概述

本文主要介绍为防止阿里云对象存储OSS出现被恶意刷流量，或者因DDoS和CC攻击等原因被切入沙箱的情况，如何防护OSS遭受攻击，提高服务质量。

详细信息

当您的OSS Bucket遭受DDoS和CC等攻击后，OSS会自动将Bucket切入沙箱。沙箱中的Bucket仍可以正常响应请求，但服务质量将被降级，您的应用可能会有明显感知。为防止您的Bucket因攻击原因被切入沙箱等盗刷流量的情况，可以按照以下方案添加预防措施：

说明：若您的Bucket被切入沙箱，请参见OSS沙箱，进行处理。

OSS高防

高防IP
WAF
配置ECS反向代理并绑定高防IP

OSS高防

OSS高防是OSS结合DDoS高防推出的DDoS攻击代理防护服务。当受保护的存储空间（Bucket）遭受大流量攻击时，OSS高防会将攻击流量牵引至高防集群进行清洗，并将正常访问流量回源到目标Bucket，确保业务的正常进行。您只需在OSS管理控制台进行简单的配置即可开启Bucket的高防保护。具体配置方式，请参见配置OSS高防。OSS高防配置完成后，进入沙箱的Bucket会自动从沙箱中切换至您的原生IP或者高防IP。

高防IP防护

参考如下步骤，通过高防IP防护OSS。更多信息请参见修改DNS解析接入网站业务。

登录OSS管理控制台，开启Bucket的自定义域名，详情请参见自定义域名，但是不要在DNS中添加CNAME解析到Bucket域名。
登录云盾DDoS防护管理控制台，配置高防IP，将自定义域名作为被防护的网站，Bucket域名作为高防IP的源站域名。
登录云解析DNS控制台，配置DNS解析，为自定义域名添加一条CNAME记录，指向高防IP提供的CNAME地址。

WAF防护

参考以下步骤，通过WAF防护OSS。更多信息请参见WAF使用教程。

登录OSS管理控制台，开启Bucket的自定义域名，详情请参见自定义域名，但是不要在DNS中添加CNAME解析到Bucket域名。
登录Web应用防火墙控制台，配置Web应用防火墙，将自定义域名作为网站域名，Bucket域名作为WAF的回源域名，详情请参见网站接入。
在左侧导航栏，单击资产中心>网站接入。
在域名列表中定位到已添加的域名，将光标悬置在域名上，查看并复制域名对应的WAF CNAME地址。
登录云解析DNS控制台，配置DNS解析，为自定义域名添加一条CNAME记录，指向WAF提供的CNAME地址，详情请参见修改域名DNS。

配置ECS反向代理并绑定高防IP

请按照以下步骤配置ECS反向代理并绑定高防IP：

配置ECS反向代理。
1. 创建一个CentOS或Ubuntu的ECS实例。具体步骤，请参见创建ECS实例。
  
  注意：如果Bucket有较大的网络流量或访问请求，请提高ECS硬件配置或者搭建ECS集群。
2. 配置以ECS反向代理的方式访问OSS。具体步骤，请参见配置OSS反向代理。
绑定高防IP。
1. 结合业务情况购买合适的高防IP。购买页面，请参见高防IP。
2. 绑定高防IP。其中，网站填写您ECS绑定的域名。服务器地址选择源站IP，并填写ECS的外网IP地址。其他参数的配置说明，请参见添加网站。

适用于

对象存储OSS