，集中呈现云上资产漏洞风险，以及实时通报突发安全漏洞预警，帮助用户及时发现资产安全短板，修复危险漏洞。 态势感知支持以下类型的漏洞： 应急漏洞公告 接入华为云安全公告数据信息，呈现业界近期广泛披露的热点安全漏洞。 主机漏洞 包括Linux软件漏洞、Windows系统漏洞、Web-CMS漏洞。 网站漏洞 包括Web常规漏洞、端口漏洞、弱密码、CVE漏洞、网页内容合规（图片、文字）、网站挂马、链接健康等共8大类漏洞的检测。

主机漏洞 态势感知通过授权主机，并一键扫描主机漏洞，呈现主机漏洞扫描检测信息，支持查看漏洞详情，并提供相应漏洞修复建议。 主机漏洞共支持3大类漏洞项的检测，详情请参见表1说明。 表1 主机漏洞检测项说明 检测项 说明 Linux软件漏洞检测 通过与漏洞库进行比对，检测系统和软件（例如：SSH、OpenSSL、Apache、MySQL等）是否存在的漏洞，呈现漏洞结果，并提供修复建议。 Windows系统漏洞检测 通过订阅微软官方更新，判断服务器上的补丁是否已经更新，并推送微软官方补丁，呈现漏洞结果，并提供修复建议。 Web-CMS漏洞检测 通过对Web目录和文件进行检测，识别出Web-CMS漏洞，呈现漏洞结果。

全网安全地图 如图3所示，全网安全地图以区域维度动态展示了客户所有资产近7天内受到的威胁情况。通过将攻击源和攻击目标具象化，用户可以直观了解资产的安全状况。图中每个圆圈代表一个华为云区域，每个华为云区域发生的告警来源通过攻击线在地图上表示出来，最多显示20条告警。 “综合态势感知”大屏全网安全示意地图，根据华为云部署区域概略展示，背景地图不能做高精确定位。 “综合态势感知”大屏全网安全示意地图，仅用于演示与汇报，不是为了任何非法目的，也不具有任何恶意。 图3 全网安全地图

Linux操作系统：授权脚本执行 在弹出的“配置授权信息”窗口中，选择“方法二：授权脚本执行”。 单击右侧的“复制”，复制开通授权的命令。 使用远程管理工具（例如：“Xshell”、“SecureCRT”、“PuTTY”），通过弹性IP地址登录到待开通授权的弹性云服务器。 也可使用弹性云服务器的“远程登录”功能，登录弹性云服务器。 执行复制的命令（这里用“SecureCRT”工具登录）。 提示“Install Success”时则执行成功，完成Linux主机授权。 脚本执行授权成功后，在主机授权列表页面，暂时不能显示已授权信息，仅能通过脚本运行结果验证授权成功与否。 # curl -O -s http://XX.XX.XX.XX/southchina-vss-hostscan/vss_hostscan_427c_install.sh && bash vss_hostscan_427c_install.sh --start[INFO] Uninstall Success[INFO] Create vss_hostscan_55e9 account[INFO] Grant sudo privileges for vss_hostscan_55e9[INFO] Inject SSH Public Key[INFO] Install Success

Windows操作系统：Windows账号登录 在弹出的对话框中，选择已有Windows账号。 单击“确定”，完成Windows主机授权。 授权成功后，可在主机授权列表，查看对应主机的已授权信息。 图4 配置授权信息 若无可用Windows账号，需首先创建Windows账号。 单击“创建Windows账号”，配置Windows账号信息，具体参数说明参考表2。设置完成后，单击“确认”，账可使用该账号对主机授权。 如果需要修改已有Windows账号，单击“编辑”，修改号信息。 如果需要删除已有Windows账号，单击“删除”，删除账号。 图5 创建Windows账号 表2 参数说明 参数名称 参数说明 Windows账号别称 自定义Windows账号名称。 选择加密密钥 选择已有的加密密钥，或者单击“创建密钥”，创建新的密钥，具体方法请参考创建密钥。 用户名 默认为Administrator。 密码 Windows系统登录密码。 账号域 查看该Windows系统的账号域并填写到此处，该参数也可以为空，不填写。

