Web 应用防火墙 WAF(Web Application Firewall)支持通过控制台升级工具,自助将WAF 2.0实例升级到WAF 3.0。本文介绍要升级的实例需满足的条件、如何进行自助版本升级操作以及升级相关的详细说明。
自助升级工具入口分批灰度开放。
如果您的Web应用防火墙控制台左侧导航栏底部已显示WAF3.0升级入口按钮,表示您可以直接进行自助升级。
如果没有WAF3.0升级入口按钮,且急需将实例升级到WAF 3.0,请联系您的商务经理,提交升级申请,通过后再进行自助升级。
使用限制
支持升级的WAF 2.0实例需满足如下要求:
实例接入方式为CNAME接入、透明接入(七层SLB类型、四层SLB类型、ECS类型)或混合云接入。
说明透明接入(ALB类型)暂不支持升级。如果您的实例中存在ALB类型的透明接入,您可以关闭引流、删除域名接入配置后,再进行自助升级。具体操作,请参见有透明接入引流的实例能不能升级?
七层SLB类型、四层SLB类型、ECS类型升级后分别对应云产品接入的CLB(HTTP/HTTPS)、CLB(TCP)、ECS。
阿里云每日0点至3点进行云产品资产同步等操作,建议您在该时段不要进行透明接入的升级。
实例版本包括云WAF的包年包月高级版、企业版、旗舰版,混合云WAF的独享版。
实例未使用大屏服务、未开启定制功能。
实例在15天内不会到期。
进行升级的账号为阿里云账号(主账号)或者拥有WAF完整权限(AliyunYundunWAFFullAccess)的RAM用户,并且该账号未欠费。
您可以将鼠标悬停在右上角头像处,查看账号详情。
升级说明
对业务影响
支持平滑升级,无闪断,不会对正常业务造成影响。
升级后,WAF 2.0提供的CNAME地址、已配置的回源地址不会发生改变。您可以在CNAME接入列表,查看升级后的域名、CNAME地址和源站信息。
升级方式
在完成升级预校验并通过后,可以先选择您希望使用的升级方式。
一键全量升级
启动后,系统会预先检查您的配置,如果满足升级要求,系统将自动创建WAF 3.0实例,并全量升级转发配置和防护配置。
适用场景:域名较少且规则简单,希望升级过程简单,一键完成升级。
手工分批升级
迁移规则
启动后系统会预检查您选择的规则模块是否支持升级,检查通过系统将自动创建3.0实例,将防护规则升级到3.0,您需要手动升级转发配置。
适用场景:希望系统升级规则,但需要手工分批升级并观察流量情况。
不迁移规则
启动后,系统将自动创建WAF 3.0实例,并配置默认防护策略,而不升级转发配置和其他防护配置。您需要手动升级指定域名的转发配置,创建防护模板及规则,配置防护模板的生效对象。
适用场景:域名较多或者规则复杂,希望分批升级并观察流量情况,升级后防护模板按自定义方式进行配置。
升级时长
升级时长约15分钟,为WAF进行自动升级的时长,包括WAF自动创建3.0实例、升级转发配置和防护配置等。
由于一键全量升级前,系统会进行较为复杂的预检查,所以,一键全量升级花费的时间较手工分批升级方式长。
升级窗口期
窗口期时长
升级窗口期为允许进行升级操作的整个周期,从选择升级方式,并确认升级计时,共计15天。
您可以在升级工具页面,查看升级窗口期剩余时长。
可进行的操作
查看业务流量。
域名分批升级。
来回切换WAF 2.0或WAF 3.0控制台。
可以在WAF 3.0控制台添加防护配置,查看升级后实例的防护是否生效。
回滚到WAF 2.0。
确认升级完成或放弃升级。
不能进行的操作
不能在WAF控制台或费用与成本进行续费、升级或降配、退订等操作。否则,可能造成实例被释放、费用退回失败等情况。
不能打开或关闭网页防篡改、敏感信息泄露的防护开关。
不能修改WAF 2.0和WAF 3.0所有的转发配置,包括增删改WAF 2.0网站接入和WAF 3.0接入管理的配置。
需注意的操作
升级窗口期内,如果您在WAF 3.0添加了新的告警,且告警被触发,您只会在WAF 2.0收到告警提示。
升级窗口期到期后,如果没有及时确认升级完成,实例及其配置会自动回滚到WAF 2.0,已升级到WAF 3.0的实例会被释放,窗口期内的防护配置也会被删除。
升级完成后,您只能在WAF 3.0控制台进行安全防护。请您确定不再需要进行升级操作后,再单击确认升级完成。
升级后的变化
版本规格和支持能力变化
