第一章:OSS沙箱说明
阿里云OSS不承担网络攻击的防护义务。用户账号下的Bucket遭受攻击后,OSS会自动将用户的Bucket切入到沙箱。沙箱中的Bucket仍然可以正常响应请求,但是用户有可能明显感受到该Bucket服务质量的下降。
注:沙箱介绍:沙箱介绍
第二章:借助于高防IP,OSS抵御DDOS攻击
2.1 方案1:绑定域名+高防IP方式防御DDOS攻击
如果您的业务有可能遭受DDOS攻击,可以按照如下方式进行配置。
- “防护网站”:填写用户自定义的域名;
- “协议类型”:根据实际访问请求方式,合理配置;
- “源站IP/域名”:此处填写OSS的默认域名;
2.2 方案2:ECS反向代理+高防IP方式抵御DDOS攻击
因安全因素,Bucket默认域名解析的IP是会发生随机变化。对于期望使用固定IP方式访问的客户来说。推荐使用通过ECS搭建反向代理方式进行访问。因此,ECS上的EIP可以绑定高防IP以抵御DDOS攻击和CC攻击。具体可以按照如下方式进行配置:
-
ECS反向代理方式访问OSS:详细配置可参考:[OSS反向代理访问方式配置];
建议ECS部署在与OSS同一个region内; - 将ECS绑定高防IP:[ECS绑定高防IP];
- ECS上的EIP绑定自定义域名;
1.“防护域名”:此处填写用户自定义的域名;
2.“协议类型”:此处根据实际需求,选择对应的访问方式。OSS默认提供的是Restful API访问方式;
3.“源站IP/域名”:此处填写ECS上的公网IP;2.3方案优劣势分析
| 方案名称 | 方案1:绑定域名+高防IP方式 | 方案2:ECS反向代理+高防IP方式 |
|---|---|---|
| 优势 | 配置简单--支持控制台图形化设置 | 1.解决方案具有通用性--能够为已进入沙箱和未进入沙箱的Bucket提供防护能力; 2.适合于通过固定IP访问OSS的场景; |
| 劣势 | 应用场景有局限性--只能针对未进入沙箱的Bucket提供防护 | 1.配置复杂。需要用户自定搭建nginx反向代理; 2.方案成本高--需要额外购买ECS搭建反向代理; |
第三章:已进入沙箱的Bucket如何进行防护?
场景1. 若用户账号下的Bucket曾多次遭受攻击。那么,该用户后续新建的Bucket默认也会进入沙箱。此时,针对新建Bucket的安全访问措施如下:
1.购买DDOS防护产品;
2.通过工单系统提交“新建Bucket默认不进入沙箱申请”;
3.申请通过后,按照“2.1章节 绑定域名+高防IP方式防御DDOS攻击”;场景2. 针对已经进入沙箱的Bucket。阿里云不提供迁出服务。因此,针对已经进入沙箱的Bucket,建议按照方式2配置安全防护措施;
【注意】:建议在Bucket所在的Region搭建ECS,并且proxy_pass 填写bucket内网域名地址;