您可以通过API安全功能上传自定义的API规则文件,确保只有符合规则的API请求才会被执行,避免您的网站资产受到数据篡改、重放攻击等安全威胁。

前提条件

  • 已开通Web应用防火墙实例,且实例满足以下要求:
    • 使用包年包月方式开通。
      说明 按量付费开通的Web应用防火墙实例暂不支持API安全功能。
    • 如果实例地域是中国内地,则套餐必须是企业版及以上规格。
    • 如果实例地域是海外地区,则套餐必须是旗舰版及以上规格。

    更多信息,请参见开通Web应用防火墙

  • 已完成网站接入。更多信息,请参见添加域名

背景信息

您上传了API接口规则文件后,API安全功能会自动解析该规则文件的内容,并基于该规则对API访问请求进行合法校验,对非法的API请求生成告警日志或进行拦截。

非法的API访问请求通常有请求路径不一致、参数值超出范围等。

说明 目前,API安全功能正在公测中,您可以免费使用。

操作步骤

  1. 登录Web应用防火墙控制台
  2. 在顶部菜单栏,选择Web应用防火墙实例的资源组和地域(中国内地海外地区)。
  3. 在左侧导航栏,单击防护实验室 > API安全
  4. API安全页面,单击切换域名,切换到要设置的域名。
  5. 单击导入API接口
  6. 在文件选择框中选择需要上传的API文件,并单击右下角的打开
    说明 导入的文件限制如下:
    • 文件大小不超过128 KB。
    • 文件类型仅支持Swagger 2.0格式(XML或JSON)。

      Swagger是一种用于描述API定义的规范,被广泛应用于定义和描述后端应用服务的API。关于阿里云Swagger扩展的更多信息,请参见通过导入Swagger创建API

    导入API文件后,文件中的内容会被自动解析并展示在 API安全页面的接口规则列表中。 API安全规则列表
    您可以在 API安全页面进行以下操作:
    • 查看API安全规则的状态
      文件导入后,该API规则的状态默认为 已启用、防护状态默认为 告警,表示如果有API访问请求不符合已上传的API规则要求(即非法请求),Web应用防火墙会生成告警信息。您可以在 安全报表页面 API安全页签中查看相关告警信息。 安全报表-API安全
    • 修改API规则的状态

      在接口规则列表中,单击状态栏的开关,开启或关闭API规则的状态。关闭API接口规则(状态为已禁用)后,Web应用防火墙将不再对该接口的请求进行检测或告警。

    • 修改API规则的防护状态

      防护状态栏单击告警拦截。防护状态设置为拦截,Web应用防火墙将阻断该接口的访问请求。

    • 查看API接口信息

      操作栏单击查看接口,您可以查看Web应用防火墙解析的接口信息,包括接口URL、接口请求方法、接口参数、参数值、是否必选、接口描述信息。