本文介紹了Web Application Firewall(Web Application Firewall,簡稱WAF)2.0和3.0版本的關係、區別、如何快速使用WAF。
什麼是WAF
WAF可對網站或者App的業務流量進行惡意特徵識別及防護,在對流量清洗和過濾後,將正常、安全的流量返回給伺服器,避免網站伺服器被惡意入侵導致效能異常等問題,從而保障網站的業務安全和資料安全。
WAF 2.0和WAF 3.0是什麼關係
WAF 3.0是在WAF 2.0基礎上推出的最新一代WAF產品,兩者具有不同的底層架構、售賣規格、控制台配置邏輯和互動體驗等,因此無法在同一個阿里雲帳號ID下共存。如果您已購買WAF 2.0執行個體,您登入的控制台版本為2.0版本。如果您已購買WAF 3.0執行個體,您登入的控制台版本為3.0版本。
WAF 3.0推出後,不會對已購買和使用WAF 2.0的使用者產生影響。WAF 2.0依然能夠正常使用產品、續約或升級規格,產品服務等級定義SLA(Service Level Agreement)也會繼續受到保證。
如果您已開通WAF 2.0,並且希望體驗和使用WAF 3.0,您可以通過自助遷移工具,將WAF 2.0執行個體自動遷移到WAF 3.0。具體操作,請參見如何將WAF 2.0執行個體升級到WAF 3.0。
WAF 2.0和WAF 3.0有什麼區別
接入方式
WAF 2.0支援CNAME接入和透明接入。WAF 3.0在此基礎上,實現了與應用型負載平衡ALB(Application Load Balancer)等雲產品的雲原生架構整合,支援雲產品接入。您可以在ALB等雲產品控制台,為執行個體(包括內網執行個體)一鍵開啟WAF安全防護,無需修改DNS,配置認證、連接埠、回源演算法等複雜的接入轉寄配置,進一步增強業務效能和穩定性,降低訪問延遲。
接入方式 | 接入原理 | WAF 3.0 | WAF 2.0 |
CNAME接入 |
| 支援 | 支援 |
雲產品接入(原透明接入) |
| 支援 說明 WAF 3.0中雲產品接入中CLB、ECS為透明接入。 | 支援 |
雲產品接入(全新的雲原生架構) |
| 支援 | 不支援 |
防護配置
功能 | WAF 3.0 | WAF 2.0 |
生效對象 | WAF 3.0支援為防護對象或防護對象組配置防護策略。
| WAF 2.0支援為單個網域名稱配置防護規則。 如果您通過透明接入將執行個體接入WAF,您需要將執行個體中的所有網域名稱單獨接入WAF,才能配置防護規則,否則所有流量只能使用預設防護規則,且無法修改。 |
實現方式 | 通過建立防護模板,並為模板配置防護規則,實現為不同防護對象應用不同的防護規則。 | 直接為指定網域名稱建立防護規則。 |
查看方式 |
| 支援查看單個網域名稱配置的所有防護規則。 |
管理預設防護規則 | 新接入WAF 3.0的防護對象預設開啟基礎防護。WAF 3.0支援修改該預設防護規則的防護動作為攔截或允許存取。 | 新接入WAF的網域名稱預設開啟規則防護引擎,但不支援修改規則防護動作。只有為網域名稱建立防護規則後,才能指定防護動作。 |
防護規格 |
|
計費方式
訂用帳戶
區別 | WAF 3.0 | WAF 2.0 | |
配套版本 |
| 支援進階版、企業版、旗艦版。 | |
計費項目 | 流量規格 | 統一為QPS,無需關注頻寬。 | 同時支援QPS和頻寬,需要進行換算。 |
網域名稱規格 | 不再區分主網域名稱和子網域名稱,統一按接入網域名稱個數結算費用。 | 區分主網域名稱和子網域名稱。 | |
混合雲接入 | 開通企業版、旗艦版即可直接使用混合雲接入。 | 需要單獨開通混合雲WAF獨享版。 |
隨用隨付
區別 | WAF 3.0 | WAF 2.0 |
支援地區 | 中國內地、非中國內地 | 中國內地 |
計量單元 | 統一計量單元為SeCU(Security Capacity Unit),1 SeCU收費0.01美元。 | 無。 |
統計方式 |
| 開啟功能後才能使用,並開始計費。關閉功能後,停止計費。 |
如何快速使用WAF
參考文檔 | WAF 3.0 | WAF 2.0 | |
瞭解WAF | |||
開通WAF | 不支援新購 | ||
接入WAF | |||
使用WAF | 查看網域名稱資產 | ||
使用WAF進行防護 | |||
配置監控與警示 | |||
查看防護資料 | |||
API介面 |