Linux操作系统：SSH账号登录 在弹出的“配置授权信息”窗口中，选择“方法一：SSH账号登录”。 图2 选择SSH账号 在下拉框中选择已有的SSH账号。 单击“确定”，完成Linux主机授权。 授权成功后，可在主机授权列表，查看对应主机的已授权信息。 若无可用SSH账号，需首先创建SSH账号。 单击“创建SSH账号”，账置SSH账号信息，具体参数说明参考表1。设置完成后，单击“确认”，即可使用该账号对主机授权。 若需要修改已有SSH账号，单击“编辑”，修改账号信息。 若需要删除已有SSH账号，单击“删除”，删除账号。 图3 账建SSH账号信息 表1 参数说明 参数名称 参数说明 SSH账号别名 自定义SSH账号名称。 登录端口 SSH账号登录的端口号。 选择登录方式 选择登录方式。可选择：“密码登录”或“密钥登录”。 选择“密钥登录”时，需要“创建私钥”。 选择加密密钥 选择已有的加密密钥，或者单击“创建密钥”，创建新的密钥，具体方法请参考创建密钥。 Root权限是否加固 打开该权限后，不可以用root账号直接登录，而是只能通过普通用户登录，然后才能切换到root用户。 sudo用户名 默认为root。 sudo密码 设置sudo用户对应的密码，单击“加密保存”，对密码进行加密保存。

约束限制 目前分析报告功能处于公测（beta）阶段，如有问题，请联系华为云技术支持进行处理。 安全报告发送的约束限制如表1所示。 表1 安全报告限制说明 报告类型 触发方式 是否支持多次编辑并发送 单次报告 手动 支持 周期报告 手动、自动 自动发送时，必须编辑接收人邮箱地址、汇报组织、组织图标等信息后，才能开启自动发送。 仅支持编辑并发送一次 历史报告 手动 不可编辑，支持多次发送 所有报告一次最多可发送到10个邮箱。

约束限制 目前分析报告功能处于公测（beta）阶段，如有问题，请联系华为云技术支持进行处理。 仅专业版支持使用分析报告功能。 默认创建定期周报和月报各一个，可免费生成2期报告。专业版最多可创建12个安全报告，可多次生成报告。 支持创建周报、月报、自定义报告。 周期报告：默认周报和月报，统计上一周或上一月安全信息。 单次报告：可自定义季度报、月报、周报、日报等，分别按季度、月、周、日等周期统计安全信息。

后续管理 图10 版本管理窗口 若需变更资产配额，可单击“增加配额”，添加资产配额购买，详细说明请参见增加资产配额。 若未同时开通综合大屏功能，可单击“立即开通”，开通大屏功能，详细说明请参见开通综合大屏。 若购买的按需资源后，需长期使用态势感知服务，可单击“转包周期”，将资源计费模式转为包年/包月，详细说明请参见按需转包周期。 若购买的包周期版本即将到期或已经到期，可单击“续费”，延长当前包周期资源的使用期限，详细说明请参见续费。 若不再使用资产配额或综合大屏功能，可单击“退订”或“取消”，退订相应态势感知服务，详细说明请参见退订。

背景信息 态势感知 SA服务即将下线，态势感知 SA的能力将由安全云脑 SecMaster服务提供。为了避免影响您的业务，建议您使用安全云脑，购买安全云脑详细操作请参见购买安全云脑。 态势感知提供基础版、标准版、专业版供您选择。 用户可免费体验基础版。 基础版仅提供检测部分威胁风险，呈现一定云上资产安全态势。 为及时和深入了解资产安全状况，确保云上资产安全，建议您升级为标准版或专业版。 标准版提供一定种类的威胁检测和分析服务，包括威胁分析、告警设置、主机漏洞、安全日志管理等功能。若需要使用标准版，你需根据全局资产数购买配额，一个资产配额支持全方位防护一台资产。 专业版提供更多种类的威胁检测和分析服务，包含威胁分析、告警设置、主机漏洞、网站漏洞、基线检查、安全日志管理及综合大屏等功能。若需使用专业版服务，您需根据全局资产数购买配额，一个资产配额支持全方位防护一台资产。 更多基础版、标准版、专业版功能差异，请参见服务版本差异。 综合大屏提供“综合态势感知大屏”和“主机安全态势大屏”两种大屏模式，集中展示云上综合安全态势和主机安全状况。综合大屏功能为专业版额外选购付费项目，您可以在购买资产配额后，参考开通综合大屏再购买。 基础版不支持退订。 标准版不支持直接升级到专业版，且专业版也不支持直接变更到标准版。如需使用对应版本，需退订当前版本后再进行购买。 标准版仅支持通过包周期计费模式进行购买。 不支持部分配额购买标准版，部分配额购买专业版。 综合大屏为专业版额外选购付费项目，如需使用综合大屏，请先购买专业版。

查看威胁情报溯源 本部分介绍如何查看威胁情报溯源。 前提条件 已启用产品集成，具体操作请参见启用产品集成。 操作步骤 进入目标检测结果的详情页面，在“攻击源信息”中，单击“威胁情报溯源”。 图3 威胁情报溯源 选择威胁情报分析平台。 图4 分析平台 在弹出的确认框中，确认授权并单击“同意并立即前往”，系统进入安天威胁分析平台。 首次登录需注册。 安天分析平台在用户注册后，享受免费试用24小时。试用结束后，需要用户线下购买安天分析能力服务，安天平台人工审核通过后，可继续享用该服务。 查看威胁分析数据。 安天威胁分析示例如图5所示。 图5 威胁分析数据

