语言 Chinese, Simplified

SEO Title

Amazon API Gateway adds support for AWS WAF

本文由Heitor Lessa提供，AWS专业解决方案架构师- Serverless

今天，我很兴奋地向您介绍Amazon API网关与AWS WAF的本地集成。以前，如果希望使用AWS WAF在Amazon API网关中保护API，就必须部署一个区域性API端点，并使用自己的Amazon CloudFront发行版。现在，这个新特性允许您提供任何—API网关端点，并使用AWS WAF保护它，而无需配置自己的CloudFront发行版来添加该功能。

在本系列的第1部分中，我描述了如何使用AWS WAF保护API网关提供的API。

在本系列的第2部分中，我描述了如何使用API密钥作为CloudFront发行版和API网关之间的共享秘密，以确保在API网关中对API的公共访问是安全的。这种新的AWS WAF集成意味着不再需要第2部分中描述的方法。

下面的图像描述了在这个特性可用之前和之后在API网关中保护API的方法。

地点:

AWS WAF仅保护CloudFront端点。
AWS WAF本地保护Amazon API网关端点。

为Amazon API网关管理的API启用AWS WAF

对于本演练，您可以使用现有的宠物商店API或您可能已经部署的API Gateway中的任何API。您将创建一个新的AWS WAF web ACL，该ACL稍后与您的API网关阶段相关联。

按照以下步骤创建web ACL:

打开AWS WAF控制台。
选择Create web ACL。
对于Web ACL名称，输入ApiGateway-HTTP-Flood-Sample。
对于地区，选择美国东部(北弗吉尼亚)。
选择Next，直到您达到步骤3:创建规则。
选择Create rule并输入HTTP Flood Sample。
对于规则类型，选择基于速率的规则。
对于速率限制，输入2000并选择Create。
对于默认操作，选择“允许不匹配任何规则的所有请求”。
选择Review并创建。
确认您的选项与下图相似，然后选择Confirm和create next。

您现在可以按照以下步骤为API网关中的现有API启用AWS WAF web ACL:

打开Amazon API网关控制台。
选择阶段,刺激。
在Web应用程序防火墙(Web Application Firewall, WAF)下，选择ApiGateway-HTTP-Flood-Sample(或您刚刚创建的Web ACL)。
选择保存更改。

在API网关中测试您的API，现在由AWS WAF保护

AWS WAF提供HTTP洪水保护，这是一个基于速率的规则。当来自客户机的web请求超过可配置阈值时，将自动触发基于速率的规则。阈值由一个IP地址在5分钟内允许的最大传入请求数定义。

在突破这个阈值之后，IP地址的其他请求将被阻塞，直到请求速率低于该阈值为止。对于本例，您将2000个请求定义为基于HTTP洪泛率规则的阈值。

火炮是一个开源的现代负载测试工具包，用于将大量请求直接发送到API网关调用URL，以测试AWS WAF本机集成是否正常工作。

首先，按照以下步骤检索正确的宠物商店API调用URL:

打开API网关控制台。
在左侧导航窗格中，打开PetStore API。
选择stage、选择prod并复制Invoke URL值。

其次，使用cURL查询您的分布，并在触发速率限制规则之前查看API输出:

$ curl -s INVOKE_URL/pets

[
{
"id": 1,
"type": "dog",
"price": 249.99
},
{
"id": 2,
"type": "cat",
"price": 124.99
},
{
"id": 3,
"type": "fish",
"price": 0.99
}
]