升级后,云WAF的包年包月高级版、企业版、旗舰版实例的计费模式和版本不会发生变化,由于WAF 3.0在WAF 2.0的基础上进行了升级的同时,也对部分功能做了整合优化,变化如下:
WAF 3.0的包年包月高级版取消了规则防护引擎的智能规则托管功能、自定义规则的滑块验证功能。因此,升级后,如果您需要相应功能,请您将实例版本升级到企业版或旗舰版。具体操作,请参见升级。
WAF 3.0新增了防护模板配置、自定义响应规则、重保场景防护、高级资产中心等功能。升级后,您可以根据业务需要,配置相应功能。更多信息,请参见设置自定义响应规则、重保场景防护、资产中心。
WAF 3.0取消了混合云独享版。因此,混合云WAF独享版升级为包年包月旗舰版。
升级后的规格配置为:
场景
升级前
升级后
场景1
WAF 2.0混合云版本(包含节点2+200域名)
WAF 3.0旗舰版(默认节点1)+扩展节点1+200个域名
场景2
WAF 2.0混合云版本(包含节点2+200域名)+付费扩展节点X个
WAF 3.0旗舰版(默认节点1)+扩展节点1+扩展节点X+200个域名
场景3
WAF 2.0旗舰版+付费扩展节点X个
WAF 3.0旗舰版(默认节点1)+混合云扩展节点X+200个域名
场景4
WAF 2.0企业版+付费扩展节点X个
WAF 3.0企业版(默认节点1)+混合云扩展节点X+200个域名
费用变化
升级操作不会产生费用。
由于升级后的版本规格和支持能力的变化,升级后,即便您没有使用其他任何功能,WAF 3.0实例产生的费用也可能变化。变化发生时间为,升级后第一次续费时。关于WAF 3.0的定价详情,请参见Web应用防火墙 3.0购买页。
实例升级到WAF 3.0后,在第一次续费前,如果您进行退订或降配操作,WAF不会退还对应金额。
如果您进行了降配,续费时,WAF会按照降配后的规格,收取相应费用。
新增沙箱、弹性后付费QPS、流量计费保护
沙箱为WAF 3.0引入的一种特殊机制。实例进入沙箱后,WAF将不再保证产品SLA。接入该实例的防护对象将随时可能出现业务访问异常,包括但不限于丢包、限速、限连、防护失效、日志或报表数据异常、访问超时、进入DDoS清洗或黑洞等情况。更多信息,请参见沙箱说明。
升级窗口期内,实例不会进入沙箱。
包年包月实例
如果实例的实际流量超过已购买QPS流量规格(包括版本包含的默认规格和QPS扩展之和)时,实例可能会进入沙箱。更多信息,请参见弹性后付费。
升级后,实例的实际流量可能会超过当前版本默认支持的QPS规格,从而使得实例进入沙箱状态。
您可以通过升级版本、购买QPS扩展规格、开启弹性后付费的方式,避免实例因QPS超用进入沙箱,影响正常业务。
按量付费实例
如果实例在某一小时内的峰值QPS流量超过设定的QPS流量阈值时,实例将进入沙箱,并且该小时不会出账,从而避免因QPS暴涨而产生超高账单。更多信息,请参见流量计费保护。
升级后,实例默认开启流量计费保护,且不支持关闭,并设置QPS流量阈值(即流量计费保护阈值)与实例支持的最大QPS规格保持一致:
中国内地:100,000 QPS
非中国内地:10,000 QPS
若您的实际业务需求超过该规格,请联系您的商务经理或通过反馈进行咨询。
实例的沙箱状态会在下一个小时的峰值QPS低于或等于流量计费保护阈值时,自动解除。如果沙箱状态持续一段时间,您可以根据实际QPS流量,及时调整流量计费保护阈值。
日志服务变化
使用一键升级后,系统会自动创建WAF 3.0的logstore,同时保留WAF 2.0的logstore。
重要迁移完成后,WAF 3.0日志服务仅记录必选字段。如果您在WAF 2.0勾选过可选字段,需要在WAF 3.0控制台上重新勾选。
升级窗口期内,您仍可以在WAF 2.0的控制台中查看logstore。在升级完成后,您需要登录日志服务(SLS)控制台查看WAF 2.0的logstore。更多信息,请参见查询和分析日志。
WAF 2.0的logstore的日志会根据用户设置的保留时间按从远到近的顺序依次清空超出保留时间的日志,直至清空。如果需要保留,请及时备份。具体操作,请参见下载日志。
WAF 3.0的logstore的日志存储时长默认为180天,如需修改,可在日志服务控制台进行配置。
需要重新进行的配置
升级后,OpenAPI、针对OpenAPI接口级别的权限管理、Terraform、资源组、云监控与告警、日志服务、实例续费、商品code变化引发的商务变更等需要重新配置。具体操作,请参见后续操作。
