為APIG實(shí)例開(kāi)啟WAF防護(hù)
如果您的Web業(yè)務(wù)啟用了阿里云API網(wǎng)關(guān)下的云原生API網(wǎng)關(guān)(簡(jiǎn)稱APIG)服務(wù),您可以為實(shí)例開(kāi)啟Web應(yīng)用防火墻(Web Application Firewall,簡(jiǎn)稱WAF)防護(hù),通過(guò)內(nèi)嵌在網(wǎng)關(guān)中的SDK提取流量并進(jìn)行檢測(cè)和防護(hù)。本文介紹如何為云原生API網(wǎng)關(guān)實(shí)例開(kāi)啟WAF防護(hù)。
使用限制
云產(chǎn)品接入適用于快速將阿里云ALB、MSE、FC、CLB、ECS、SAE 2.0或APIG資源接入WAF防護(hù)。如需防護(hù)非阿里云資源的Web應(yīng)用,請(qǐng)通過(guò)CNAME接入方式將域名下業(yè)務(wù)接入WAF,具體操作請(qǐng)參見(jiàn)添加域名。
僅支持為華東1(杭州)、華東2(上海)、華北2(北京)、華南1(深圳)地域的云原生API網(wǎng)關(guān)實(shí)例開(kāi)啟WAF防護(hù)。
接入WAF的云原生API網(wǎng)關(guān)實(shí)例暫不支持以下功能:
網(wǎng)頁(yè)防篡改
信息泄露防護(hù)
Bot管理網(wǎng)頁(yè)防爬場(chǎng)景化防護(hù)中的自動(dòng)集成Web SDK
接入準(zhǔn)備
已創(chuàng)建云原生API網(wǎng)關(guān)實(shí)例。
具體操作,請(qǐng)參見(jiàn)創(chuàng)建云原生API網(wǎng)關(guān)。
如果您開(kāi)通的是WAF包年包月實(shí)例,請(qǐng)確認(rèn)您的實(shí)例已經(jīng)添加的防護(hù)對(duì)象未達(dá)到上限額度。否則,將無(wú)法進(jìn)行云產(chǎn)品接入。
您可以訪問(wèn)防護(hù)對(duì)象頁(yè)面,查看實(shí)例現(xiàn)在已經(jīng)添加及還可以再添加的防護(hù)對(duì)象數(shù)。
為云原生API網(wǎng)關(guān)開(kāi)啟WAF防護(hù)
登錄Web應(yīng)用防火墻3.0控制臺(tái)。在頂部菜單欄,選擇WAF實(shí)例的資源組和地域(中國(guó)內(nèi)地、非中國(guó)內(nèi)地)。
在左側(cè)導(dǎo)航欄,單擊接入管理。
選擇云產(chǎn)品接入頁(yè)簽,在左側(cè)云產(chǎn)品類(lèi)型列表,選擇APIG單擊接入。
根據(jù)頁(yè)面提示,單擊立即授權(quán),完成云產(chǎn)品授權(quán)。
完成后,阿里云將自動(dòng)為您創(chuàng)建WAF服務(wù)關(guān)聯(lián)角色AliyunServiceRoleForWAF。您可以在RAM控制臺(tái)的 頁(yè)面,查看阿里云為WAF自動(dòng)創(chuàng)建的服務(wù)關(guān)聯(lián)角色。
說(shuō)明如果您已經(jīng)完成云產(chǎn)品授權(quán),則授權(quán)頁(yè)面不會(huì)出現(xiàn),您可以直接執(zhí)行后續(xù)步驟。
此時(shí),頁(yè)面將跳轉(zhuǎn)到云原生API網(wǎng)關(guān)控制臺(tái)。
在左側(cè)導(dǎo)航欄單擊實(shí)例,開(kāi)啟WAF防護(hù)。
重要如果您是首次為云原生API網(wǎng)關(guān)實(shí)例開(kāi)啟WAF防護(hù),防護(hù)規(guī)則配置預(yù)計(jì)會(huì)在開(kāi)啟后5分鐘生效。
開(kāi)啟實(shí)例級(jí)WAF防護(hù)
在實(shí)例頁(yè)面中,單擊實(shí)例ID/名稱列的目標(biāo)網(wǎng)關(guān)。
