本文主要介绍如何配置WAF,对API网关上发布的API进行增强安全防护。

1 概述

API网关的核心是为API提供认证、防篡改、防重放、参数验证、全链路签名、限流等诸多安全功能,因此针对恶意攻击者精心构造的攻击请求,进行应用层攻击(如OWASP TOP10常见Web攻击等)、暴力破解等情况,您可以考虑接入云盾Web应用防火墙(简称WAF),从而避免遭到入侵导致数据泄露,更好的保障您的业务安全。

API网关和WAF完全兼容,您可以参考以下步骤为API接入WAF。

2 前提条件

3 操作步骤

步骤1:在API分组上绑定您的域名,操作过程详见 使用HTTPS并用域名访问。绑定成功后如下图所示:

由于后续步骤中还需配置WAF,建议当前阶段您不进行的CNAME配置。

步骤2:在WAF上添加网站。进入 WAF控制台,在管理 - 网站配置菜单中添加站点。

主要的填写信息包括:
  • 域名:填写您的域名,需要和 步骤一 中API网关分组上绑定的域名一致;
  • 协议类型:需要和您在API网关在发布API的协议类型一致;
  • 服务器地址:选择“其他地址”,填写API分组为您分配的公网二级域名。

点击下一步,按照WAF的提示,站点添加成功。同时您为您的域名添加CNAME解析记录,逐个完成业务流量的切换。更多关于WAF的安全配置方式,请详见 WAF接入配置最佳实践