All Products
Search
Document Center

API Gateway:Aktifkan Web Application Firewall

Last Updated:Jun 04, 2026

API Gateway Cloud-native terintegrasi dengan Web Application Firewall 3.0 (WAF 3.0) Alibaba Cloud, yang mendukung perlindungan tingkat instans maupun tingkat rute untuk situs web dan aplikasi Anda.

Cara kerja

WAF membersihkan lalu lintas berbahaya dan hanya meneruskan permintaan aman ke server Anda, sehingga melindungi layanan dan data Anda. Berbeda dengan penerapan WAF tradisional, integrasi ini mengarahkan permintaan langsung melalui gerbang API tanpa hop WAF terpisah, meningkatkan kinerja tanpa mengorbankan keamanan. Gambar berikut membandingkan arsitektur sebelum dan sesudah integrasi.

image.png

Penagihan

Integrasi WAF pada API Gateway Cloud-native tidak dikenai biaya tambahan. Anda akan ditagih secara terpisah untuk penggunaan WAF 3.0.

Metode

Aktifkan perlindungan tingkat instans

Penting

Operasi ini dapat menyebabkan restart instans gateway.

  1. Masuk ke konsol API Gateway Cloud-native. Di panel navigasi kiri, pilih Instance. Di bilah menu atas, pilih wilayah.

    Catatan

    WAF 3.0 saat ini tidak tersedia di wilayah China (Shanghai) Finance.

  2. Pada halaman Instance, klik ID instans gateway target.

  3. Pada halaman Overview, pilih tab Basic Information. Temukan WAF dan klik Enable di sebelah kanan.

  4. Pada kotak dialog Enable instance-level WAF protection, klik Continue to enable instance-level WAF protection (Recommended).

Aktifkan perlindungan tingkat rute

Penting

Operasi ini dapat menyebabkan restart instans gateway.

  1. Masuk ke konsol API Gateway.

  2. Di panel navigasi kiri, klik Cloud-native API Gateway > API. Di bilah navigasi atas, pilih wilayah.

  3. Klik API HTTP atau WebSocket yang sudah ada. Pada halaman detail API, klik nama rute target. Pilih tab Configure Policy, klik WAF, lalu klik Enable route-level WAF protection (Recommended).

  4. Pada kotak dialog Enable Route-level WAF Protection, klik OK.

Langkah selanjutnya

Setelah Anda mengaktifkan WAF, perlindungan berbasis aturan dan perlindungan flood HTTP akan diaktifkan secara default. Perlindungan berbasis aturan melindungi dari injeksi SQL, Cross-Site Scripting (XSS), dan unggahan webshell. Perlindungan flood HTTP mengurangi serangan flood HTTP. Untuk keamanan yang lebih baik, konfigurasikan modul tambahan dan aturan kustom di panduan konfigurasi perlindungan gateway.

FAQ

Apakah gateway mendukung WAF 2.0?

Ya. Tambahkan alamat IP instans Server Load Balancer (SLB) yang terkait dengan instans API Gateway Cloud-native Anda ke daftar alamat back-to-origin WAF seperti yang dijelaskan dalam tutorial WAF.

Dokumen terkait