WAF 2.0和WAF 3.0是什麼關係、有什麼區別、如何快速使用 - Web Application Firewall

本文介紹了Web Application Firewall（Web Application Firewall，簡稱WAF）2.0和3.0版本的關係、區別、如何快速使用WAF。

什麼是WAF

WAF可對網站或者App的業務流量進行惡意特徵識別及防護，在對流量清洗和過濾後，將正常、安全的流量返回給伺服器，避免網站伺服器被惡意入侵導致效能異常等問題，從而保障網站的業務安全和資料安全。

WAF 2.0和WAF 3.0是什麼關係

WAF 3.0是在WAF 2.0基礎上推出的最新一代WAF產品，兩者具有不同的底層架構、售賣規格、控制台配置邏輯和互動體驗等，因此無法在同一個阿里雲帳號ID下共存。如果您已購買WAF 2.0執行個體，您登入的控制台版本為2.0版本。如果您已購買WAF 3.0執行個體，您登入的控制台版本為3.0版本。

WAF 3.0推出後，不會對已購買和使用WAF 2.0的使用者產生影響。WAF 2.0依然能夠正常使用產品、續約或升級規格，產品服務等級定義SLA（Service Level Agreement）也會繼續受到保證。
如果您已開通WAF 2.0，並且希望體驗和使用WAF 3.0，您可以通過自助遷移工具，將WAF 2.0執行個體自動遷移到WAF 3.0。具體操作，請參見如何將WAF 2.0執行個體升級到WAF 3.0。

WAF 2.0和WAF 3.0有什麼區別

接入方式

WAF 2.0支援CNAME接入和透明接入。WAF 3.0在此基礎上，實現了與應用型負載平衡ALB（Application Load Balancer）等雲產品的雲原生架構整合，支援雲產品接入。您可以在ALB等雲產品控制台，為執行個體（包括內網執行個體）一鍵開啟WAF安全防護，無需修改DNS，配置認證、連接埠、回源演算法等複雜的接入轉寄配置，進一步增強業務效能和穩定性，降低訪問延遲。

接入方式	接入原理	WAF 3.0	WAF 2.0
CNAME接入	通過添加網域名稱，並將網域名稱的DNS解析指向WAF的CNAME地址，使網域名稱的Web業務引流到WAF。WAF會攔截攻擊請求並將正常業務請求轉寄回來源站點伺服器。該過程中，WAF作為反向 Proxy叢集，同時參與流量的轉寄和檢測防護。	支援	支援
雲產品接入（原透明接入）	通過添加引流連接埠到WAF的方式，使雲產品網關自動改變路由，將Web業務引流到WAF。WAF會攔截攻擊請求並將正常業務請求轉寄回來源站點伺服器。該過程中，WAF作為反向 Proxy叢集，同時參與流量的轉寄和檢測防護。	支援說明 WAF 3.0中雲產品接入中CLB、ECS為透明接入。	支援
雲產品接入（全新的雲原生架構）	通過SDK模組化的方式將WAF整合在雲產品的網關中，通過內嵌在網關中的SDK提取流量並進行檢測和防護。該過程中，WAF不參與流量轉寄，避免因額外引入一層轉寄而帶來各種相容性和穩定性問題。	支援	不支援

