Este conteúdo foi traduzido por máquina para sua conveniência e a Huawei Cloud não pode garantir que o conteúdo foi traduzido com precisão. Para exibir o conteúdo original, use o link no canto superior direito para mudar para a página em inglês.
Central de ajuda/ API Gateway/ Melhores práticas/ Interconexão de um gateway dedicado com o WAF
Atualizado em 2024-08-05 GMT+08:00
Ver PDF
Compartilhar

Interconexão de um gateway dedicado com o WAF

Para proteger o API Gateway e seus servidores back-end contra ataques maliciosos, implemente o Web Application Firewall (WAF) entre o API Gateway e a rede externa.

Figura 1 Acesso a um servidor back-end

As instruções a seguir são baseadas no novo console. Se você estiver usando o console anterior, consulte o Guia de usuário do API Gateway.

(Recomendado) Solução 1: registrar o nome de domínio de depuração de grupo de APIs no WAF e usar o nome de domínio para acessar o serviço de back-end

Os grupos de APIs fornecem serviços usando nomes de domínio para alta escalabilidade.

  1. Crie um grupo de APIs em um gateway, registre o nome de domínio e crie uma API no grupo.

    Figura 2 Criação de um grupo de APIs e registro do nome de domínio de depuração
    Figura 3 Criação de uma API

  1. Vá para o console do WAF e adicione um nome de domínio configurando Server Address como o nome de domínio do grupo de APIs e adicionando um certificado. Para obter detalhes, consulte Processo de conexão (modo de nuvem).

    Você pode usar um cliente de rede pública para acessar o WAF com seu nome de domínio. Em seguida, o WAF usa o mesmo nome de domínio para encaminhar suas solicitações para o API Gateway. Não há limite para o número de solicitações que o API Gateway pode receber para o nome de domínio.

  2. Na página de detalhes do gateway, vincule o nome de domínio ao grupo de APIs.

  3. Ative real_ip_from_xff e defina o valor do parâmetro como 1.

    Quando um usuário acessa o WAF usando um cliente de rede pública, o WAF registra o endereço IP real do usuário no cabeçalho HTTP X-Forwarded-For. O API Gateway resolve o endereço IP real do usuário com base no cabeçalho.

Solução 2: encaminhar solicitações pelo grupo DEFAULT e usar o endereço de acesso de entrada do gateway para acessar o serviço de back-end do WAF

  1. Visualize os endereços de acesso de entrada do seu gateway. Não há limite para o número de vezes que o gateway da API pode ser acessado usando um endereço IP.

    • VPC Ingress Address: endereço de acesso da VPC
    • EIP: endereço de acesso à rede pública

  1. Crie uma API no grupo DEFAULT.

  1. Vá para o console do WAF, adicione um nome de domínio configurando Server Address como um endereço de acesso de entrada do seu gateway da API e adicionando um certificado e, em seguida, copie os endereços IP de volta à origem do WAF. Para obter detalhes, consulte Processo de conexão (modo de nuvem).

    • Se o WAF e o seu gateway estiverem na mesma VPC, defina Server Address como o endereço de acesso da VPC.
    • Se o seu gateway estiver vinculado a um EIP, defina Server Address como o EIP.

  2. Na página de detalhes do gateway, vincule o nome de domínio ao grupo DEFAULT.

  3. Ative real_ip_from_xff e defina o valor do parâmetro como 1.

    Quando um usuário acessa o WAF usando um cliente de rede pública, o WAF registra o endereço IP real do usuário no cabeçalho HTTP X-Forwarded-For. O API Gateway resolve o endereço IP real do usuário com base no cabeçalho.