华为云DDoS防护AAD实战指南：从零搭建企业级高防体系

引言：为什么需要企业级DDoS防护

在数字化转型浪潮中，DDoS攻击已成为企业面临的最普遍网络安全威胁。游戏发布、电商大促、金融结算等关键业务时刻，都可能成为攻击者的重点目标。华为云DDoS防护服务为应对这一挑战，提供了从基础防护到高防清洗的完整解决方案。

需要先登录华为云控制台，点击：华为云控制台，还没有账号，点击：注册并关联，已有账号点击：登录后关联

一、全面认识华为云AAD产品家族

华为云DDoS防护服务包含三个子服务，构成从基础防护到专业高防的完整防护体系。

1.1 DDoS原生基础防护：云上资源的入门级防护盾

这是华为云为用户免费提供的自动防护能力。只要使用华为云弹性公网IP即可激活，系统实时监测公网流量，自动清洗畸形报文、SYN Flood等常见传输层攻击。免费防护能力为2Gbps，最高可达5Gbps，对普通云上业务来说是零成本的基础保障。

1.2 DDoS原生高级防护：不改IP的企业级安全加固

该服务直接叠加在云服务公网IP上，无需更换IP地址，通过简单配置即可大幅提升安全能力。其核心优势在于透明接入的超低时延，适合业务规模大、对网络质量要求高的场景。需要注意的是，DDoS原生高级防护与WAF联动时，只能配合云模式WAF使用。

1.3 DDoS高防：代理模式的强力清洗专家

DDoS高防通过高防IP代理源站IP对外提供服务，将所有流量引流至高防IP，从根本上隐藏源站位置。该服务适用于业务频繁遭受攻击、需要持续性防护的场景。防护能力方面，华为云DDoS高防服务提供超过15Tbps的整体防御能力，单个高防IP最高可防御1Tbps攻击。

1.4 三种方案的差异化对比

三种方案的计费方式差异明显：原生基础防护完全免费；原生高级防护采用包年包月，支持干净流量按需计费；DDoS高防采用保底带宽加弹性防护的组合模式。防护攻击类型上，基础防护仅防御传输层DDoS攻击，原生高级防护额外支持连接型DDoS攻击，DDoS高防则覆盖传输层、连接层、DNS和Web应用层所有攻击类型。接入模式方面，前两者为透明接入，延迟极低；DDoS高防通过DNS牵引或IP接入，拥有最强的防护能力。

二、DDoS高防实战：从购买到接入

2.1 高防实例购买步骤

登录AAD服务控制台，点击右上角的购买DDoS防护，进入购买页面。选择防护区域，中国大陆用户选择大陆区域，海外用户则建议购买国际版。选择接入类型，域名接入适合网站业务，IP接入适合无域名的TCP/UDP业务。配置保底防护带宽，这是预付费的固定防护能力。再配置弹性防护带宽，后付费按天计费，仅当攻击峰值超过保底带宽时才产生费用。业务带宽默认赠送100Mbps，可根据业务流量适当调整。确认配置后立即购买完成支付。

2.2 网站类业务的域名接入流程

购买高防实例后，登录AAD控制台，在左侧导航栏选择DDoS高防下的域名接入。点击添加域名，填写需要防护的业务域名。选择源站类型，既可以是源站公网IP，也支持域名方式。配置转发协议与端口，HTTP和HTTPS支持标准端口，也支持非标端口。如果选择HTTPS协议，必须上传PEM格式的SSL证书。配置完成后系统生成CNAME地址。最后需要在DNS服务商处将业务域名解析到该CNAME地址。

2.3 HTTPS与WebSocket证书配置

DDoS高防对HTTPS证书有严格要求，仅支持PEM格式。如果源站类型选择源站IP且协议为HTTPS或WebSockets，必须导入证书。上传后可在域名接入界面的证书管理页面查看证书有效期。当证书即将到期时，在目标域名所在行的业务类型列点击更换，上传新证书即可完成更新。需要注意的是，DDoS高防暂不支持删除已上传证书，但可以通过更换操作覆盖更新。

