Citrix Application Delivery Management 服务

将策略添加到 API 部署

您可以为 API 流量配置各种安全策略。此配置要求您指定策略所需的流量选择标准和参数。执行以下步骤将策略添加到 API 定义:

  1. 导航到应用程序 > API Gateway > 策略

  2. 单击添加

  3. 指定策略组的名称。

  4. 从列表中选择一个 部署

  5. 从列表中选择要配置策略的 上游服务

  6. 单击 添加 选择通信选择器和策略类型。

    流量选择器 -流量选择标准包括 API 资源路径或路径前缀、方法和策略。

    您可以使用以下任一选项来指定流量选择标准:

    • API 资源 — 选择要应用策略的 API 资源及其方法。您可以使用关键词搜索 API 资源和方法。

      流量选择器

      在此示例中,将列出具有 /userPOST 方法的 API 资源。

    • 自定义规则 — 在此选项卡中,您可以指定自定义路径前缀和多种方法。

      配置的策略适用于与 API 流量选择的自定义规则匹配的传入 API 请求。

      自定义策略规则

      在此示例中, No-Auth 策略适用于具有 /pet 前缀和 POST 方法的 API 资源。

    策略中,从列表中选择要应用于所选 API 资源和方法的策略。有关每个策略的更多信息,请参阅 策略类型

  7. 可选,您可以移动策略类型以设置优先级。优先级较高的策略类型首先应用。

  8. 单击 “ 保存 ” 添加策略。如果要立即应用策略,请单击 “ 保存并应用”。

策略类型

配置 API 策略时,可以选择要应用于 API 资源和方法的以下策略:

身份验证和授权

API 资源托管在应用程序或 API 服务器上。当您想对此类 API 资源实施访问限制时,可以使用身份验证和授权策略。这些策略验证传入的 API 请求是否具有访问资源的必要权限。

使用以下策略为所选 API 资源定义身份验证和授权:

‘没有真理’

使用此策略可以跳过对所选流量的身份验证。

‘Auth-Basic’

此策略指定要与 HTTP 基本身份验证方案一起使用的本地身份验证。要使用本地身份验证,必须在 Citrix ADC 上创建用户帐户。

OAuth

OAuth 要求外部身份提供商使用 OAuth2 对客户端进行身份验证并发出访问令牌。当客户端将此令牌作为 API 网关的访问凭据提供时,该令牌将根据配置的值进行验证。

  • JWKS URI -具有用于智威汤逊(JSON Web 令牌)验证的 JWK(JSON Web 密钥)的终端节点的 URL

  • 颁发者 -身份验证服务器的标识(通常是 URL)。

  • 受众 -令牌适用的服务或应用程序的标识。

  • 要保存的声 明-访问权限表示为一组声明和预期值。以 CSV 格式指定声明值。

  • 内省 URI -身份验证服务器的内省端点 URL。此 URL 用于验证不透明的访问令牌。有关这些令牌的更多信息,请参阅 不透明访问令牌的 OAuth 配置

    指定 Introspect URI后,指定 客户端 ID 和客户 端密 码以访问身份验证服务器。

  • 允许的算法 -此选项允许您限制传入令牌中的某些算法。默认情况下,允许使用所有支持的方法。但是,您可以检查所选流量的所需算法。

    智威 T 身份验证

验证成功后,API 网关将授予对客户端的访问权限。

重要

信息:为选定的 API 资源配置 OAuth 或 Auth-Basic 策略时,请为其余 API 资源配置 没有身份验证 策略。此配置明确表示您希望跳过其余资源的身份验证。

授权

此策略验证访问 API 资源所需的权限。访问权限表示为一组声明和预期值。要配置此策略,请选择 添加新声 明并指定以下内容:

  • 索赔名称
  • 索赔价值

授权策略

要说明 API 网关需要 API 流量的身份验证和授权策略。因此,您必须使用身份验证策略配置授权策略。身份验证策略可以是 OAuth 或 [Auth-Basic] (#auth-basic)。

即使您没有任何授权检查,也必须使用空声明创建授权策略。否则,请求会因 403 错误而被拒绝。

费率限制政策

指定给所选 API 资源的最大负载。使用此策略,您可以监控 API 流量速率并采取预防措施。要配置此策略,请指定以下内容:

  • HTTP 标头名称 -这是一个流量选择器密钥,用于过滤流量以识别 API 请求。此外,利率限制策略仅适用于此类 API 请求并进行监控。

  • 阈值 -在指定时间间隔内可以允许的最大请求数。

  • 时间片 -以微秒为单位指定的间隔。在此时间间隔内,请求将根据配置的限制进行监控。默认情况下,它设置为 1000 微秒(1 毫秒)。

  • 限制类型 -您希望如何应用费率限制策略的模式。您可以选择 突发平滑 限制类型。

  • 操作 -定义要对超出阈值的流量采取的操作。您可以指定以下操作之一:

    • DROP:将请求删除超过配置的流量限制。
    • RESET:重置请求的连接。
    • 重定向:将流量重定向到已配置的 redirect_url。
    • :使用标准响应 (429 Too many requests) 进行响应。

速率限制政策

WAF 政策

此政策可防止安全漏洞、数据丢失以及可能对访问敏感业务或客户信息的网站进行未经授权的修改。

在制定 WAF 策略之前,使用 StyleBook 在 Citrix ADM 中创建 WAF 配置文件

WAF 配置文件名称中,选择或指定您创建的 WAF 配置文件。

WAF 政策

BOT 策略

此策略可识别坏机器人并保护您的设备免受高级安全攻击。

在制定 BOT 策略之前,使用样书在 Citrix ADM 中创建 BOT 配置文件

机器人配置文件名称中,指定您创建的 BOT 配置文件。

BOT 政策

头重写

此策略可帮助您修改 API 请求和响应的标题。如果要替换 HTTP 标头中的值,请指定以下内容:

  • HTTP 标头名称:要在请求标头中修改的已提交的名称。

    示例:Host

  • 标题值:可选,要在指定标头名称中修改的值字符串。

    示例:sample.com

  • 标题新值:替换指定标题值的新值。

    如果未指定 H eader 值 ,它会将任何接收的值替换为 HTTP 标头名称的指定值。

    示例:example.com

头-重写策略

在此示例中,标头重写策略在 API 请求的 Host 字段中将 sample.com 替换 example.com

将策略添加到 API 部署