检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
查看实例信息 开通DDoS原生高级防护后,您可以通过实例列表查看已购买的实例信息,确保实例状态正常。 查看DDoS原生高级防护实例信息 登录管理控制台。 在页面上方选择“区域”后,单击页面左上方的,选择“安全与合规 > DDoS防护 AAD”,进入“Anti-DDoS流量清洗”界面。
实例列表”,进入“实例列表”页面。 在实例列表界面,查看高防实例信息,相关参数说明如表1所示。 图1 实例信息 表1 实例参数说明 参数名称 说明 实例名称 高防实例的名称,单击名称右边的,可以更改实例名称。 业务带宽 实例的业务带宽和状态。 企业项目 实例所属的企业项目。 接入类型 接入实例的防护对象类型。
相关操作 选择“黑名单”页签,单击操作列的“删除”或批量勾选要删除的黑名单,在列表左上方单击“删除”,被删除的黑名单IP,设备将不再拦截其访问流量。 选择“白名单”页签,单击操作列的“删除”或批量勾选要删除的白名单,在列表左上方单击“删除”,被删除的白名单IP,设备将不再直接放行其访问流量。
参数名称 说明 域名 防护的域名,单击域名可查看域名的Web CC防护详情。 CNAME 域名通过CNAME解析的CNAME信息。 单击,可以复制“CNAME”。 实例与线路 域名的CNAME接入状态。 域名的实例线路信息,单击“查看详情”,可以查看域名配置的实例线路的详细信息。 开启“
云审计服务支持的Anti-DDoS操作 云审计服务(Cloud Trace Service,CTS)记录了Anti-DDoS相关的操作事件,方便用户日后的查询、审计和回溯,具体请参见云审计服务用户指南。 云审计服务支持的Anti-DDoS操作列表如表1所示。 表1 CTS支持的Anti-DDoS操作列表
云审计服务支持的DDoS高防操作 云审计服务(Cloud Trace Service,CTS)记录了DDoS高防相关的操作事件,方便用户日后的查询、审计和回溯,具体请参见云审计服务用户指南。 云审计服务支持的DDoS防护操作列表如表1所示。 表1 云审计支持的DDoS高防操作列表 操作名称
云审计服务支持的DDoS原生高级防护操作 云审计服务(Cloud Trace Service,CTS)记录了DDoS防护相关的操作事件,方便用户日后的查询、审计和回溯,具体请参见云审计服务用户指南。 云审计服务支持的DDoS防护操作列表如表1所示。 表1 云审计支持的DDoS防护操作列表
of strings 实例ID列表 请求示例 无 响应示例 状态码: 200 实例ID列表 { "instance_ids" : [ "c81cXXXX-XXXX-XXXX-XXXX-XXXXb984" ] } 状态码 状态码 描述 200 实例ID列表 400 Error 错误码
修改TLS配置 域名接入DDoS高防后,您可以通过域名接入列表,修改HTTPS证书配套的最低TLS版本和加密算法。 低于最低TLS版本的请求将无法正常访问。 修改TLS配置 登录管理控制台。 在页面上方选择“区域”后,单击页面左上方的,选择“安全与合规 > DDoS防护 AAD”,进入“Anti-DDoS流量清洗”界面。
接入DDoS高防后的防护建议 当业务接入DDoS高防服务后,保障访问安全是非常重要的,因为这关系到源站的安全和业务的连续性。 以下是一些具体的建议,用于保护源站服务器并提升业务的可用性。 防护建议 在不同环节,您可以采取以下措施来降低业务遭受DDoS攻击的风险,提升源站服务器的安全性。主要方法如表1和表2所示。
查询Anti-DDoS配置可选范围 功能介绍 查询系统支持的Anti-DDoS防护策略配置的可选范围,用户根据范围列表选择适合自己业务的防护策略进行Anti-DDoS流量清洗。 调用方法 请参见如何调用API。 URI GET /v2/{project_id}/antiddos/query-config-list
如何判断遭受的攻击类型? 您可以在DDoS高防概览界面,通过查看相应的流量报表信息,判断遭受的攻击类型为CC攻击还是DDoS攻击。 判断方法 如果您的DDoS高防同时遭受到CC攻击和DDoS攻击时,可参照以下方法快速判断遭受的攻击类型: 登录管理控制台。 在页面上方选择“区域”后,单击页面左上方的,选择“安全与合规
Administrator策略权限,详细设置方法请参见创建用户并授权使用Anti-DDoS。 依赖服务的权限设置 如果IAM用户需要在Console控制台拥有相应功能的查看或使用权限,请确认已经对该用户所在的用户组设置了Anti-DDoS Administrator策略的集群权限,再按如下表1增加依赖服务的角色或策略。
源站使用过的IP,存在绕过高防直接攻击源站IP的情况,建议更换源站IP。 图1 源站IP暴露典型原因 解决方案 以弹性云服务器为例,通过为弹性云服务器实例重新分配弹性公网IP(Elastic IP,简称EIP),将已暴露的EIP更换为未暴露的EIP,实现修改源站IP的目的。 图2
控制台的权限依赖 DDoS高防对其他云服务有诸多依赖关系,因此在您开启IAM系统策略授权后,在Console控制台的各项功能需要配置相应的服务权限后才能正常查看或使用,依赖服务的权限配置均基于您已设置了IAM系统策略授权的AAD FullAccess或AAD ReadOnlyAc
控制台的权限依赖 DDoS原生高级防护对其他云服务有诸多依赖关系,因此在您开启IAM系统策略授权后,在Console控制台的各项功能需要配置相应的服务权限后才能正常查看或使用,依赖服务的权限配置均基于您已设置了IAM系统策略授权的CNAD FullAccess或CNAD Read
并给用户组授予策略或角色,才能使用户组中的用户获得相应的权限,这一过程称为授权。授权后,用户就可以基于已有权限对云服务进行操作。 权限根据授权的精细程度,分为角色和策略。角色以服务为粒度,是IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。策略授权更加精细,可以精确
并给用户组授予策略或角色,才能使用户组中的用户获得相应的权限,这一过程称为授权。授权后,用户就可以基于已有权限对云服务进行操作。 权限根据授权的精细程度,分为角色和策略。角色以服务为粒度,是IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。策略授权更加精细,可以精确
流量限制列表 http_limited_list 是 列表数据结构 HTTP限制列表 connection_limited_list 是 列表数据结构 连接数限制列表 traffic_limited_list字段数据结构说明 参数 是否必选 类型 说明 traffic_pos_id 是
单击“下一步”,在高防实例名称列表中选择实例与线路后,单击“提交并继续”,继续完成添加域名操作。 有关添加域名的详细操作,请参见网站类业务接入。 方法二:重新选择待添加域名的高防“线路”,确保待添加防护域名未使用其他域名(已接入DDoS高防)的高防“线路” 重新选择其他未被其他域名使用的高防线路。