华为云DDoS高防网站业务防护策略配置完全指南：从接入到深度防御

1. DDoS高防概述与产品优势

华为云DDoS高防是面向互联网业务推出的软件高防服务，与成本相对较高的传统硬件高防相比，DDoS高防部署更加便捷，业务接入后即可获得实时防护能力。DDoS高防通过高防IP代理源IP对外提供服务，将所有的公网流量引流至高防IP，进而隐藏源站，避免源站业务遭受大流量DDoS攻击。DDoS高防具备15T以上的总体防御能力，单IP最高可达1Tbps防护能力，能够有效抵御各类网络层和应用层的DDoS攻击。

DDoS高防支持防护的对象包括域名和IP，可服务于华为云、非华为云及IDC的互联网主机。对于域名类业务，支持单域名和泛域名接入；对于非域名类业务，则通过配置转发规则将业务接入高防。DDoS高防支持IPv4和IPv6高防IP，用户可根据业务需求灵活选择。

需要先登录华为云控制台，点击：华为云控制台，还没有账号，点击：注册并关联，已有账号点击：登录后关联

2. 网站类业务接入DDoS高防

网站类业务接入DDoS高防是配置防护策略的第一步，也是最为基础的一步。整个接入流程包括添加防护域名、放行高防回源IP段、本地验证和修改DNS解析四个核心步骤。

2.1 添加防护域名

登录AAD服务控制台后，在左侧导航栏选择“DDoS高防 > 域名接入”页面，在域名列表左上方单击“添加域名”。在添加域名界面需要配置以下关键参数：

防护域名：填写用户实际业务对外提供服务所使用的域名。支持单域名（如www.example.com）和泛域名（如*.example.com）两种形式。如果各子域名对应的服务器IP地址相同，可以直接添加泛域名；如果IP地址不相同，则需要按单域名方式逐条添加。

源站类型：选择待添加防护域名的源站类型，包括“源站IP”和“源站域名”两种。如果选择“源站IP”，需要填写防护域名的源站公网IP地址；如果选择“源站域名”，当前仅支持华为云WAF的CNAME。需要注意的是，如果待添加域名与其他域名使用同一个高防IP与协议/端口，待添加域名和其他域名的“源站类型”必须保持一致。

转发协议与源站端口：转发协议选择“HTTP”或“HTTPS”，即可配置HTTP/WebSocket或HTTPS/WebSockets转发协议。源站端口填写源站服务器实际使用的端口。如果服务器协议为HTTPS，需要上传证书，DDoS高防当前仅支持PEM格式证书。

完成域名信息配置后，选择高防实例与线路，单击“提交并继续”。一个域名可以选择多条线路（高防IP），选择多个高防IP时需确保各高防IP所配置的转发规则个数以及转发协议的转发协议、转发端口和业务类型保持一致。

2.2 放行高防回源IP段

域名添加完成后，DDoS高防会通过公网回源到源站，因此回源到云主机的源站IP为公网IP。为了确保高防回源流量能够正常到达源站服务器，需要在源站服务器的安全组或防火墙中放行DDoS高防的回源IP段。如果源站部署在华为云ECS上，需要在ECS安全组中添加入方向规则，允许来自高防回源IP段的流量通过。

2.3 本地验证

在修改DNS解析之前，建议先进行本地验证，确保域名接入配置正确。可以通过修改本地hosts文件，将域名解析到高防IP，然后访问网站验证是否能够正常访问。验证通过后再进行DNS解析的修改。

2.4 修改DNS解析

完成上述步骤后，可以在域名列表中查看已添加域名的“接入状态”。此时域名“接入状态”为“未接入”，原因为“修改DNS解析”。需要在域名DNS服务商处将域名解析到DDoS高防提供的CNAME地址。修改完成后，所有访问该域名的流量将先经过DDoS高防进行清洗，再转发至源站服务器。

3. 非域名类业务接入DDoS高防

对于没有域名、仅通过公网IP对外提供服务的业务，可以通过配置转发规则将业务接入DDoS高防。配置转发规则后，高防IP会自动将流量转发到源站IP，进而隐藏源站，避免源站遭受大流量DDoS攻击。

在AAD服务控制台选择需要添加转发规则的实例和线路，单击“添加”。需要填写的转发信息包括：转发协议（TCP或UDP）、转发端口、源站端口和源站IP。每个转发规则的“转发协议”和“转发端口”参数是唯一的，不能配置相同的参数。最多可输入20个源站IP地址，IP地址间以逗号分隔。

需要注意的是，出于安全因素考虑，部分运营商会对某些端口进行拦截，建议避免使用TCP端口42、135、137-139、444、445、593、1025、1068、1434、3127-3130、3332、4444、4789、4790、5554、5800、5900、6669、9996，以及UDP端口135-139、445、593、1026-1028、1068、1433、1434、4444、4789、4790、5554、9996、17185。

