文档首页/ DDoS防护 AAD/ 最佳实践/ DDoS原生高级防护最佳实践/ 为遭受攻击的IP开通DDoS原生防护
更新时间:2026-07-01 GMT+08:00
分享

为遭受攻击的IP开通DDoS原生防护

应用场景

如果华为云提供的基础防护能力无法阻挡DDoS攻击时,您可以开通DDoS原生高级防护,保障您的业务免受攻击影响。

DDoS原生高级防护(Cloud Native Anti-DDoS,CNAD)是华为云推出的针对华为云ECS、ELB、WAF、EIP等云服务直接提升其DDoS防御能力的安全服务。DDoS原生高级防护针对华为云上的EIP生效,通过简单的配置,DDoS原生高级防护提供的安全能力就可以直接加载到云服务上,提升云服务的安全防护能力,确保云服务上的业务安全可靠。

前提条件

资源与成本规划

表1 资源与成本规划

资源

资源说明

数量

成本说明

弹性云服务器

绑定EIP。

1

ECS的计费方式及标准请参考ECS计费说明

DDoS原生高级防护

用于提供DDoS攻击防护。

1

DDoS原生高级防护的计费方式及标准请参考DDoS防护AAD计费说明

步骤一:购买原生防护实例

  1. 登录AAD服务控制台
  2. 在界面右上角,单击“购买DDoS防护”,进入“购买DDoS防护”页面。
  3. 设置购买参数后,单击“立即购买”,根据提示完成支付。下面以DDoS原生防护2.0实例类型为例:
    表2 参数说明

    参数

    示例

    说明

    实例类型

    DDoS原生防护2.0

    需要购买的实例类型。用户根据自己需求购买,实例类型分为“DDoS原生防护1.0”、“DDoS原生防护2.0”。

    版本规格

    企业版

    需要购买的版本类型。仅支持“DDoS原生防护2.0”实例。

    防护区域

    中国大陆

    • 中国大陆:适用于业务服务器部署在中国大陆的场景(支持跨Region),仅支持全动态BGP EIP。
    • 中国大陆外:适用于业务服务器部署在亚太地区(当前支持香港)的场景,仅支持优选BGP EIP。

    公网线路计费模式

    按需计费

    • 包年包月:按订单的购买周期,需要用户预先支付一定时长的费用,按照业务带宽计费。
    • 按需计费:按照每天实际产生的干净流量计费。

    业务带宽

    100Mbps

    业务带宽是指高防机房清洗后回源给源站的干净业务流量带宽。建议此业务带宽规格大于或等于源站出口带宽,否则可能会导致丢包或者影响业务。

    公网线路计费模式为包年包月才有该参数。

    弹性业务带宽

    月95计费

    支持弹性的业务带宽值,当业务流量超出业务带宽时确保实例也能正常防护。

    计量规则

    干净流量

    干净流量是指未被污染的正常业务流量,不包含攻击流量。

    防护IP数

    50

    防护IP数是指每个DDoS原生高级防护实例支持防护的EIP数量,建议根据您的云资源拥有的EIP数量进行评估。

    防护IP取值范围50~500。

    实例名称

    CNAD-test

    购买的实例名称,自定义。

    只能由中文字符、英文字母、数字、下划线、中划线组成,且长度小于等于32个字符。

    企业项目

    -

    仅当使用企业类型的账号购买时,会显示该参数,请根据实际选择。

    购买时长

    -

    购买的时长,请根据实际选择。

    购买数量

    -

    购买的数量,请根据实际选择。

  4. 支付完成后,返回控制台,进入“DDoS原生高级防护 > 实例列表”页面。查看列表中已显示购买实例。

步骤二:创建防护策略

原生高级防护支持多种防护策略,此处以清洗策略为例。更多防护策略配置请参考添加防护策略

  1. 在左侧导航栏选择DDoS原生高级防护 > 防护策略,进入“防护策略”页面。
  2. 单击“创建策略”,创建一个策略。
    表3 参数说明

    参数

    示例

    说明

    策略名称

    Policy01

    防护策略的名称,自定义。

    所属实例

    选择3中购买的实例。

    防护策略需要防护的目标实例。

  3. 在创建的策略所在行,单击“配置策略”,进入“策略内容”页面。
  4. “基础防护”下方,单击“设置”
    图1 基础防护
  5. 在弹出的“基础防护设置”对话框中,设置流量清洗档位和防御模式。
    图2 基础防护设置
    表4 参数说明

    参数

    示例

    说明

    流量清洗档位

    300Mbps

    当IP遭受的DDoS攻击带宽超过配置的清洗档位时,触发DDoS原生高级防护对攻击流量进行清洗。

    建议选择与已购买带宽最接近的数值,但不超过已购买带宽。

    防御模式

    正常

    流量达到设定的流量档位,将会触发流量清洗。

    • 宽松:流量达到清洗档位的3倍后触发清洗。
    • 正常:流量达到清洗档位的2倍后触发清洗。
    • 严格:流量达到清洗档位就触发流量清洗。
  6. 单击“确定”。

步骤三:添加防护对象

  1. 在左侧导航栏选择DDoS原生高级防护 > 实例列表,进入DDoS原生高级防护“实例列表”页面。
  2. “选择实例”中,选择3中购买的实例。
  3. 单击“设置防护对象”,进入“防护对象”界面。
  4. 单击页面左上角“添加防护对象”,进入“添加防护对象”页面。
    表5 参数说明

    参数

    说明

    实例名称

    选择需要添加防护对象的实例。

    防护策略

    选择需要添加防护对象的防护策略。

    添加方式

    • “批量选择”:根据资产类型和搜索栏进行搜索后,勾选添加。
    • “批量导入”:手动输入IP地址,多个IP地址之间可用半角逗号(,)、半角分号(;)、换行符(Enter键)或空格进行隔开。
  5. 单击“确定”。返回“防护对象”页面,查看防护列表已有新添加的防护对象。

相关文档