升级流程介绍
升级透明接入的域名时,WAF会将域名绑定的云产品(七层SLB类型、四层SLB类型、ECS类型)实例引流端口的流量升级到对应云产品接入中,同时将实例添加为防护对象,将域名添加为自定义防护对象。
升级混合云接入的流量时,WAF默认将流量升级到混合云反向代理模式中,并生成一个防护对象。
灰度升级功能介绍
在选择手工分批升级时,针对域名粒度支持流量灰度功能。流量灰度可以支持先将部分流量导向WAF 3.0版本,根据实际业务稳定性的需求,选择切入到新版本流量的比例,直到将全部流量切入到WAF 3.0版本,完成流量切换。关于流量灰度功能中规则与流量生效的流程与原理如下图所示。
流量灰度比例支持档位为1%、5%、10%、20%、30%、50%、70%、90%、100%,不支持自定义比例。仅允许增加灰度比例,如10%增加至20%,不允许减少灰度比例。
信息泄露防护(DLP)功能暂不支持灰度,当迁移任务开启时,信息泄露防护的命中记录将被记录在WAF 3.0中。
升级操作步骤
1. 升级预校验
在选择WAF版本升级方式之前,阿里云为您提供了升级预校验工具,帮助您排查当前不满足对应升级方式的原因。当您进行完首次预校验后,您可以在升级工具页面中查看最近一次的校验时间及校验结果,如图所示。若您希望使用的升级方式的预校验不通过,您可以根据原因说明和建议进行操作。在修复未通过的校验项后,回到升级工具页面进行重新校验,再次校验通过后,选择您希望使用的升级方式完成升级操作。
2. 选择升级方式
登录Web应用防火墙控制台,在顶部菜单栏,选择WAF实例的资源组和地域(中国内地、非中国内地)。
在左侧导航栏底部,单击WAF3.0升级入口。
如果您的实例满足升级要求,您可以在升级须知面板,阅读并勾选升级须知后,单击我已了解升级须知,开始升级,进入升级工具页面,准备进行升级。
如果您的实例不满足升级要求,WAF将弹出错误提示框。您可以根据提示内容,执行对应操作。如果您有升级相关的任何问题,请加入钉群(钉群号:34657699),联系产品技术专家进行咨询。
如果存在透明接入的域名,将域名绑定到对应云产品(ECS、CLB(TCP)、CLB(HTTP/HTTPS))。升级前后绑定关系:ECS对应ECS类型,CLB(TCP)对应四层SLB类型,CLB(HTTP/HTTPS)对应七层SLB类型。
在升级工具页面,选择一键全量升级、手工分批迁移-迁移规则或手工分批迁移-不迁移规则后,单击立即开始。
选择手工分批迁移-迁移规则后,您需选择要升级的防护规则。支持多选。
您只能在升级工具页面选择要升级的防护规则,请您根据业务情况仔细评估后,再单击立即开始。
在确认升级的提示对话框,单击确定。单击确定后,实例将开始自动升级,并进入升级窗口期。自动升级预计需要15分钟,请您保持当前页面的打开状态,不要刷新页面。
WAF自动升级结束后,在WAF 3.0版本实例创建成功对话框,单击确认。
切换到WAF 3.0控制台,确认自动升级的配置项已升级完成。自动升级的配置项信息,请参见升级流程介绍。
切换到WAF 2.0控制台,在升级工具页面,查看域名升级状态。
一键全量升级
所有域名的升级状态显示为已升级,表示该域名的相关配置已自动升级到WAF 3.0。
说明如果升级不成功,实例将自动回滚到WAF 2.0。您可以在回滚完成对话框,查看升级失败原因。
手工分批升级
域名对应的升级状态为未升级,表示该域名存在部分配置未自动升级到WAF 3.0,您还需要进行手动升级。
手动升级。(仅手工分批升级需要进行该操作)在升级过程中,您可以针对业务升级的部分选择直接升级到3.0版本或者流量灰度升级,当灰度升级进度达到100%时,WAF 2.0配置的规则被清除,升级状态显示为已升级。关于灰度升级规则的详细介绍,请参见灰度升级功能介绍。
手工分批升级-规则升级
升级域名转发配置
升级单个域名:定位到目标域名,单击操作列的升级到3.0版本。
批量升级多个域名:选中要升级的域名,单击域名列表下的批量升级到3.0版本。
升级成功后,域名的升级状态显示为已升级。
配置防护模板生效对象
在左侧导航栏,单击切到3.0版本。
在WAF 3.0控制台,为自动升级的防护模板配置生效对象。将防护对象关联到对应防护模板。
在左侧导航栏,选择定位到目标防护规则后,单击操作列的编辑,在生效对象区域,将防护对象移入已选择对象框。
