如果您的Web业务启用了阿里云API网关下的云原生API网关(简称APIG)服务,您可以为实例开启Web应用防火墙(Web Application Firewall,简称WAF)防护,通过内嵌在网关中的SDK提取流量并进行检测和防护。本文介绍如何为云原生API网关实例开启WAF防护。
使用限制
云产品接入适用于快速将阿里云ALB、MSE、FC、CLB、ECS、SAE 2.0或APIG资源接入WAF防护。如需防护非阿里云资源的Web应用,请通过CNAME接入方式将域名下业务接入WAF,具体操作请参见添加域名。
仅支持为华东1(杭州)、华东2(上海)、华北2(北京)、华南1(深圳)地域的云原生API网关实例开启WAF防护。
接入WAF的云原生API网关实例暂不支持以下功能:
网页防篡改
信息泄露防护
Bot管理网页防爬场景化防护中的自动集成Web SDK
接入准备
已创建云原生API网关实例。
具体操作,请参见创建云原生API网关。
如果您开通的是WAF包年包月实例,请确认您的实例已经添加的防护对象未达到上限额度。否则,将无法进行云产品接入。
您可以访问防护对象页面,查看实例现在已经添加及还可以再添加的防护对象数。
为云原生API网关开启WAF防护
登录Web应用防火墙3.0控制台。在顶部菜单栏,选择WAF实例的资源组和地域(中国内地、非中国内地)。
在左侧导航栏,单击接入管理。
选择云产品接入页签,在左侧云产品类型列表,选择APIG单击接入。
根据页面提示,单击立即授权,完成云产品授权。
完成后,阿里云将自动为您创建WAF服务关联角色AliyunServiceRoleForWAF。您可以在RAM控制台的页面,查看阿里云为WAF自动创建的服务关联角色。
说明如果您已经完成云产品授权,则授权页面不会出现,您可以直接执行后续步骤。
此时,页面将跳转到云原生API网关控制台。
在左侧导航栏单击实例,开启WAF防护。
重要如果您是首次为云原生API网关实例开启WAF防护,防护规则配置预计会在开启后5分钟生效。
开启实例级WAF防护
在实例页面中,单击实例ID/名称列的目标网关。
在基本信息页签的网络信息区域中,单击开启WAF防护。
开启路由级WAF防护
在实例页面中,单击目标网关操作列的API管理。
在API页面中,单击API名称列的目标API。云原生API网关支持API设计、开发、测试、发布、下线等生命周期管理,如果您还没有创建API管理,请参见API管理。
单击路由名称 / 发布状态列的目标路由名称,选择策略配置页签。
在左侧导航栏中,选择WAF,单击开启路由级WAF防护。
管理云原生API网关
登录Web应用防火墙3.0控制台后,在左侧导航栏,单击接入管理,选择,您可以对已接入的云原生API网关实例进行管理操作。
查看实例
在APIG接入列表中查看云原生API网关实例,其中路由列中后缀是-default-traffic为实例级WAF防护对象。
设置防护对象和防护规则
开启WAF防护后,WAF会自动生成一个后缀为-apig的防护对象,并为该防护对象默认开启基础防护规则。您可以在APIG接入列表中,单击已接入的目标实例ID,在防护对象页面,查看自动添加的防护对象,并为其配置防护规则。具体操作,请参见防护配置概述。
取消接入
取消接入后,云原生API网关实例上的业务流量将不再受WAF防护,安全报表中也不再包含相关业务流量的防护数据。单击目标实例名称操作列的取消接入。页面将跳转到云原生API网关的实例列表页面,在云原生API网关侧关闭WAF防护。
关闭实例级WAF防护
在实例页面中,单击实例ID/名称列的目标网关。在基本信息页签的网络信息区域中,单击关闭WAF防护。
关闭路由级WAF防护
在实例页面中,单击目标网关操作列的API管理,在API页面中,单击API名称列的目标API。
单击路由名称 / 发布状态列的目标路由名称,选择策略配置页签,在左侧导航栏中,选择WAF,单击关闭路由级WAF防护。
