如果您的Web業務啟用了阿里云API網關下的云原生API網關(簡稱APIG)服務,您可以為實例開啟Web應用防火墻(Web Application Firewall,簡稱WAF)防護,通過內嵌在網關中的SDK提取流量并進行檢測和防護。本文介紹如何為云原生API網關實例開啟WAF防護。
使用限制
云產品接入適用于快速將阿里云ALB、MSE、FC、CLB、ECS、SAE 2.0或APIG資源接入WAF防護。如需防護非阿里云資源的Web應用,請通過CNAME接入方式將域名下業務接入WAF,具體操作請參見添加域名。
僅支持為華東1(杭州)、華東2(上海)、華北2(北京)、華南1(深圳)地域的云原生API網關實例開啟WAF防護。
接入WAF的云原生API網關實例暫不支持以下功能:
網頁防篡改
信息泄露防護
Bot管理網頁防爬場景化防護中的自動集成Web SDK
接入準備
已創建云原生API網關實例。
具體操作,請參見創建云原生API網關。
如果您開通的是WAF包年包月實例,請確認您的實例已經添加的防護對象未達到上限額度。否則,將無法進行云產品接入。
您可以訪問防護對象頁面,查看實例現在已經添加及還可以再添加的防護對象數。
為云原生API網關開啟WAF防護
登錄Web應用防火墻3.0控制臺。在頂部菜單欄,選擇WAF實例的資源組和地域(中國內地、非中國內地)。
在左側導航欄,單擊接入管理。
選擇云產品接入頁簽,在左側云產品類型列表,選擇APIG單擊接入。
根據頁面提示,單擊立即授權,完成云產品授權。
完成后,阿里云將自動為您創建WAF服務關聯角色AliyunServiceRoleForWAF。您可以在RAM控制臺的頁面,查看阿里云為WAF自動創建的服務關聯角色。
說明如果您已經完成云產品授權,則授權頁面不會出現,您可以直接執行后續步驟。
此時,頁面將跳轉到云原生API網關控制臺。
在左側導航欄單擊實例,開啟WAF防護。
重要如果您是首次為云原生API網關實例開啟WAF防護,防護規則配置預計會在開啟后5分鐘生效。
開啟實例級WAF防護
在實例頁面中,單擊實例ID/名稱列的目標網關。
在基本信息頁簽的網絡信息區域中,單擊開啟WAF防護。
開啟路由級WAF防護
在實例頁面中,單擊目標網關操作列的API管理。
在API頁面中,單擊API名稱列的目標API。云原生API網關支持API設計、開發、測試、發布、下線等生命周期管理,如果您還沒有創建API管理,請參見API管理。
單擊路由名稱 / 發布狀態列的目標路由名稱,選擇策略配置頁簽。
在左側導航欄中,選擇WAF,單擊開啟路由級WAF防護。
管理云原生API網關
登錄Web應用防火墻3.0控制臺后,在左側導航欄,單擊接入管理,選擇,您可以對已接入的云原生API網關實例進行管理操作。
查看實例
在APIG接入列表中查看云原生API網關實例,其中路由列中后綴是-default-traffic為實例級WAF防護對象。
設置防護對象和防護規則
開啟WAF防護后,WAF會自動生成一個后綴為-apig的防護對象,并為該防護對象默認開啟基礎防護規則。您可以在APIG接入列表中,單擊已接入的目標實例ID,在防護對象頁面,查看自動添加的防護對象,并為其配置防護規則。具體操作,請參見防護配置概述。
取消接入
取消接入后,云原生API網關實例上的業務流量將不再受WAF防護,安全報表中也不再包含相關業務流量的防護數據。單擊目標實例名稱操作列的取消接入。頁面將跳轉到云原生API網關的實例列表頁面,在云原生API網關側關閉WAF防護。
關閉實例級WAF防護
在實例頁面中,單擊實例ID/名稱列的目標網關。在基本信息頁簽的網絡信息區域中,單擊關閉WAF防護。
關閉路由級WAF防護
在實例頁面中,單擊目標網關操作列的API管理,在API頁面中,單擊API名稱列的目標API。
單擊路由名稱 / 發布狀態列的目標路由名稱,選擇策略配置頁簽,在左側導航欄中,選擇WAF,單擊關閉路由級WAF防護。
