本页面适用于 Apigee 和 Apigee Hybrid。
查看 Apigee Edge 文档。
在安全操作页面中,您可以创建安全操作,以根据滥用行为检测页面中的信息指定 Apigee 如何处理检测到的流量。例如,您可以创建一个安全操作,以拒绝来自已确定为滥用行为来源的 IP 地址的请求。收到该地址的请求后,Apigee 会阻止它访问您的 API。您还可以创建安全操作,以拒绝已使用指定的检测规则标记的请求。
除了拒绝操作之外,您还可以创建标志操作(向检测到的请求添加标头)或允许操作(替换特定情况下的拒绝操作)。请参阅安全操作。
如需了解执行安全操作任务所需的角色,请参阅安全操作所需的角色。
如需使用此功能,您必须启用该插件。如果您是订阅客户,则可以为组织启用该插件。如需了解详情,请参阅管理订阅组织的 Advanced API Security。如果您是随用随付客户,则可以在符合条件的环境中启用该插件。如需了解详情,请参阅管理 Advanced API Security 插件。
安全操作的工作原理
在安全操作页面中,您可以执行操作来明确允许、拒绝或标记来自特定客户端的请求。在您的 API 代理处理请求之前,Apigee 会将这些操作应用于请求。通常,您之所以执行操作,是因为请求符合不需要的行为模式,或者(对于允许操作)因为您希望替换特定 IP 地址的拒绝操作。
标志操作允许将请求传递到您的 API,但会向被标记的请求添加最多五个标头,因此您可以跟踪这些请求以观察其行为。
如需确定要对哪些请求执行操作,您可以使用滥用行为检测 检测到的流量或突发事件视图,显示存在滥用行为的 IP 地址。 您可以采取措施来阻止来自这些 IP 地址的请求。
安全操作
您可以执行以下类型的安全操作。
行动 | 说明 | 优先级顺序 |
---|---|---|
允许 | 允许某些本应被拒绝操作阻止的请求。例如,假设您已创建一个安全操作,以拒绝已使用检测规则标记的流量。您可以创建允许操作,以替换来自您信任的特定 IP 地址的请求的拒绝操作。 | 1 |
拒绝 | 阻止符合操作条件的所有请求,例如,来自指定 IP 地址的请求。如果您选择拒绝请求,Apigee 会使用您选择的响应代码来响应客户端。 | 2 |
Flag | 标记满足操作条件的请求,以便您的后端服务可以对其执行操作。 标记客户端的请求时,Apigee 会在请求中添加最多五个标头(您可以定义这些标头)。您的后端服务可以根据这些标志处理 API 调用,例如将调用重定向到其他流。该标志操作提供了一种方法来向您的后端服务发出 API 调用可疑的迹象。 | 3 |
优先级顺序
当请求满足多个安全操作的条件时,操作的优先级顺序决定了要执行的操作。例如,假设请求满足允许和拒绝操作的条件。由于允许操作的优先级顺序为 1,拒绝操作的优先级顺序为 2,允许操作优先级更高,因此允许请求访问 API。
例如,您可能需要允许来自内部或受信任的客户端的 IP 地址的请求,即使这些请求与单独的拒绝操作匹配也是如此。优先顺序可确保可信 IP 地址的允许操作会替换任何拒绝操作。
安全操作的限制
安全操作在 Apigee 环境级层强制执行。对于每个环境,安全操作都具有以下限制:
- 一次最多允许为一个环境启用 1000 个操作。
- 您最多可以为每项操作添加 5 个标志标头。
延迟时间
安全操作具有以下延迟时间:
- 创建安全操作时,操作最多可能需要 10 分钟才能生效。操作生效并应用于某些 API 流量后,您可以在安全操作详情页面中查看操作的效果。注意:即使操作已生效,除非该操作已应用于某些 API 流量,否则您无法在安全操作详情页面确定它。
- 启用安全操作后,API 代理响应时间会略微增加(小于 2%)。
打开安全操作页面
要打开安全操作页面,请执行以下操作:
- 打开 Cloud 控制台中的 Apigee 界面。
- 选择Advanced API Security > 安全操作。
此时会打开安全操作主页面,如下所示:
在安全操作页面中,您可以执行以下操作:
- 创建新的安全操作。
- 暂停所有已启用的安全操作。