说明如果防护模板类型为BOT管理-场景化,在左侧导航栏,选择定位到目标防护规则后,单击图标,在生效范围配置向导页,将防护对象移入已选择对象框。
手工分批升级-不规则升级
升级域名转发配置
升级单个域名:定位到目标域名,单击操作列的升级到3.0版本。
批量升级多个域名:选中要升级的域名,单击域名列表下的批量升级到3.0版本。
升级成功后,域名的升级状态显示为已升级。
创建防护模板及防护规则
切换到WAF 3.0控制台,参考WAF 2.0实例的防护策略,创建防护模板及防护规则。具体操作,请参见防护配置。
配置防护模板生效对象
在左侧导航栏,单击切到3.0版本。
在WAF 3.0控制台,为自动升级的防护模板配置生效对象。将防护对象关联到对应防护模板。
在左侧导航栏,选择定位到目标防护规则后,单击操作列的编辑,在生效对象区域,将防护对象移入已选择对象框。
说明如果防护模板类型为BOT管理-场景化,在左侧导航栏,选择定位到目标防护规则后,单击图标,在生效范围配置向导页,将防护对象移入已选择对象框。
切换到WAF 3.0控制台,验证升级后的配置和实际业务是否正常。
如果升级后的配置或实际业务存在不正常情况,可单击目标域名操作列的回滚到2.0版本,或选中多个域名,单击域名列表下的批量回滚到2.0版本,将实例及其配置回退到WAF 2.0进行验证。
一键全量升级的域名配置被回滚到2.0后,也可在升级工具页面,单击目标域名操作列的升级到3.0版本。此时,系统将只升级该域名的转发配置。升级完成后,您需要为该域名配置相应的防护策略。
单击确认升级完成。
升级完成后,WAF 2.0实例会被释放,您可以在WAF 3.0控制台进行安全防护。
升级完成后,请及时确认升级是否完成。如果升级窗口期15天到期后,您仍未单击确认升级完成,实例及其配置会回滚到WAF 2.0,自动创建的WAF 3.0实例会被释放,窗口期内的防护配置也会被删除。如果仍需升级,需要重新开始。
后续操作
完成升级后,您需要进行如下操作,才能正常使用WAF 3.0。
配置OpenAPI
WAF 3.0启用新的OpenAPI,需要重新配置。更多信息,请参见API概览。
配置RAM权限
针对OpenAPI接口级别的权限管理需要重新配置。更多信息,请参见授权信息。
配置Terraform
Terraform需要重新配置。更多信息,请参见Terraform Registry(域名)、Terraform Registry(实例)。
配置资源组
资源组暂不支持升级,需要重新配置。具体操作,请参见添加域名。
配置云监控与告警
WAF 3.0启用新的事件和指标监控项,需要重新配置。具体操作,请参见配置云监控通知。
配置日志服务
您需要重新配置日志服务的如下信息:
商品code变更引发的操作
完成升级后,WAF对应的商品code会发生变化。如果您的实例因此需要进行商务变更,请联系您的商务经理。
常见问题
有透明接入引流的实例能不能升级?
可以。WAF支持自助将透明接入(七层SLB类型、四层SLB类型、ECS类型)的流量升级到WAF 3.0。透明接入(ALB类型)的流量暂不支持自助升级。您可以先关闭ALB类型的引流、删除域名接入配置后,再进行升级。具体操作可参考如下步骤:
访问网站接入页面,在服务器列表页签,单击实例端口操作列的关闭引流。
在域名列表页签,单击域名操作列的删除。
升级WAF实例。具体操作,请参见升级操作。
将ALB类型的流量重新接入WAF 3.0。具体操作,请参见云产品接入。
独享版实例能不能升级?
可以,详情请咨询您的商务经理,或通过工单提交咨询。
升级过程中,会不会产生费用?
不会。升级完成后,包年包月实例会在下一次续费时产生费用。
WAF 2.0企业版能不能升级成WAF 3.0高级版,WAF 2.0高级版能不能升级成WAF 3.0企业版?
不能。包年包月实例仅支持同版本升级,WAF 2.0高级版只能升级为WAF 3.0高级版。如果您希望使用企业版,您可以在升级完成后,将高级版升级为企业版。具体操作,请参见升级。
升级窗口内,能不能在WAF 2.0上新添加一个域名,再继续进行升级?
不能。升级窗口期内,网站接入会被置灰,不支持新添加域名、删除或修改已接入域名的所有转发配置。如果您在升级窗口期内,需要在WAF 2.0上新添加一个域名,您需要先放弃升级,再添加域名。完成后,重新进行升级。
放弃升级后,系统会删除WAF 3.0实例及其配置,并退出升级流程。