第一章：OSS沙箱说明

  阿里云OSS不承担网络攻击的防护义务。用户账号下的Bucket遭受攻击后，OSS会自动将用户的Bucket切入到沙箱。沙箱中的Bucket仍然可以正常响应请求，但是用户有可能明显感受到该Bucket服务质量的下降。

注：沙箱介绍：沙箱介绍

第二章：借助于高防IP，OSS抵御DDOS攻击

2.1 方案1：绑定域名+高防IP方式防御DDOS攻击

如果您的业务有可能遭受DDOS攻击，可以按照如下方式进行配置。

1. 绑定OSS自定义域名： 配置参考：[绑定自定义域名]；
2. 购买高防IP，并将高防IP绑定到第一步设置的自定义域名。配置参考：[设置高防IP]；
   注意：请根据业务实际情况，购买对应的弹性防护带宽；

   - “防护网站”：填写用户自定义的域名；
   - “协议类型”：根据实际访问请求方式，合理配置；
   - “源站IP/域名”：此处填写OSS的默认域名；

2.2 方案2：ECS反向代理+高防IP方式抵御DDOS攻击

因安全因素，Bucket默认域名解析的IP是会发生随机变化。对于期望使用固定IP方式访问的客户来说。推荐使用通过ECS搭建反向代理方式进行访问。因此，ECS上的EIP可以绑定高防IP以抵御DDOS攻击和CC攻击。具体可以按照如下方式进行配置：

1. ECS反向代理方式访问OSS：详细配置可参考：[OSS反向代理访问方式配置]；

   建议ECS部署在与OSS同一个region内；

2. 将ECS绑定高防IP：[ECS绑定高防IP]；
3. ECS上的EIP绑定自定义域名；

1.“防护域名”：此处填写用户自定义的域名；
2.“协议类型”：此处根据实际需求，选择对应的访问方式。OSS默认提供的是Restful API访问方式；
3.“源站IP/域名”：此处填写ECS上的公网IP；

2.3方案优劣势分析

第三章：已进入沙箱的Bucket如何进行防护？

场景1. 若用户账号下的Bucket曾多次遭受攻击。那么，该用户后续新建的Bucket默认也会进入沙箱。此时，针对新建Bucket的安全访问措施如下：

 1.购买DDOS防护产品；
 2.通过工单系统提交“新建Bucket默认不进入沙箱申请”；
 3.申请通过后，按照“2.1章节 绑定域名+高防IP方式防御DDOS攻击”；

场景2. 针对已经进入沙箱的Bucket。阿里云不提供迁出服务。因此，针对已经进入沙箱的Bucket，建议按照方式2配置安全防护措施；

【注意】:建议在Bucket所在的Region搭建ECS，并且proxy_pass 填写bucket内网域名地址；