接入方式

接入原理

WAF 3.0

WAF 2.0

CNAME接入

• 通過添加域名，并將域名的DNS解析指向WAF的CNAME地址，使域名的Web業(yè)務(wù)引流到WAF。WAF會攔截攻擊請求并將正常業(yè)務(wù)請求轉(zhuǎn)發(fā)回源站服務(wù)器。

• 該過程中，WAF作為反向代理集群，同時參與流量的轉(zhuǎn)發(fā)和檢測防護(hù)。

支持

支持

云產(chǎn)品接入（原透明接入）

• 通過添加引流端口到WAF的方式，使云產(chǎn)品網(wǎng)關(guān)自動改變路由，將Web業(yè)務(wù)引流到WAF。WAF會攔截攻擊請求并將正常業(yè)務(wù)請求轉(zhuǎn)發(fā)回源站服務(wù)器。

• 該過程中，WAF作為反向代理集群，同時參與流量的轉(zhuǎn)發(fā)和檢測防護(hù)。

支持

支持

云產(chǎn)品接入（全新的云原生架構(gòu)）

• 通過SDK模塊化的方式將WAF集成在云產(chǎn)品的網(wǎng)關(guān)中，通過內(nèi)嵌在網(wǎng)關(guān)中的SDK提取流量并進(jìn)行檢測和防護(hù)。

• 該過程中，WAF不參與流量轉(zhuǎn)發(fā)，避免因額外引入一層轉(zhuǎn)發(fā)而帶來各種兼容性和穩(wěn)定性問題。

支持

不支持

功能

WAF 3.0

WAF 2.0

生效對象

WAF 3.0支持為防護(hù)對象或防護(hù)對象組配置防護(hù)策略。

• 防護(hù)對象可以是接入的域名，也可以是云產(chǎn)品實(shí)例。

• 您也可以將多個防護(hù)對象加入到一個防護(hù)規(guī)則組，批量為防護(hù)對象配置防護(hù)策略。

WAF 2.0支持為單個域名配置防護(hù)規(guī)則。

如果您通過透明接入將實(shí)例接入WAF，您需要將實(shí)例中的所有域名單獨(dú)接入WAF，才能配置防護(hù)規(guī)則，否則所有流量只能使用默認(rèn)防護(hù)規(guī)則，且無法修改。

實(shí)現(xiàn)方式

通過創(chuàng)建防護(hù)模板，并為模板配置防護(hù)規(guī)則，實(shí)現(xiàn)為不同防護(hù)對象應(yīng)用不同的防護(hù)規(guī)則。

直接為指定域名創(chuàng)建防護(hù)規(guī)則。

查看方式

• 支持通過防護(hù)對象或防護(hù)對象組查看各自配置的所有防護(hù)規(guī)則。

• 支持通過防護(hù)模塊查看該模塊下配置的所有防護(hù)規(guī)則。

• 支持通過規(guī)則ID，檢索防護(hù)規(guī)則。

支持查看單個域名配置的所有防護(hù)規(guī)則。

管理默認(rèn)防護(hù)規(guī)則

新接入WAF 3.0的防護(hù)對象默認(rèn)開啟基礎(chǔ)防護(hù)。WAF 3.0支持修改該默認(rèn)防護(hù)規(guī)則的防護(hù)動作為攔截或放行。

新接入WAF的域名默認(rèn)開啟規(guī)則防護(hù)引擎，但不支持修改規(guī)則防護(hù)動作。只有為域名創(chuàng)建防護(hù)規(guī)則后，才能指定防護(hù)動作。

防護(hù)規(guī)格

• 關(guān)于各版本支持的防護(hù)對象數(shù)量，請參見防護(hù)對象。

• 關(guān)于支持的防護(hù)模塊，及各模塊支持的防護(hù)規(guī)則數(shù)量，請參見安全功能。

• 關(guān)于各版本支持防護(hù)的域名數(shù)，請參見默認(rèn)可防護(hù)的主域名個數(shù)和默認(rèn)可防護(hù)的總域名個數(shù)。

