阿裡雲對象存儲OSS原生DDoS防護能力-高防OSS功能解析與實踐

背景與場景

随着企業數字化轉型的不斷深入，更多的業務上雲，更大量的業務資料産生和使用，為了更好更優的提升服務品質。更多的行業采用内容即服務的架構，存儲資料流直接面向使用者和終端，在這樣的大背景下，存儲平台的可用性至關重要。

與此同時，DDoS攻擊是近年來對企業業務危害最大的攻擊手段之一。當企業遭受DDoS攻擊時，可能會導緻業務中斷，進而導緻企業的形象受損、客戶流失、收益受損等，嚴重影響企業業務的正常營運。

如何能夠讓這些基于存儲和内容的服務更加穩定、可用，有效應對DDoS攻擊的挑戰，有效保護使用者内容/資料(對象存儲)側的網際網路業務可用性？

高防OSS應“雲”而生

為此，OSS深度內建阿裡雲DDoS高防産品，提供最高T級DDoS防護能力、百萬QPS防護、秒級攻擊切換能力，可有效抵禦SYNFlood、ACKFlood、ICMPFlood、UDPFlood、NTPFlood、SSDPFlood、DNSFlood、HTTPFlood等攻擊。非常适用于業務經常遭惡意攻擊影響服務品質的場景，實作安全防護。

高防OSS作為OSS産品的一個功能，建構于OSS平台之上，提供一站式的OSS安全（防攻擊）能力，旨在為使用者雲存儲業務提供原生“安全防護”服務。使用者在開通高防OSS後，在使用者Bucket未受到攻擊時，OSS标準域名會被解析到原生防護IP上，維持正常的網絡狀态，確定業務的低延遲時間；而當使用者Bucket受到攻擊時，相關的通路流量都将優先經過高防機房，惡意攻擊流量将在高防流量清洗中心進行清洗過濾，正常的通路流量通過端口協定轉發的方式傳回給OSS伺服器，進而保障使用者在受到攻擊時能正常通路OSS。

OSS高防優勢

1)部署簡便、友善易用、無感覺（原生+高防雙重防護）

使用者隻需要在OSS控制台上進行簡易的配置，就能享受DDoS防護能力。加入防護後，在沒有攻擊的時間段獨享雲原生防護執行個體，維持正常狀态的網絡性能，確定業務無額外時延；在受到攻擊時，OSS會自動将處于防護狀态下的bucket通過高防資源池進行流量清洗，進而達到自動切換的效果，保持網絡服務可靠性。

2)T級防禦能力

基于阿裡雲安全産品的DDoS高防能力，可以提供高達T級的防護能力，同時具備完善的四七層防禦能力。在流量清洗技術方面，分别針對網絡流量型攻擊和資源耗盡型DDoS攻擊，通過自動優化防護算法和深度學習業務流量基線，達到精準識别攻擊IP并自動過濾清洗的目的。

3）DDoS防護引擎成熟度高

從應用與實踐來看，阿裡雲高防引擎已經有上萬企業使用者在使用，同時也經受了雙十一、世界杯直播等極限場景考驗，積累了豐富的防護經驗和大量的資源儲備，應用廣泛，可以確定為使用者的業務保障極緻的防攻擊能力。從架構上老看，DDoS防護引擎采用高可用網絡防護叢集，避免單點故障和備援，且處理性能支援彈性擴充。全自動檢測和攻擊政策比對，提供實時防護，清洗服務可用性達99.99%。

高防OSS實踐指南

下面将示範如何建立和使用OSS高防執行個體，及受到攻擊後防護效果。

建立OSS高防執行個體

使用者可以在OSS控制台首頁面左側的導航欄下方看到"OSS高防"标簽頁，申請試用

通過後，可以看到OSS高防功能界面

點選 OSS 高防 ，進入高防配置界面。點選 建立高防 OSS執行個體後，選擇地域-确定 

建立成功後可以在高防配置界面看到對應的高防執行個體。 

檢視和綁定Buckets

點選對應行右側的“檢視和綁定 Buckets”，可以看到該執行個體已綁定的bucket 。

點選 綁定高防 Buckets， 在下拉清單中選擇要綁定的bucket，選中并進入修改自定義域名界面。此後OSS背景會對相關bucket進行初始化操作，在初始化操作結束後會正式對該bucket進行防護。

修改自定義域名

如果您的Bucket綁定了

自定義域名

，并且希望在受到攻擊時仍能夠正常通過該自定義域名通路OSS，那麼需要在該界面選中指定的域名。可以通過 “檢視和綁定 Buckets - 操作 - 修改自定義域名” 進入該界面。

注意事項

1) 在bucket綁定高防執行個體後，使用标準域名（如

http://mybucket.oss-cn-hangzhou.aliyuncs.com/mypic.png

）通路該bucket下object時，會自動帶上Content-Disposition: attachment; filename="mypic.png"，導緻浏覽器無法直接預覽。使用自定義域名通路時不受限制。

2) 高防OSS執行個體建立後需至少使用7天，若執行個體在7天内被删除，OSS會收取剩餘時間的高防基礎資源費用。具體計費項可以參考

DDoS防護費用

。

3) 每個地域可以建立一個高防OSS執行個體，每個執行個體最多隻能綁定同一地域下的10個Bucket。

4）OSS預設不對Bucket關聯的自定義域名進行防護，是以在Bucket遭到攻擊時，無法通過自定義域名正常通路OSS。如果您希望在Bucket遭受攻擊時可以通過自定義域名通路Bucket，請在

OSS高防控制台

添加要防護的自定義域名。每個Bucket防護的自定義域名數量上限是5個。

5）如果Bucket中要防護的自定義域名（

www.example.com

）比對了DDoS高防産品中配置了轉發規則的相同域名（

www.example.com

）或泛域名（

*.example.com

），則需要前往

DDoS高防控制台

解綁相同域名或泛域名。否則，在該Bucket受到攻擊時，無法通過該自定義域名正常通路OSS。

有關同名或泛域名轉發規則的更多資訊，請參見

添加網站

試用申請

可以在

https://oss.console.aliyun.com/ddos

使用高防OSS功能。