wallarm/api-firewall

Wallarm 开源 API 防火墙 https://github.com/wallarm/api-firewall/blob/main/images/BHA2022.svg?raw=true]([***]

镜像概述和主要用途

API Firewall 是一款基于 OpenAPI/Swagger 规范的高性能代理，提供 API 请求与响应验证功能。该防火墙专为云原生环境中的 REST API 端点保护设计，通过正向安全模型实现 API 加固：仅允许与预定义 API 规范匹配的请求和响应通过，拒绝所有其他流量。

核心功能与特性

• 保护 REST API 端点：阻断不符合 API 规范的***请求
• 防止 API 数据泄露：拦截畸形 API 响应，避免敏感信息暴露
• 发现影子 API 端点：识别未在 API 规范中定义但实际可访问的端点
• 验证 JWT 访问令牌：支持基于 OAuth 2.0 协议的身份认证
• 拒绝已泄露凭证：（新增）阻止使用已泄露的 API 令牌、密钥和 Cookie

该产品为开源软件，可在 DockerHub 获取，累计拉取量已达 10 亿次。如需支持该项目，可访问 https://hub.docker.com/r/wallarm/api-firewall 并添加星标。

使用场景与适用范围

阻塞模式

• 阻断不符合 OpenAPI 3.0 规范的***请求
• 拦截畸形 API 响应，防止数据泄露和敏感信息暴露

监控模式

• 发现影子 API 和未文档化的 API 端点
• 记录不符合 OpenAPI 3.0 规范的畸形请求与响应

API 模式验证与正向安全模型

启动 API Firewall 时，需提供待保护应用的 OpenAPI 3.0 规范 文件。启动后，防火墙将作为反向代理运行，验证请求和响应是否与规范中定义的模式匹配。

不符合模式的流量将通过 STDOUT 和 STDERR Docker 服务 记录或被阻断（取决于配置的操作模式）。在监控模式下，API Firewall 还会记录所谓的“影子 API 端点”——即未在 API 规范中定义但对请求有响应的端点（返回 404 状态码的端点除外）。

!https://github.com/wallarm/api-firewall/blob/main/images/Firewall%20opensource%20-%20vertical.gif?raw=true

支持 OpenAPI 3.0 规范，文件格式可为 YAML 或 JSON（扩展名为 .yaml、.yml 或 .json）。

通过 OpenAPI 3.0 规范定义流量要求，API Firewall 实现了正向安全模型。

技术数据

API Firewall 作为内置 OpenAPI 3.0 请求与响应验证功能的反向代理运行，采用 Golang 编写并使用 fasthttp 代理框架。项目针对极致性能和近零附加延迟进行了优化。

使用方法和配置说明

Docker 环境部署

前提条件

• Docker 引擎（19.03 或更高版本）
• 待保护应用的 OpenAPI 3.0 规范文件（YAML/JSON 格式）

基本启动命令

bash
docker run -d \
  -v /path/to/your/openapi-spec.yaml:/etc/api-firewall/spec.yaml \
  -e WALLARM_API_FIREWALL_URL=http://backend-service:8080 \  # 后端服务地址
  -e WALLARM_API_FIREWALL_MODE=block \  # 操作模式：block（阻塞）/monitor（监控）
  -p 8282:8282 \
  wallarm/api-firewall

关键参数说明

• -v /path/to/spec.yaml:/etc/api-firewall/spec.yaml：挂载本地 OpenAPI 规范文件至容器内
• WALLARM_API_FIREWALL_URL：后端 API 服务的地址和端口
• WALLARM_API_FIREWALL_MODE：操作模式（block 或 monitor）
• -p 8282:8282：映射防火墙监听端口（默认 8282）

完整配置参数及高级用法请参考 官方安装指南。

Docker Compose 部署示例

可通过官方提供的 Docker Compose 演示环境快速体验：

yaml
# 参考 https://github.com/wallarm/api-firewall/tree/main/demo/docker-compose
version: '3'
services:
  api-firewall:
    image: wallarm/api-firewall
    volumes:
      - ./openapi-spec.yaml:/etc/api-firewall/spec.yaml
    environment:
      - WALLARM_API_FIREWALL_URL=http://app:3000
      - WALLARM_API_FIREWALL_MODE=monitor
    ports:
      - "8282:8282"
  app:
    image: your-backend-app:latest
    ports:
      - "3000:3000"

演示环境

可通过以下演示环境体验 API Firewall 的功能：

• https://github.com/wallarm/api-firewall/tree/main/demo/docker-compose%EF%BC%9A%E9%83%A8%E7%BD%B2%E5%8F%97 API Firewall 保护的示例应用
• https://github.com/wallarm/api-firewall/tree/main/demo/kubernetes%EF%BC%9A%E5%9C%A8 Kubernetes 集群中部署演示环境

性能表现

API Firewall 设计以速度和效率为优先，确保 API 处理性能最大化。最新测试显示，API Firewall 处理单个请求的平均时间为 1.339 ms，比 Nginx 快 66%：

# API Firewall 0.6.2（带 JSON 验证）
$ ab -c 200 -n 10000 -p ./large.json -T application/json http://127.0.0.1:8282/test/signup
Requests per second:    13005.81 [#/sec] (mean)
Time per request:       15.378 [ms] (mean)
Time per request:       0.077 [ms] (mean, across all concurrent requests)

# Nginx 1.18.0（无 JSON 验证）
$ ab -c 200 -n 10000 -p ./large.json -T application/json http://127.0.0.1/test/signup
Requests per second:    7887.76 [#/sec] (mean)
Time per request:       25.356 [ms] (mean)
Time per request:       0.127 [ms] (mean, across all concurrent requests)

更多性能测试结果及优化方法详见 官方博客文章。

相关资源

Wallarm 博客文章

• 使用 API Firewall 发现影子 API
• Wallarm API Firewall 在生产环境中性能优于 Nginx
• 使用开源 APIFW 免费保护 REST API

官方文档

• 完整安装指南
• https://github.com/wallarm/api-firewall