• 關(guān)于支持的防護(hù)模塊，及各防護(hù)模塊支持的防護(hù)規(guī)則數(shù)量，請參見概述。

區(qū)別

WAF 3.0

WAF 2.0

配套版本

• 支持基礎(chǔ)版、高級版、企業(yè)版、旗艦版。

• 新增基礎(chǔ)版，適配小流量用戶。

支持高級版、企業(yè)版、旗艦版。

計費(fèi)項

流量規(guī)格

統(tǒng)一為QPS，無需關(guān)注帶寬。

同時支持QPS和帶寬，需要進(jìn)行換算。

域名規(guī)格

不再區(qū)分主域名和子域名，統(tǒng)一按接入域名個數(shù)結(jié)算費(fèi)用。

區(qū)分主域名和子域名。

混合云接入

開通企業(yè)版、旗艦版即可直接使用混合云接入。

需要單獨(dú)開通混合云WAF獨(dú)享版。

區(qū)別

WAF 3.0

WAF 2.0

計量單元

統(tǒng)一計量單元為SeCU（Security Capacity Unit），1 SeCU收費(fèi)0.05元。

無。

統(tǒng)計方式

• 小時級計費(fèi)。

• 無需單獨(dú)開啟功能，即可直接使用，且使用后開始計費(fèi)。配置刪除或功能關(guān)閉時自動停止計費(fèi)，無需手動開關(guān)。

開啟功能后才能使用，并開始計費(fèi)。關(guān)閉功能后，停止計費(fèi)。

參考文檔

WAF 3.0

WAF 2.0

了解WAF

• 什么是Web應(yīng)用防火墻3.0

• 支持的配套版本、不同版本支持哪些功能

• 如何計費(fèi)

• 支持的接入方式

• 支持哪些防護(hù)配置

• 什么是Web應(yīng)用防火墻2.0

• 支持的配套版本、不同版本支持哪些功能

• 如何計費(fèi)

• 支持的接入方式

• 支持哪些防護(hù)配置

開通WAF

• 購買WAF 3.0包年包月實(shí)例

• 開通WAF 3.0按量付費(fèi)實(shí)例

不支持新購

接入WAF

• 云產(chǎn)品接入

  • 為ALB實(shí)例開啟WAF防護(hù)

  • 為MSE實(shí)例開啟WAF防護(hù)

  • 為FC自定義域名開啟WAF防護(hù)

  • 將七層CLB（HTTP/HTTPS）實(shí)例接入WAF

  • 將四層CLB（TCP）實(shí)例接入WAF

  • 將ECS實(shí)例接入WAF

• CNAME接入

  1. 添加域名

  2. 修改域名DNS解析設(shè)置

• 透明接入（ALB、七層SLB、四層SLB、ECS）

• CNAME接入

  1. 添加域名

  2. 修改域名DNS解析設(shè)置

使用WAF

查看域名資產(chǎn)

資產(chǎn)中心

資產(chǎn)識別

使用WAF進(jìn)行防護(hù)

• 配置防護(hù)對象和防護(hù)對象組

• 配置防護(hù)規(guī)則

  • 基礎(chǔ)防護(hù)規(guī)則

  • 白名單規(guī)則

  • IP黑名單規(guī)則

  • 自定義規(guī)則

  • 掃描防護(hù)規(guī)則

  • 自定義響應(yīng)規(guī)則

  • CC防護(hù)規(guī)則

  • 區(qū)域封禁規(guī)則

  • 網(wǎng)頁防篡改規(guī)則

  • 信息泄露防護(hù)規(guī)則

  • API安全

  • 重保場景防護(hù)

  • Bot管理

• 規(guī)則防護(hù)引擎

• 白名單

  • 網(wǎng)站白名單

  • Web入侵防護(hù)白名單

  • 數(shù)據(jù)安全白名單

  • Bot管理白名單

  • 訪問控制或限流白名單

• IP黑名單

• 自定義防護(hù)策略

• 掃描防護(hù)

• CC安全防護(hù)

• 網(wǎng)站防篡改

• 防敏感信息泄露

• 主動防御

• API安全

• 賬戶安全

• Bot管理

配置監(jiān)控與告警

• 配置云監(jiān)控通知

• 配置日志服務(wù)

• 配置云監(jiān)控通知

• 配置日志服務(wù)

查看防護(hù)數(shù)據(jù)

• 安全報表

• 日志查詢

• 安全報表

• 日志查詢

API接口

WAF 3.0 API參考

WAF 2.0 API參考