Apache APISIX 集成 Coraza Proxy WASM 实现 WAF 功能的技术实践

背景介绍

Apache APISIX 作为云原生 API 网关，提供了丰富的插件生态来扩展其功能。其中，Web 应用防火墙(WAF)是保护 API 安全的重要组件。Coraza 是一个开源的 WAF 引擎，而 coraza-proxy-wasm 则是其 WebAssembly 实现版本，可以方便地集成到支持 WASM 的代理系统中。

技术实现要点

版本兼容性确认

在 APISIX 3.2 版本中尝试集成 coraza-proxy-wasm 时遇到了配置保存失败的问题。经过社区确认，coraza-proxy-wasm 的完整支持需要 APISIX 3.6 及以上版本。这是因为 WASM 插件支持在早期版本中功能尚不完善，3.6 版本后进行了多项改进和优化。

配置结构解析

正确的 coraza-proxy-wasm 集成需要两个层面的配置：

1. 全局 WASM 插件配置：在 APISIX 的 config.yaml 中需要声明 WASM 插件的基本信息

wasm:
  plugins:
    - name: coraza-filter
      priority: 7999
      file: /usr/local/bin/coraza-proxy-wasm.wasm

2. 路由级插件配置：在具体路由中启用并配置 coraza-filter 插件

{
  "plugins": {
    "coraza-filter": {
      "conf": {
        "directives_map": {
          "default": [
            "SecDebugLogLevel 9",
            "SecRuleEngine On",
            "Include @crs-setup-conf",
            "Include @owasp_crs/*.conf"
          ]
        },
        "default_directives": "default"
      }
    }
  }
}

常见问题排查

1. 文件路径问题：确保 coraza-proxy-wasm.wasm 文件存在于容器内的指定路径
2. 权限问题：APISIX 进程需要有读取 WASM 文件的权限
3. 版本匹配：确认 APISIX 版本与插件版本的兼容性
4. 配置验证：使用 APISIX 的配置验证工具检查配置语法

最佳实践建议

1. 版本选择：建议使用 APISIX 3.6 或更高版本以获得完整的 WASM 支持
2. 规则管理：将 CRS(核心规则集)配置放在单独文件中管理，便于维护
3. 日志监控：启用 SecDebugLogLevel 进行调试，生产环境适当降低日志级别
4. 性能考量：WASM 插件会增加一定的处理开销，建议在关键路由上启用

总结

通过 coraza-proxy-wasm 的集成，APISIX 可以获得强大的 WAF 能力，有效防御 SQL 注入、XSS 等常见 Web 攻击。实施时需特别注意版本兼容性和配置正确性，建议在测试环境充分验证后再部署到生产环境。随着 APISIX 对 WASM 支持不断完善，这类安全插件的集成将变得更加简便高效。