阿里云存储服务 + 关注
手机版

【最佳实践】借助于高防IP产品,OSS抵御DDOS攻击

  1. 云栖社区>
  2. 阿里云存储服务>
  3. 博客>
  4. 正文

【最佳实践】借助于高防IP产品,OSS抵御DDOS攻击

figo168hf 发布时间:2018-11-12 14:55:16 浏览578 评论0

摘要: 第一章:OSS沙箱说明   阿里云OSS不承担网络攻击的防护义务。如果用户的Bucket正在遭受攻击或者有受攻击的风险,OSS会自动将被攻击的Bucket切入到沙箱。沙箱中的Bucket仍然可以正常响应请求,但是用户有可能明显感受到该Bucket服务质量的下降。

第一章:OSS沙箱说明

  阿里云OSS不承担网络攻击的防护义务。用户账号下的Bucket遭受攻击后,OSS会自动将用户的Bucket切入到沙箱。沙箱中的Bucket仍然可以正常响应请求,但是用户有可能明显感受到该Bucket服务质量的下降。

第二章:借助于高防IP,OSS抵御DDOS攻击

2.1 方案1:绑定域名+高防IP方式防御DDOS攻击

如果您的业务有可能遭受DDOS攻击,可以按照如下方式进行配置。
image

  1. 绑定OSS自定义域名: 配置参考:[绑定自定义域名];
  2. 购买高防IP,并将高防IP绑定到第一步设置的自定义域名。配置参考:[设置高防IP];
    注意:请根据业务实际情况,购买对应的弹性防护带宽;

image

   - “防护网站”:填写用户自定义的域名;
   - “协议类型”:根据实际访问请求方式,合理配置;
   - “源站IP/域名”:此处填写OSS的默认域名;

2.2 方案2:ECS反向代理+高防IP方式抵御DDOS攻击

因安全因素,Bucket默认域名解析的IP是会发生随机变化。对于期望使用固定IP方式访问的客户来说。推荐使用通过ECS搭建反向代理方式进行访问。因此,ECS上的EIP可以绑定高防IP以抵御DDOS攻击和CC攻击。具体可以按照如下方式进行配置:
image

  1. ECS反向代理方式访问OSS:详细配置可参考:[OSS反向代理访问方式配置];

    建议ECS部署在与OSS同一个region内;
  2. 将ECS绑定高防IP:[ECS绑定高防IP];
  3. ECS上的EIP绑定自定义域名;

image

1.“防护域名”:此处填写用户自定义的域名;
2.“协议类型”:此处根据实际需求,选择对应的访问方式。OSS默认提供的是Restful API访问方式;
3.“源站IP/域名”:此处填写ECS上的公网IP;

2.3方案优劣势分析

方案名称 方案1:绑定域名+高防IP方式 方案2:ECS反向代理+高防IP方式
优势 配置简单--支持控制台图形化设置 1.解决方案具有通用性--能够为已进入沙箱和未进入沙箱的Bucket提供防护能力;
2.适合于通过固定IP访问OSS的场景;
劣势 应用场景有局限性--只能针对未进入沙箱的Bucket提供防护 1.配置复杂。需要用户自定搭建nginx反向代理;
2.方案成本高--需要额外购买ECS搭建反向代理;

第三章:已进入沙箱的Bucket如何进行防护?

场景1. 若用户账号下的Bucket曾多次遭受攻击。那么,该用户后续新建的Bucket默认也会进入沙箱。此时,针对新建Bucket的安全访问措施如下:

 1.购买DDOS防护产品;
 2.通过工单系统提交“新建Bucket默认不进入沙箱申请”;
 3.申请通过后,按照“2.1章节 绑定域名+高防IP方式防御DDOS攻击”;

场景2. 针对已经进入沙箱的Bucket。阿里云不提供迁出服务。因此,针对已经进入沙箱的Bucket,建议按照方式2配置安全防护措施;

【注意】:建议在Bucket所在的Region搭建ECS,并且proxy_pass 填写bucket内网域名地址;
【云栖快讯】云栖专辑 | 阿里开发者们的第20个感悟:好的工程师为人写代码,而不仅是为编译器  详情请点击

网友评论