阿里云对象存储OSS原生DDoS防护能力-高防OSS功能解析与实践

本文涉及的产品
对象存储 OSS,20GB 3个月
对象存储 OSS,内容安全 1000次 1年
公共DNS(含HTTPDNS解析),每月1000万次HTTP解析
简介: 简介:高防OSS,顾名思义,就是原生具有高防能力的OSS实例,高防OSS是针对OSSbucket在遭受大流量DDoS攻击后导致服务不可用的情况下,推出的付费服务,用户可通过配置高防OSS,将针对相关Bucket的攻击流量引流到高防IP,确保源Bucket的稳定可靠。

背景与场景

随着企业数字化转型的不断深入,更多的业务上云,更大量的业务数据产生和使用,为了更好更优的提升服务质量。更多的行业采用内容即服务的架构,存储数据流直接面向用户和终端,在这样的大背景下,存储平台的可用性至关重要。


与此同时,DDoS攻击是近年来对企业业务危害最大的攻击手段之一。当企业遭受DDoS攻击时,可能会导致业务中断,进而导致企业的形象受损、客户流失、收益受损等,严重影响企业业务的正常运营。


如何能够让这些基于存储和内容的服务更加稳定、可用,有效应对DDoS攻击的挑战,有效保护用户内容/数据(对象存储)侧的互联网业务可用性?


高防OSS应“云”而生

为此,OSS深度集成阿里云DDoS高防产品,提供最高T级DDoS防护能力、百万QPS防护、秒级攻击切换能力,可有效抵御SYNFlood、ACKFlood、ICMPFlood、UDPFlood、NTPFlood、SSDPFlood、DNSFlood、HTTPFlood等攻击。非常适用于业务经常遭恶意攻击影响服务质量的场景,实现安全防护。


高防OSS作为OSS产品的一个功能,构建于OSS平台之上,提供一站式的OSS安全(防攻击)能力,旨在为用户云存储业务提供原生“安全防护”服务。用户在开通高防OSS后,在用户Bucket未受到攻击时,OSS标准域名会被解析到原生防护IP上,维持正常的网络状态,确保业务的低时延;而当用户Bucket受到攻击时,相关的访问流量都将优先经过高防机房,恶意攻击流量将在高防流量清洗中心进行清洗过滤,正常的访问流量通过端口协议转发的方式返回给OSS服务器,从而保障用户在受到攻击时能正常访问OSS。


image.png

OSS高防优势

1)部署简便、方便易用、无感知(原生+高防双重防护)

用户只需要在OSS控制台上进行简易的配置,就能享受DDoS防护能力。加入防护后,在没有攻击的时间段独享云原生防护实例,维持正常状态的网络性能,确保业务无额外时延;在受到攻击时,OSS会自动将处于防护状态下的bucket通过高防资源池进行流量清洗,从而达到自动切换的效果,保持网络服务可靠性。


2)T级防御能力

基于阿里云安全产品的DDoS高防能力,可以提供高达T级的防护能力,同时具备完善的四七层防御能力。在流量清洗技术方面,分别针对网络流量型攻击和资源耗尽型DDoS攻击,通过自动优化防护算法和深度学习业务流量基线,达到精准识别攻击IP并自动过滤清洗的目的。


3)DDoS防护引擎成熟度高

从应用与实践来看,阿里云高防引擎已经有上万企业用户在使用,同时也经受了双十一、世界杯直播等极限场景考验,积累了丰富的防护经验和大量的资源储备,应用广泛,可以确保为用户的业务保障极致的防攻击能力。从架构上老看,DDoS防护引擎采用高可用网络防护集群,避免单点故障和冗余,且处理性能支持弹性扩展。全自动检测和攻击策略匹配,提供实时防护,清洗服务可用性达99.99%。


高防OSS实践指南

下面将演示如何创建和使用OSS高防实例,及受到攻击后防护效果。

创建OSS高防实例

用户可以在OSS控制台主页面左侧的导航栏下方看到"OSS高防"标签页,申请试用

通过后,可以看到OSS高防功能界面

image.png


点击 OSS 高防 ,进入高防配置界面。点击 创建高防 OSS实例后,选择地域-确定

image.png

创建成功后可以在高防配置界面看到对应的高防实例。


查看和绑定Buckets

点击对应行右侧的“查看和绑定 Buckets”,可以看到该实例已绑定的bucket 。

image.png

image.png

点击 绑定高防 Buckets, 在下拉列表中选择要绑定的bucket,选中并进入修改自定义域名界面。此后OSS后台会对相关bucket进行初始化操作,在初始化操作结束后会正式对该bucket进行防护。


