检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
使用DDoS防护服务为APIG抵御DDoS攻击操作流程 购买DDoS高防 购买DDoS高防实例,为对接做准备。 接入域名 添加域名和证书。 注册公网域名 将防护域名注册到DNS服务上。 绑定防护域名 将防护域名绑定到API分组上。 创建API 在绑定域名的分组上创建一个API。 验证
如果源站已配置防火墙或安装安全软件,为了防止高防回源IP被源站拦截或限速,需要将高防回源IP段添加到源站的防火墙或其它防护软件的白名单中,即放行高防回源IP段,以确保高防的回源IP不受源站安全策略影响。 调用API。调用成功表示对接DDoS成功。 父主题: 使用DDoS防护服务为APIG抵御DDoS攻击
使用DDoS防护服务为APIG抵御DDoS攻击资源规划 表1 资源规划 资源 数量(个) DDoS高防实例 1 已备案域名 1 API分组 1 API 1 父主题: 使用DDoS防护服务为APIG抵御DDoS攻击
使用DDoS防护服务为APIG抵御DDoS攻击方案概述 应用场景 当用户在公网中调用APIG上公开的业务API时,会存在DDoS攻击风险,为防范DDoS攻击,华为云提供了DDoS防护服务。下文讲述如何对接DDoS高防服务来进行抵御DDoS攻击。DDoS攻击详情请参见常见DDoS攻击类型。 方案架构
使用DDoS防护服务为APIG抵御DDoS攻击 使用DDoS防护服务为APIG抵御DDoS攻击方案概述 使用DDoS防护服务为APIG抵御DDoS攻击资源规划 使用DDoS防护服务为APIG抵御DDoS攻击操作流程 使用DDoS防护服务为APIG抵御DDoS攻击实施步骤 父主题: API安全
API访问控制策略配置的IP地址是否为客户端的IP地址? 访问控制策略的IP地址不一定取客户端的IP地址。 APIG的访问控制是根据$remote_addr的值进行校验。$remote_addr代表客户端的IP,它的值是服务端根据客户端的IP指定的,当客户端访问APIG时,如果中
API的后端服务地址支持填写私有地址(子网IP)吗? 专享版:支持。实例所在同一个vpc子网内IP,或者通过专线打通的本地数据中心私有地址。 不支持专享版的网段: 0.0.0.0/8 10.0.0.0/8 100.125.0.0/16 127.0.0.0/8 169.254.0.0/16
如果部署在华为云上的服务绑定了公网IP地址,在API网关中创建API时,使用公网IP地址:端口号作为后端服务地址。如果此服务已绑定域名,则优先使用域名作为后端服务地址。创建API的详细步骤请参见创建API。 如果部署在华为云上的服务无公网IP地址,则将此服务的访问方式设置为VPC
添加防护网站”,即可配置防护域名。配置“源站地址”为API网关实例的入口地址,并添加证书。添加域名后,还需执行放行回源IP、本地验证、修改域名DNS解析设置。详细操作步骤请参考网站接入WAF(云模式)。 如果WAF与APIG在同一VPC下,“源站地址”可以填写私网地址。 如果APIG绑定弹性IP,“源站地址”可以填写公网地址。
怎样保护API的调用安全? 使用身份认证 创建API时,为API调用增加身份认证,如使用IAM认证或API网关提供的APP认证,防止API被恶意调用。 设置访问控制策略 从IP地址(或地址区间)以及账号等不同维度,设置白名单/黑名单。 将API绑定流控策略,通过流控策略保护API。
包括“允许”和“禁止”。 和“限制类型”配合使用,允许/禁止访问API的IP地址/账号名。 IP地址 输入需要允许或者禁止访问API的IP地址,或IP地址范围。 仅在“限制类型”为“IP地址”时,需要设置。 说明: 允许或禁止访问的IP地址条数,分别可以配置最多100条。 账号名 输入需要允许或
API安全 使用WAF对APIG进行安全防护 使用DDoS防护服务为APIG抵御DDoS攻击
包括“允许”和“禁止”。 和“类型”配合使用,允许/禁止指定的IP地址/账号名/账号ID访问API。 IP地址 仅当“类型”为“IP地址”时需要配置。 输入允许或者禁止访问API的IP地址,或IP地址范围。 说明: 允许或禁止访问的IP地址条数,分别可以配置最多100条。 账号名 仅当“类型”为“账号名”时需要配置。
实例解绑EIP 功能介绍 实例解绑EIP 调用方法 请参见如何调用API。 URI DELETE /v2/{project_id}/apigw/instances/{instance_id}/eip 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String
对后端服务进行签名 签名前准备 Java Python C#
创建跨域共享策略示例 在html中引入signer.js及依赖。 <script src="js/hmac-sha256.js"></script> <script src="js/moment.min.js"></script> <script src="js/moment-timezone-with-data
参数 说明 动作 选择访问控制的动作。 允许:表示仅允许指定IP地址的客户端调用API。 禁止:表示禁止指定IP地址的客户端调用API。 IP地址 单击“增加IP地址”,添加允许或禁止调用API的客户端IP地址或IP地址段。 策略配置完成后,单击“确定”。 父主题: 配置凭据策略
描述 eip_id 否 String 弹性公网IP编号 响应参数 状态码: 200 表4 响应Body参数 参数 参数类型 描述 eip_id String 弹性公网IP编号 eip_address String 弹性公网IP eip_status String 弹性公网IP状态 eip_ipv6_address
对象模型 API发布后,如果不想API被某些IP地址访问到,可以将这些IP地址加入黑名单,或者想API被某些特性的IP地址访问到,也可以将这些IP地址加入白名单。这样可以提高API的访问安全性,保护API免受攻击。本节介绍API的黑白名单(ACL策略)管理的对象模型,如表1 ACL策略对象模型所示。
对象模型 API发布后,如果不想API被某些IP地址访问到,可以将这些IP地址加入黑名单,或者想API被某些特性的IP地址访问到,也可以将这些IP地址加入白名单。这样可以提高API的访问安全性,保护API免受攻击。本节介绍API的黑白名单(ACL策略)管理的对象模型,如表1 ACL策略对象模型所示。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
