全部產品
Search

搜尋本產品

    :OSS高防

    文件中心

    :OSS高防

    更新時間:Feb 28, 2024

    OSS高防是OSS結合DDoS高防推出的DDoS攻擊代理防護服務。當受保護的儲存空間(Bucket)遭受大流量攻擊時,OSS高防會將攻擊流量牽引至高防叢集進行清洗,並將正常訪問流量回源到目標Bucket,確保業務能正常進行。

    使用情境

    DDoS攻擊是近年來對企業業務危害最大的攻擊手段之一。當企業遭受DDoS攻擊時,可能會導致業務中斷,進而導致企業的形象受損、客戶流失、收益受損等,嚴重影響企業業務的正常營運。

    為此,OSS深度結合DDoS高防產品,提供T級DDoS防護能力、百萬QPS防護、秒級攻擊切換能力,可有效應對T級DDoS流量攻擊、超大規模的CC攻擊、SYN Flood、ACK Flood、ICMP Flood、UDP Flood、NTP Flood 、SSDP Flood、DNS Flood、HTTP Flood等攻擊,確保業務不因攻擊導致不可用。

    注意事項

    OSS高防不處理以正常請求形式的流量盜刷情境(例如幾百MB、幾Gbps的流量盜刷)。對於以上流量盜刷情境,建議使用Policy策略、ACL等許可權控制或者配置WAF防護的方式。更多資訊,請參見如何避免OSS被攻擊惡意刷流量?

    防護原理

    OSS高防的防護原理如下圖所示:

    OSS預設使用DDoS原生防護保護您的Bucket。但是,當攻擊頻率超出DDoS原生防護的防禦閾值時,原生防護將無法提供有效防護,可能會出現Bucket訪問異常的情況。

    您開通了OSS高防後,當攻擊頻率超出DDoS原生防護的防禦閾值時,OSS會自動將受攻擊Bucket的所有訪問流量牽引至高防叢集。惡意攻擊流量將在高防流量清洗中心進行清洗過濾,正常訪問流量通過連接埠協議轉寄的方式返回給目標Bucket,保證Bucket在受攻擊時的穩定訪問。

    當攻擊結束後,受攻擊Bucket會切回至DDoS原生防護進行保護。

    使用限制

    • 華東1(杭州)、華東2(上海)、華北1(青島)、華北2(北京)、華南1(深圳)、中國香港地區支援配置OSS高防。

    • OSS高防僅支援防護Bucket外網網域名稱(例如oss-cn-hangzhou.aliyuncs.com),不支援防護以下網域名稱類型,例如:

      • 傳輸加速網域名稱(oss-accelerate.aliyuncs.comoss-accelerate-overseas.aliyuncs.com

      • 存取點網域名稱(例如ap-01-3b00521f653d2b3223680ec39dbbe2****-ossalias.oss-cn-hangzhou.aliyuncs.com

      • 對象FC存取點網域名稱(例如fc-ap-01-3b00521f653d2b3223680ec39dbbe2****-opapalias.oss-cn-hangzhou.aliyuncs.com

      • 通過IPv6協議訪問的Endpoint(例如cn-hangzhou.oss.aliyuncs.com

      • Amazon S3 Endpoint(例如s3.oss-cn-hongkong.aliyuncs.com

    • 高防OSS執行個體建立後需至少使用7天。如果執行個體在7天內被刪除,OSS會收取剩餘時間的高防基礎資源費用。計費詳情,請參見DDoS防護費用

    • 每個地區可以建立一個高防OSS執行個體,每個執行個體最多隻能綁定同一地區下的10個Bucket。

    • 在Bucket綁定高防執行個體後,您無法通過瀏覽器預覽Bucket內的資源。此外,OSS預設不對Bucket關聯的自訂網域名進行防護,因此在Bucket遭到攻擊時,無法通過自訂網域名正常訪問OSS。如果您希望在Bucket遭受攻擊時可以通過自訂網域名訪問Bucket,請在OSS高防控制台添加要防護的自訂網域名。每個Bucket防護的自訂網域名數量上限是5個。

      如果Bucket中要防護的自訂網域名(www.example.com)匹配了DDoS高防產品中配置了轉寄規則的相同網域名稱(www.example.com)或泛網域名稱(*.example.com),則需要前往DDoS高防控制台解除綁定相同網域名稱或泛網域名稱。否則,在該Bucket受到攻擊時,無法通過該自訂網域名正常訪問OSS。

      關於同名或泛網域名稱轉寄規則的更多資訊,請參見添加網站配置

    使用OSS控制台

    1. 建立高防OSS執行個體。

      1. 登入OSS管理主控台

      2. 在左側導覽列,選擇資料服務 > OSS 高防

      3. 可選:如果您是首次使用OSS高防,您需要在OSS 高防頁面,單擊確認開通

      4. OSS 高防頁面,單擊建立高防OSS執行個體,然後選擇地區

      5. 單擊確定

    2. 綁定Bucket。

      1. 單擊目標執行個體右側的查看和綁定Buckets

      2. 查看和綁定Buckets面板,單擊綁定高防Buckets

      3. 綁定高防Buckets對話方塊的高防 Bucket下拉式清單,選擇需要綁定的Bucket。

        已被高防OSS執行個體綁定的Bucket不會在高防 Bucket下拉式清單顯示。

      4. 單擊確定

        綁定後,Bucket處於初始化狀態。待狀態更新為防護中時,表明高防OSS執行個體已對Bucket網域名稱開始實施保護。

    3. 如果需要防護自訂網域名,請添加對應的自訂網域名。

      重要

      OSS預設不對Bucket關聯的自訂網域名進行防護,因此在Bucket遭到攻擊時,無法通過自訂網域名正常訪問OSS。如果您希望在Bucket遭受攻擊時可以通過自訂網域名訪問Bucket,請添加要防護的自訂網域名。每個Bucket最多可添加5個要防護的自訂網域名,且不同頂層網域(網站)數量不超過4個。例如,a.mycname.comb.mycname.com屬於同一個網站,而c.othercname.com是另一個網站。

      • 如果Bucket此前未綁定自訂網域名,需要先綁定自訂網域名。具體操作,請參見綁定自訂網域名

      • 如果Bucket已綁定自訂網域名,請按如下步驟添加要防護的自訂網域名:

        1. 選擇已綁定高防Bucket右側操作列的修改自訂網域名

        2. 選中要防護的自訂網域名。

        3. 單擊確定

          高防OSS執行個體對選中的自訂網域名開始實施防護。