共计 1562 个字符,预计需要花费 4 分钟才能阅读完成。
对于 F5 API 加固解决方案,次要波及:AFM 高级防火墙模块、LTM 负载平衡模块、SSLO 加解密流量编排模块、AWAF 高级应用层防护模块、APM 认证受权策略管理模块、HSL 高速日志引擎。本文谈判及 AWAF 应用层防护相干的内容:
针对 API 的防护,首先须要理解数据和 API 利用的构造,F5 AWAF 反对将 OpenAPI 及 Swagger 配置文件导入,依据配置文件主动生成门路策略,并按不同的 API 门路提供不同深度的爱护。通过向导式配置办法,极大进步了防护部署的便捷性。
协定内容查看:通过对 XML,JSON 报文体的辨认,查看报文格式中存在的安全隐患和攻打特色,例如报文体长度限度,特殊字符的滥用,屡次编码,参数谬误,恶意代码上传等。
拜访形式限定:限定 API 接口的拜访办法(例如只容许 GET,POST,不容许其余拜访办法),阻断非正常的拜访形式,可升高 API 自身破绽被利用的概率。
扫描阻断:阻断攻击者对 API 网关破绽的扫描,进步 API 网关的安全性,升高应用服务的裸露面。
暴力破解防护:此类攻打会对 API 网关的性能产生微小的耗费,让大量的资源耗费在鉴权上。AWAF 高级应用层防护模块能够主动学习 AJAX 登录页面,依据事后设定的拜访阈值策略进行主动的暴力破解防护。
敏感数据泄露:反对自定义数据的暗藏,无效爱护数据的私密性。
机器人进攻:基于多个维度进行机器人的防护,通过机器人特色库,疾速屏蔽歹意机器人攻打;对于 API 接口,AWAF 利用 X -Security-Update-URL 报文头将 JavaScript 脚本插入到 API 利用返回的第一个回复报文中,后续通过 X -Security-Request 判断其 API 拜访是申请的合法性。在整个 API 拜访的过程中,AWAF 会继续递进通过中地检测 API 交互,确保机器人 BOT 无奈绕过检测,使得 API 网关不被机器人攻打所影响。
应用层 DDoS 攻打防护:API DDoS 攻打通常模仿失常的 API 拜访流程,瞄准耗费 API 网关性能较高的资源进行攻打,从而达到使 API 网关瘫痪,业务中断的目标。AWAF 防护模块能够通过多个维度来检测 APIDDoS 攻打,通过 Java script 来无效管制 API 的拜访频率,达到升高 DDoS 攻打影响的目标。同时,AWAF 还会基于 API 网关返回的提早状况来判断 API 网关是否存在异样,网络中是否存在攻打。当 API 网关返回的提早高于设定的阈值时,AWAF 模块会被动染指,对流量进行被动检测和攻打的防护。
IP 地址信用库防护:APIDDoS 攻打也存在一种利用大量离散 IP 以低频的模式攻打 API 网关,从而起到绕过防护设施针对每秒申请数限度的防护伎俩的成果。AWAF 防护模块能够提供 IP 地址信用库性能,与第三方威逼情报组织单干,实时更新 IP 信用库,对于此类低频的 DDoS 攻打,能够起到良好的防护作用。目前 IP 地址信用库包容了多种歹意地址库分类,例如匿名代理,歹意代理,SPAM,钓鱼网络,僵尸网络等等。一旦拜访 IP 起源蕴含在这些地址分类中,会间接被阻断
新建 API 接口防护策略的灵便调用:现在的 API 接口开发遵循继续迭代,继续交付的体系,并一直对利用框架做优化和开发模板的对立,从而能够实现利用的疾速、灰度公布,麻利发版与回收。传统的平安运维形式,在策略部署形式难以跟上利用开发的步调。这就对利用安全类产品是否嵌入到开发流程中,实现安全策略的主动下发,测试并配合利用发版提出了要求。F5 AWAF 产品具备 AS3 模块,提供申明式模板,以模板的模式实现安全策略的调用。平安运维人员能够将 API 利用分类,按不同类型制订进攻策略的模板,API 利用在开发流程中可通过 AS3 模块主动调用 AWAF 上相干的进攻策略模板,从而实现平安部署与业务公布效率的并行。
