向API部署中添加策略

您可以为API流量配置各种安全策略。配置策略时，需要指定流选择条件和策略所需的参数。执行以下步骤向API定义中添加策略:

1. 导航到安全> API网关>策略．

2. 点击添加．

3. 配置策略组的名称。

4. 选择一个部署从列表中。

5. 选择一个上游的服务从要配置策略的列表中。

6. 点击添加选择流选择器和策略类型。

   流量选择器—流量选择标准包括API资源路径或路径前缀、方法和策略。

   您可以使用以下选项指定流量选择条件:

   • API参考资料—选择需要应用策略的API资源及其方法。您可以使用关键字搜索API资源和方法。

     

     在本例中，API资源与/用户有帖子方法列出。

   • 自定义规则—在此选项卡中，可以指定自定义路径前缀和多个方法。

     配置的策略应用于匹配自定义API流选择规则的入方向API请求。

     

     在本例中，No-Auth策略应用于具有/宠物前缀,得到方法。

   在政策，从列表中选择要应用到所选API资源和方法的策略。有关每个策略的更多信息，请参见策略类型．

7. 可选，您可以移动策略类型来设置优先级。优先级高的策略类型优先应用。

8. 点击保存添加一条策略。如果需要立即应用该策略，请单击保存和应用．

策略类型

在配置API策略时，可以选择应用于API资源和方法的策略:

• 身份验证和授权

• 速率限制

• WAF

• 机器人

• 头重写

• URI路径重写

• 否认

身份验证和授权

API资源托管在应用程序或API服务器上。当您希望对此类API资源实施访问限制时，可以使用身份验证和授权策略。这些策略验证传入的API请求是否具有访问资源的必要权限。

使用以下策略为所选API资源定义身份验证和授权:

“No-Auth”

使用此策略可跳过对所选流量的认证。

“Auth-Basic”

此策略指定与HTTP基本身份验证方案一起使用的本地身份验证。要使用本地身份验证，必须在Citrix ADC上创建用户帐户。

OAuth

OAuth需要外部身份提供者使用oAuth2对客户端进行身份验证并发出访问令牌。当客户端提供此令牌作为API网关的访问凭据时，将根据配置的值对令牌进行验证。

• JWKS URI-具有JWT (JSON Web令牌)验证的JWKs (JSON Web Key)端点的URL

• 发行人—认证服务器的标识(通常是URL)。

• 观众—使用令牌的服务或应用的标识。

• 声称节省—访问权限表示为一组声明和期望值。以CSV格式指定索赔值。

• 内省URI—认证服务器的自检端点URL。此URL用于验证不透明访问令牌。有关这些令牌的更多信息，请参见不透明访问令牌的OAuth配置．

  当你指定内省URI,指定客户机Id而且客户的秘密访问认证服务器。

• 允许算法-此选项允许您限制传入令牌中的某些算法。默认情况下，允许所有支持的方法。但是，您可以查看所选流量所需的算法。

  

验证成功后，API网关授予对客户端的访问权。

重要的

当您配置OAuth或Auth-Basic为所选API资源配置没有身份验证策略的剩余API资源。此配置显式表明您希望跳过其余资源的身份验证。

授权策略

此策略验证访问API资源所需的权限。访问权限表示为一组声明和期望值。若要配置此策略，请选择添加一个新的Claim并指定以下内容:

• 索赔的名字
• 要求值

重要的

API网关对API流量同时要求认证和授权策略。因此，在配置授权策略时，必须同时配置认证策略。认证策略可以是OAuth或Auth-Basic．

即使没有任何授权检查，也必须创建一个带有空索赔的授权策略。否则，请求将被拒绝，并出现403错误。

速率限制政策

指定指定给所选API资源的最大负载。通过该策略，可以监控API流量的速率，并采取相应的预防措施。要配置此策略，请指定以下参数:

• HTTP报头名称—流量选择键，用于过滤流量，识别API请求。而且，速率限制策略只应用和监视这样的API请求。

• 阈值—在指定的时间间隔内允许的最大请求数。

• 时间片—以微秒为单位的间隔。在此间隔内，将根据配置的限制对请求进行监视。默认情况下，它被设置为1000微秒(1毫秒)。

• 限制类型—限速策略的应用方式。您可以选择破裂或光滑的限制类型。

• 行动—定义对超过阈值的流量采取的措施。您可以指定以下操作之一:

  • 下降:丢弃超过配置的流量限制的请求。
  • 重置:重置请求的连接。
  • 重定向:将流量重定向到配置的redirect_url。
  • 回应:用标准的回答(要求太多）.

WAF政策

此策略可防止安全漏洞、数据丢失以及访问敏感业务或客户信息的网站可能发生的未经授权修改。

在配置WAF策略之前，在Citrix应用程序交付和管理中创建WAF概要文件使用样本。

在WAF配置文件名，选择或指定已创建的WAF概要文件。

机器人的政策

此策略识别坏的机器人并保护您的设备免受高级安全攻击。

配置BOT策略前，需先完成以下操作使用StyleBook在Citrix应用程序交付和管理中创建BOT概要文件．

在机器人的配置文件名，指定您已创建的BOT概要文件。

标题修改政策

此策略帮助您修改API请求和响应的标头。如果你想替换HTTP头中的值，请指定以下参数:

• HTTP报头名称:请求头中需要修改的文件名。

  例子:宿主

• 头的值:可选，指定头名称中要修改的值字符串。

  例子:sample.com

• 头新值:替换指定头值的新值。

  如果没有头的值的指定值，它将用HTTP报头名称．

  例子:example.com

在本例中，头重写策略替换sample.com来example.com在宿主字段。

URI路径重写

此策略帮助您修改API请求和响应的URI路径。如果你想要替换URI路径中的一个段，添加一个规则来执行以下操作之一:

• 替换路径段—当选择此动作类型时，请指定:

  • 当前路径段—需要替换的路径段。
  • 新路径段—新建路径段，只替换当前路径段。

  

  例如，要将URI路径中的语言环境从英文更改为中文，请指定/ en - us /在当前路径段．,指定/贺年在新路径段．它只替换路径段并保留剩余的URI路径。

• 替换全路径—该操作类型将API请求和响应的URI路径完全替换为指定的路径。如果您指定/ example.html在新路径段时，API请求或响应的URI路径更改为指定的路径。

• 删除路径段-该操作从URI中删除指定的段。例如，要从URI路径中删除英语区域设置，请指定/ en - us /在当前路径段．

• 插入路径段—该动作将指定的段插入到URI路径中。要应用此规则，请指定要插入线段的位置。以及你要插入的线段。

  

  例如，当你想在一些文本后插入一个段，执行以下操作:

  1. 指定要插入新线段的位置。
  2. 在当前路径段，指定要在其后面添加新段的文本。
  3. 在新路径段，指定要添加的段。

否认

此策略帮助您拒绝API请求到达您的API资源。