更新时间:2024-12-27 GMT+08:00
通过API数据安全防护实现基础访问控制
防护操作流程
添加应用服务是API数据安全防护实现应用防护的第一步。添加完成并代理访问应用后,系统将自动梳理应用中的接口、账号以及敏感数据,并对资产进行防护与审计。
|
操作步骤 |
说明 |
|---|---|
|
购买API数据安全防护实例,选择实例规格(本文以基础版为例)、设置网络以及绑定弹性IP。 |
|
|
添加应用服务是API数据安全防护实现应用防护的第一步。添加完成并代理访问应用后,系统将自动梳理应用中的接口、账号以及敏感数据,并对资产进行防护与审计。 |
|
|
系统支持从应用、接口、Host、用户、客户端IP等维度配置基础访问控制规则,对命中规则的请求实行放行或阻断动作。 |
|
|
请求匹配到所配置的基础访问控制规则,访问的风险等级被标记为非法,表示基础访问控制配置生效。 |
步骤一:购买API数据安全防护实例并绑定弹性公网IP
- 登录管理控制台。
- 单击左上角的
,选择区域或项目。 - 在左侧导航树中,单击
,选择。 - 选择,进入“API数据安全防护”界面。
- 在界面左上角左上角单击“购买实例”,进入“购买API数据安全防护”界面。
- 参照表1填写基础配置信息:
- 选择实例规格,包含基础版和专业版,请按照如表2所示规格选择。
表2 实例规格 业务规格
基础版
专业版
-
满足基础防护需求
适用于中量级防护需求
支持应用数量
10个(最大)
20个(最大)
支持HTTP流量
1,000 Mbps
2,000 Mbps
支持HTTPS流量
500 Mbps
1,000 Mbps
图2 实例规格
- 设置“网络”:
图3 网络设置
表3 参数
说明
虚拟私有云
单击下拉框选择已创建的虚拟私有云。
子网
单击下拉框选择已创建的子网。
安全组
单击下拉框选择已创建的安全组。
弹性IP
单击下拉框选择已申请的弹性IP。
- 填写“登录信息”:
自定义admin用户密码信息。
- 密码设置要求
- 长度范围:8~32个字符,不能低于8个字符,且不能超过32 个字符。
- 规则要求:可设置英文大写字母(A~Z)、英文小写字母(a~z)、数字(0~9)和特殊字符(!@$%^-_=+[{}]:,./?~#*),且需同时至少包含其中三种。
- 不能包含用户名或倒序的用户名。
- 系统无法获取系统管理员admin用户密码,请务必保存好登录账号信息。
- 密码设置要求
- 选择“购买时长”,单击“下一步”进入支付确认界面。
- 单击“立即购买”,进入支付界面,完成支付。
- 完成支付后返回“API数据安全防护”界面,可在实例列表查看实例状态为“创建中”,创建实例一般需要10-20分钟。
- 实例状态为“运行中”时,在需要绑定弹性IP的实例所在行,单击操作列的。
- 在弹出的绑定弹性IP对话框中,选择已有“未绑定”状态的弹性IP,单击“确定”。
如果没有可选择的弹性IP,请参考弹性公网IP创建新的弹性IP。图4 绑定EIP
步骤二:添加应用服务
- 使用系统管理员sysadmin账号登录API数据安全防护系统Web控制台。
- 在左侧导航栏,选择,进入“应用服务”页面。
- 单击右上角的“添加”,在弹出的对话框中输入相关信息,参数配置如表4所示。
图5 添加应用资产
- 配置完成后,单击“确定”,保存应用资产。
- 在浏览器地址栏中输入添加应用时配置的域名(例如example.com),如下图6所示,表示成功通过代理访问应用。
步骤三:配置基础访问控制规则
- 使用系统管理员sysadmin账号登录API数据安全防护系统Web控制台。
- 在左侧导航栏,选择 。
- 选择“基础访问控制”页签,单击“添加”,配置基础访问控制规则参数。相关参数说明请参见表 基础访问控制规则参数说明。
图7 配置基础访问控制规则
- 单击“确定”,添加基础访问控制规则。
步骤四:验证基础访问控制规则配置效果
- 以客户端IP “172.16.212.65”在浏览器地址栏中输入应用的代理连接IP+端口(http://172.16.35.44:8182),通过代理连接IP+端口访问应用资产。如果访问被阻断,表示基础访问控制规则配置生效。示例如图8所示。
- 使用系统管理员sysadmin账号登录API数据安全防护系统Web控制台。
- 在找到目标请求记录,单击“详情”。
- 请求匹配到所配置的基础访问控制规则,访问的“风险等级”被标记为“非法”,表示基础访问控制配置生效。
