COS配置CDN及防盗刷方案
文章目录
-
- 前言
- 防护方案
-
- 基础防护方案
-
- 修改存储桶的访问权限
- 开启存储桶防盗链,[防盗链官方详细解释](https://cloud.tencent.com/document/product/436/6226)
- 配置云监控告警
- 进阶防护方案
-
- 1.进入cdn控制台 https://console.cloud.tencent.com/cdn/domains
- 2.添加域名
- 3.填写配置,增加防护策略
- 4.第四步可以配置证书,证书我们可以[免费申请](https://console.cloud.tencent.com/ssl)
- 5.提交配置
- 6.存储桶配置
- 7.补充配置
- 配置PicGo
-
- 参考文章&优秀文章
前言
近年来,越来越多用户在使用对象存储服务搭建个人图床以及个人网站时被别有用心者使坏,盗刷了流量,最终导致账户欠费,少则几百,多则达到上万,看到这些案例,我自己也时刻警惕自己,这里也提醒大家,在使用云服务厂商的产品时,一定要了解清楚,不要盲目跟风,否则可能就会有问题出现。
我这两天也是看了很多预防这种ddos、cc攻击,得到得一个结论就是这不能完全避免,只能降低损失,也有大佬说过
大佬一:
大佬二:
细思极恐啊!毕竟对于我这种兜里没多少钱的肯定要高度重视起来,如果你家有别墅靠大海,可以使劲造
这里我借鉴腾讯云官方文档来说说怎么防盗刷,有哪些方案
防护方案
基础防护方案
修改存储桶的访问权限
- 访问权限是存储桶最核心和敏感的配置之一,绝大部分的盗刷都是因为设置的公有读,所有人都可以直接通过图片链接访问图片,有的人就是通过不断访问一张图片刷取了大量流量,官方在创建存储桶时也建议设置为私有读
在这里可以设置—>
当我们把访问权限设置为私有读时,我们如果有学习笔记用到图床里的图片你会发现不显示了,只显示一个链接,这说明我们私有读设置成功了。那我们怎么访问图片呢?这需要我们后面配置cdn,这样就可以在私有读的权限下,读取到图片,cdn也是有效防止盗刷的一种有效方案,配置了cdn后我们可以配置流量阈值(很重要)、IP黑名单、IP访问限频等有效配置。后面讲怎么配置。、
开启存储桶防盗链,防盗链官方详细解释
- 防盗链也是最常见的防护手段之一,其原理是通过HTTP的Referer头部进行判断校验。
配置云监控告警
配置日志能让我们看到访问者的ip等信息,如果发现恶意用户,可以直接将其加入ip黑名单吗,并且在出现异常时,可以通过短信、微信公众号、电话通知我们,也都是一种策略,缺点是需要我们刻意关注。
在我们创建存储桶时,其实就有一个默认告警了,如果有功能不满足需求,也可以自行去腾讯云可观测平台配置。
这是我自己配置的一个,点击新建策略
自己新建完之后还要去存储桶开启日志存储,下面的日志分析功能我也不怎么了解,好像是一种帮助你分析日志,类似筛选有用信息功能,比如帮你分析A时间段到B时间段访问ip,要收费,我没开,主要不了解,怕乱扣费。
怎么看日志,参考官方文档
以上是官方列举的基础防护方案,当然还有进阶的,也就是更加有保障一点的。这就需要我们配置cdn了。
进阶防护方案
在配置cdn之前,首先需要格外注意的是:要有一个域名并且域名必须备案,否则不能自定义域名加速。
cdn呢它的优势在于降低网络拥塞,提高用户访问响应速度和命中率。腾讯云 CDN 可对 COS 上存储的静态资源(包括静态脚本、音视频、图片、附件等文件)进行加速分发。
CDN配置官方文档
具体步骤如下:
1.进入cdn控制台 https://console.cloud.tencent.com/cdn/domains
腾讯云新人一般都有6个月100G体验,链接:https://cloud.tencent.com/act/free?from=19067
后期可以购买资源包更划算一点(默认按量计费)链接:https://buy.cloud.tencent.com/cdn_package
继续配置cdn
2.添加域名
如果域名没有备案不能够配置
这里我们添加域名是 xx.备案的一级域名,也可以xx可以是img也可以是pic等,自己定义一个就可以
3.填写配置,增加防护策略
提升资源命中率和访问性能:这里可以直接默认,直接点击第3个防止费用超额;在第三步我们可以进行一些防护策略的配置
4.第四步可以配置证书,证书我们可以免费申请
等待证书签发,一会就好了,最后一键托管证书。我的域名和证书都是腾讯的,至于阿里,百度的,我没实践过,应该都差不多。
继续配置cdn
点击已托管就可以看到我们签发的对应域名下的证书,如果你不是托管的或者不是腾讯云这边操作来签发的证书,手动上传就可以。
5.提交配置
等待一会儿就好了
完成 二级域名 —>cdn —>存储桶
6.存储桶配置
其实上面我们已经配置好了,但是我们最开始也说了,配置了cdn我们可以将存储桶权限设置为私有读来访问,这样更保险也更安全一点。
我们可以按照最开始的找到存储桶,然后对其进行一些配置,包括权限更改,我自己呢是使用的腾讯云提供的可视化工具来操作,也很方便,也能看到一些数据,比如流量消耗情况、存储桶存储量,可以看腾讯云对象存储COSBrowser了解,网页版、app版,win、mac、linux都有
7.补充配置
1.在cdn控制台可以开启防盗链,这个比在存储桶更有效,这里配置了会直接影响最终的访问,因为我们最终访问图片资源是通过cdn来访问的。
这里我遇到了一个问题,就是我开启防盗链之后,我在Typora打开笔记,里面的图片也看不了,也被防盗链了,但是如果在开区防盗链的同时选中允许空referer,则typora也可以看到,怎么把typora添加到百名到让其也可以不被防盗链,我没有找到合适的解决办法,只能是在typora写的时候,关闭防盗链或者允许空referer访问,之后再打开防盗链或者再次不允许空referer访问,知道的可以告知一下,谢谢!
2.https配置
配置PicGo
上面的防护措施都配置好了,接下来也需要对PicGo做出一点修改
这样就设置好了
至此我们配置cdn以及一些防护策略基本搞完了。
参考文章&优秀文章
https://zhuanlan.zhihu.com/p/610428790
https://cloud.tencent.com/document/product/436/97973
https://cloud.tencent.com/developer/article/2239296?areaSource=100001.4&traceId=vrGEeJmg7t_uF36fNzMY_
至此我们配置cdn以及一些防护策略基本搞完了。