F5 API加固解決方案有了解的嗎？

　　

　　關於F5 API加固解決方案，主要涉及：AFM高階防火牆模組、LTM負載均衡模組、SSLO 加解密流量編排模組、AWAF 高階應用層防護模組、APM 認證授權策略管理模組、HSL高速日誌引擎。本文會談及AWAF應用層防護相關的內容：

　　針對API的防護，首先需要了解資料和API應用的結構，F5 AWAF 支援將OpenAPI及Swagger配置檔案匯入，根據配置檔案自動生成路徑策略，並按不同的API路徑提供不同深度的保護。透過嚮導式配置方法，極大提高了防護部署的便捷性。

　　

　　協議內容檢查：透過對XML，JSON報文體的識別，檢查報文格式中存在的安全隱患和攻擊特徵，例如報文體長度限制，特殊字元的濫用，多次編碼，引數錯誤，惡意程式碼上傳等。

　　

　　訪問方式限定：限定API介面的訪問方法（例如只允許GET，POST ，不允許其他訪問方法），阻斷非正常的訪問方式，可降低API本身漏洞被利用的機率。

　　

　　掃描阻斷：阻斷攻擊者對API閘道器漏洞的掃描，提高API閘道器的安全性，降低應用服務的暴露面。

　　暴力破解防護：此類攻擊會對API閘道器的效能產生巨大的消耗，讓大量的資源消耗在鑑權上。AWAF高階應用層防護模組可以自動學習AJAX登入頁面，根據預先設定的訪問閾值策略進行自動的暴力破解防護。

　　

　　敏感資料洩露：支援自定義資料的隱藏，有效保護資料的私密性。

　　機器人防禦：基於多個維度進行機器人的防護，透過機器人特徵庫，快速遮蔽惡意機器人攻擊；對於API介面，AWAF利用X-Security-Update-URL報文頭將JavaScript指令碼插入到API應用返回的第一個回覆報文中，後續透過X-Security-Request判斷其API訪問是請求的合法性。在整個API訪問的過程中，AWAF會持續遞進透過中地檢測API互動，確保機器人BOT無法繞過檢測，使得API閘道器不被機器人攻擊所影響。

　　應用層DDoS攻擊防護：API DDoS攻擊通常模擬正常的API訪問流程，瞄準消耗API閘道器效能較高的資源進行攻擊，從而達到使API閘道器癱瘓，業務中斷的目的。AWAF防護模組可以透過多個維度來檢測APIDDoS攻擊，透過Java script來有效控制API的訪問頻率，達到降低DDoS攻擊影響的目的。同時，AWAF還會基於API閘道器返回的延遲情況來判斷API閘道器是否存在異常，網路中是否存在攻擊。當API閘道器返回的延遲高於設定的閾值時，AWAF模組會主動介入，對流量進行主動檢測和攻擊的防護。

　　

　　IP地址信譽庫防護：APIDDoS攻擊也存在一種利用大量離散IP以低頻的形式攻擊API閘道器，從而起到繞過防護裝置針對每秒請求數限制的防護手段的效果。AWAF防護模組可以提供IP地址信譽庫功能，與第三方威脅情報組織合作，實時更新IP信譽庫，對於此類低頻的DDoS攻擊，可以起到良好的防護作用。目前IP地址信譽庫容納了多種惡意地址庫分類，例如匿名代理，惡意代理，SPAM，釣魚網路，殭屍網路等等。一旦訪問IP來源包含在這些地址分類中，會直接被阻斷

　　新建API介面防護策略的靈活呼叫：如今的API介面開發遵循持續迭代，持續交付的體系，並不斷對應用框架做最佳化和開發模板的統一，從而可以實現應用的快速、灰度釋出，敏捷發版與回收。傳統的安全運維方式，在策略部署方式難以跟上應用開發的步伐。這就對應用安全類產品能否嵌入到開發流程中，完成安全策略的自動下發，測試並配合應用發版提出了要求。F5 AWAF 產品具備AS3模組，提供宣告式模板，以模板的形式完成安全策略的呼叫。安全運維人員可以將API應用分類，按不同型別制定防禦策略的模板，API應用在開發流程中可透過AS3模組自動呼叫AWAF上相關的防禦策略模板，從而實現安全部署與業務釋出效率的並行。