4. 防护策略配置详解

防护策略是多种防护规则的集合，用于配置和管理Web基础防护、黑白名单、精准访问防护等规则。接入域名后，系统将默认生成一套与该域名关联的防护策略，用户可根据业务需求配置相应的防护规则。在AAD服务控制台左侧导航栏选择“DDoS高防 > 防护策略”，即可进入防护策略配置页面。

4.1 流量清洗阈值设置

流量清洗阈值是触发DDoS防御动作生效的阈值，触发防御后，攻击流量将被拦截，业务流量会被正常放行。流量清洗阈值需要根据业务带宽进行选择，与具体防御策略无关。当流量清洗阈值远低于实际业务带宽时，可能引发误告警；当流量清洗阈值远高于实际业务带宽时，可能导致攻击漏防。因此建议选择与实际业务带宽最接近的数值。档位选择和业务不匹配，可能导致攻击漏防或业务流量误清洗，请选择与所购买带宽最接近的数值，但不超过购买带宽。

4.2 IP黑白名单与协议封禁

DDoS高防支持通过黑白名单拦截或放行指定IP的流量。用户可以将已知的恶意IP加入黑名单，直接拦截其访问请求；将可信IP加入白名单，确保其访问不被拦截。同时支持封禁指定区域的流量和封禁指定协议的流量，用户可以根据业务需求灵活配置。

4.3 频率控制策略（CC攻击防护）

CC攻击是一种常见的应用层DDoS攻击，通过大量合法的请求占用服务器资源，导致正常用户无法访问。DDoS高防提供了频率控制策略来有效缓解CC攻击。用户可以通过设置频率控制策略，限制单个IP、Cookie或Referer访问者对防护网站上源端的访问频率。频率控制支持策略限速、域名限速和URL限速三种模式，可以精准识别CC攻击并有效缓解。

在“DDoS高防 > 防护策略”页面单击“Web CC防护”页签，进入Web CC防护页面。选择需要防护的区域和对象后，在“智能CC”下方单击“设置”即可配置智能CC防护策略。智能CC策略能够自动学习业务访问特征，动态调整防护阈值，在保障正常业务访问的同时有效拦截CC攻击流量。

4.4 防护策略配置注意事项

防护策略设置错误可能导致攻击漏防或流量误清洗，因此需要根据业务实际谨慎操作。建议在配置防护策略前充分了解业务流量特征，包括正常访问量、峰值流量、访问来源分布等，以便制定精准的防护策略。配置完成后应持续监控防护效果，根据业务变化及时调整策略参数。

5. DDoS高防与WAF联动部署

DDoS高防主要防御网络层的DDoS攻击，而Web应用防火墙（WAF）专注于应用层的Web攻击防护。“DDoS高防+WAF”组合可以对华为云、非华为云或云下的域名进行联动防护，同时防御DDoS攻击和Web应用攻击，确保业务持续可靠运行。

5.1 联动防护的原理

DDoS高防通过高防IP代理源IP对外提供服务，将所有的公网流量都引流至高防IP，进而隐藏源站。WAF通过对HTTP(S)请求进行检测，识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击。DDoS高防+WAF配置后，流量被DDoS高防转发到WAF，WAF再将流量转到源站，实现网站流量检测和攻击拦截。

5.2 云模式WAF配置步骤

如果使用云模式WAF，需要先将域名解析到DDoS高防，再修改DDoS高防域名信息，将源站域名修改为WAF的CNAME。具体操作步骤如下：

第一步，在WAF管理控制台获取域名的CNAME值、子域名和TXT记录值。第二步，将CNAME值配置到DDoS高防的源站域名中。第三步，修改DNS解析，将域名解析指向DDoS高防提供的CNAME地址。

为了防止其他用户提前将您的域名配置到WAF上，从而对您的域名防护造成干扰，建议到DNS服务商处添加一条WAF的子域名和TXT记录。配置完成后，流量会先经过DDoS高防，再转发至WAF，实现联动防御。

5.3 独享模式WAF配置步骤

如果使用独享模式WAF，同样需要先将域名解析到DDoS高防，再修改DDoS高防域名信息，将源站IP修改为WAF独享引擎实例配置弹性负载均衡绑定的弹性公网IP。

5.4 联动配置的约束条件

因为DDoS高防是四层Web代理的产品，为了保证WAF的安全策略能够针对真实源IP生效，需要确保域名“是否已使用代理”已配置为“否”。如果WAF前使用了高防、CDN、云加速等代理，配置CC防护规则时，建议“限速模式”选择“用户限速”，并勾选“全局计数”。

