OSS高防是OSS结合DDoS高防推出的DDoS攻击代理防护服务。当受保护的存储空间(Bucket)遭受大流量攻击时,OSS高防会将攻击流量牵引至高防集群进行清洗,并将正常访问流量回源到目标Bucket,确保业务能正常进行。
使用场景
DDoS攻击是近年来对企业业务危害最大的攻击手段之一。当企业遭受DDoS攻击时,可能会导致业务中断,进而导致企业的形象受损、客户流失、收益受损等,严重影响企业业务的正常运营。
为此,OSS深度结合DDoS高防产品,提供T级DDoS防护能力、百万QPS防护、秒级攻击切换能力,可有效应对T级DDoS流量攻击、超大规模的CC攻击、SYN Flood、ACK Flood、ICMP Flood、UDP Flood、NTP Flood 、SSDP Flood、DNS Flood、HTTP Flood等攻击,确保业务不因攻击导致不可用。
注意事项
OSS高防不处理以正常请求形式的流量盗刷场景(例如几百MB、几Gbps的流量盗刷)。对于以上流量盗刷场景,建议使用Policy策略、ACL等权限控制或者配置WAF防护的方式。更多信息,请参见如何避免OSS被攻击恶意刷流量?。
防护原理
OSS高防的防护原理如下图所示:
OSS默认使用DDoS原生防护保护您的Bucket。但是,当攻击频率超出DDoS原生防护的防御阈值时,原生防护将无法提供有效防护,可能会出现Bucket访问异常的情况。
您开通了OSS高防后,当攻击频率超出DDoS原生防护的防御阈值时,OSS会自动将受攻击Bucket的所有访问流量牵引至高防集群。恶意攻击流量将在高防流量清洗中心进行清洗过滤,正常访问流量通过端口协议转发的方式返回给目标Bucket,保证Bucket在受攻击时的稳定访问。
当攻击结束后,受攻击Bucket会切回至DDoS原生防护进行保护。
使用限制
华东1(杭州)、华东2(上海)、华北1(青岛)、华北2(北京)、华南1(深圳)、中国香港地域支持配置OSS高防。
无地域属性存储空间不支持配置OSS高防。
OSS高防仅支持防护Bucket外网域名(例如
oss-cn-hangzhou.aliyuncs.com
),不支持防护以下域名类型,例如:传输加速域名(
oss-accelerate.aliyuncs.com
和oss-accelerate-overseas.aliyuncs.com
)接入点域名(例如
ap-01-3b00521f653d2b3223680ec39dbbe2****-ossalias.oss-cn-hangzhou.aliyuncs.com
)对象FC接入点域名(例如
fc-ap-01-3b00521f653d2b3223680ec39dbbe2****-opapalias.oss-cn-hangzhou.aliyuncs.com
)通过IPv6协议访问的Endpoint(例如
cn-hangzhou.oss.aliyuncs.com
)Amazon S3 Endpoint(例如
s3.oss-cn-hongkong.aliyuncs.com
)
高防OSS实例创建后需至少使用7天。如果实例在7天内被删除,OSS会收取剩余时间的高防基础资源费用。计费详情,请参见DDoS防护费用。
每个地域可以创建一个高防OSS实例,每个实例最多只能绑定同一地域下的10个Bucket。
在Bucket绑定高防实例后,您无法通过浏览器预览Bucket内的资源。此外,OSS默认不对Bucket关联的自定义域名进行防护,因此在Bucket遭到攻击时,无法通过自定义域名正常访问OSS。如果您希望在Bucket遭受攻击时可以通过自定义域名访问Bucket,请在OSS高防控制台添加要防护的自定义域名。每个Bucket防护的自定义域名数量上限是5个。
如果Bucket中要防护的自定义域名(
www.example.com
)匹配了DDoS高防产品中配置了转发规则的相同域名(www.example.com
)或泛域名(*.example.com
),则需要前往DDoS高防控制台解绑相同域名或泛域名。否则,在该Bucket受到攻击时,无法通过该自定义域名正常访问OSS。关于同名或泛域名转发规则的更多信息,请参见添加网站配置。
使用OSS控制台
创建高防OSS实例。
登录OSS管理控制台。
在左侧导航栏,选择 。
可选:如果您是首次使用OSS高防,您需要在OSS 高防页面,单击确认开通。
在OSS 高防页面,单击创建高防OSS实例,然后选择地域。
单击确定。
绑定Bucket。
单击目标实例右侧的查看和绑定Buckets。
在查看和绑定Buckets面板,单击绑定高防Buckets。
在绑定高防Buckets对话框的高防 Bucket下拉列表,选择需要绑定的Bucket。
已被高防OSS实例绑定的Bucket不会在高防 Bucket下拉列表显示。
单击确定。
绑定后,Bucket处于初始化状态。待状态更新为防护中时,表明高防OSS实例已对Bucket域名开始实施保护。
如果需要防护自定义域名,请添加对应的自定义域名。
重要OSS默认不对Bucket关联的自定义域名进行防护,因此在Bucket遭到攻击时,无法通过自定义域名正常访问OSS。如果您希望在Bucket遭受攻击时可以通过自定义域名访问Bucket,请添加要防护的自定义域名。每个Bucket最多可添加5个要防护的自定义域名,且不同一级域名(站点)数量不超过4个。例如,
a.mycname.com
和b.mycname.com
属于同一个站点,而c.othercname.com
是另一个站点。如果Bucket此前未绑定自定义域名,需要先绑定自定义域名。具体操作,请参见绑定自定义域名。
如果Bucket已绑定自定义域名,请按如下步骤添加要防护的自定义域名:
选择已绑定高防Bucket右侧操作列的修改自定义域名。
选中要防护的自定义域名。
单击确定。
高防OSS实例对选中的自定义域名开始实施防护。