注意：这是api-firewall镜像的arm64v8架构构建的"per-architecture"仓库——更多信息，请参见镜像文档中的"除amd64之外的架构？"和***镜像FAQ中的"Git中的镜像源已更改，现在该怎么办？"。

快速参考

-** 维护者 **：
Wallarm团队

-** 获取帮助 **：
Docker社区Slack、Server Fault、Unix & Linux 或 Stack Overflow

支持的标签及对应的Dockerfile链接

• 0.9.3, latest

快速参考（续）

-** 提交问题 ：
[*]

-** 支持的架构 **：(更多信息)
amd64、arm64v8、i386

-** 镜像 artifact 详情 **：
repo-info仓库的repos/api-firewall/目录 (历史记录)
（镜像元数据、传输大小等）

-** 镜像更新 **：
official-images仓库的library/api-firewall标签
official-images仓库的library/api-firewall文件 (历史记录)

-** 本描述的来源 **：
docs仓库的api-firewall/目录 (历史记录)

!logo

什么是API Firewall？

Wallarm API Firewall是一款开源轻量级代理，旨在通过基于严格OpenAPI/Swagger模式验证的强化机制，保护云原生环境中的REST API端点。它采用正向安全模型，仅允许与预定义API规范匹配的请求和响应，拒绝所有其他流量。

核心功能

• 通过阻止不匹配OAS/Swagger模式的请求和响应，保护REST API端点
• 发现影子API端点
• 若使用基于OAuth 2.0协议的认证，验证访问令牌
• 部署和配置快速简便
• 自定义请求和响应处理模式、响应代码及日志格式

使用场景

• 阻止不匹配OpenAPI 3.0规范的异常请求和响应（运行于阻塞模式时）
• 发现影子API和未记录的端点（运行于日志模式时）
• 记录不匹配OpenAPI 3.0规范的异常请求和响应（运行于日志模式时）

API模式验证与正向安全模型

启动API Firewall时，需提供受保护应用的OpenAPI 3.0规范。启动后的API Firewall将作为反向代理，验证请求和响应是否与规范中定义的模式匹配。

不匹配模式的流量将通过Docker服务的STDOUT和STDERR记录或被阻塞（取决于配置的运行模式）。若运行于日志模式，检测到不在规范中的端点（除返回404的端点外）将被记录为影子API。

!API Firewall架构

提供的API模式需使用OpenAPI 3.0规范，以YAML或JSON文件格式（.yaml、.yml、.json扩展名）描述。

通过OpenAPI 3.0规范定义流量要求，Wallarm API Firewall实现了正向安全模型。

技术特性

API Firewall作为反向代理运行，内置OpenAPI 3.0请求和响应验证器。验证器采用Go语言编写，针对极致性能和近零额外延迟进行了优化。

启动API Firewall

如需在Docker上下载、安装和启动Wallarm API Firewall，请参见安装指南。

演示环境

可通过运行部署了受Wallarm API Firewall保护的示例应用的演示环境，试用API Firewall。目前提供两个演示环境：

• 基于Docker Compose的Wallarm API Firewall演示
• 基于Kubernetes的Wallarm API Firewall演示

Wallarm与API Firewall相关的博客文章

• 使用API Firewall发现影子API
• Wallarm API Firewall在生产环境中性能优于NGINX

性能

创建API Firewall时，我们优先考虑速度和效率，以确保客户拥有尽可能快的API。最新测试显示，API Firewall处理单个请求的平均时间为1.339 ms：

console
$ ab -c 200 -n *** -p ./large.json -T application/json [***]

Document Path:          /test/signup
Document Length:        20 bytes

Concurrency Level:      200
Time taken for tests:   0.769 seconds
Complete requests:      ***
Failed requests:        0
Total transferred:      2150000 bytes
Total body sent:        283770000
HTML transferred:       200000 bytes
Requests per second:    ***.81 [#/sec] (mean)
Time per request:       15.378 [ms] (mean)
Time per request:       0.077 [ms] (mean, across all concurrent requests)
Transfer rate:          2730.71 [Kbytes/sec] received
                        360415.95 kb/s sent
                        363146.67 kb/s total

Connection Times (ms)
              min  mean[+/-sd] median   max
Connect:        0    5   1.6      5      12
Processing:     2   10   5.4      9      59
Waiting:        2    8   5.2      7      56
Total:          3   15   5.7     14      68

Percentage of the requests served within a certain time (ms)
  50%     14
  66%     15
  75%     16
  80%     17
  90%     18
  95%     23
  98%     36
  99%     44
 100%     68 (longest request)

更多性能测试结果及优化方法，请参见此Wallarm博客文章。

许可证

查看本镜像中包含软件的许可证信息。

与所有Docker镜像一样，本镜像可能还包含其他软件，这些软件可能采用其他许可证（如基础发行版中的Bash等，以及主要软件的任何直接或间接依赖项）。

部分能够自动检测的额外许可证信息，可在repo-info仓库的api-firewall/目录中找到。

对于任何预构建镜像的使用，镜像用户有责任确保对本镜像的任何使用均符合其中包含的所有软件的相关许可证要求。