应用服务
添加应用服务是API数据安全防护实现应用防护的第一步。添加完成并代理访问应用后,系统将自动梳理应用中的接口、账号以及敏感数据,并对资产进行防护与审计。
将需要审计与防护的应用资产手动添加至“应用服务”页面,实现代理访问应用资产。
例如,您需要添加一个应用,应用名为demo,应用资产的域名为example.com,应用原地址为172.xx.xx.53:8182,应用协议为https模式;API数据安全防护服务器地址为172.xx.xx.44:8441。
本章节介绍如何将该应用添加至应用资产,实现代理访问。
添加代理应用
- 使用系统管理员sysadmin账号登录API数据安全防护系统web控制台。
- 在左侧导航栏,选择。
- 单击“添加”。
- 在“添加应用资产”对话框中,设置资产信息。
图1 添加应用资产
表1 添加应用资产 参数
说明
智能填写
将应用服务器原始URL复制到此处,单击“识别”,可智能识别并填写各项参数。
应用名称
自定义设置应用服务的名称。
域名
填写客户端用户最终访问的地址,与应用协议绑定。- 如果填写域名(例如example.com),无需填写端口。配置后访客通过该域名代理访问应用资产。
说明:
如果填写域名,需要修改域名和IP的映射关系,使该域名解析到API数据安全防护的IP。正常情况下修改DNS中域名与IP的映射关系;没有DNS时或者测试时,可以通过修改客户端的hosts文件,使域名解析到API数据安全防护的IP。
- 如果填写IP,则填写API数据安全防护的IP与代理端口,端口可配置为1~65535范围内的空闲端口。配置后,访客通过该IP + 端口号即可代理访问应用资产。
访问协议
选择API数据安全防护服务器的代理协议。
如果选择“https”,需要在“证书选择”下拉框中选择证书。
证书选择
如果“应用协议”选择“https”,需要在“应用证书”下拉框中选择证书。在此之前,需要在证书管理页面上传或制作证书。具体操作请参见证书管理。
源站地址
选择源站地址的类型,包括ip与域名。- 如果源站地址为ip,则输入应用服务器原始IP地址,即服务端原本的地址(例如图中的172.xx.xx.53+端口号)。
- 如果源站地址为域名,则输入应用服务器原始域名。
DNS服务器
如果源站地址选择域名,则需要输入代理服务器DNS地址。
源站协议
选择“源站协议”,即应用原地址所用协议。
负载均衡策略
选择代理访问的负载均衡策略,当源站地址有多个时将采用配置的负载均衡策略进行访问。
启用状态
选择是否启用该应用代理服务。
高级配置
如果源站应用系统有高级认证,可在此处配置应用请求头中的host、Referer、origin、编码(Content-Encoding)参数,并可配置最大请求体来限制发送。
- 如果填写域名(例如example.com),无需填写端口。配置后访客通过该域名代理访问应用资产。
- 单击“确定”。
- 添加完成后,访客通过配置的应用域名/IP(例如example.com)可对应用进行代理访问。
图2 应用资产列表
相关操作
- 编辑应用资产:单击目标应用右侧的“编辑”,修改应用资产配置。
- 修改文件配置:单击目标应用右侧的“文件配置”,修改应用资产的系统配置信息。
请确保修改内容符合配置规则,修改后原文件配置将被替换。
- 删除应用资产:单击目标应用右侧的“删除”,删除不再需要的应用资产。
- 批量删除应用资产:勾选多个应用,单击右上角的“删除”。
- 访问分析:单击目标应用右侧的
,在下拉框中选择访问分析,查看应用资产的访问情况。 - 风险分析:单击目标应用右侧的
,在下拉框中选择风险分析,查看应用资产的风险情况。 - 查看接口信息:单击目标应用右侧的
,在下拉框中选择接口配置,查看应用资产的接口信息。 - 修改系统Nginx配置:单击“全局配置”,修改系统全局的Nginx配置。
请确保修改内容符合配置规则,修改后原文件配置将被替换。
- 导出应用资产信息:单击“导出”,导出应用资产信息。
