遇到API安全问题怎么办？F5 API加固解决方案怎么样？

　　在各类APP泛滥的如今，背后都有一样泛滥的API接口在支撑,其中鱼龙混杂，直接裸奔的WEB API大量存在，安全性使人堪优在之前都采用自已定义的接口和结构,对于公开访问的接口,专业点的都会作下安全验证,数据签名之类。反而如今,谁均可以用WEB API估接口,安全性早忘一边了,特别是外包小公司的APP项目,安全漏洞很是大。那么问题来了，若是遇到API安全问题怎么办？F5 API加固解决方案怎么样？

　　API安全问题找F5，由于F5 有专门针对这个问题的解决方案，而且就目前来看，取得的效果仍是很不错的。下面就给你们科普一下吧。

　　F5 API加固解决方案简介
　

　　关于F5 API加固解决方案，主要涉及：AFM高级防火墙模块、LTM负载均衡模块、SSLO 加解密流量编排模块、 Advanced WAF(API安全-新一代WAF) 高级应用层防御模块、APM 认证受权策略管理模块、HSL高速日志引擎。在此谈及 ADVANCED WAF(API安全-新一代WAF)应用层防御相关的内容：

　　Advanced WAF(API安全-新一代WAF) 高级应用层防御模块

　　针对API安全问题的防御，首先须要了解数据和API应用的结构，F5 Advanced WAF

　　(API安全-新一代WAF) 支持将OpenAPI及Swagger配置文件导入，根据配置文件自动生成路径策略，并按不一样的API路径提供不一样深度的保护。经过向导式配置方法，极大提升了防御部署的便捷性。
　　

　　协议内容检查：经过对XML，JSON报文体的识别，检查报文格式中存在的安全隐患和攻击特征，例如报文体长度限制，特殊字符的滥用，屡次编码，参数错误，恶意代码上传等。
　　

　　访问方式限定：限定API接口的访问方法（例如只容许GET，POST ，不容许其余访问方法），阻断非正常的访问方式，可下降API自己漏洞被利用的几率。
　

　　扫描阻断：阻断攻击者对API网关漏洞的扫描，提升API网关的安全性，下降应用服务的暴露面。

　　暴力破jie防御：此类攻击会对API网关的性能产生巨大的消耗，让大量的资源消耗在鉴权上。 
Advanced WAF WAF(API安全-新一代WAF)高级应用层防御模块能够自动学习AJAX登陆页面，根据预先设定的访问阈值策略进行自动的暴力破jie防御。
　　

　　敏感数据泄露：支持自定义数据的隐藏，有效保护数据的私密性。

　　机器人防护：基于多个维度进行机器人的防御，经过机器人特征库，快速屏蔽恶意机器人攻击；对于API接口， Advanced WAF(API安全-新一代WAF)利用X-Security-Update-URL报文头将JavaScript脚本插入到API应用返回的第一个回复报文中，后续经过X-Security-Request判断其API访问是请求的合法性。在整个API访问的过程当中， Advanced WAF(API安全-新一代WAF)会持续递进经过中地检测API交互，确保机器人BOT没法绕过检测，使得API网关不被机器人攻击所影响。

　　

　　应用层DDoS攻击防御：API DDoS攻击一般模拟正常的API访问流程，瞄准消耗API网关性能较高的资源进行攻击，从而达到使API网关瘫痪，业务中断的目的。 Advanced WAF(API安全-新一代WAF)防御模块能够经过多个维度来检测API DDoS攻击，经过Java script来有效控制API的访问频率，达到下降DDoS攻击影响的目的。同时， Advanced WAF(API安全-新一代WAF)还会基于API网关返回的延迟状况来判断API网关是否存在异常，网络中是否存在攻击。当API网关返回的延迟高于设定的阈值时， Advanced WAF(API安全-新一代WAF)模块会主动介入，对流量进行主动检测和攻击的防御。
    

　　IP地址信誉库防御：API DDoS攻击也存在一种利用大量离散IP以低频的形式攻击API网关，从而起到绕过防御设备针对每秒请求数限制的防御手段的效果。 Advanced WAF(API安全-新一代WAF)防御模块能够提供IP地址信誉库功能，与第三方威胁情报组织合做，实时更新IP信誉库，对于此类低频的DDoS攻击，能够起到良好的防御做用。目前IP地址信誉库容纳了多种恶意地址库分类，例如匿名代理，恶意代理，SPAM，钓鱼网络，僵尸网络等等。一旦访问IP来源包含在这些地址分类中，会直接被阻断。
　

　　新建API接口防御策略的灵活调用：现在的API接口开发遵循持续迭代，持续交付的体系，并不断对应用框架作优化和开发模板的统一，从而能够实现应用的快速、灰度发布，敏捷发版与回收。传统的安全运维方式，在策略部署方式难以跟上应用开发的步伐。这就对应用安全类产品可否嵌入到开发流程中，完成安全策略的自动下发，测试并配合应用发版提出了要求。F5  Advanced WAF(API安全-新一代WAF) 产品具有AS3模块，提供声明式模板，以模板的形式完成安全策略的调用。安全运维人员能够将API应用分类，按不一样类型制定防护策略的模板，API应用在开发流程中可经过AS3模块自动调用 Advanced WAF(API安全-新一代WAF)上相关的防护策略模板，从而实现安所有署与业务发布效率的并行，有效的解决API安全问题。