DDoS防护与Anti-DDoS流量清洗、DDoS原生高级防护和DDoS高防是什么关系？ 针对DDoS攻击，华为云提供多种安全防护方案，您可以根据您的实际业务选择合适的防护方案。华为云DDoS防护服务（Anti-DDoS Service，简称AAD）提供了DDoS原生基础防护（Anti-DDoS流量清洗）、DDoS原生高级防护和DDoS高防三个子服务。 其中，Anti-DDoS流量清洗为免费服务，DDoS原生高级防护和DDoS高防为收费服务。 三个子服务的应用场景和DDoS攻击防御能力说明如表1所示。 表1 DDoS防护方案说明 子服务 简介 应用场景 DDoS攻击防御能力 DDoS原生基础防护（Anti-DDoS流量清洗） 通过对互联网访问公网IP的业务流量进行实时监测，及时发现异常DDoS攻击流量。在不影响正常业务的前提下，根据用户配置的防护策略，清洗掉攻击流量。同时，Anti-DDoS为用户生成监控报表，清晰展示网络流量的安全状况。 使用华为云即可使用Anti-DDoS流量清洗服务，可以满足华为云内弹性公网IP（IPv4和IPv6）较低安全防护需求。 为普通用户免费提供2Gbps的DDoS攻击防护，最高可达5Gbps（具体视华为云可用带宽情况）。 2Gbps是流量峰值，即Anti-DDoS防护流量达到的最大值。 说明： 华为云各区域的防护阈值保持一致。 DDoS原生高级防护 为提升华为云ECS、ELB、WAF、EIP等云服务的DDoS防御能力，华为云推出DDoS原生高级防护。 DDoS原生高级防护对华为云上的IP生效，无需更换IP地址，通过简单的配置，提供的安全能力就可以直接加载到云服务上，提升云服务的安全防护能力。 DDoS原生高级防护适用于部署在华为云服务上，且华为云服务有公网IP资源的业务，能够满足业务规模大、对网络质量要求高的用户。 DDoS原生高级防护适用于具有以下特征的业务： 偶尔遭受DDoS攻击 说明： 如果您需要Tbps级别的云原生防护能力，建议您选择：DDoS原生高级防护-全力防高级版。 业务部署在华为云服务上，且云服务能提供公网IP资源 须知： DDoS原生防护-全力防高级版的EIP必须为全力防护专属资源池中的EIP。 业务带宽或QPS较大 例如，在线视频、直播等对业务带宽要求比较高的领域。 IPv6类型业务防护需求 华为云上公网IP资源较多 业务中大量端口、域名、IP需要DDoS攻击防护 须知： DDoS原生高级防护和WAF联动防护时，只能和独享WAF配合使用，详细操作请参见华为云“DDoS原生高级防护+云模式WAF（ELB接入）”联动防护。 DDoS原生标准版：20G DDoS原生防护-全力防基础版 共享全力防护，防护能力不低于20G。 DDoS原生防护-全力防高级版 共享全力防护，防护能力最高可达1T。 除了支付防护费用，同时需要支付专属资源EIP和业务带宽费用。 DDoS高防 DDoS高防通过高防IP代理源站IP对外提供服务，将所有的公网流量都引流至高防IP，进而隐藏源站，避免源站（用户业务）遭受大流量DDoS攻击。 支持华为云、非华为云及IDC的互联网主机。 DDoS高防服务 适用于如下场景： 业务频繁遭受DDoS攻击，需要持续性的防护，保障业务的连续性。 须知： DDoS高防不支持接入未经ICP备案的域名。如果您需要使用DDoS高防防护网站业务，请确认网站域名已经完成ICP备案。 DDoS高防默认提供3000QPS防护，如有更高QPS防护诉求，请结合华为云WAF实现，详细操作请参见华为云"DDoS高防+WAF"联动。 中国内地用户访问内地以外地区的网络访问质量无法保证。 15T以上DDoS高防总体防御能力，单IP最高1T防御能力，抵御各类网络层、应用层的DDoS攻击。 15T是指DDoS高防机房的整体防御能力 1T是指单个高防IP的最大防护能力 DDoS高防国际版 业务服务器部署在中国内地以外地域，且业务主要用户来自中国内地以外地域，您需要购买DDoS高防国际版。 中国内地用户访问内地以外地区的网络访问质量无法保证。 购买DDoS高防国际版前，建议您考虑使用以下方案：中国内地以外地域的服务器选择使用DDoS高防国际版，并且不对中国内地用户提供业务访问。 5T以上DDoS高防总体防御能力，支持AnyCast无限次防护能力。 父主题： 公共问题