云原生API网关与阿里云Web 应用防火墙3.0(简称WAF 3.0)深度集成,同时支持实例级别防护和路由级别防护,为您的网站或App业务提供一站式安全防护。
背景信息
WAF能够有效识别Web业务流量中的恶意特征,通过清洗和过滤后,将正常且安全的流量传递给服务器。这样可以避免因恶意入侵而导致的服务器性能异常等问题,从而保障网站业务及数据的安全性。与传统的Web应用防火墙相比,采用云原生API网关的方式可以让用户请求直接访问API网关而无需先经过Web应用防火墙,在确保不牺牲安全性的同时,进一步提升了系统的整体性能。集成前后对比如下图:
计费说明
云原生API网关本身不收取WAF费用,但阿里云WAF 3.0将根据您的使用量进行收费。
开启方式
在WAF 3.0控制台开启,请参见为APIG实例开启WAF防护。
开启实例级别防护
该操作可能会重启网关实例。
登录云原生API网关控制台。在左侧导航栏,选择实例,并在顶部菜单栏选择地域。
说明目前华东2(上海)金融云暂不支持WAF 3.0的集成功能。
在实例页面,单击目标网关实例ID。
在概览页面的基本信息页签下单击WAF 防护右侧的开启。
在开启实例级 WAF 防护对话框中,单击继续,开启实例级WAF防护(推荐)。
开启路由级别防护
该操作可能会重启网关实例。
登录云原生API网关控制台。
在左侧导航栏,选择API,并在顶部菜单栏选择地域。
单击创建的HTTP或者WebSocket API类型的API,在API详情页面,单击目标路由名称。选择策略配置页签,然后单击WAF,在右侧区域单击开启路由级WAF防护(推荐)按钮。
在开启路由级 WAF 防护对话框中,单击确定。
后续步骤
开启防护后,您的网站流量会通过内置的WAF进行安全检查。WAF自动启用规则防护和CC攻击防护,前者可抵御常见的Web攻击如SQL注入、XSS及webshell上传等,后者则专门对抗CC攻击。若需额外的安全保护,请手动激活其他模块并设置相应的防护规则。详情请参考网关防护配置指南。
常见问题
网关是否支持WAF 2.0 ?
支持,需要将云原生API网关的SLB IP地址添加到WAF回源地址中。具体操作中,请参见Web应用防火墙产品使用教程。