本页面适用于 Apigee 和 Apigee Hybrid。
查看 Apigee Edge 文档。
在安全操作页面中,您可以创建安全操作,以根据滥用行为检测页面中的信息指定 Apigee 如何处理检测到的流量。例如,您可以创建一个安全操作来拒绝来自已确定为滥用行为来源的 IP 地址的请求。收到来自该地址的请求时,Apigee 会阻止其访问您的 API。您还可以创建一个安全操作来拒绝已标记为符合指定检测规则的请求。
除了拒绝操作之外,您还可以创建标志操作(向检测到的请求添加标头)或允许操作(替换特定情况下的拒绝操作)。请参阅安全操作。
如需了解执行安全操作任务所需的角色,请参阅安全操作所需的角色。
如需使用此功能,您必须启用该插件。如果您是订阅客户,则可以为组织启用该插件。如需了解详情,请参阅管理订阅组织的 Advanced API Security。如果您是随用随付客户,则可以在符合条件的环境中启用该插件。如需了解详情,请参阅管理 Advanced API Security 插件。
安全操作的运作方式
在安全操作页面中,您可以采取措施来明确允许、拒绝或标记来自特定客户端的请求。Apigee 会在 API 代理处理请求之前,对请求执行这些操作。通常,您采取措施是因为请求符合不良行为模式,或者(对于“允许”操作)是因为您要替换特定 IP 地址的拒绝操作。
标记操作允许将请求传递给您的 API,但会向标记的请求添加多达五个标头,以便您跟踪这些请求并观察其行为。
如需确定要针对哪些请求采取措施,您可以使用滥用检测检测到的流量或突发事件视图,其中显示了滥用行为来源的 IP 地址。您可以采取措施来屏蔽来自这些 IP 地址的请求。
安全操作
您可以执行以下类型的安全操作。
| 操作 | 说明 | 优先顺序 |
|---|---|---|
| 允许 | 允许某些本应被拒绝操作阻止的请求。例如,假设您创建了一个安全操作来拒绝已标记符合某一检测规则的流量。您可以创建一个允许操作,以便针对您信任的特定 IP 地址的请求替换拒绝操作。 | 1 |
| 拒绝 | 屏蔽满足操作条件的所有请求,例如,从指定 IP 地址发出的请求。如果您选择拒绝请求,Apigee 会使用您选择的响应代码向客户端发出响应。 | 2 |
| 标志 | 标记符合操作条件的请求,以便您的后端服务对其执行操作。当您为客户端请求标记时,Apigee 会向请求添加最多五个您定义的标头。您的后端服务可以根据这些标记处理 API 调用,例如将调用重定向到其他流。标记操作提供了一种方法,可向您的后端服务发出 API 调用可疑的信号。 | 3 |
优先顺序
如果某个请求满足多项安全操作的条件,则操作的优先级顺序决定执行哪项操作。例如,假设某个请求同时满足允许操作和拒绝操作的条件。由于允许操作的优先级顺序为 1,拒绝操作的优先级顺序为 2,允许操作优先级更高,因此允许请求访问 API。
例如,您可能希望允许来自内部或受信任客户端的 IP 地址的请求,即使这些请求匹配了单独的拒绝操作。优先级顺序可确保针对受信任 IP 地址的允许操作会替换任何拒绝操作。
特定于代理的安全操作
安全操作可以应用于环境中的所有代理,也可以仅应用于环境中的特定代理。如需了解代理专属安全操作的限制,请参阅安全操作的限制。
安全操作的限制
安全操作在 Apigee 环境级层强制执行。对于每个环境,安全操作具有以下限制:
- 在任意时间,一个环境最多允许 1,000 个已启用的操作。
- 您最多可以为每个操作添加 5 个标志标头。
- 代理专属安全操作最多支持 100 个代理。
- Apigee Hybrid 目前不支持代理专属安全操作。
延迟时间
安全操作有以下延迟时间:
- 创建安全操作时,操作最多可能需要 10 分钟才能生效。操作生效并应用于某些 API 流量后,您可以在安全操作详情页面中查看操作的效果。注意:除非操作已应用于某些 API 流量,否则即使操作已生效,您也无法在安全操作详情页面中确定这一点。
- 已启用的安全操作会略微增加 API 代理响应时间(少于 2%)。
打开安全操作页面
如需打开安全操作页面,请执行以下操作:
- 打开 Cloud 控制台中的 Apigee 界面。
- 选择Advanced API Security > 安全操作。
此时会打开安全操作主页面,如下所示:
在安全操作页面中,您可以:
- 创建新的安全操作。
- 暂停所有已启用的安全操作。
- 使用相应操作行中的三点状菜单启用或停用单个安全操作。
安全操作页面会显示安全操作列表,其中包含以下详细信息:
- 名称:操作的名称。
- 状态:操作的状态,可以是已启用、已暂停或已停用。
- 操作:安全操作。
- 失效日期 (UTC):操作的失效日期。
- 上次更新时间 (UTC):上次更新操作的日期和时间。
