对于在腾讯云上使用统一接入层 APISIX 网关服务且有 Web 防护需求的用户,Web 防火墙提供了定制接入和混合云 WAF 两种方式以适用于用户需求。
针对腾讯云上的 APISIX 网关服务,需采用 SDK 集成模式进行定制接入。该模式要求在 APISIX 网关上统一部署 SDK 插件。SDK 插件会将网关的业务流量复制并转发至 WAF 防护集群。此模式下,WAF 防护集群不参与流量转发,从而实现业务转发与检测分离。
步骤 1:部署 SDK 插件
腾讯云 WAF 联动部署 Web 防火墙提供的 SDK 插件,请联系腾讯云专家提供 SDK 插件后,由您的业务运维部分将腾讯云 WAF 的 SDK 插件集成到 APISIX 网关,将 Web 流量牵引到腾讯公有云 WAF 服务集群。
步骤 2:配置 WAF
1. 登录 Web 应用防火墙控制台,在左侧导航栏顶部,将控制台切换至实例所在区域(中国大陆/非中国大陆)。
2. 在左侧导航栏中,选择接入管理 > 域名接入。
3. 在域名接入页面,单击添加域名,填写相关配置参数,单击确定即可。
字段说明
所属实例:选择负载均衡型和对应负载均衡型 WAF 实例名称。
域名:在域名输入框中添加需要防护的域名如
test.com。流量来源:选择 APISIX 网关。
代理情况:根据实际情况选择是否已使用了高防、CDN、云加速等代理。
说明:
选择“是” ,WAF 将通过 XFF 字段获取客户真实 IP 地址作为源地址,可能存在源 IP 被伪造的风险。
国内地域:根据实际需求选择。
备注:按需输入备注。
4. 单击确定后返回域名接入页面,可查看防护域名、网关实例 ID 和名称等信息。
步骤 3:验证测试
在浏览器中输入网址
http://test.com/?test=alert(123) (模拟 Web 攻击的请求)并访问,浏览器返回阻断页面,说明 Web 应用防火墙防护功能正常。注意:
test.com为本案例中示例域名,此处需要将域名替换为实际添加的域名。