- 使用操作所在行中的三点状菜单启用或停用单个安全操作。
安全操作页面会显示安全操作列表,其中包含以下详细信息:
- 名称:操作的名称。
- 状态:操作的状态,可以是已启用、已暂停或已停用。
- 操作:安全操作。
- 失效日期 (UTC):操作的失效日期。
- 上次更新时间 (UTC):上次更新操作的日期和时间。
- 您可以启用或停用安全操作的三点状菜单。为此,请点击操作所在行中的菜单,然后选择启用或停用。已停用的安全操作不会影响 API 请求。
创建安全操作
本部分介绍如何创建安全操作。请注意,安全操作一经创建便无法删除。您可以停用该操作(以防止其强制执行),但该操作会显示在 Apigee 界面中。
如需创建新的安全操作,请执行以下操作:
- 在安全操作页面顶部,点击创建以打开创建安全操作对话框,如下所示。
- 在常规设置下,输入以下设置:
- 名称:安全操作的名称。
- 说明(可选):操作的简要说明。
- 环境:要在其中创建安全操作的环境。
- 到期:操作到期的日期和时间(如果有)。选择永不或自定义,然后输入您希望操作过期的日期和时间。您还可以修改时区。
- 点击下一步,以显示规则部分,如下所示:
在本部分中,您将创建安全操作的规则。输入以下内容:
- 操作类型:安全操作的类型,可以是以下类型之一:
- 允许:允许请求。
- 拒绝:请求被拒绝。如果您选择拒绝,还可以指定请求遭拒时返回的响应代码。可以使用以下选项之一:
- 预定义:选择 HTTP 代码。
- 自定义:输入响应代码。
- 标志:请求被允许,但还带有特殊 HTTP 标头,代理查找这些标头以确定请求是否需要特殊处理。如果您选择标志,还可以在标头下方创建以下内容:
- 标头名称
- 标头值
- 条件:执行安全操作的条件。 在新建条件下,输入以下内容:
- 条件类型:可以是检测规则或以下属性之一:
- IP 地址
- API 密钥
- API 产品
- 访问令牌
- 开发者
- 开发者应用
- 用户代理
- 值:输入以下值之一:
- 如果条件类型为检测规则,请选择请求必须触发的一组检测规则才能对其应用安全操作。
- 如果条件类型是属性,请输入您要应用安全操作的属性的值。例如,如果属性为 IP 地址,请输入要应用安全操作的请求的来源 IP 地址。您可以输入以英文逗号分隔的 IPv4 和 IPv6 地址列表。
- 条件类型:可以是检测规则或以下属性之一:
- 操作类型:安全操作的类型,可以是以下类型之一:
- 点击创建以创建安全操作。
暂停所有已启用的操作
如需暂停所有已启用的安全操作,请点击安全操作页面顶部的暂停已启用的操作。安全操作暂停后,不会影响 API 请求。如果您需要诊断所有安全操作的问题,请使用此功能。要停用单个安全操作,请使用安全操作所在行中的三点状菜单。
如需继续执行所有已启用的安全操作,请点击继续执行已暂停的操作。
查看安全操作详细信息
如需查看与安全操作相关的近期 API 流量数据,请在“安全操作”主页面中选择安全操作所在的行。此时会显示“安全操作详情”页面,其中包含两个标签页:
概览
选择概览标签页以显示概览页面:
概览页面会显示页面顶部选择的时间段内有关近期 API 流量的信息:12 小时、1 天、1 周或 2 周。
该页面会显示以下流量数据:
- 操作类型:操作的类型:拒绝、允许或标志。
- 环境总流量:环境中的请求总数。
- 检测到的事件总流量:与事件相关的请求数量。
- 受该操作影响的总流量:
- 对于拒绝操作,为拒绝请求的数量。
- 对于标志操作,为标记请求的数量。
- 对于允许操作,为允许请求的数量。
该页面还会显示以下图表:
- 环境流量趋势:检测到的流量、已标记的流量和总环境流量的图表。请参阅上文说明。
- 热门规则
- 热门国家/地区
- 操作详情
特性
选择属性标签页以显示属性页面:
属性页面按属性(也称为维度)显示安全操作的数据,这些数据可让您通过不同方式查看安全操作。例如,您可以通过 API 产品属性按 API 产品查看安全操作。
属性页面中显示的信息与滥用行为检测突发事件详情页面的属性视图类似。