You need to enable JavaScript to run this app.
导航
配置 API 防护策略
最近更新时间:2023.10.07 21:51:11首次发布时间:2021.10.15 18:40:46

API 防护策略是指 WAF 能根据设定的 API 格式和参数,对请求 API 流量进行检查,以过滤和拦截满足规则的非法 API 请求。

前提条件

您已将需要防护的网站接入 WAF 实例。

操作步骤

  1. 登录Web应用防火墙控制台
  2. 在顶部菜单栏选择实例所属地域。
  3. 在左侧导航选择防护策略>API防护
  4. 开启待防护域名的漏洞防护功能。
    1. 在页面上方选择需要开启 API 防护的域名。
    2. 开启策略启用开关。
      图片
  5. 选择路由检查模式。
    路由检查是指对未设置匹配规则的 API 请求进行统一策略管理。
    • 不检查:放行请求流量,将请求行为上报至访问日志。
    • 观察:放行请求流量,但会将请求行为上报至攻击日志。
    • 拦截:拦截请求流量,将请求行为上报至攻击日志。如果配置了自定义拦截响应页面,WAF 会将配置的拦截响应页面信息返回给客户端。
  6. 添加规则,支持手动添加和文件上传两种添加方式。
    • 手动添加:设置 API 防护策略参数。

      参数

      说明

      API 路径

      填写 API 路径。最多 128 个字符,须符合 swagger PATH 格式,不包含域名和参数。例如:/waf/user

      API 描述

      填写 API 规则的相关描述。

      请求方法

      选择 API 请求方法,支持 GET、PUT、POST、DELETE、OPTIONS、HEAD、PATCH、和 TRACE。

      执行动作

      选择 API 防护动作,支持观察和拦截。

      规则开关

      开启或关闭当前规则。

      API 规则

      填写详细的API规则,包括参数名称、参数位置、参数类型和参数范围等。

    • 文件上传:批量导入 JSON 格式的 API 文件。

      说明

      1. 格式要求:swagger 3.0 格式的 JSON 文件,单次上传的文件大小不超过 500 KB。
      2. 导入已存在的 API 会覆盖原有数据。
      3. API 成功导入后,默认开启策略开关且执行动作为观察,导入成功后可更改。
  7. 单击确定,完成规则配置。
    配置完成后,可在 API 防护列表查看规则信息,并进行规则关闭/开启、编辑和删除操作。