DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > DDOS防御 > 正文

高防ip转发_如何_网络防御

04-09 DDOS防御

高防ip转发_如何_网络防御

这是restapi系列文章的第三部分。你可以在这里阅读整个系列。在前面的文章中(这里和这里),我们考虑了api的优势以及它们带来的安全挑战。在本文中,我们将研究梭子鱼Web应用程序防火墙如何帮助保护restapi。注意,BWAF应用了相同的行业领先技术来检测用于保护web应用程序的恶意输入。当然,这包括去模糊处理和一系列其他检查中的协议清理。其中许多也同样适用于基于AJAX的web应用程序。以JSON/XML格式从不受信任的用户输入中过滤恶意数据编程框架和定制软件的开发人员经常忽略JSON和XML的输入净化,尽管在传统的web界面中强制执行。例如,ruby中的JSON gem被发现容易受到SQL注入的攻击,Perl模块sqlmaker也容易受到攻击。这会通过API打开所有OWASP前10个攻击,即使它们可能已通过web界面锁定。从URL路径中不受信任的用户输入中筛选恶意数据这包括检查完整的URL(不仅仅是URL查询部分)是否有恶意输入。这是默认启用的,并通过"安全策略">"URL保护"页面进行配置。保护整个API攻击面作为反向代理,BWAF拦截并保护整个API的攻击面。这包括动态生成的url和使用资源名称作为目录的url(例如username或moviename)等。通过虚拟补丁提供不间断的API通过内联,您可以通过在BWAF上应用虚拟补丁来立即修复API或其框架中的任何已知或新的漏洞(例如Ruby的JSON gem中的SQLi或新的SSL漏洞)。您将从一个find-fix-test-redeploy循环中保存下来,在此期间,您的API将保持关闭状态,业务将受到影响。防止流氓消费者滥用原料药(反农业)许多restfulweb服务api由第三方聚合器提供。例如,价格匹配网站会过度淹没电子商务服务的其余api。如果调节不当,这可能会给API后端带来过多的负载,降低其他用户(也可能是付费用户)的服务质量。BWAF上的Bruteforce和防DDoS策略有助于加强对API的严格访问。确保向业务合作伙伴提供SLArestapi对于不同的资源通常有不同的服务级别。例如,产品目录(/api/products/*)可能与产品订单(/api/orders/*)具有不同的SLA,而产品订单又可能不同于/api/search。此外,对于不同的合作伙伴,每一个都可能有不同的sla。所有这些都可以通过对BWAF的速率控制和暴力预防来解决。保护XML和JSON解析器BWAF验证XML和JSON内容,防止对它们各自的解析器进行DoS攻击,这可能会导致API服务瘫痪。它阻止看起来像有效的XML但仍可能引爆XML解析器的XML炸弹,例如使用指数实体扩展攻击等。API认证和授权BWAF可以预先对API服务进行身份验证,或者将身份验证完全卸载到DMZ中。除了基本身份验证、LDAP、RADIUS外,它还支持客户端证书、CRL和OCSP。此外,API密钥可以在请求的任何部分(包括头)中被白名单和验证。API会话安全性开箱即用,BWAF为会话令牌提供了严格的安全性,无论是在URL、头或cookie中。这包括会话令牌加密、签名和重播保护,以防止MITM攻击。CSRF令牌注入、referer验证和HTTP报头检查也可以在API请求上完全执行。实施基于动词的安全约束和访问控制正如我们在前面的文章中提到的,REST应用程序通常将HTTP(verbs)方法与操作策略和基于角色的访问控制(例如VBAAC)相关联。通常,高防cdn搭建要多久,并非所有的动词对每个资源都有效。BWAF可以使用其粒度正分析功能来帮助强制在哪些资源上允许哪些方法。提供面向API服务的安全TLSBWAF提供了一个安全的TLS堆栈,防止MITM窃听明文数据和凭证(例如基本身份验证头或API密钥)。它只支持强密码和完全前向保密。REST非常健谈,将TLS/SSL卸载到BWAF也可以放松API基础设施并允许其扩展。API交付和可扩展性REST(和AJAX)的聊天特性可能会给服务器带来很大的开销,因为频繁的连接建立和拆卸开销。BWAF和后端服务器之间的连接多路复用极大地优化了这些交换。WAF和后端之间始终保持一个连接池,通过该池可以多路复用客户端请求。因此,不会产生连接设置和断开时间,从而简化服务器上的网络处理。缓存和压缩restapiREST提倡无状态来促进缓存。反向代理是为API提供缓存的最佳实践。这有助于加快API交付并减少服务器负载。由于具有HTTP感知能力,BWAF可以检查安全方法(例如GET)并仅针对这些方法缓存响应,并避免缓存不安全方法(例如POST),云服务器ddos防御,而是将它们传递给API后端。它的压缩模块可以在响应中压缩XML或JSON数据,节省大量的有线带宽,并加快在脆弱的移动网络上的API交付。集中API审核和分析BWAF为所有HTTP请求提供了广泛的日志记录和报告,并与顶级SEIM供应商集成。这为处理PII、机密或敏感数据的企业API服务提供了一个集中的审核和法规遵从性框架。有了丰富的报告功能,网站防御ddos,ddos防御的意义,您可以立即深入了解API的使用情况和消费行为,linux防御大量cc,并使用许多不同的客户端和服务器端指标深入查看报表。有关梭鱼Web应用程序防火墙的更多信息,请访问我们的产品网站。

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: http://www.ddosgb.com/ddos1/39831.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 5473908访问次数
  • 建站天数

    DDOS防御

    ddos防御

    cc防护

    web安全

    高防服务器

    高防cdn


    QQ客服

    400-0797-119

    X