应用场景
云原生 API 网关可结合 Web 应用防火墙与 DDoS 高防包联动,为用户提供全方位的安全防护。
Web 应用防火墙提供实时防护能力,可有效拦截 Web 攻击,保障用户业务的数据和信息安全。
DDoS 高防包可以提供上百 Gbps 的 DDoS 防护能力,轻松应对 DDoS 攻击,保障业务稳定运行。
本文介绍云原生 API 网关如何结合 WAF 和 DDoS 高防包,实现网关安全防护。
操作步骤
说明:
步骤1和步骤2没有严格的先后次序,您可以按照您的使用习惯完成配置。
步骤1:配置 Web 应用防火墙
云原生 API 网关支持域名接入和对象接入两种方式。对象接入以网关实例为维度进行安全防护接入,如您需要更精细的防护,可使用域名接入,通过配置防护域名,精准实现资源防护。您也可以同时配置两种防护策略,相关防护生效顺序如下:
精准域名接入防护:优先级最高,命中后安全防护策略优先生效。
对象接入防护:没有命中任何域名防护策略后的流量,继续执行对象默认防护策略。
1. 登录 Web 应用防火墙控制台,在左侧导航中,选择接入管理。
2. 在域名接入页签,单击添加域名,填写相关参数,单击确定。
所属实例:选择负载均衡型。
域名:输入需要防护的域名。
流量来源:选择云原生 API 网关。
代理情况:选择“是” ,WAF 将通过 XFF 字段获取客户真实 IP 地址作为源地址,勾选可能存在源 IP 被伪造的风险。
国内地域:选择需要防护的地域。
步骤2:配置 DDos 高防包
1. 登录 DDoS 防护控制台,在左侧导航栏中,选择云资产列表。
2. 在云资产列表页面,选择需要接入防护的云原生 API 网关实例,单击操作列的接入防护。
3. 在接入防护对话框中,选择需要绑定的 DDos 高防包,点击确定。
4. 确认在资产列表中,防护类型已经更新为DDos高防包,最大防护能力为全力防护中。
步骤3:配置云原生 API 网关
说明:
如您使用对象接入,此步骤可忽略。如您使用域名接入,请参考如下步骤添加域名。
1. 登录云原生 API 网关控制台,在左侧导航栏中,选择安全防护。
2. 进入 WAF 防护页签,在域名防护模块,选择添加域名,填写需要进行防护的域名。
3. 选择需要防护的服务或路由开启防护。
步骤4:测试验证
1. 登录 云原生 API 网关 控制台,在左侧导航中,选择安全防护。
2. 进入 DDos 防护 Tab,确认当前网关已关联防护实例。
3. 进入 WAF 防护 Tab,确认防护状态已开启。
在对象防护模块,确认对象防护已开启。
确认域名防护状态为部分开启或全部开启。
4. 在浏览器中输入网址
http://<网关域名或IP>/?test=alert(123)
并访问,浏览器返回阻断页面,说明 Web 应用防火墙防护功能正常。