2.4 非域名类业务的IP接入配置

对于没有域名的游戏服务器、TCP长连接业务或UDP实时通信服务，可通过配置转发规则接入DDoS高防。在域名接入页面下方选择非域名类业务，添加转发规则。配置转发协议，支持TCP与UDP。填写转发端口和高防端口映射关系。设置源站IP地址，高防会自动将流量转发到目标源站。同一个源站IP可以添加到多个转发规则，每个转发规则的转发协议和转发端口必须唯一。配置完成后，业务端直接访问高防IP而非源站IP，源站真实地址被完全隐藏。

2.5 使用Python SDK接入AAD

对于需要自动化运维的场景，华为云提供Python SDK实现AAD的API调用。

from huaweicloudsdkcore.auth.credentials import BasicCredentials
from huaweicloudsdkaad.v1 import AadClient, CreateDomainRequest

ak = "your_access_key"
sk = "your_secret_key"

credentials = BasicCredentials(ak, sk)
client = AadClient.new_builder() \
    .with_credentials(credentials) \
    .with_region("cn-north-4") \
    .build()

request = CreateDomainRequest()
request.domain_name = "www.example.com"
request.enterprise_project_id = "0"
request.ips = ["xx.xx.xx.xx"]  # 高防实例IP
request.real_server_type = 0    # 0为源站IP，1为源站域名
request.real_server = "xx.xx.xx.xx"
request.port_http = [80, 8080]
request.overseas_type = "0"

response = client.create_domain(request)
print(f"域名接入成功，CNAME: {response.cname}")

使用前需在华为云控制台创建访问密钥获取AK与SK。API调用中，enterprise_project_id需与高防实例所属企业项目保持一致，default项目ID为0。高防实例IP列表可从控制台获取。HTTP端口和HTTPS端口至少配置一种，DDoS高防支持的端口范围可在控制台查询。

三、多维防护策略配置

3.1 清洗阈值的合理设置

清洗阈值是触发DDoS防御动作的关键参数。阈值设置过低可能导致正常流量被误清洗，过高则可能让攻击流量通过清洗。一般建议基于业务峰值带宽，将清洗阈值设为正常流量的120%到150%。

3.2 IP黑白名单的灵活运用

通过配置IP黑名单可封禁特定恶意源IP，配置IP白名单则能放行可信IP。例如企业办公出口IP、CDN回源节点IP可加入白名单，已识别的扫描器IP直接拉入黑名单。黑白名单机制支持通配符匹配，可批量封禁某IP段。

3.3 协议封禁与端口封禁

开启UDP流量封禁功能，可一键阻止或放行指定协议的流量访问高防实例。针对非业务端口，建议通过端口封禁策略阻止不必要的访问，有效降低攻击面。

3.4 智能CC防护策略

针对CC攻击，DDoS高防提供智能CC防护功能。启用后系统进入约10到15分钟的流量基线学习期，自动感知正常访问模式和源站压力，生成个性化防护策略。完成基线学习后，系统可根据单个IP、Cookie或Referer对访问频率进行限速，有效缓解高频攻击。智能CC启用期间需观察业务访问状况，如发现误拦可及时调整学习时长和限速阈值。

3.5 区域封禁策略

如果业务仅服务中国大陆用户，强烈建议开启区域封禁策略，封锁所有海外IP的访问。该策略生效后来自指定区域的流量将被直接丢弃，大幅减少无效攻击流量。

四、高可用架构与联动方案

4.1 多高防IP线路的高可用设计

华为云高防服务支持电信、联通、移动及BGP四种线路。为一个域名绑定多条线路的高防IP可实现高可用架构。当某条线路遭受超过弹性峰值的攻击触发黑洞时，系统可自动切换至正常线路，保障业务不中断。单个高防实例可同时防护多个域名，每个高防实例免费提供50个转发规则防护数量，通过付费方式最多可增至200个。

4.2 IPv4与IPv6双栈防护

AAD同时支持IPv4和IPv6高防IP。选购实例时需注意，防护IPv4源站必须选择IPv4实例，防护IPv6源站必须选择IPv6实例，两者不可混用。IPv4实例支持功能更丰富，包括区域封禁、获取真实源IP等高级特性；IPv6实例基础防护能力完备，但部分高级功能有待进一步完善。

4.3 DDoS高防与CDN的调度协同

通过DDoS调度中心的自定义规则，可实现高防与CDN的智能联动：业务正常时流量就近接入CDN节点加速，提升用户体验；检测到攻击时流量自动切换到DDoS高防进行清洗。注意DDoS高防、WAF和CDN三者不能同时使用，但高防加WAF或高防加CDN的两种组合都是可行方案。配置调度规则需经过充分测试，确保切换时机和阈值参数准确无误。