修改自定义域名

如果您的Bucket绑定了自定义域名,并且希望在受到攻击时仍能够正常通过该自定义域名访问OSS,那么需要在该界面选中指定的域名。可以通过 “查看和绑定 Buckets - 操作 - 修改自定义域名” 进入该界面。

image.png


注意事项

1) 在bucket绑定高防实例后,使用标准域名(如http://mybucket.oss-cn-hangzhou.aliyuncs.com/mypic.png)访问该bucket下object时,会自动带上Content-Disposition: attachment; filename="mypic.png",导致浏览器无法直接预览。使用自定义域名访问时不受限制。

2) 高防OSS实例创建后需至少使用7天,若实例在7天内被删除,OSS会收取剩余时间的高防基础资源费用。具体计费项可以参考DDoS防护费用

3) 每个地域可以创建一个高防OSS实例,每个实例最多只能绑定同一地域下的10个Bucket。

4)OSS默认不对Bucket关联的自定义域名进行防护,因此在Bucket遭到攻击时,无法通过自定义域名正常访问OSS。如果您希望在Bucket遭受攻击时可以通过自定义域名访问Bucket,请在OSS高防控制台添加要防护的自定义域名。每个Bucket防护的自定义域名数量上限是5个。

5)如果Bucket中要防护的自定义域名(www.example.com)匹配了DDoS高防产品中配置了转发规则的相同域名(www.example.com)或泛域名(*.example.com),则需要前往DDoS高防控制台解绑相同域名或泛域名。否则,在该Bucket受到攻击时,无法通过该自定义域名正常访问OSS。

有关同名或泛域名转发规则的更多信息,请参见添加网站


试用申请

可以在https://oss.console.aliyun.com/ddos 使用高防OSS功能。

目录
相关文章
|
10天前
|
编解码 前端开发 UED
探索无界:前端开发中的响应式设计深度解析与实践####
【10月更文挑战第29天】 本文深入探讨了响应式设计的核心理念,即通过灵活的布局、媒体查询及弹性图片等技术手段,使网站能够在不同设备上提供一致且优质的用户体验。不同于传统摘要概述,本文将以一次具体项目实践为引,逐步剖析响应式设计的关键技术点,分享实战经验与避坑指南,旨在为前端开发者提供一套实用的响应式设计方法论。 ####
36 4
|
12天前
|
安全 编译器 PHP
PHP 8新特性解析与实践应用####
————探索PHP 8的创新功能及其在现代Web开发中的实际应用
|
20天前
|
存储 安全 Java
系统安全架构的深度解析与实践:Java代码实现
【11月更文挑战第1天】系统安全架构是保护信息系统免受各种威胁和攻击的关键。作为系统架构师,设计一套完善的系统安全架构不仅需要对各种安全威胁有深入理解,还需要熟练掌握各种安全技术和工具。
58 10
|
17天前
|
安全 测试技术 数据安全/隐私保护
原生鸿蒙应用市场开发者服务的技术解析:从集成到应用发布的完整体验
原生鸿蒙应用市场开发者服务的技术解析:从集成到应用发布的完整体验
|
19天前
|
存储 弹性计算 NoSQL
"从入门到实践,全方位解析云服务器ECS的秘密——手把手教你轻松驾驭阿里云的强大计算力!"
【10月更文挑战第23天】云服务器ECS(Elastic Compute Service)是阿里云提供的基础云计算服务,允许用户在云端租用和管理虚拟服务器。ECS具有弹性伸缩、按需付费、简单易用等特点,适用于网站托管、数据库部署、大数据分析等多种场景。本文介绍ECS的基本概念、使用场景及快速上手指南。
61 3
|
22天前
|
PHP 数据安全/隐私保护 开发者
PHP 7新特性解析与实践
【10月更文挑战第20天】本文将深入浅出地介绍PHP 7的新特性,包括性能提升、语法改进等方面。我们将通过实际代码示例,展示如何利用这些新特性优化现有项目,提高开发效率。无论你是PHP新手还是资深开发者,都能从中获得启发和帮助。
|
3天前
|
监控 Java 应用服务中间件
高级java面试---spring.factories文件的解析源码API机制
【11月更文挑战第20天】Spring Boot是一个用于快速构建基于Spring框架的应用程序的开源框架。它通过自动配置、起步依赖和内嵌服务器等特性,极大地简化了Spring应用的开发和部署过程。本文将深入探讨Spring Boot的背景历史、业务场景、功能点以及底层原理,并通过Java代码手写模拟Spring Boot的启动过程,特别是spring.factories文件的解析源码API机制。
16 2
|
1月前
|
缓存 Java 程序员
Map - LinkedHashSet&Map源码解析
Map - LinkedHashSet&Map源码解析
67 0
|
1月前
|
算法 Java 容器
Map - HashSet & HashMap 源码解析
Map - HashSet & HashMap 源码解析
52 0

推荐镜像

更多