快速参考

• 维护者：
  Wallarm团队

• 获取帮助：
  Docker社区Slack、Server Fault、Unix & Linux 或 Stack Overflow

支持的标签及对应Dockerfile链接

• 0.9.3, latest

快速参考（续）

• 提交issues：
  [***]

• 支持的架构：(更多信息)
  amd64、arm64v8、i386

• 镜像 artifact 详情：
  repo-info 仓库的 repos/api-firewall/ 目录（历史记录）
  （包含镜像元数据、传输大小等）

• 镜像更新：
  official-images 仓库的 library/api-firewall 标签
  official-images 仓库的 library/api-firewall 文件（历史记录）

• 本描述的来源：
  docs 仓库的 api-firewall/ 目录（历史记录）

!logo

什么是 API Firewall？

Wallarm API Firewall 是一款开源轻量级代理，旨在通过基于严格 OpenAPI/Swagger 模式验证的强化方式，保护云原生环境中的 REST API 端点。它采用正向安全模型，仅允许与预定义 API 规范匹配的请求和响应通过，拒绝所有其他请求。

核心功能包括：

• 通过阻止不符合 OAS/Swagger 模式的请求和响应，保护 REST API 端点
• 发现影子 API 端点
• 若使用基于 OAuth 2.0 协议的认证，可验证访问令牌
• 部署和配置快速简便
• 自定义请求和响应处理模式、响应代码及日志格式

使用场景

• 阻止不符合 OpenAPI 3.0 规范的异常请求和响应（当 API Firewall 运行在阻止模式时）
• 发现影子 API 和未记录的端点（当 API Firewall 运行在日志模式时）
• 记录不符合 OpenAPI 3.0 规范的异常请求和响应（当 API Firewall 运行在日志模式时）

API 模式验证与正向安全模型

启动 API Firewall 时，需提供待保护应用的 OpenAPI 3.0 规范。启动后的 API Firewall 将作为反向代理运行，验证请求和响应是否与规范中定义的模式匹配。

不符合模式的流量将通过 STDOUT 和 STDERR Docker 服务 记录或被阻止（取决于配置的 API Firewall 运行模式）。若运行在日志模式且检测到规范中未包含的端点，API Firewall 也会将这些端点记录为影子 API（返回 404 状态码的端点除外）。

!API Firewall 架构

提供的 API 模式需使用 OpenAPI 3.0 规范，文件格式可为 YAML 或 JSON（文件扩展名为 .yaml、.yml、.json）。

通过允许使用 OpenAPI 3.0 规范设置流量要求，Wallarm API Firewall 依托正向安全模型提供保护。

技术特性

API Firewall 作为反向代理运行，内置 OpenAPI 3.0 请求和响应验证器。验证器采用 Go 语言编写，针对极致性能和接近零的额外延迟进行了优化。

启动 API Firewall

如需在 Docker 上下载、安装和启动 Wallarm API Firewall，请参见 安装指南。

演示环境

可通过运行演示环境试用 API Firewall，该环境会部署受 Wallarm API Firewall 保护的示例应用。有两个可用的演示环境：

• 使用 Docker Compose 的 Wallarm API Firewall 演示
• 使用 Kubernetes 的 Wallarm API Firewall 演示

Wallarm 与 API Firewall 相关的博客文章

• 使用 API Firewall 发现影子 API
• Wallarm API Firewall 在生产环境中的性能优于 NGINX

性能

开发 API Firewall 时，我们优先考虑速度和效率，以确保客户拥有尽可能快的 API。最新测试表明，API Firewall 处理单个请求的平均时间为 1.339 ms：

$ ab -c 200 -n *** -p ./large.json -T application/json [***]

Document Path:          /test/signup
Document Length:        20 bytes

Concurrency Level:      200
Time taken for tests:   0.769 seconds
Complete requests:      ***
Failed requests:        0
Total transferred:      2150000 bytes
Total body sent:        283770000
HTML transferred:       200000 bytes
Requests per second:    ***.81 [#/sec] (mean)
Time per request:       15.378 [ms] (mean)
Time per request:       0.077 [ms] (mean, across all concurrent requests)
Transfer rate:          2730.71 [Kbytes/sec] received
                        360415.95 kb/s sent
                        363146.67 kb/s total

Connection Times (ms)
              min  mean[+/-sd] median   max
Connect:        0    5   1.6      5      12
Processing:     2   10   5.4      9      59
Waiting:        2    8   5.2      7      56
Total:          3   15   5.7     14      68

Percentage of the requests served within a certain time (ms)
  50%     14
  66%     15
  75%     16
  80%     17
  90%     18
  95%     23
  98%     36
  99%     44
 100%     68 (longest request)

这些性能结果并非 API Firewall 测试中的唯一结果。其他结果及用于提升性能的方法在 Wallarm 的博客文章 中有详细描述。

许可信息

查看此镜像中包含软件的 许可信息。

与所有 Docker 镜像一样，此镜像可能还包含其他软件，这些软件可能采用其他许可（如基础发行版中的 Bash 等，以及主要软件的任何直接或间接依赖项）。

部分可自动检测的额外许可信息可能位于 repo-info 仓库的 api-firewall/ 目录。

对于任何预构建镜像的使用，镜像用户有责任确保对镜像中包含的所有软件的使用符合所有相关许可。