4.4 跨云与混合云场景

DDoS高防不仅保护华为云内资源，也支持非华为云及IDC的互联网主机。对于云下或跨云业务，需要将DDoS高防提供的CNAME地址解析到业务域名，然后在高防配置中将源站指向实际业务IP。混合云场景中建议在源站侧配置访问控制策略，仅放行高防回源IP段的流量，彻底封死绕过攻击的可能。

五、监控告警与运维实践

5.1 攻击报表与数据洞察

AAD控制台提供全面的攻击数据报表。在概览页面选择DDoS攻击防护或CC攻击防护页签，可查看入流量峰值、攻击流量峰值、攻击次数、协议分布等关键指标。历史时间段覆盖24小时、近3天到近30天，自定义查询支持查看90天内的防护日志。通过分析攻击类型分布，可针对性地优化防护策略。

5.2 告警通知配置

开启告警通知后，当IP遭受DDoS攻击时可实时接收告警信息。告警方式支持短信、邮件等多种渠道，确保运维团队在攻击发生时第一时间响应。

5.3 攻击日志接入LTS

将攻击日志记录到华为云日志服务后，可通过LTS进行高效的实时决策分析与设备运维管理。日志记录每一次攻击告警信息，包括攻击类型、防护IP等关键字段，为事后追溯和分析提供完整依据。

5.4 常见故障排查要点

高防IP卡顿、延迟或访问不通时，首先检查DNS配置是否正确。使用华为云提供的CNAME解析不会产生跨网问题，如使用A记录解析需确保访问来源运营商与高防IP线路匹配。其次检查源站IP配置，如源站使用单运营商线路而高防IP采用多线路BGP，天然会产生跨网延迟。攻击超过弹性峰值的IP会触发黑洞事件，此时需要确认丢包的IP是否被黑洞，考虑增大弹性峰值或调整业务系统具备线路切换能力。

六、计费模型与成本优化

6.1 弹性防护费用的精准计费

弹性防护带宽采用后付费按天计费模式，费用取决于当日发生的攻击峰值。一天内发生多次攻击时仅取峰值最高的攻击参与计费，若无攻击则不产生弹性费用。例如三个高防实例保底带宽均为20Gbps，弹性规格100Gbps，当日某实例遭受50Gbps攻击，则仅该实例当天产生弹性费用。精准按天计费对偶发性攻击业务来说成本可控。

6.2 业务带宽与QPS的按需规划

DDoS高防默认赠送100Mbps业务带宽，中国大陆用户额外赠送3000QPS，超出部分按月或年付费。规划时应预估业务峰值带宽与请求量，避免因业务带宽不足导致限速丢包。非长期高负载业务可保留默认赠送额度，按需弹性扩展成本更低。

常见问题解答

问：DDoS高防、WAF和CDN三者能否同时使用？
答：三者不能同时串联使用。正确的组合方式是DDoS高防加WAF或WAF加CDN，或DDoS高防加CDN，具体取决于业务类型和防护需求。

问：海外用户能否访问国内DDoS高防的高防IP？
答：不可以。国内DDoS高防的高防线路不支持海外客户访问，需购买DDoS高防国际版。

问：HTTPS证书上传时提示证书与密钥不匹配怎么办？
答：检查证书文件和私钥文件的MD5值是否相同。如果不同说明证书文件不一致，需重新获取完整的证书文件，且必须使用PEM格式。

问：为什么修改源站IP后接入状态一直失败？
答：先使用客户端访问高防IP确认是否可正常访问。如不可访问请检查DNS解析和高防配置。如果可访问但接入失败，请确认源站类型是否匹配，以及高防回源IP段是否已在源站侧放行。

问：DDoS高防支持权重回源吗？
答：DDoS高防本身不支持权重回源，按照轮询机制分发流量。如需权重回源，可将高防回源到弹性负载均衡的公网IP，在负载均衡上实现权重配置。

问：如何获取访问客户端的真实源IP？
答：DDoS高防会通过X-Forwarded-For请求头透传真实源IP。源站服务器可通过解析该头字段获取客户端真实IP地址。