在基本信息頁(yè)簽的網(wǎng)絡(luò)信息區(qū)域中,單擊開(kāi)啟WAF防護(hù)。
開(kāi)啟路由級(jí)WAF防護(hù)
在實(shí)例頁(yè)面中,單擊目標(biāo)網(wǎng)關(guān)操作列的API管理。
在API頁(yè)面中,單擊API名稱列的目標(biāo)API。云原生API網(wǎng)關(guān)支持API設(shè)計(jì)、開(kāi)發(fā)、測(cè)試、發(fā)布、下線等生命周期管理,如果您還沒(méi)有創(chuàng)建API管理,請(qǐng)參見(jiàn)API管理。
單擊路由名稱 / 發(fā)布狀態(tài)列的目標(biāo)路由名稱,選擇策略配置頁(yè)簽。
在左側(cè)導(dǎo)航欄中,選擇WAF,單擊開(kāi)啟路由級(jí)WAF防護(hù)。
管理云原生API網(wǎng)關(guān)
登錄Web應(yīng)用防火墻3.0控制臺(tái)后,在左側(cè)導(dǎo)航欄,單擊接入管理,選擇 ,您可以對(duì)已接入的云原生API網(wǎng)關(guān)實(shí)例進(jìn)行管理操作。
查看實(shí)例
在APIG接入列表中查看云原生API網(wǎng)關(guān)實(shí)例,其中路由列中后綴是-default-traffic
為實(shí)例級(jí)WAF防護(hù)對(duì)象。
設(shè)置防護(hù)對(duì)象和防護(hù)規(guī)則
開(kāi)啟WAF防護(hù)后,WAF會(huì)自動(dòng)生成一個(gè)后綴為-apig
的防護(hù)對(duì)象,并為該防護(hù)對(duì)象默認(rèn)開(kāi)啟基礎(chǔ)防護(hù)規(guī)則。您可以在APIG接入列表中,單擊已接入的目標(biāo)實(shí)例ID,在防護(hù)對(duì)象頁(yè)面,查看自動(dòng)添加的防護(hù)對(duì)象,并為其配置防護(hù)規(guī)則。具體操作,請(qǐng)參見(jiàn)防護(hù)配置概述。
取消接入
取消接入后,云原生API網(wǎng)關(guān)實(shí)例上的業(yè)務(wù)流量將不再受WAF防護(hù),安全報(bào)表中也不再包含相關(guān)業(yè)務(wù)流量的防護(hù)數(shù)據(jù)。單擊目標(biāo)實(shí)例名稱操作列的取消接入。頁(yè)面將跳轉(zhuǎn)到云原生API網(wǎng)關(guān)的實(shí)例列表頁(yè)面,在云原生API網(wǎng)關(guān)側(cè)關(guān)閉WAF防護(hù)。
云原生API網(wǎng)關(guān)實(shí)例上的業(yè)務(wù)流量不受WAF防護(hù)后,不會(huì)產(chǎn)生請(qǐng)求處理費(fèi)。但您已經(jīng)配置的防護(hù)規(guī)則仍會(huì)產(chǎn)生對(duì)應(yīng)的功能費(fèi)。建議您在取消業(yè)務(wù)接入前,先刪除已配置的防護(hù)規(guī)則,避免產(chǎn)生額外計(jì)費(fèi)。更多信息,請(qǐng)參見(jiàn)計(jì)費(fèi)項(xiàng)、防護(hù)模塊概覽。
關(guān)閉實(shí)例級(jí)WAF防護(hù)
在實(shí)例頁(yè)面中,單擊實(shí)例ID/名稱列的目標(biāo)網(wǎng)關(guān)。在基本信息頁(yè)簽的網(wǎng)絡(luò)信息區(qū)域中,單擊關(guān)閉WAF防護(hù)。
關(guān)閉路由級(jí)WAF防護(hù)
在實(shí)例頁(yè)面中,單擊目標(biāo)網(wǎng)關(guān)操作列的API管理,在API頁(yè)面中,單擊API名稱列的目標(biāo)API。
單擊路由名稱 / 發(fā)布狀態(tài)列的目標(biāo)路由名稱,選擇策略配置頁(yè)簽,在左側(cè)導(dǎo)航欄中,選擇WAF,單擊關(guān)閉路由級(jí)WAF防護(hù)。