Web应用防火墙(Web Application Firewall,简称WAF)通过对网站或App的业务流量进行恶意特征识别和防护,帮助抵御常见的Web攻击。WAF对流量进行清洗和过滤,将正常、安全的流量转发至服务器,防止恶意请求影响网站正常运行,有效保护业务稳定和数据安全。
应用场景
适用于网站服务器部署在阿里云或非阿里云环境的各类用户,广泛支持金融、电商、O2O、互联网+、游戏、政府、保险等各行业场景。阿里云WAF可对网站及Web应用的HTTP/HTTPS流量提供安全防护,有效抵御各类Web攻击,保障业务安全稳定运行。
快速使用WAF
快速入门示例,请参见为ECS实例接入WAF防御CC攻击。
WAF 3.0与WAF 2.0
版本关系:WAF 3.0 是阿里云在 WAF 2.0 基础上推出的全新一代 Web 应用防火墙产品,采用不同的底层架构、售卖规格、控制台配置逻辑及交互体验。WAF 3.0 与 WAF 2.0 不支持在同一阿里云账号下共存。
购买策略:目前,WAF 2.0 已停止新购,仅 WAF 3.0 可供购买。已使用 WAF 2.0 的用户仍可正常使用、续费或升级现有实例,其服务等级协议(SLA)继续有效。
升级方式:为获得更优的功能与体验,建议 WAF 2.0 用户升级至 WAF 3.0。可以通过自助迁移工具将 WAF 2.0 实例自动迁移至 WAF 3.0。具体操作,请参见如何将WAF 2.0实例升级到WAF 3.0。
WAF 3.0与WAF 2.0主要区别
计费方式
区别项 | WAF 3.0 | WAF 2.0 | |
包年包月实例版本 | 基础版、高级版、企业版、旗舰版。 | 高级版、企业版、旗舰版。 | |
计费项 | 流量规格 | 统一采用 QPS作为流量计量单位,无需关注带宽。包年包月实例支持弹性后付费QPS,避免因QPS超用导致实例进入沙箱。 | 同时支持QPS和带宽,需要进行换算。 |
域名规格 | 不再区分主域名和子域名,统一按接入域名个数计费。 | 区分主域名和子域名。 | |
混合云接入 | 开通企业版、旗舰版即可直接使用混合云接入。 | 需要单独开通混合云WAF独享版。 | |
按量版计量单元 | 引入统一计量单元SeCU(Security Capacity Unit),简化计费逻辑。1 SeCU收费0.01美元。 | 无统一的计量单元。 | |
资产接入与防护配置
区别项 | WAF 3.0 | WAF 2.0 |
云产品接入 |
| 透明接入仅支持通过透明代理的方式接入ALB、ECS、CLB实例。 |
防护规则的生效对象 | 接入域名或云产品实例后,系统自动创建对应的防护对象。需创建防护模板,在模板中配置防护规则,并将一个或多个防护对象指定为该模板的生效对象。 | 防护规则针对单个域名单独配置。若通过透明接入方式将云产品实例接入 WAF,则必须将该实例关联的所有域名单独接入 WAF,方可为其配置自定义防护规则;否则,相关流量仅能应用默认防护规则。 |
防护规则查看方式 |
| 仅支持查看单个域名配置的所有防护规则。 |
支持的防护模块 | 具体支持的防护模块,请参见概述。 |