防護配置

功能	WAF 3.0	WAF 2.0
生效對象	WAF 3.0支援為防護對象或防護對象組配置防護策略。防護對象可以是接入的網域名稱，也可以是雲產品執行個體。您也可以將多個防護對象加入到一個防護規則群組，批量為防護對象配置防護策略。	WAF 2.0支援為單個網域名稱配置防護規則。如果您通過透明接入將執行個體接入WAF，您需要將執行個體中的所有網域名稱單獨接入WAF，才能配置防護規則，否則所有流量只能使用預設防護規則，且無法修改。
實現方式	通過建立防護模板，並為模板配置防護規則，實現為不同防護對象應用不同的防護規則。	直接為指定網域名稱建立防護規則。
查看方式	支援通過防護對象或防護對象組查看各自配置的所有防護規則。支援通過防護模組查看該模組下配置的所有防護規則。支援通過規則ID，檢索防護規則。	支援查看單個網域名稱配置的所有防護規則。
管理預設防護規則	新接入WAF 3.0的防護對象預設開啟基礎防護。WAF 3.0支援修改該預設防護規則的防護動作為攔截或允許存取。	新接入WAF的網域名稱預設開啟規則防護引擎，但不支援修改規則防護動作。只有為網域名稱建立防護規則後，才能指定防護動作。
防護規格	關於各版本支援的防護對象數量，請參見防護對象。關於支援的防護模組，及各模組支援的防護規則數量，請參見安全功能。	關於各版本支援防護的網域名稱數，請參見預設可防護的主網域名稱個數和預設可防護的總網域名稱個數。關於支援的防護模組，及各防護模組支援的防護規則數量，請參見概述。

計費方式

訂用帳戶

區別		WAF 3.0	WAF 2.0
配套版本		支援基礎版、進階版、企業版、旗艦版。新增基礎版，適配小流量使用者。	支援進階版、企業版、旗艦版。
計費項目	流量規格	統一為QPS，無需關注頻寬。	同時支援QPS和頻寬，需要進行換算。
	網域名稱規格	不再區分主網域名稱和子網域名稱，統一按接入網域名稱個數結算費用。	區分主網域名稱和子網域名稱。
	混合雲接入	開通企業版、旗艦版即可直接使用混合雲接入。	需要單獨開通混合雲WAF獨享版。

隨用隨付

區別	WAF 3.0	WAF 2.0
支援地區	中國內地、非中國內地	中國內地
計量單元	統一計量單元為SeCU（Security Capacity Unit），1 SeCU收費0.01美元。	無。
統計方式	小時級計費。無需單獨開啟功能，即可直接使用，且使用後開始計費。配置刪除或功能關閉時自動停止計費，無需手動開關。	開啟功能後才能使用，並開始計費。關閉功能後，停止計費。

如何快速使用WAF

參考文檔		WAF 3.0	WAF 2.0
瞭解WAF		什麼是Web Application Firewall3.0 支援的配套版本、不同版本支援哪些功能如何計費支援的接入方式支援哪些防護配置	什麼是Web Application Firewall2.0 支援的配套版本、不同版本支援哪些功能如何計費支援的接入方式支援哪些防護配置
開通WAF		購買WAF 3.0訂用帳戶執行個體開通WAF 3.0隨用隨付執行個體	不支援新購
接入WAF		雲產品接入為ALB執行個體開啟WAF防護為MSE執行個體開啟WAF防護為FC自訂網域名開啟WAF防護將七層CLB（HTTP/HTTPS）執行個體接入WAF 將四層CLB（TCP）執行個體接入WAF 將ECS執行個體接入WAF CNAME接入添加網域名稱修改網域名稱DNS解析設定	透明接入（ALB、七層SLB、四層SLB、ECS） CNAME接入添加網域名稱修改網域名稱DNS解析設定
使用WAF	查看網域名稱資產	資產中心	資產識別
	使用WAF進行防護	配置防護對象和防護對象組配置防護規則基礎防護規則白名單規則 IP黑名單規則自訂規則掃描防護規則自訂響應規則 CC防護規則地區封鎖規則網頁防篡改規則資訊泄露防護規則重保情境防護 Bot管理	規則防護引擎白名單網站白名單 Web入侵防護白名單資料安全白名單 Bot管理白名單存取控制或限流白名單 IP黑名單自訂防護策略掃描防護 CC安全防護網站防篡改防敏感資訊泄露主動防禦賬戶安全 Bot管理
	配置監控與警示	配置CloudMonitor通知配置Log Service	配置CloudMonitor通知配置Log Service
	查看防護資料	安全報表日誌查詢	安全報表日誌查詢
API介面		WAF 3.0 API參考	WAF 2.0 API參考