Kong APIGW — Plugins — Security

目录

IP Restriction

可以为指定的 API Service 配置 “允许” 或 “拒绝” 对其进行访问的精确 IP 地址或 CIDR。

# EXAMPLE 1: 运行指定的精确 IP 或 CIDR 可以访问指定的 Service <service>。
curl -X POST http://<admin-hostname>:8001/services/<service>/plugins \
    --data "name=ip-restriction"  \
    --data "config.allow=54.13.21.1" \
    --data "config.allow=143.1.0.0/24"

# EXAMPLE 2: 拒绝指定的精确 IP 或 CIDR 可以访问指定的 Service <service>。
curl -X POST http://kong:8001/services/{service}/plugins \
    --data "name=ip-restriction" \
    --data "config.deny=127.0.0.0/24" \
    --data "config.deny=127.0.0.1"

ACL

可以为指定的 API Service 配置 “允许” 或 “拒绝” 指定的 “User Groups” 对其进行访问。

NOTE1:使用 ACL 插件的前提是启动了任意一个 Authentication 插件。

curl -X POST http://<admin-hostname>:8001/routes/<route_id>/plugins \
    --data "name=acl"  \
    --data "config.allow=group1" \
    --data "config.deny=group2" \
    --data "config.hide_groups_header=true"

WAF

WAF(Web Appalication Firewall,Web 应用防火墙)是一种工作在 L7 应用层的,通过一系列针对 HTTP/HTTPS 的安全策略为 Web 应用提供安全防护的产品。

WAF 可以实现如下功能:

  1. 防止 SQL 注入、本地包含、部分溢出、Fuzzing 测试、XSS 等 Web 攻击(Attack)。
  2. 防止 SVN/Backup 之类的文件泄漏。
  3. 防止 Apache Bench 之类的压测工具工具。
  4. 屏蔽常见的 Hacker 扫描工具。
  5. 屏蔽异常的网络请求。
  6. 屏蔽图片附件类目录的 PHP 执行权限。
  7. 防止 Webshell 上传。

Nginx 的第三方 WAF 插件:

  • https://github.com/loveshell/ngx_lua_waf
  • https://github.com/p0pr0ck5/lua-resty-waf

Kong 的第三方 WAF 插件:

  • https://github.com/exexute/kong-waf
  • https://github.com/zhenguang/kong-plugin-lua-resty-waf

Kong 官方推荐的 WAF 插件:

  • https://docs.konghq.com/hub/signal_sciences/signal-sciences/

参考文档

https://blog.51cto.com/qiuyue/2471541

已标记关键词 清除标记
©️2020 CSDN 皮肤主题: 博客之星2020 设计师:CY__ 返回首页
实付 49.90元
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值