全部产品
Search
文档中心

Web 应用防火墙:WAF概述

更新时间:Jun 12, 2024

本文介绍了Web应用防火墙(Web Application Firewall,简称WAF)2.0和3.0版本的关系、区别、如何快速使用WAF。

什么是WAF

WAF可对网站或者App的业务流量进行恶意特征识别及防护,在对流量清洗和过滤后,将正常、安全的流量返回给服务器,避免网站服务器被恶意入侵导致性能异常等问题,从而保障网站的业务安全和数据安全。

WAF 2.0和WAF 3.0是什么关系

  • WAF 3.0是在WAF 2.0基础上推出的最新一代WAF产品,两者具有不同的底层架构、售卖规格、控制台配置逻辑和交互体验等,因此无法在同一个阿里云账号ID下共存。如果您已购买WAF 2.0实例,您登录的控制台版本为2.0版本。如果您已购买WAF 3.0实例,您登录的控制台版本为3.0版本。

  • WAF 3.0推出后,不会对已购买和使用WAF 2.0的用户产生影响。WAF 2.0依然能够正常使用产品、续费或升级规格,产品服务等级定义SLA(Service Level Agreement)也会继续受到保证。

  • 如果您已开通WAF 2.0,并且希望体验和使用WAF 3.0,您可以通过自助迁移工具,将WAF 2.0实例自动迁移到WAF 3.0。具体操作,请参见如何将WAF 2.0实例升级到WAF 3.0

WAF 2.0和WAF 3.0有什么区别

接入方式

WAF 2.0支持CNAME接入和透明接入。WAF 3.0在此基础上,实现了与应用型负载均衡ALB(Application Load Balancer)等云产品的云原生架构集成,支持云产品接入。您可以在ALB等云产品控制台,为实例(包括内网实例)一键开启WAF安全防护,无需修改DNS,配置证书、端口、回源算法等复杂的接入转发配置,进一步增强业务性能和稳定性,降低访问延迟。

接入方式

接入原理

WAF 3.0

WAF 2.0

CNAME接入

  • 通过添加域名,并将域名的DNS解析指向WAF的CNAME地址,使域名的Web业务引流到WAF。WAF会拦截攻击请求并将正常业务请求转发回源站服务器。

  • 该过程中,WAF作为反向代理集群,同时参与流量的转发和检测防护。

支持

支持

云产品接入(原透明接入)

  • 通过添加引流端口到WAF的方式,使云产品网关自动改变路由,将Web业务引流到WAF。WAF会拦截攻击请求并将正常业务请求转发回源站服务器。

  • 该过程中,WAF作为反向代理集群,同时参与流量的转发和检测防护。

支持

说明

WAF 3.0中云产品接入中CLB、ECS为透明接入。

支持

云产品接入(全新的云原生架构)

  • 通过SDK模块化的方式将WAF集成在云产品的网关中,通过内嵌在网关中的SDK提取流量并进行检测和防护。

  • 该过程中,WAF不参与流量转发,避免因额外引入一层转发而带来各种兼容性和稳定性问题。

支持

不支持

防护配置

功能

WAF 3.0

WAF 2.0

生效对象

WAF 3.0支持为防护对象或防护对象组配置防护策略。

  • 防护对象可以是接入的域名,也可以是云产品实例。

  • 您也可以将多个防护对象加入到一个防护规则组,批量为防护对象配置防护策略。

WAF 2.0支持为单个域名配置防护规则。

如果您通过透明接入将实例接入WAF,您需要将实例中的所有域名单独接入WAF,才能配置防护规则,否则所有流量只能使用默认防护规则,且无法修改。

实现方式

通过创建防护模板,并为模板配置防护规则,实现为不同防护对象应用不同的防护规则。

直接为指定域名创建防护规则。

查看方式

  • 支持通过防护对象或防护对象组查看各自配置的所有防护规则。

  • 支持通过防护模块查看该模块下配置的所有防护规则。

  • 支持通过规则ID,检索防护规则。

支持查看单个域名配置的所有防护规则。

管理默认防护规则

新接入WAF 3.0的防护对象默认开启基础防护。WAF 3.0支持修改该默认防护规则的防护动作为拦截或放行。

新接入WAF的域名默认开启规则防护引擎,但不支持修改规则防护动作。只有为域名创建防护规则后,才能指定防护动作。

防护规格

  • 关于各版本支持的防护对象数量,请参见防护对象

  • 关于支持的防护模块,及各模块支持的防护规则数量,请参见安全功能

计费方式

包年包月

区别

WAF 3.0

WAF 2.0

配套版本

  • 支持基础版、高级版、企业版、旗舰版。

  • 新增基础版,适配小流量用户。

支持高级版、企业版、旗舰版。

计费项

流量规格

统一为QPS,无需关注带宽。

同时支持QPS和带宽,需要进行换算。

域名规格

不再区分主域名和子域名,统一按接入域名个数结算费用。

区分主域名和子域名。

混合云接入

开通企业版、旗舰版即可直接使用混合云接入。

需要单独开通混合云WAF独享版。

按量付费

区别

WAF 3.0

WAF 2.0

支持地域

中国内地、非中国内地

中国内地

计量单元

统一计量单元为SeCU(Security Capacity Unit),1 SeCU收费0.01美元

无。

统计方式

  • 小时级计费。

  • 无需单独开启功能,即可直接使用,且使用后开始计费。配置删除或功能关闭时自动停止计费,无需手动开关。

开启功能后才能使用,并开始计费。关闭功能后,停止计费。

如何快速使用WAF

参考文档

WAF 3.0

WAF 2.0

了解WAF

开通WAF

不支持新购

接入WAF

使用WAF

查看域名资产

资产中心

资产识别

使用WAF进行防护

配置监控与告警

查看防护数据

API接口

WAF 3.0 API参考

WAF 2.0 API参考