检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
environment variables CLOUD_SDK_AK and CLOUD_SDK_SK in the local environment ak = os.environ["CLOUD_SDK_AK"] sk = os.environ["CLOUD_SDK_SK"]
查看数据报表 业务接入DDoS高防后,您可以通过查看DDoS攻击防护数据报表和CC攻击防护数据报表,了解当前业务的网络安全状态。 在“概览”页面,您可以查看以下数据信息: DDoS攻击防护 可以查看指定时间段的安全总览信息、流量趋势、协议分布、连接数、攻击分布、安全事件、黑洞事件等信息。
查看DDoS原生高级防护数据报表 登录管理控制台。 在页面上方选择“区域”后,单击页面左上方的,选择“安全与合规 > DDoS防护 AAD”,进入“Anti-DDoS流量清洗”界面。 在左侧导航栏选择“DDoS原生高级防护 > 概览”,进入DDoS原生高级防护“数据报表”页面。 图1 数据报表页面 表1
添加防护对象 开通DDoS原生高级防护后,您需要将华为云上的公网IP资源添加为防护对象,才能为公网IP资源开启DDoS原生高级防护。 约束与限制 添加的防护对象(例如ECS、ELB、WAF、EIP等)IP资源所在区域与购买的DDoS原生高级防护实例区域相同。 全力防高级版只能防护专属EIP,原生防护2
environment variables CLOUD_SDK_AK and CLOUD_SDK_SK in the local environment ak = os.getenv("CLOUD_SDK_AK") sk = os.getenv("CLOUD_SDK_SK")
在弹出的“IP黑白名单设置”页面中,选择“黑名单”或“白名单”页签后,单击“添加”。 图3 添加IP 在弹出的对话框中,输入黑名单IP/IP段(需要拦截的IP)或白名单IP/IP段(需要放行的IP)后,单击“确定”,如图4和图5所示。 图4 添加黑名单IP 图5 添加白名单IP 相关操作 选择“黑名单”页签,单
environment variables CLOUD_SDK_AK and CLOUD_SDK_SK in the local environment ak = os.getenv("CLOUD_SDK_AK") sk = os.getenv("CLOUD_SDK_SK")
restricted 操作权限受限 申请权限 403 Anti-DDoS.11000001 Access to the database is rejected 数据库访问被拒绝 联系管理员 500 Anti-DDoS.11000000 Internal system exception
com解析到高防的CNAME,高防防护保证登录功能稳定运行。 图1 “DDoS高防+CDN”联动方案原理说明 表1 方案说明 类别 定义 举例 解决方案 动态资源 服务器端在应答客户请求前需要和数据库进行交互的业务。 支付 登录 动态资源的域名解析到高防的CNAME。高防防护能够保证登录、支付等功能平台稳定运行不中断。
在“新建水印”对话框中,设置水印参数。 图5 新建水印 表1 水印参数说明 参数 说明 水印名称 输入水印名称。 协议 当前仅支持UDP协议。 关键字 输入关键字,最多可输入两个关键字。 端口范围 支持的端口范围为1~65535。 单击“确定”,水印添加成功。 本节主要以C语言进行示例,指导客户
environment variables CLOUD_SDK_AK and CLOUD_SDK_SK in the local environment ak = os.environ["CLOUD_SDK_AK"] sk = os.environ["CLOUD_SDK_SK"]
防护策略概述 DDoS原生高级防护提供了丰富的防护策略,购买实例后,您可以根据业务需要选择适合的防护策略,如表1所示。 防护策略设置错误可能导致攻击漏防或流量误清洗,请根据业务实际谨慎操作。 表1 防护策略 防护策略 章节 说明 基础防护 设置基础防护策略拦截攻击流量 为防护对象设置基础防护
云审计服务支持的DDoS高防操作 云审计服务(Cloud Trace Service,CTS)记录了DDoS高防相关的操作事件,方便用户日后的查询、审计和回溯,具体请参见云审计服务用户指南。 云审计服务支持的DDoS防护操作列表如表1所示。 表1 云审计支持的DDoS高防操作列表 操作名称 事件名称 上传/修改证书
云审计服务支持的DDoS原生高级防护操作 云审计服务(Cloud Trace Service,CTS)记录了DDoS防护相关的操作事件,方便用户日后的查询、审计和回溯,具体请参见云审计服务用户指南。 云审计服务支持的DDoS防护操作列表如表1所示。 表1 云审计支持的DDoS防护操作列表 操作名称 事件名称 更新告警通知配置
配置转发规则时为什么某些端口配置失败? 故障现象 添加转发规则时,“转发端口”和“源站端口”配置为某些特定端口时,转发规则配置失败。 端口取值范围1~65535。 原因分析 DDoS高防判定表1中的端口为高危端口,禁止使用。 表1 高危端口 协议 端口 TCP类 135、136、
AAD”,进入“Anti-DDoS流量清洗”界面。 在左侧导航栏选择“DDoS原生高级防护 > 防护策略”,进入DDoS原生高级防护“防护策略”页面。 在防护策略列表的左上方,单击“创建策略”。 在弹出的“创建策略”对话框中,设置“策略名称”并选择所属实例后,单击“确定”。 图1 创建策略 在目标防护策略
AAD”,进入“Anti-DDoS流量清洗”界面。 在左侧导航栏选择“DDoS原生高级防护 > 防护策略”,进入DDoS原生高级防护“防护策略”页面。 在防护策略列表的左上方,单击“创建策略”。 在弹出的“创建策略”对话框中,设置“策略名称”并选择所属实例后,单击“确定”。 图1 创建策略 在目标防护策略
AAD”,进入“Anti-DDoS流量清洗”界面。 在左侧导航栏选择“DDoS原生高级防护 > 防护策略”,进入DDoS原生高级防护“防护策略”页面。 在防护策略列表的左上方,单击“创建策略”。 在弹出的“创建策略”对话框中,设置“策略名称”并选择所属实例后,单击“确定”。 图1 创建策略 在目标防护策略
封禁指定区域的流量 DDoS原生高级防护支持封禁海外流量策略配置,策略生效后,来自海外的访问流量将被丢弃。 不同产品版本的策略生效条件不一样,具体请参见表1。 表1 区域封禁生效条件 产品版本 区域封禁生效条件 标准版 开启策略并触发攻击时生效。 全力防基础版 开启策略并触发攻击时生效。 全力防高级版
添加防护策略 防护策略概述 设置基础防护策略拦截攻击流量 通过水印防护抵御CC攻击 通过黑白名单拦截/放行指定IP的流量 封禁指定端口的流量 封禁指定协议的流量 通过指纹特征设置流量处理策略 通过高级防护策略限制异常连接 封禁指定区域的流量 父主题: DDoS原生高级防护操作指南
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
