如何避免OSS被盗刷_对象存储(OSS)-阿里云帮助中心

当您的存储空间（Bucket）被恶意访问时，可能会出现高带宽或者大流量突发的情况，产生不必要的下行流量。严重情况下，还可能出现Bucket被切入沙箱，导致服务不可用。本文介绍如何避免OSS被攻击恶意刷流量。

您可以通过以下两种方式避免OSS被攻击恶意刷流量。

如果您的Bucket是公共读权限，且URL暴露在公网上，则公网用户都可以访问您的OSS资源。相对于公共读权限来说，私有权限安全性更高，推荐您将Bucket设置为私有权限。更多信息，请参见设置Bucket ACL。

购买WAF 3.0实例。具体操作，请参见购买WAF 3.0实例。
通过CANAME的方式接入WAF 3.0。
1. 通过OSS控制台为目标Bucket绑定自定义域名。
  绑定自定义域名过程中，不要将CNAME解析至Bucket域名。具体操作，请参见绑定自定义域名至Bucket默认域名。
2. 通过Web应用防火墙控制台完成以下操作。
  1. 添加域名。
    将自定义域名作为需要防护的域名，Bucket域名作为服务器回源域名。具体操作，请参见添加域名。
  2. 复制域名对应的WAF CNAME地址。
    1. 在左侧导航栏，选择接入管理>CNAME接入。
    2. 在域名/CNAME列表中定位已添加的域名，查看并复制域名对应的WAF CNAME地址。
3. 通过云解析DNS控制台为自定义域名添加一条CNAME记录，指向WAF提供的CNAME地址。
  具体操作，请参见修改域名DNS。
配置防护策略。
域名接入WAF后，WAF会自动将其添加为防护对象，并开启基础防护规则（默认启用中等规则组、采用拦截模式）。更多信息，请参见配置防护策略。