本文主要介绍如何配置WAF,对API网关上发布的API进行增强安全防护。
1 概述
API网关的核心是为API提供认证、防篡改、防重放、参数验证、全链路签名、限流等诸多安全功能,因此针对恶意攻击者精心构造的攻击请求,进行应用层攻击(如OWASP TOP10常见Web攻击等)、暴力破解等情况,您可以考虑接入云盾Web应用防火墙(简称WAF),从而避免遭到入侵导致数据泄露,更好的保障您的业务安全。
API网关和WAF完全兼容,您可以参考以下步骤为API接入WAF。
2 前提条件
在API网关上已经发布了API
3 操作步骤
步骤1:在API分组上绑定您的域名,操作过程详见使用自定义域名调用API。绑定成功后如下图所示:
重要
由于后续步骤中还需配置WAF,建议当前阶段绑定域名时使用TXT解析。
步骤2:在WAF上添加网站。进入WAF控制台,在管理 - 网站配置菜单中添加站点。
主要的填写信息包括:
域名:填写您的域名,需要和步骤一中API网关分组上绑定的域名一致;
协议类型:需要和您在API网关在发布API的协议类型一致;
服务器地址:选择“其他地址”,填写API分组为您分配的公网二级域名。
点击下一步,按照WAF的提示,站点添加成功。之后为域名添加CNAME解析记录,将域名解析至WAF的CNAME地址,逐个完成业务流量的切换。
步骤3:完成上述步骤后,为了避免用户直接绕过WAF通过API网关的公网二级域名访问API网关。我们建议您到API网关控制台关闭分组二级域名的访问。关闭后,直接通过API网关分组二级域名的访问将会失败,而通过WAF域名的访问不受影响。