API 防护策略是指 WAF 能根据设定的 API 格式和参数，对请求 API 流量进行检查，以过滤和拦截满足规则的非法 API 请求。您可以通过人工登记的方式，设置针对特定 API 路径和请求方法的 API 防护策略，也可以使用 API 自动发现功能，自动记录存在风险的 API 请求行为。

背景信息

• 人工登记：通过手动添加或者文件上传的形式，将具有固定特征的 API 请求行为记录成为检测规则，当 API 请求命中该规则后，WAF 会执行相关动作。
• API 防护自动发现（仅面向企业版及以上版本开放且限时免费）：WAF 基于智能检测和学习能力，将可能存在风险的 API 请求行为记录为 API 防护规则。自动添加的规则默认为“已发现”状态，且默认执行“观察”动作。您可以手动确认规则和修改执行动作，确认后规则将切换为“已确认”状态。
• 未登记 API 执行动作：未登记 API 是指既没有通过人工方式添加，也不再 API 自动发现列表中的 API 请求。您可以为这类 API 设置统一的处置动作，包括观察、不检查或拦截。
  • 观察：放行请求流量，但会将请求行为上报至攻击日志。
  • 不检查：放行请求流量，将请求行为上报至访问日志。
  • 拦截：拦截请求流量，将请求行为上报至攻击日志。如果配置了自定义拦截响应页面，WAF 会将配置的拦截响应页面信息返回给客户端。

注意事项

API 防护自动发现功能处于限时免费阶段，当前仅面向企业版及以上规格开放。

前提条件

您已将需要防护的网站接入 WAF 实例。接入相关操作，请参见接入方式概述。

人工登记

支持通过手动添加或者 JSON 文件上传的方式添加 API 防护规则。

1. 登录Web应用防火墙控制台。
2. 在顶部菜单栏选择实例所属地域。
3. 在左侧导航选择防护策略>API防护。
   1. 选择需要添加策略的域名。
   2. （可选）确认当前域名的防护模式为“启用防护”，否则需要单击更改防护模式修改。
   3. 开启策略启用开关。
      
4. 添加规则，支持手动添加和文件上传两种添加方式。

   • 手动添加：设置 API 防护策略参数。

     参数	说明	配置示例
     API 名称	API 请求动作的名称。 说明 以中文、字母、数字开头。 允许字母、数字、中文、点“.”、下划线“_”和短横线“-”。 长度为 1-128 个字符。	删除文件
     API 描述	填写 API 规则的相关备注。	用于防护未经授权的删除操作
     API 路径	填写 API 路径。最多 128 个字符，须符合 swagger PATH 格式，不包含域名和参数。例如：/waf/user。	/api/v1/delete_project_file
     请求方法	选择 API 请求方法，支持 GET、PUT、POST、DELETE、OPTIONS、HEAD、PATCH 和 TRACE。	DELETE
     执行动作	观察：放行请求流量，但会将请求行为上报至攻击日志。 拦截：拦截请求流量，将请求行为上报至攻击日志。如果配置了自定义拦截响应页面，WAF 会将配置的拦截响应页面信息返回给客户端。	拦截
     规则开关	开启或关闭当前规则。	开启
     API 规则	填写详细的 API 规则，包括参数名称、参数位置、参数类型和参数范围等。	参数名称：ID 参数位置：query 参数格式：string

   • 文件上传：批量导入 JSON 格式的 API 文件。

     说明

     1. 格式要求：swagger 3.0 格式的 JSON 文件，单次上传的文件大小不超过 500 KB。
     2. 导入已存在的 API 会覆盖原有数据。
     3. API 成功导入后，默认开启策略开关且执行动作为观察，导入成功后可更改。
5. 单击确定，完成规则配置。
   配置完成后，可在 API 防护列表查看规则信息，并进行规则关闭/开启、编辑、废弃和查看日志等操作。

API 防护自动发现

WAF 基于智能检测和学习能力，将可能存在风险的 API 请求行为记录为 API 防护规则。

操作步骤

1. 登录Web应用防火墙控制台。
2. 在顶部菜单栏选择实例所属地域。
3. 在左侧导航选择防护策略>API防护。
4. 开启自动发现功能。
   
   开启后，如果 WAF 发现了存在风险的 API 请求，会自动补生成一条执行动作为“观察”的 API 规则，该规则的状态为“已发现”。

自动发现规则说明

自动发现规则生成后，您可以手动修改执行动作，或是确认规则是否需要采纳。