Tencent Cloud

Recent Pages

API 安全

最后更新时间：2023-12-29 14:42:06

本文档将为您介绍如何通过 API 安全功能，添加 API 接口或 API 规则文件，从而进一步保护 API 接口安全。
背景信息
通过 API 安全功能，您可以添加 API 接口或 API 规则文件，WAF 将对 API 请求进行安全检查，只有符合定义规范的 API 才能被执行。同时 API 安全防护模块将和 AI 引擎 及 BOT 流量管理 进行联动，进行 API 接口保护。
操作步骤
1. 登录 Web 应用防火墙控制台，在左侧导航栏中，选择配置中心 > 基础安全，进入基础安全页面。
2. 在基础安全页面，左上角选择需要防护的域名，单击 API 安全，进入 API 安全页面。
3. 在 API 安全页面，添加 API 防护规则，目前支持通过 导入 API 和  添加 API 两种方式进行增加 API 规则。 
说明：
导入 API（推荐）：根据获取的 API 文档，直接导入文件进行解析。
添加 API：用户根据网站的路径接口，手动添加需要防护的 API 路径。
导入 API（推荐）
1. 在 基础安全 > API 安全页面，单击导入 API，弹出导入API 接口弹窗。
2. 在导入 API 接口弹窗中，选择上传文件类型，单击点击上传，传入 API 文件即可。
说明：
 目前 WAF 支持两种 swagger2.0 文件的解析，分别是： yml 文件和 json 文件。导入规则说明：
格式：导入 API 描述文件，文件后缀名必须为 .yml 或 .json，单次上传的 API 描述文件不超过100KB。
数量：每次最多可上传创建20条 API，导入已经存在的 API 会默认跳过。
导入创建成功的 API ，可进行编辑，请根据实际情况进行接口确认。
﻿
3. 您上传文件后， API 安全模块会自动解析 swagger2.0 文件中的 API 策略，解析完成后，单击确认导入，即可添加成功。
﻿
4. 添加成功后，您可在 API 安全页面，查看新导入的 API 规则。
添加 API
1. 在 基础安全 > API 安全页面，单击添加规则，弹出添加 API 接口弹窗。
2. 在添加 API 接口弹窗中，您可根据网站的 API 策略，添加对应的 API 安全规则，添加完成后，单击添加。
﻿
字段说明：
接口名称：添加 API 路径，以‘/’开头，注意接口名称+请求方式不能重复，如：/guanjia/waf/config。
描述：选填项，API 策略的相关描述。
接口开关：API 安全策略开关，默认为关。当开启开关后，才能对相应 API 策略进行解析，执行后续的观察和拦截动作。
请求方式：目前 API 安全支持四种请求方式：GET、POST、PUT 及 DELETE 方式。
匹配条件：需要您添加5个参数，分别为参数名称、参数位置、参数类型、是否必填（若勾选必填，WAF 会检查请求中，是否含有该参数，若有，则请求正常通过，若没有就会被拦截。）以及备注（可填项），参数位置目前支持 body、query 及 path 三种类型（可根据您业务实际参数所在位置进行选择）。
执行动作：目前支持两种动作，观察和拦截模式。
说明：
 建议您开启 API 安全功能时，先开观察模式，查看攻击日志是否存在误拦截，确认无误后，再开启拦截模式。
3. 添加完后，即可将 API 接口添加至 API 安全防护配置列表中。
﻿
字段说明：
规则 ID：添加成功一条 API 规则后，会自动生成一个对应的规则 ID，该 ID 在 API 安全模块具有唯一性，您可根据此 ID 在 攻击日志 中，查找对应的日志。
接口名称/描述：显示配置的 API 名称和描述，API 名称为 API 的实际路径，请按照实际防御域名的路径填写。
来源：来源分为两种，文件解析和手动添加。如果是导入的 API，则显示为文件解析，如果是手动添加的 API，则显示为手动添加。
请求方法：您配置的请求方法，分为 GET、POST、PUT 及 DELETE 四种。
API 参数：配置的 API 具体的参数列表，最多支持30个。
动作：分为观察和拦截两种。
开关：API 规则的启用状态，若关闭开关，则表示不启用。如需同时开启或关闭多个开关，可选择多个 API 规则，在列表上方，单击批量启用或批量禁用，进行批量操作。
修改时间：API 防护规则最新更新的时间。
操作：对指定的防护 API 操作说明，包括编辑及删除规则两种操作。如需批量删除规则，可选择多个 API 规则，在列表上方，单击批量删除，即可进行批量操作。