全部產品
Search
文件中心

Web Application Firewall:WAF 3.0與WAF 2.0對比

更新時間:Jul 13, 2024

Web Application Firewall(Web Application Firewall,簡稱WAF) 3.0是全新推出的版本,相比於WAF 2.0WAF 3.0在接入方式、防護配置、計費方式等方面進行了最佳化。本文通過對比,介紹WAF 3.0的主要最佳化點。

重要
  • WAF 3.0具有不同於WAF 2.0的底層架構、售賣規格、控制台配置邏輯和互動體驗等,因此無法跟WAF 2.0在同一個阿里雲帳號ID下共存。如果您已購買WAF 2.0執行個體,您登入的控制台版本為2.0版本。如果您已購買WAF 3.0執行個體,您登入的控制台版本為3.0版本。

  • 目前暫不支援WAF 2.0執行個體自動遷移到WAF 3.0。關於如何進行WAF執行個體遷移的具體操作,請加入釘群(釘群號:34657699),聯絡產品技術專家進行諮詢。

接入方式

WAF支援如下接入方式:CNAME接入、雲產品接入。

接入方式

WAF 3.0

WAF 2.0

CNAME接入(圖示①)

支援。

  • 通過添加網域名稱,並將網域名稱的DNS解析指向WAF的CNAME地址,使網域名稱的Web業務引流到WAF。WAF會攔截攻擊請求並將正常業務請求轉寄回來源站點伺服器。

  • 該過程中,WAF作為反向 Proxy叢集,同時參與流量的轉寄和檢測防護。

更多資訊,請參見CNAME接入

支援。

雲產品接入(WAF作為反向 Proxy叢集)(圖示②)

支援。

  • 通過添加引流連接埠到WAF的方式,使雲產品網關自動改變路由,將Web業務引流到WAF。WAF會攔截攻擊請求並將正常業務請求轉寄回來源站點伺服器。

  • 該過程中,WAF作為反向 Proxy叢集,同時參與流量的轉寄和檢測防護。

更多資訊,請參見將七層CLB(HTTP/HTTPS)執行個體接入WAF將四層CLB(TCP)執行個體接入WAF將ECS執行個體接入WAF

支援。

雲產品接入(WAF作為SDK外掛程式)(圖示③)

支援。

如果您的業務已經在應用型負載平衡ALB(Application Load Balancer)、微服務引擎MSE(Microservices Engine)或Function ComputeFC(FunctionCompute),推薦您使用這種接入方式接入WAF。

  • WAF 3.0通過SDK模組化的方式整合在雲產品的網關中,通過內嵌在網關中的SDK提取流量並進行檢測和防護。該過程中,WAF不參與流量轉寄,避免因額外引入一層轉寄而帶來各種相容性和穩定性問題。

  • 支援基於執行個體一鍵開啟安全防護,無需修改DNS,也無需配置認證、連接埠、回源演算法等,簡化接入流程,降低對原有業務的影響。

  • 支援阿里雲原生產品執行個體支援的所有地區,覆蓋更廣。

  • 支援在多雲或混合雲本地自建網關(如Nginx),通過混合雲SDK整合接入方式整合。

  • 基於SDK整合接入,WAF 3.0補充完整了各種業務情境下的靈活接入能力,可基於使用者的實際網路環境和合規等需求,支援多種環境下的接入部署,並實現由一套控制台統一管控。

更多資訊,請參見為ALB執行個體開啟WAF防護為MSE執行個體開啟WAF防護為FC自訂網域名開啟WAF防護

不支援。

防護配置

防護配置

WAF 3.0

WAF 2.0

大量設定防護規則

支援。

WAF 3.0以接入的網域名稱或執行個體為防護對象,並支援將防護對象加入到防護對象組。

  • 您可以為防護對象組配置同一條防護規則,為防護對象組中的防護對象大量設定規則。

  • 您也可以將雲產品接入WAF的執行個體中的某一網域名稱單獨添加為防護對象,為其配置定製化的防護規則。

不支援。

WAF 2.0以網域名稱為防護對象,僅支援為單條網域名稱配置防護規則。若需要對100個網域名稱下發一條相同規則時,必須配置100遍。

為非網域名稱接入的流量(如透明接入的執行個體)配置防護規則

支援。

雲產品接入的執行個體自動被添加為防護對象,並支援為其配置和修改防護規則。

不支援。

若透明接入的執行個體中包含100個網域名稱時,必須將每個網域名稱都接入WAF後,才可以調整規則,否則所有流量都只能使用預設防護規則且無法修改。

全域查看防護規則

支援。

WAF 3.0為每個防護模組規劃卡片地區,您可以在每個模組地區查看和管理規則,輕鬆瞭解某個防護模組具體配置了哪些防護模板,這些防護模板各自關聯了哪些防護對象或防護對象組。您還可以通過規則ID,檢索防護規則。

不支援。

若您希望知道某個網域名稱配置了哪些防護規則,需要查看所有防護規則。

修改預設防護規則

支援。

WAF 3.0中的防護規則模板具備預設屬性。若您希望新接入的網域名稱配置的預設防護規則均為觀察模式,您可以將預設範本設定為觀察模式,那麼,新接入的防護對象的防護動作都為觀察模式,無需每次手動修改。

不支援。

若您希望新接入的網域名稱配置的預設防護規則均為觀察模式,WAF 2.0是無法做到的。您需要在接入以後,手動修改對應網域名稱的防護規則。

功能提升

相比WAF 2.0WAF 3.0版本新增如下功能:

  • 新增自訂響應防護規則

    支援自訂請求被攔截時返回給用戶端的攔截頁面樣式或內容,包括回應標頭、響應體、響應碼等。更多資訊,請參見設定自訂響應規則配置攔截響應頁面

  • 新增重保情境防護規則

    為您提供阿里雲多年重保經驗沉澱的智能防護策略,無需手工配置複雜規則,一鍵開啟,即可獲得高安全等級防護能力。更多資訊,請參見重保情境防護

  • 提供全新的資產中心功能

    協助您梳理雲上、雲下的網域名稱資產,並根據資產在雲上的攻擊態勢,進行風險等級評估,協助您掌握業務的整體防護狀態。更多資訊,請參見資產中心

  • 提供新版安全報表功能

    通過安全報表,您可以查看已啟用的各防護模組的防護資料,進行業務安全分析。更多資訊,請參見安全報表

  • 提供統一的白名單模組

    支援全域白名單規則管理。更多資訊,請參見設定白名單規則允許存取特定請求

計費方式

WAF 3.0版本針對訂用帳戶和隨用隨付兩種計費方式做了以下最佳化:

訂用帳戶

  • WAF 3.0新增基礎版,適配小流量使用者。

  • 針對計費項目做了進一步簡化:

    • 統一流量規格為QPS(無需關注bps)。支援彈性後付費,緩解執行個體因QPS超用而進入沙箱。

    • 網域名稱數不再通過主網域名稱區分。同時,網域名稱擴充支援梯度定價,擴充網域名稱數越多,單價越低。

  • 多雲/混合雲防護開放到更多版本。

隨用隨付

  • 引入統一計量單元SeCU(Security Capacity Unit),簡化計費邏輯,降低計費門檻。SeCU資源套件梯度定價,用量越大費用越低。

  • 新增小時級計費,配置刪除或功能關閉時自動停止計費,無需手動開關。

  • 新增支援隨用隨付計費方式。

相關文檔