本文档将为您介绍如何通过 API 安全功能,添加 API 接口或 API 规则文件,从而进一步保护 API 接口安全。
背景信息
通过 API 安全功能,您可以添加 API 接口或 API 规则文件,WAF 将对 API 请求进行安全检查,只有符合定义规范的 API 才能被执行。同时 API 安全防护模块将和 AI 引擎 及 BOT 流量管理 进行联动,进行 API 接口保护。 操作步骤
2. 在基础安全页面,左上角选择需要防护的域名,单击 API 安全,进入 API 安全页面。
3. 在 API 安全页面,添加 API 防护规则,目前支持通过 导入 API 和 添加 API 两种方式进行增加 API 规则。 说明:
导入 API(推荐):根据获取的 API 文档,直接导入文件进行解析。
添加 API:用户根据网站的路径接口,手动添加需要防护的 API 路径。
导入 API(推荐)
1. 在 基础安全 > API 安全页面,单击导入 API,弹出导入API 接口弹窗。 2. 在导入 API 接口弹窗中,选择上传文件类型,单击点击上传,传入 API 文件即可。
说明:
目前 WAF 支持两种 swagger2.0 文件的解析,分别是: yml 文件和 json 文件。导入规则说明:
格式:导入 API 描述文件,文件后缀名必须为 .yml 或 .json,单次上传的 API 描述文件不超过100KB。
数量:每次最多可上传创建20条 API,导入已经存在的 API 会默认跳过。
导入创建成功的 API ,可进行编辑,请根据实际情况进行接口确认。
3. 您上传文件后, API 安全模块会自动解析 swagger2.0 文件中的 API 策略,解析完成后,单击确认导入,即可添加成功。
4. 添加成功后,您可在 API 安全页面,查看新导入的 API 规则。
添加 API
1. 在 基础安全 > API 安全页面,单击添加规则,弹出添加 API 接口弹窗。 2. 在添加 API 接口弹窗中,您可根据网站的 API 策略,添加对应的 API 安全规则,添加完成后,单击添加。
字段说明:
接口名称:添加 API 路径,以‘/’开头,注意接口名称+请求方式不能重复,如:/guanjia/waf/config
。
描述:选填项,API 策略的相关描述。
接口开关:API 安全策略开关,默认为关。当开启开关后,才能对相应 API 策略进行解析,执行后续的观察和拦截动作。
请求方式:目前 API 安全支持四种请求方式:GET、POST、PUT 及 DELETE 方式。
匹配条件:需要您添加5个参数,分别为参数名称、参数位置、参数类型、是否必填(若勾选必填,WAF 会检查请求中,是否含有该参数,若有,则请求正常通过,若没有就会被拦截。)以及备注(可填项),参数位置目前支持 body、query 及 path 三种类型(可根据您业务实际参数所在位置进行选择)。
执行动作:目前支持两种动作,观察和拦截模式。
说明:
建议您开启 API 安全功能时,先开观察模式,查看攻击日志是否存在误拦截,确认无误后,再开启拦截模式。
3. 添加完后,即可将 API 接口添加至 API 安全防护配置列表中。
字段说明:
规则 ID:添加成功一条 API 规则后,会自动生成一个对应的规则 ID,该 ID 在 API 安全模块具有唯一性,您可根据此 ID 在 攻击日志 中,查找对应的日志。 接口名称/描述:显示配置的 API 名称和描述,API 名称为 API 的实际路径,请按照实际防御域名的路径填写。
来源:来源分为两种,文件解析和手动添加。如果是导入的 API,则显示为文件解析,如果是手动添加的 API,则显示为手动添加。
请求方法:您配置的请求方法,分为 GET、POST、PUT 及 DELETE 四种。
API 参数:配置的 API 具体的参数列表,最多支持30个。
动作:分为观察和拦截两种。
开关:API 规则的启用状态,若关闭开关,则表示不启用。如需同时开启或关闭多个开关,可选择多个 API 规则,在列表上方,单击批量启用或批量禁用,进行批量操作。
修改时间:API 防护规则最新更新的时间。
操作:对指定的防护 API 操作说明,包括编辑及删除规则两种操作。如需批量删除规则,可选择多个 API 规则,在列表上方,单击批量删除,即可进行批量操作。
本页内容是否解决了您的问题?