您可以通过API安全功能上传自定义的API规则文件,确保只有符合规则的API请求才会被执行,避免您的网站资产受到数据篡改、重放攻击等安全威胁。

前提条件

Web应用防火墙企业版及以上支持API安全的功能。使用API安全功能前,您需要已开通企业版、旗舰版或独享版。

背景信息

您上传了API接口规则文件后,API安全功能会自动解析该规则文件的内容,并基于该规则对API访问请求进行合法校验,对非法的API请求生成告警日志或进行拦截。

非法的API访问请求通常有请求路径不一致、参数值超出范围等。

说明 目前,API安全功能正在公测中,您可以免费使用。

操作步骤

  1. 登录Web应用防火墙控制台
  2. 在顶部菜单栏,选择Web应用防火墙实例的资源组和地域(中国内地海外地区)。
  3. 在左侧导航栏单击防护实验室 > API安全
  4. API安全页面,单击导入API接口
  5. 在文件选择框中选择需要上传的API文件,并单击右下角打开
    导入API文件后,文件中的内容会被自动解析并展示在API安全页面的接口规则列表中。API安全规则列表
    说明 导入的文件限制如下:
    • 文件大小不超过128 KB。
    • 文件类型仅支持Swagger 2.0格式(XML或JSON)。
    您可以在API安全页面进行以下操作:
    • 查看API安全规则的状态
      文件导入后,该API规则的状态默认为已启用、防护状态默认为告警,表示如果有API访问请求不符合已上传的API规则要求(即非法请求),Web应用防火墙会生成告警信息。您可以在安全报表页面API安全页签中查看相关告警信息。安全报表-API安全
    • 修改API规则的状态

      在接口规则列表中,单击状态栏的开关,开启或关闭API规则的状态。关闭API接口规则(状态为已禁用)后,Web应用防火墙将不再对该接口的请求进行检测或告警。

    • 修改API规则的防护状态

      防护状态栏单击告警拦截。防护状态设置为拦截,Web应用防火墙将阻断该接口的访问请求。

    • 查看API接口信息

      操作栏单击查看接口,您可以查看Web应用防火墙解析的接口信息,包括接口URL、接口请求方法、接口参数、参数值、是否必选、接口描述信息。