API Gateway：WAF接入配置

概述

API Gateway的核心是為API提供認證、防篡改、防重放、參數驗證、全鏈路籤名、限流等諸多安全功能，因此針對惡意攻擊者精心構造的攻擊請求，進行應用程式層攻擊（如OWASP TOP10常見Web攻擊等）、暴力破解等情況，您可以考慮接入Apsara Stack SecurityWeb Application Firewall（簡稱WAF），從而避免遭到入侵導致資料泄露，更好地保障您的業務安全。

API Gateway和WAF完全相容，您可以參考以下步驟為API接入WAF。

前提條件

• 開通Web Application Firewall。

• 在API Gateway上已經發布了API。

操作步驟

1. 在API分組上綁定您的網域名稱，操作過程詳見使用自訂網域名調用API。綁定成功後如下圖所示：

   

   重要

   由於後續步驟中還需配置WAF，建議當前階段綁定網域名稱時使用TXT解析。

2. 在WAF上添加網站。進入WAF控制台，在管理 - 網站配置菜單中添加網站。

   主要的填寫資訊包括：

   • 網域名稱：填寫您的網域名稱，需要和步驟一中API Gateway分組上綁定的網域名稱一致。

   • 協議類型：需要和您在API Gateway在發布API的協議類型一致。

   • 伺服器位址：選擇“其他地址”，填寫API分組為您分配的公網次層網域。

   點擊下一步，按照WAF的提示，網站添加成功。之後為網域名稱添加CNAME解析記錄，將網域名稱解析至WAF的CNAME地址，逐個完成業務流量的切換。

   

3. 完成上述步驟後，為了避免使用者直接繞過WAF通過API Gateway的公網次層網域訪問API Gateway。我們建議您到API Gateway控制台關閉分組次層網域的訪問。關閉後，直接通過API Gateway分組次層網域的訪問將會失敗，而通過WAF網域名稱的訪問不受影響。