- 一个三点状菜单,您可以通过该菜单启用或停用安全操作。为此,请点击相应操作所在行的菜单,然后选择启用或停用。停用的安全操作不会影响 API 请求。
创建安全操作
本部分介绍如何创建安全操作。请注意,目前,安全操作一旦创建便无法删除,且设置无法更改。您可以停用该操作(以防止其被强制执行),但它仍会显示在 Apigee 界面中。
如需创建新的安全操作,请执行以下操作:
- 在安全操作页面的顶部,点击创建以打开创建安全操作对话框,如下所示。
- 在常规设置下,输入以下设置:
- 名称:安全操作的名称。
- 说明(可选):该操作的简要说明。
- 环境:要在其中创建安全操作的环境。
- 代理(可选):您要将安全操作应用到的代理。使用过滤字段按名称限制代理列表。
- 如需将安全操作应用于环境中当前和未来的所有代理,请将代理字段留空。
- 选择单个代理,以便仅将安全操作应用于这些代理,而不管以后向环境添加了哪些新代理。
- 使用全选可选择环境中的所有当前代理。日后添加的任何代理都不会自动包含在规则中。
- 到期时间:操作的到期日期和时间(如果有)。选择从不或自定义,然后输入您希望操作到期的时间和日期。您还可以修改时区。
- 点击下一步,以显示规则部分,如下所示:
在本部分中,您将为安全操作创建规则。输入以下内容:
- 操作类型:安全操作的类型,可以是以下任一项:
- 允许:请求已获准。
- 拒绝:请求遭拒。如果您选择拒绝,还可以指定在请求遭拒时返回的响应代码。可以使用以下选项之一:
- 预定义:选择 HTTP 代码。
- 自定义:输入响应代码。
- 标记:请求是允许的,但也带有代理查找以确定请求是否需要特殊处理的特殊 HTTP 标头。如果您选择标志,还可以在标头下方创建以下内容:
- 标头名称
- 标头值
- 条件:执行安全操作的条件。在新建条件下,输入以下内容:
- 条件类型:可以是检测规则或以下属性之一:
- IP 地址/CIDR 范围,可以同时包含 IP 地址和 IPv4 CIDR 范围。
- API 密钥,一个或多个 API 密钥。
- API 产品,一个或多个 Apigee API 产品。
- 访问令牌,一个或多个访问令牌。
- 开发者:一个或多个 Apigee 开发者电子邮件地址。
- 开发者应用,一个或多个 Apigee 开发者应用。
- 用户代理,一个或多个用户代理。
- HTTP 方法、HTTP 方法,例如 GET 或 PUT。
- 区域代码:要处理的区域代码列表。请参阅 ISO 3166-1 alpha-2 代码。
- 自治系统编号 (ASN),要处理的 ASN 编号列表,例如“23”。请参阅自治系统(互联网)。
- 值:输入以下值之一:
- 如果条件类型为检测规则,请选择请求必须触发的一组检测规则才能对其应用安全操作。
- 如果条件类型是属性,请输入您要应用安全操作的属性的值。例如,如果属性为 IP 地址/CIDR 范围,请输入要应用安全操作的请求的来源 IP 地址。您可以输入以英文逗号分隔的 IPv4 和 IPv6 地址列表。
- 条件类型:可以是检测规则或以下属性之一:
- 操作类型:安全操作的类型,可以是以下任一项:
- 点击创建以创建安全操作。
暂停所有已启用的操作
如需暂停所有已启用的安全操作,请点击安全操作页面顶部的暂停已启用的操作。安全操作暂停后,不会影响 API 请求。当您需要诊断所有安全操作的问题时,请使用此功能。如需停用单个安全操作,请使用相应安全操作所在行中的三点状菜单。
如需继续执行所有已启用的安全操作,请点击继续执行已暂停的操作。
查看安全操作详情
如需查看与安全操作相关的近期 API 流量数据,请在“安全操作”主页面中选择相应安全操作的行。此时将显示“安全操作详情”页面,其中包含两个标签页:
概览
选择概览标签页以显示概览页面:
概览页面会显示您在页面顶部选择的时间段(12 小时、1 天、1 周或 2 周)内的近期 API 流量信息。
该页面会显示以下流量数据:
- 操作类型:操作的类型:拒绝、允许或标记。
- 环境流量总数:环境中的请求总数。
- 检测到的事件流量总数:与事件相关的请求数。
- 受此操作影响的总流量:
- 对于拒绝操作,为拒绝请求的数量。
- 对于标志操作,为标记请求的数量。
- 对于允许操作,为允许请求的数量。
该页面还会显示以下图表:
- 环境流量趋势:检测到的流量、标记的流量和环境流量总量图表。请参阅上文说明。
- 顶部规则
- 热门国家/地区
- 操作详情
属性
选择属性标签页以显示属性页面:
属性页面按属性(也称为维度)显示安全操作的数据,这些数据可让您通过不同方式查看安全操作。例如,API 产品属性使您可以按 API 产品查看安全操作。
属性页面中显示的信息与滥用行为检测突发事件详情页面的属性视图类似。