KrakenD Gateway-Regeln Demo

Diese zweite Demo zeigt nicht die WAF-Blockade, sondern die Kontrollfunktion des API-Gateways: Welche API-Pfade und Methoden sind überhaupt veröffentlicht?

1. Was zeigt diese Seite?

Die erste Demo zeigt, wie Coraza verdächtige Angriffsmuster blockiert. Diese Seite zeigt eine andere Schutzfunktion: Das API-Gateway kontrolliert die veröffentlichte API-Oberfläche.

Browser

Startet eine API-Anfrage, zum Beispiel per Button.

Client

Caddy

Nimmt die Anfrage entgegen und leitet sie an die Demo weiter.

Reverse Proxy

Coraza

Prüft, ob die Anfrage gefährliche Muster enthält.

WAF

KrakenD

Entscheidet, ob Pfad und Methode zur veröffentlichten API gehören.

API Gateway

Mock API

Wird nur erreicht, wenn KrakenD die Anfrage erlaubt und weiterleitet.

Backend
Kernaussage: Coraza fragt: „Sieht diese Anfrage gefährlich aus?“ KrakenD fragt: „Ist dieser API-Pfad mit dieser Methode überhaupt veröffentlicht?“

2. Interaktive Gateway-Demo

Die folgenden Tests zeigen erlaubte und nicht erlaubte API-Aufrufe. Nicht jeder abgelehnte Request ist ein Angriff. Manchmal ist er einfach nicht Teil der veröffentlichten API.

Zurück zur WAF-Demo

3. Ergebnis und Erklärung

Adresszeile im Browser: Die Seite bleibt https://demo.aufeni.com/gateway. Die eigentliche API-Anfrage wird im Hintergrund ausgeführt.
Tatsächlich aufgerufene API-Adresse:
Noch keine Anfrage ausgeführt.

HTTP-Methode: Noch keine Anfrage ausgeführt.

Technische Antwort

Noch keine Anfrage ausgeführt.

Was ist passiert?

Bereit für die Gateway-Demo

Starte mit Erlaubten GET-Aufruf testen. Danach kannst du sehen, was passiert, wenn Methode oder Pfad nicht zur veröffentlichten API gehören.

4. Was verhindert hier das Gateway?

Test Erwartung Warum?
GET /api/products Erlaubt Dieser Endpunkt ist in KrakenD als veröffentlichte API definiert.
POST /api/products Nicht erlaubt Die Demo-API erlaubt Lesen, aber keine Schreiboperation auf diesem Pfad.
GET /api/internal-users Nicht veröffentlicht Dieser Pfad existiert nicht in der öffentlichen API-Konfiguration von KrakenD.
Wichtig: Eine Ablehnung durch das Gateway ist nicht automatisch eine Angriffserkennung. Das Gateway sagt hier nur: Dieser Pfad oder diese Methode ist nicht Teil der veröffentlichten API.

5. WAF vs. Gateway

Coraza WAF

Prüft Inhalte der Anfrage auf verdächtige Muster. Beispiel: q=' OR 1=1 oder DROP TABLE users.

Rolle: Angriffsversuche früh erkennen und blockieren.

KrakenD API Gateway

Kontrolliert, welche API-Endpunkte und Methoden veröffentlicht sind. Beispiel: GET /products ist erlaubt, POST /products nicht.

Rolle: API-Oberfläche definieren, Backends verstecken und kontrolliert weiterleiten.

Merksatz: Die WAF schützt gegen verdächtige Inhalte. Das Gateway kontrolliert die erlaubte API-Struktur.

6. Warum ist das wichtig?

Ohne API-Gateway müssten interne Services selbst entscheiden, welche Pfade und Methoden öffentlich erlaubt sind. Mit KrakenD kann die veröffentlichte API-Oberfläche zentral beschrieben werden.

Dadurch entsteht eine klare Trennung: