《华为：2025华为云安全配置基线指南（270页）.pdf》由会员分享，可在线阅读，更多相关《华为：2025华为云安全配置基线指南（270页）.pdf（270页珍藏版）》请在三个皮匠报告上搜索。

1、 华为云安全配置华为云安全配置基线指南基线指南 文档版本文档版本 3.0 发布日期发布日期 2025-12-31 华为云计算技术有限公司华为云计算技术有限公司 文档版本 3.00(2025-12-31)版权所有 华为云计算技术有限公司 i 版权所有版权所有 华为云计算技术有限公司华为云计算技术有限公司 2025。保留一切权利。保留一切权利。非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。商标声明商标声明 和其他华为商标均为华为技术有限公司的商标。本文档提及的其他所有商标或注册商标，由各自的所有人拥有。注意注意 您购买的产品、服务或特性等应受华为

2、云计算技术有限公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定，华为云计算技术有限公司对本文档内容不做任何明示或暗示的声明或保证。由于产品版本升级或其他原因，本文档内容会不定期进行更新。除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。华为云计算技术有限公司 地址：贵州省贵安新区黔中大道交兴功路华为云数据中心 邮编：550029 网址：https:/ 目 录 文档版本 3.00(2025-12-31)版权所有 华为云计算技术有限公司 ii 目目 录录 1 概述概述.1 1.1 目标读者

3、.1 1.2 用词定义.1 1.3 规则统计.2 2 规则规则.3 2.1 AAD.3 2.1.1 HC.AAD.001 应确保 DDoS 原生基础防护配置 EIP 防护策略，设置流量清洗阈值.3 2.1.2 HC.AAD.002 应确保 DDoS 原生基础防护设置告警通知实现 DDoS 攻击预警.3 2.1.3 HC.AAD.003 应确保 DDoS 原生基础防护通过云监控服务 CES 开启 DDoS 事件告警通知.4 2.1.4 HC.AAD.004 应确保 DDoS 原生基础防护开启 LTS 日志记录.4 2.1.5 HC.AAD.005 应确保开通 DDoS 原生高级防护功能.5 2.

4、1.6 HC.AAD.006 应确保 DDoS 原生高级防护添加租户所有 IP 资源到防护对象中.5 2.1.7 HC.AAD.007 应确保 DDoS 原生高级防护为防护对象设置防护策略.6 2.1.8 HC.AAD.008 应确保 DDoS 原生高级防护开启 DDoS 攻击告警通知.6 2.1.9 HC.AAD.009 应确保 DDoS 原生高级防护开启 LTS 日志记录.7 2.1.10 HC.AAD.010 应确保 DDoS 原生高级防护配置实例标签.7 2.1.11 HC.AAD.011 应确保购买 DDoS 高防实例.8 2.1.12 HC.AAD.012 应确保 DDoS 高防开

5、启 DDoS 攻击告警通知.8 2.1.13 HC.AAD.013 应确保 DDoS 高防开启 LTS 日志记录.8 2.1.14 HC.AAD.014 应确保域名接入高防时要使用安全的 TLS 协议版本和安全加密套件.9 2.1.15 HC.AAD.015 应确保域名和 IP 接入 DDoS 高防.9 2.2 APIG.10 2.2.1 HC.APIG.001 确保 APIG 专享版实例配置安全认证类型.10 2.2.2 HC.APIG.002 确保 APIG 专享版实例绑定指定 VPC 资源.11 2.2.3 HC.APIG.003 确保 APIG 专享版实例不对公网开放.11 2.2.4

6、 HC.APIG.004 确保 APIG 专享版实例配置访问日志.12 2.2.5 HC.APIG.005 建议 APIG 专享版实例域名均关联 SSL 证书.12 2.2.6 HC.APIG.006 确保在 API 网关创建 REST API 时应开启后端双向认证.13 2.2.7 HC.APIG.007 建议 API 网关的 REST API 阶段启用链路追踪.14 2.2.8 HC.APIG.008 确保使用 WAF 对 APIG 进行安全防护且 real_ip_from_xff 设置为 on.15 华为云安全配置基线指南 目 录 文档版本 3.00(2025-12-31)版权所有 华为