文档首页> API网关 APIG> 最佳实践> 对接Web应用防火墙 WAF
更新时间:2022-01-11 GMT+08:00
分享

对接Web应用防火墙 WAF

企业为了保护APIG及后端服务器免受恶意攻击,可在APIG和外部网络之间部署WAF。

图1 后端服务器访问原理

方案一(推荐):WAF侧注册对外访问域名并配置证书,通过APIG实例的分组子域名访问后端服务

推荐原因:API分组通过域名方式对外提供服务,具备更强的可扩展性

  1. 在APIG实例中,新建API分组,并记录子域名,将API添加在新建的分组中。

    图2 新建API分组并记录子域名
    图3 新建API

  1. 在WAF侧添加防护域名时,配置“源站地址”填写为API分组的子域名,并添加证书。详细操作步骤请参考网站接入WAF(云模式)

    客户从公网客户端访问WAF时,使用的是WAF对外访问域名,WAF转发给APIG时同样使用该对外访问域名,APIG收到访问该域名的请求无次数限制。

  2. 在APIG实例中,为API分组绑定已创建的防护域名。

  3. 在APIG实例中,将“real_ip_from_xff”开关打开,并设置参数运行值为“1”。

    客户从公网客户端访问WAF时,WAF会在HTTP头部“X-Forwarded-For”中记录用户的真实IP,APIG需要据此解析出用户的真实IP。

方案二(备选):使用DEFAULT分组实现转发功能,WAF侧通过IP访问后端服务

  1. 在APIG实例中,查看入口地址。通过IP调用访问APIG实例,无访问次数限制。

    • 虚拟私有云访问地址为VPC内网地址。
    • 弹性IP地址为公网地址。

  1. 在DEFAULT分组中添加API。

  1. 在WAF侧添加防护域名时,配置“源站地址”为API网关实例的入口地址,并添加证书,以及复制WAF回源IP段。详细操作步骤请参考网站接入WAF(云模式)

    • 如果WAF与APIG在同一VPC下,“源站地址”可以填写私网地址。
    • 如果APIG绑定弹性IP,“源站地址”可以填写公网地址。

  2. 在APIG实例中,为DEFAULT分组绑定已创建的防护域名。

  3. 在APIG实例中,将“real_ip_from_xff”开关打开,并设置参数运行值为“1”。

    客户从公网客户端访问WAF时,WAF会在HTTP头部“X-Forwarded-For”中记录用户的真实IP,APIG需要据此解析出用户的真实IP。

分享:

    相关文档

    相关产品

close