雲原生API Gateway與阿里雲Web Application Firewall3.0(簡稱WAF 3.0)深度整合,同時支援執行個體層級防護和路由層級防護,為您的網站或App業務提供一站式安全防護。
背景資訊
WAF能夠有效識別Web業務流量中的惡意特徵,通過清洗和過濾後,將正常且安全的流量傳遞給伺服器。這樣可以避免因惡意入侵而導致的伺服器效能異常等問題,從而保障網站業務及資料的安全性。與傳統的Web Application Firewall相比,採用雲原生API Gateway的方式可以讓使用者請求直接存取API Gateway而無需先經過Web Application Firewall,在確保不犧牲安全性的同時,進一步提升了系統的整體效能。整合前後對比如下圖:
計費說明
雲原生API Gateway本身不收取WAF費用,但阿里雲WAF 3.0將根據您的使用量進行收費。
開啟方式
推薦在雲原生API Gateway管理主控台開啟,請參見開啟執行個體層級防護和開啟路由層級防護。
開啟執行個體層級防護
該操作可能會重啟網關執行個體。
登入雲原生API Gateway控制台。在左側導覽列,選擇執行個體,並在頂部功能表列選擇地區。
說明目前華東2(上海)金融雲暫不支援WAF 3.0的整合功能。
在執行個體頁面,單擊目標網關執行個體ID。
在概覽頁面的基本資料頁簽下單擊WAF 防護右側的開啟。
在開啟執行個體級 WAF 防護對話方塊中,單擊繼續,開啟執行個體級WAF防護(推薦)。
開啟路由層級防護
該操作可能會重啟網關執行個體。
在左側導覽列,選擇API,並在頂部功能表列選擇地區。
單擊建立的HTTP或者WebSocket API類型的API,在API詳情頁面,單擊目標路由名稱。選擇策略配置頁簽,然後單擊WAF,在右側地區單擊開啟路由級WAF防護(推薦)按鈕。
在開啟路由級 WAF 防護對話方塊中,單擊確定。
後續步驟
開啟防護後,您的網站流量會通過內建的WAF進行安全檢查。WAF自動啟用規則防護和CC攻擊防護,前者可抵禦常見的Web攻擊如SQL注入、XSS及webshell上傳等,後者則專門對抗CC攻擊。若需額外的安全保護,請手動啟用其他模組並設定相應的防護規則。詳情請參考網關防護配置指南。
常見問題
網關是否支援WAF 2.0 ?
支援,需要將雲原生API Gateway的SLB IP地址添加到WAF回源地址中。具體操作中,請參見Web Application Firewall產品使用教程。