如何避免OSS被攻击恶意刷流量？

方式一：Bucket ACL设置为私有

如果您的Bucket是公共读权限，且URL暴露在公网上，则公网用户都可以访问您的OSS资源。相对于公共读权限来说，私有权限安全性更高，推荐您将Bucket设置为私有权限。更多信息，请参见设置Bucket ACL。

方式二：WAF防护

1. 购买WAF 3.0实例。具体操作，请参见购买WAF 3.0实例。

2. 通过CANAME的方式接入WAF 3.0。

   1. 通过OSS控制台为目标Bucket绑定自定义域名。

      绑定自定义域名过程中，不要将CNAME解析至Bucket域名。具体操作，请参见绑定自定义域名至Bucket默认域名。

   2. 通过Web应用防火墙控制台完成以下操作。

      1. 添加域名。

         将自定义域名作为需要防护的域名，Bucket域名作为服务器回源域名。具体操作，请参见添加域名。

      2. 复制域名对应的WAF CNAME地址。

         1. 在左侧导航栏，选择接入管理>CNAME接入。

         2. 在域名/CNAME列表中定位已添加的域名，查看并复制域名对应的WAF CNAME地址。

         

   3. 通过云解析DNS控制台为自定义域名添加一条CNAME记录，指向WAF提供的CNAME地址。

      具体操作，请参见修改域名DNS。

      

3. 配置防护策略。

   域名接入WAF后，WAF会自动将其添加为防护对象，并开启基础防护规则（默认启用中等规则组、采用拦截模式）。更多信息，请参见配置防护策略。