tencent cloud

文档反馈

API 安全

最后更新时间:2022-06-24 10:42:43

    本文档将为您介绍如何通过 API 安全功能,添加 API 接口或 API 规则文件,从而进一步保护 API 接口安全。

    背景信息

    通过 API 安全功能,您可以添加 API 接口或 API 规则文件,WAF 将对 API 请求进行安全检查,只有符合定义规范的 API 才能被执行。同时 API 安全防护模块将和 AI 引擎BOT 行为管理 进行联动,进行 API 接口保护。

    注意:

    API 安全防护当前处于公测阶段,您可以免费使用,正式发布后,将按官网公布刊例价收取费用。

    操作步骤

    1. 登录 Web 应用防火墙控制台,在左侧导航栏中,选择配置中心 > 基础安全,进入基础安全页面。
    2. 在基础安全页面,左上角选择需要防护的域名,单击 API 安全,进入 API 安全页面。
    3. 在 API 安全页面,添加 API 防护规则,目前支持通过 导入 API 添加 API 两种方式进行增加 API 规则。
      说明:

      • 导入 API(推荐):根据获取的 API 文档,直接导入文件进行解析。
      • 添加 API:用户根据网站的路径接口,手动添加需要防护的 API 路径。

    导入 API(推荐)

    1. 基础安全 > API 安全页面,单击导入 API,弹出导入API 接口弹窗。
    2. 在导入 API 接口弹窗中,选择上传文件类型,单击点击上传,传入 API 文件即可。
    说明:

    目前 WAF 支持两种 swagger2.0 文件的解析,分别是: yml 文件和 json 文件。导入规则说明:

    • 格式:导入 API 描述文件,文件后缀名必须为 .yml 或 .json,单次上传的 API 描述文件不超过100KB。
    • 数量:每次最多可上传创建20条 API,导入已经存在的 API 会默认跳过。
    • 导入创建成功的 API ,可进行编辑,请根据实际情况进行接口确认。

    1. 您上传文件后, API 安全模块会自动解析 swagger2.0 文件中的 API 策略,解析完成后,单击确认导入,即可添加成功。

    2. 添加成功后,您可在 API 安全页面,查看新导入的 API 规则。

    添加 API

    1. 基础安全 > API 安全页面,单击添加规则,弹出添加 API 接口弹窗。
    2. 在添加 API 接口弹窗中,您可根据网站的 API 策略,添加对应的 API 安全规则,添加完成后,单击添加

    字段说明:

    • 接口名称:添加 API 路径,以‘/’开头,注意接口名称+请求方式不能重复,如:/guanjia/waf/config
    • 描述:选填项,API 策略的相关描述。
    • 接口开关:API 安全策略开关,默认为关。当开启开关后,才能对相应 API 策略进行解析,执行后续的观察和拦截动作。
    • 请求方式:目前 API 安全支持四种请求方式:GET、POST、PUT 及 DELETE 方式。
    • 匹配条件:需要您添加5个参数,分别为参数名称、参数位置、参数类型、是否必填(若勾选必填,WAF 会检查请求中,是否含有该参数,若有,则请求正常通过,若没有就会被拦截。)以及备注(可填项),参数位置目前支持 body、query 及 path 三种类型(可根据您业务实际参数所在位置进行选择)。
    • 执行动作:目前支持两种动作,观察和拦截模式。
    说明:

    建议您开启 API 安全功能时,先开观察模式,查看攻击日志是否存在误拦截,确认无误后,再开启拦截模式。

    1. 添加完后,即可将 API 接口添加至 API 安全防护配置列表中。

    字段说明:

    • 规则 ID:添加成功一条 API 规则后,会自动生成一个对应的规则 ID,该 ID 在 API 安全模块具有唯一性,您可根据此 ID 在 攻击日志 中,查找对应的日志。
    • 接口名称/描述:显示配置的 API 名称和描述,API 名称为 API 的实际路径,请按照实际防御域名的路径填写。
    • 来源:来源分为两种,文件解析和手动添加。如果是导入的 API,则显示为文件解析,如果是手动添加的 API,则显示为手动添加。
    • 请求方法:您配置的请求方法,分为 GET、POST、PUT 及 DELETE 四种。
    • API 参数:配置的 API 具体的参数列表,最多支持30个。
    • 动作:分为观察和拦截两种。
    • 开关:API 规则的启用状态,若关闭开关,则表示不启用。如需同时开启或关闭多个开关,可选择多个 API 规则,在列表上方,单击批量启用批量禁用,进行批量操作。
    • 修改时间:API 防护规则最新更新的时间。
    • 操作:对指定的防护 API 操作说明,包括编辑及删除规则两种操作。如需批量删除规则,可选择多个 API 规则,在列表上方,单击批量删除,即可进行批量操作。
    联系我们

    联系我们,为您的业务提供专属服务。

    技术支持

    如果你想寻求进一步的帮助,通过工单与我们进行联络。我们提供7x24的工单服务。

    7x24 电话支持