API 防护策略是指 WAF 能根据设定的 API 格式和参数,对请求 API 流量进行检查,以过滤和拦截满足规则的非法 API 请求。您可以通过人工登记的方式,设置针对特定 API 路径和请求方法的 API 防护策略,也可以使用 API 自动发现功能,自动记录存在风险的 API 请求行为。
背景信息
- 人工登记:通过手动添加或者文件上传的形式,将具有固定特征的 API 请求行为记录成为检测规则,当 API 请求命中该规则后,WAF 会执行相关动作。
- API 防护自动发现(仅面向企业版及以上版本开放):WAF 基于智能检测和学习能力,将可能存在风险的 API 请求行为记录为 API 防护规则。自动添加的规则默认为“已发现”状态,且默认执行“观察”动作。您可以手动确认规则和修改执行动作,确认后规则将切换为“已确认”状态。
- 未登记 API 执行动作:未登记 API 是指既没有通过人工方式添加,也不在 API 自动发现列表中的 API 请求。您可以为这类 API 设置统一的处置动作,包括观察、不检查或拦截。
- 观察:放行请求流量,但会将请求行为上报至攻击日志。
- 不检查:放行请求流量,将请求行为上报至访问日志。
- 拦截:拦截请求流量,将请求行为上报至攻击日志。如果配置了自定义拦截响应页面,WAF 会将配置的拦截响应页面信息返回给客户端。
注意事项
API 防护自动发现当前仅面向企业版及以上版本开放,且开启后需支付对应的功能启用费、QPS 包附加费和弹性 QPS 附加费。详细的计费说明请参考附加功能。
前提条件
您已将需要防护的网站接入 WAF 实例。接入相关操作,请参见接入方式概述。
人工登记
支持通过手动添加或者 JSON 文件上传的方式添加 API 防护规则。
- 登录 Web 应用防火墙控制台。
- 在顶部菜单栏选择实例所属地域。
- 在左侧导航选择防护策略>API 防护。
- 选择需要添加策略的域名。
- (可选)确认当前域名的防护模式为“启用防护”,否则需要单击更改防护模式修改。
- 开启策略启用开关。
- 添加规则,支持手动添加和文件上传两种添加方式。
手动添加:设置 API 防护策略参数。
参数
说明
配置示例
API 名称
API 请求动作的名称。
说明
- 以中文、字母、数字开头。
- 允许字母、数字、中文、点“。”、下划线“_”和短横线“-”。
- 长度为 1-128 个字符。
删除文件
API 描述
填写 API 规则的相关备注。
用于防护未经授权的删除操作
API 路径
填写 API 路径。最多 128 个字符,须符合 swagger PATH 格式,不包含域名和参数。例如:
/waf/user。/api/v1/delete_project_file请求方法
选择 API 请求方法,支持 GET、PUT、POST、DELETE、OPTIONS、HEAD、PATCH 和 TRACE。
DELETE
执行动作
- 观察:放行请求流量,但会将请求行为上报至攻击日志。
- 拦截:拦截请求流量,将请求行为上报至攻击日志。如果配置了自定义拦截响应页面,WAF 会将配置的拦截响应页面信息返回给客户端。
拦截
规则开关
开启或关闭当前规则。
开启
API 规则
填写详细的 API 规则,包括参数名称、参数位置、参数类型和参数范围等。
- 参数名称:ID
- 参数位置:query
- 参数格式:string
文件上传:批量导入 JSON 格式的 API 文件。
说明
- 格式要求:swagger 3.0 格式的 JSON 文件,单次上传的文件大小不超过 500 KB。
- 导入已存在的 API 会覆盖原有数据。
- API 成功导入后,默认开启策略开关且执行动作为观察,导入成功后可更改。
- 单击确定,完成规则配置。
配置完成后,可在 API 防护列表查看规则信息,并进行规则关闭/开启、编辑、废弃和查看日志等操作。
API 防护自动发现
WAF 基于智能检测和学习能力,将可能存在风险的 API 请求行为记录为 API 防护规则。
注意
API 防护自动发现当前仅面向企业版及以上版本开放,且开启后需支付对应的功能启用费、QPS 包附加费和弹性 QPS 附加费。详细的计费说明请参考附加功能。
操作步骤
- 登录 Web 应用防火墙控制台。
- 在顶部菜单栏选择实例所属地域。
- 在左侧导航选择防护策略>API 防护。
- 开启自动发现功能。
开启后,如果 WAF 发现了存在风险的 API 请求,会自动补生成一条执行动作为“观察”的 API 规则,该规则的状态为“已发现”。
自动发现规则说明
自动发现规则生成后,您可以手动修改执行动作,或是确认规则是否需要采纳。