当您的存储空间(Bucket)被恶意访问时,可能会出现高带宽或者大流量突发的情况,产生不必要的下行流量。严重情况下,还可能出现Bucket被切入沙箱,导致服务不可用。本文介绍如何避免OSS被攻击恶意刷流量。
您可以通过以下两种方式避免OSS被攻击恶意刷流量。
方式一:Bucket ACL设置为私有
如果您的Bucket是公共读权限,且URL暴露在公网上,则公网用户都可以访问您的OSS资源。相对于公共读权限来说,私有权限安全性更高,推荐您将Bucket设置为私有权限。更多信息,请参见设置Bucket ACL。
方式二:WAF防护
购买WAF 3.0实例。具体操作,请参见购买WAF 3.0实例。
通过CANAME的方式接入WAF 3.0。
通过OSS控制台为目标Bucket绑定自定义域名。
绑定自定义域名过程中,不要将CNAME解析至Bucket域名。具体操作,请参见绑定自定义域名至Bucket默认域名。
通过Web应用防火墙控制台完成以下操作。
添加域名。
将自定义域名作为需要防护的域名,Bucket域名作为服务器回源域名。具体操作,请参见添加域名。
复制域名对应的WAF CNAME地址。
在左侧导航栏,选择接入管理>CNAME接入。
在域名/CNAME列表中定位已添加的域名,查看并复制域名对应的WAF CNAME地址。
通过云解析DNS控制台为自定义域名添加一条CNAME记录,指向WAF提供的CNAME地址。
具体操作,请参见修改域名DNS。
配置防护策略。
域名接入WAF后,WAF会自动将其添加为防护对象,并开启基础防护规则(默认启用中等规则组、采用拦截模式)。更多信息,请参见配置防护策略。