WAF接入配置

更新时间: 2023-08-15 10:47:25

本文主要介绍如何配置WAF,对API网关上发布的API进行增强安全防护。

1 概述

API网关的核心是为API提供认证、防篡改、防重放、参数验证、全链路签名、限流等诸多安全功能,因此针对恶意攻击者精心构造的攻击请求,进行应用层攻击(如OWASP TOP10常见Web攻击等)、暴力破解等情况,您可以考虑接入云盾Web应用防火墙(简称WAF),从而避免遭到入侵导致数据泄露,更好的保障您的业务安全。

API网关和WAF完全兼容,您可以参考以下步骤为API接入WAF。

2 前提条件

3 操作步骤

步骤1:在API分组上绑定您的域名,操作过程详见分组的域名绑定。绑定成功后如下图所示:

image.png
重要

由于后续步骤中还需配置WAF,建议当前阶段绑定域名时使用TXT解析。

步骤2:在WAF上添加网站。进入WAF控制台,在管理 - 网站配置菜单中添加站点。

主要的填写信息包括:

  • 域名:填写您的域名,需要和步骤一中API网关分组上绑定的域名一致;

  • 协议类型:需要和您在API网关在发布API的协议类型一致;

  • 服务器地址:选择“其他地址”,填写API分组为您分配的公网二级域名。

点击下一步,按照WAF的提示,站点添加成功。之后为域名添加CNAME解析记录,将域名解析至WAF的CNAME地址,逐个完成业务流量的切换。

CNAME地址

步骤3:完成上述步骤后,为了避免用户直接绕过WAF通过API网关的公网二级域名访问API网关。我们建议您到API网关控制台关闭分组二级域名的访问。关闭后,直接通过API网关分组二级域名的访问将会失败,而通过WAF域名的访问不受影响。

image.png

阿里云首页 API 网关 相关技术圈