文档

如何避免OSS被攻击恶意刷流量?

更新时间:

当您的存储空间(Bucket)被恶意访问时,可能会出现高带宽或者大流量突发的情况,产生不必要的下行流量。严重情况下,还可能出现Bucket被切入沙箱,导致服务不可用。本文介绍如何避免OSS被攻击恶意刷流量。

您可以通过以下两种方式避免OSS被攻击恶意刷流量。

方式一:Bucket ACL设置为私有

如果您的Bucket是公共读权限,且URL暴露在公网上,则公网用户都可以访问您的OSS资源。相对于公共读权限来说,私有权限安全性更高,推荐您将Bucket设置为私有权限。更多信息,请参见设置Bucket ACL

方式二:WAF防护

  1. 购买WAF 3.0实例。具体操作,请参见购买WAF 3.0实例

  2. 通过CANAME的方式接入WAF 3.0。

    1. 通过OSS控制台为目标Bucket绑定自定义域名。

      绑定自定义域名过程中,不要将CNAME解析至Bucket域名。具体操作,请参见绑定自定义域名至Bucket默认域名

    2. 通过Web应用防火墙控制台完成以下操作。

      1. 添加域名。

        将自定义域名作为需要防护的域名,Bucket域名作为服务器回源域名。具体操作,请参见添加域名

      2. 复制域名对应的WAF CNAME地址。

        1. 在左侧导航栏,选择接入管理>CNAME接入

        2. 域名/CNAME列表中定位已添加的域名,查看并复制域名对应的WAF CNAME地址。

        waf.jpeg

    3. 通过云解析DNS控制台为自定义域名添加一条CNAME记录,指向WAF提供的CNAME地址。

      具体操作,请参见修改域名DNS

      image.png

  3. 配置防护策略。

    域名接入WAF后,WAF会自动将其添加为防护对象,并开启基础防护规则(默认启用中等规则组、采用拦截模式)。更多信息,请参见配置防护策略