當您的儲存空間(Bucket)被惡意訪問時,可能會出現高頻寬或者大流量突發的情況,產生不必要的下行流量。嚴重情況下,還可能出現Bucket被切入沙箱,導致服務不可用。本文介紹如何避免OSS被攻擊惡意刷流量。
您可以通過以下兩種方式避免OSS被攻擊惡意刷流量。
方式一:Bucket ACL設定為私人
如果您的Bucket是公用讀取許可權,且URL暴露在公網上,則公網使用者都可以訪問您的OSS資源。相對於公用讀取許可權來說,私人許可權安全性更高,推薦您將Bucket設定為私人許可權。更多資訊,請參見設定Bucket ACL。
方式二:WAF防護
購買WAF 3.0執行個體。具體操作,請參見購買WAF 3.0執行個體。
通過CANAME的方式接入WAF 3.0。
通過OSS控制台為目標Bucket綁定自訂網域名。
綁定自訂網域名過程中,不要將CNAME解析至Bucket網域名稱。具體操作,請參見綁定自訂網域名至Bucket預設網域名稱。
通過Web Application Firewall控制台完成以下操作。
添加網域名稱。
將自訂網域名作為需要防護的網域名稱,Bucket網域名稱作為伺服器回源網域名稱。具體操作,請參見添加網域名稱。
複製網域名稱對應的WAF CNAME地址。
在左側導覽列,選擇接入管理>CNAME接入。
在網域名稱/CNAME列表中定位已添加的網域名稱,查看並複製網域名稱對應的WAF CNAME地址。
通過Alibaba Cloud DNS控制台為自訂網域名添加一條CNAME記錄,指向WAF提供的CNAME地址。
具體操作,請參見修改網域名稱DNS。
配置防護策略。
網域名稱接入WAF後,WAF會自動將其添加為防護對象,並開啟基礎防護規則(預設啟用中等規則群組、採用攔截模式)。更多資訊,請參見配置防護策略。