6. 计费模式与规格选型

华为云DDoS高防采用包年包月的计费方式，支持“保底+弹性”防护带宽。计费项主要包括业务带宽、保底防护带宽和弹性防护带宽。

业务带宽：高防机房将清洗后的干净流量转发给源站所占用的带宽，采用预付费方式，按月或按年付费。高防机房在华为云外，建议购买的高防业务带宽规格大于或等于源站出口带宽。

保底防护带宽：用于防御攻击的保底带宽，采用预付费方式。如果攻击峰值小于等于客户购买的保底防护带宽，客户无需支付月/年费以外的额外费用。

弹性防护带宽：用于防御攻击的最大可用带宽，采用后付费方式，按天付费。计费标准取决于当日发生的攻击峰值，即一天内发生多次攻击，仅峰值最高的攻击参与计费。如果没有攻击，便不会产生弹性防护费用。用户可以在DDoS高防服务管理控制台调整弹性防护带宽，调整后新的弹性防护带宽可立即生效。如果将弹性防护带宽设置为与基础防护带宽一致，则可以避免产生弹性防护的后付费费用。

DDoS高防实例支持IPv4高防IP和IPv6高防IP。每个用户默认最多可以购买5个DDoS高防实例。出于安全考虑，一个实例只支持一种接入类型（网站接入或IP接入），如果有多重业务类型，需要购买不同接入类型的实例。

7. 通过API管理防护策略

对于需要自动化运维或批量管理的场景，华为云DDoS防护AAD提供了丰富的API接口。API概览中包含了默认防护策略管理、告警配置管理、策略管理等接口。用户可以通过API查询、配置和删除默认防护策略，也可以创建、查询、更新、删除防护策略，以及绑定和解绑防护对象。

此外，API还支持修改高防实例转发配置的源站IP、批量创建高防实例IP的转发规则等操作。通过API实现防护策略的自动化管理，可以大幅提升运维效率，特别适合需要动态调整防护策略的大型业务场景。

8. 防护最佳实践与注意事项

在配置DDoS高防防护策略时，以下几点最佳实践值得关注：

第一，合理设置清洗阈值。如前所述，清洗阈值应与实际业务带宽相匹配，避免误告警或攻击漏防。

第二，开启WEB基础防护后再开启CC防护。开启CC防护前，需要先开启WEB基础防护。

第三，对于多源站场景，DDoS高防在配置多个源站时支持流量分发。可以根据业务需求配置多个源站IP，实现负载均衡和高可用。

第四，关注防护日志。DDoS高防支持查看防护日志，帮助用户了解当前业务的网络安全状态。通过分析防护日志，可以及时发现潜在的安全威胁，优化防护策略。

第五，对于需要更高QPS防护的场景，建议结合华为云WAF使用。DDoS高防默认提供3000QPS防护，如有更高QPS防护请求，应结合华为云WAF实现。

第六，域名接入DDoS高防前，需要确认网站域名已经完成ICP备案。对于云下的业务，需要确保源站IP地址在公网可以正常访问。

9. 常见问题解答

问题一：DDoS高防是否支持泛域名接入？

支持。DDoS高防支持泛域名接入，如果各子域名对应的服务器IP地址相同，可以直接添加泛域名（如*.example.com）。如果各子域名对应的服务器IP地址不相同，则需要按单域名方式逐条添加。

问题二：DDoS高防和WAF可以同时使用吗？如何配置？

可以同时使用。配置步骤为：先在WAF管理控制台获取域名的CNAME值，然后将CNAME值配置到DDoS高防的源站域名中，最后修改DNS解析。配置完成后，流量会先经过DDoS高防，再转发至WAF，实现联动防御。

问题三：DDoS高防实例能否同时支持网站和IP接入？

不能。出于安全考虑，一个实例只支持一种接入类型。如果有多重业务类型，需要购买不同接入类型的实例。

问题四：流量清洗阈值如何设置才合理？

流量清洗阈值需要根据业务带宽进行选择。当阈值远低于实际业务带宽时可能引发误告警，远高于实际业务带宽时可能导致攻击漏防。建议选择与实际业务带宽最接近的数值。

问题五：DDoS高防支持哪些业务端口？

DDoS高防支持常见的业务端口，但部分端口因安全因素被运营商拦截，建议避免使用。被拦截的端口包括TCP的42、135、137-139、444、445、593等，以及UDP的135-139、445、593等。

问题六：DDoS高防的弹性防护带宽如何计费？

弹性防护带宽采用后付费方式，按天付费。计费标准取决于当日发生的攻击峰值，一天内发生多次攻击时仅峰值最高的攻击参与计费。如果没有攻击，便不会产生弹性防护费用。