全部產品
Search
文件中心

Web Application Firewall:WAF概述

更新時間:Jul 01, 2024

本文介紹了Web Application Firewall(Web Application Firewall,簡稱WAF)2.0和3.0版本的關係、區別、如何快速使用WAF。

什麼是WAF

WAF可對網站或者App的業務流量進行惡意特徵識別及防護,在對流量清洗和過濾後,將正常、安全的流量返回給伺服器,避免網站伺服器被惡意入侵導致效能異常等問題,從而保障網站的業務安全和資料安全。

WAF 2.0和WAF 3.0是什麼關係

  • WAF 3.0是在WAF 2.0基礎上推出的最新一代WAF產品,兩者具有不同的底層架構、售賣規格、控制台配置邏輯和互動體驗等,因此無法在同一個阿里雲帳號ID下共存。如果您已購買WAF 2.0執行個體,您登入的控制台版本為2.0版本。如果您已購買WAF 3.0執行個體,您登入的控制台版本為3.0版本。

  • WAF 3.0推出後,不會對已購買和使用WAF 2.0的使用者產生影響。WAF 2.0依然能夠正常使用產品、續約或升級規格,產品服務等級定義SLA(Service Level Agreement)也會繼續受到保證。

  • 如果您已開通WAF 2.0,並且希望體驗和使用WAF 3.0,您可以通過自助遷移工具,將WAF 2.0執行個體自動遷移到WAF 3.0。具體操作,請參見如何將WAF 2.0執行個體升級到WAF 3.0

WAF 2.0和WAF 3.0有什麼區別

接入方式

WAF 2.0支援CNAME接入和透明接入。WAF 3.0在此基礎上,實現了與應用型負載平衡ALB(Application Load Balancer)等雲產品的雲原生架構整合,支援雲產品接入。您可以在ALB等雲產品控制台,為執行個體(包括內網執行個體)一鍵開啟WAF安全防護,無需修改DNS,配置認證、連接埠、回源演算法等複雜的接入轉寄配置,進一步增強業務效能和穩定性,降低訪問延遲。

接入方式

接入原理

WAF 3.0

WAF 2.0

CNAME接入

  • 通過添加網域名稱,並將網域名稱的DNS解析指向WAF的CNAME地址,使網域名稱的Web業務引流到WAF。WAF會攔截攻擊請求並將正常業務請求轉寄回來源站點伺服器。

  • 該過程中,WAF作為反向 Proxy叢集,同時參與流量的轉寄和檢測防護。

支援

支援

雲產品接入(原透明接入)

  • 通過添加引流連接埠到WAF的方式,使雲產品網關自動改變路由,將Web業務引流到WAF。WAF會攔截攻擊請求並將正常業務請求轉寄回來源站點伺服器。

  • 該過程中,WAF作為反向 Proxy叢集,同時參與流量的轉寄和檢測防護。

支援

說明

WAF 3.0中雲產品接入中CLB、ECS為透明接入。

支援

雲產品接入(全新的雲原生架構)

  • 通過SDK模組化的方式將WAF整合在雲產品的網關中,通過內嵌在網關中的SDK提取流量並進行檢測和防護。

  • 該過程中,WAF不參與流量轉寄,避免因額外引入一層轉寄而帶來各種相容性和穩定性問題。

支援

不支援

防護配置

功能

WAF 3.0

WAF 2.0

生效對象

WAF 3.0支援為防護對象或防護對象組配置防護策略。

  • 防護對象可以是接入的網域名稱,也可以是雲產品執行個體。

  • 您也可以將多個防護對象加入到一個防護規則群組,批量為防護對象配置防護策略。

WAF 2.0支援為單個網域名稱配置防護規則。

如果您通過透明接入將執行個體接入WAF,您需要將執行個體中的所有網域名稱單獨接入WAF,才能配置防護規則,否則所有流量只能使用預設防護規則,且無法修改。

實現方式

通過建立防護模板,並為模板配置防護規則,實現為不同防護對象應用不同的防護規則。

直接為指定網域名稱建立防護規則。

查看方式

  • 支援通過防護對象或防護對象組查看各自配置的所有防護規則。

  • 支援通過防護模組查看該模組下配置的所有防護規則。

  • 支援通過規則ID,檢索防護規則。

支援查看單個網域名稱配置的所有防護規則。

管理預設防護規則

新接入WAF 3.0的防護對象預設開啟基礎防護。WAF 3.0支援修改該預設防護規則的防護動作為攔截或允許存取。

新接入WAF的網域名稱預設開啟規則防護引擎,但不支援修改規則防護動作。只有為網域名稱建立防護規則後,才能指定防護動作。

防護規格

  • 關於各版本支援的防護對象數量,請參見防護對象

  • 關於支援的防護模組,及各模組支援的防護規則數量,請參見安全功能

計費方式

訂用帳戶

區別

WAF 3.0

WAF 2.0

配套版本

  • 支援基礎版、進階版、企業版、旗艦版。

  • 新增基礎版,適配小流量使用者。

支援進階版、企業版、旗艦版。

計費項目

流量規格

統一為QPS,無需關注頻寬。

同時支援QPS和頻寬,需要進行換算。

網域名稱規格

不再區分主網域名稱和子網域名稱,統一按接入網域名稱個數結算費用。

區分主網域名稱和子網域名稱。

混合雲接入

開通企業版、旗艦版即可直接使用混合雲接入。

需要單獨開通混合雲WAF獨享版。

隨用隨付

區別

WAF 3.0

WAF 2.0

支援地區

中國內地、非中國內地

中國內地

計量單元

統一計量單元為SeCU(Security Capacity Unit),1 SeCU收費0.01美元

無。

統計方式

  • 小時級計費。

  • 無需單獨開啟功能,即可直接使用,且使用後開始計費。配置刪除或功能關閉時自動停止計費,無需手動開關。

開啟功能後才能使用,並開始計費。關閉功能後,停止計費。

如何快速使用WAF

參考文檔

WAF 3.0

WAF 2.0

瞭解WAF

開通WAF

不支援新購

接入WAF

使用WAF

查看網域名稱資產

資產中心

資產識別

使用WAF進行防護

配置監控與警示

查看防護資料

API介面

WAF 3.0 API參考

WAF 2.0 API參考