WAF 2.0和WAF 3.0是什么关系、有什么区别、如何快速使用 - Web 应用防火墙

本文介绍了Web应用防火墙（Web Application Firewall，简称WAF）2.0和3.0版本的关系、区别、如何快速使用WAF。

什么是WAF

WAF可对网站或者App的业务流量进行恶意特征识别及防护，在对流量清洗和过滤后，将正常、安全的流量返回给服务器，避免网站服务器被恶意入侵导致性能异常等问题，从而保障网站的业务安全和数据安全。

WAF 2.0和WAF 3.0是什么关系

WAF 3.0是在WAF 2.0基础上推出的最新一代WAF产品，两者具有不同的底层架构、售卖规格、控制台配置逻辑和交互体验等，因此无法在同一个阿里云账号ID下共存。如果您已购买WAF 2.0实例，您登录的控制台版本为2.0版本。如果您已购买WAF 3.0实例，您登录的控制台版本为3.0版本。

WAF 3.0推出后，不会对已购买和使用WAF 2.0的用户产生影响。WAF 2.0依然能够正常使用产品、续费或升级规格，产品服务等级定义SLA（Service Level Agreement）也会继续受到保证。
如果您已开通WAF 2.0，并且希望体验和使用WAF 3.0，您可以通过自助迁移工具，将WAF 2.0实例自动迁移到WAF 3.0。具体操作，请参见如何将WAF 2.0实例升级到WAF 3.0。

WAF 2.0和WAF 3.0有什么区别

接入方式

WAF 2.0支持CNAME接入和透明接入。WAF 3.0在此基础上，实现了与应用型负载均衡ALB（Application Load Balancer）等云产品的云原生架构集成，支持云产品接入。您可以在ALB等云产品控制台，为实例（包括内网实例）一键开启WAF安全防护，无需修改DNS，配置证书、端口、回源算法等复杂的接入转发配置，进一步增强业务性能和稳定性，降低访问延迟。

接入方式	接入原理	WAF 3.0	WAF 2.0
CNAME接入	通过添加域名，并将域名的DNS解析指向WAF的CNAME地址，使域名的Web业务引流到WAF。WAF会拦截攻击请求并将正常业务请求转发回源站服务器。该过程中，WAF作为反向代理集群，同时参与流量的转发和检测防护。	支持	支持
云产品接入（原透明接入）	通过添加引流端口到WAF的方式，使云产品网关自动改变路由，将Web业务引流到WAF。WAF会拦截攻击请求并将正常业务请求转发回源站服务器。该过程中，WAF作为反向代理集群，同时参与流量的转发和检测防护。	支持说明 WAF 3.0中云产品接入中CLB、ECS为透明接入。	支持
云产品接入（全新的云原生架构）	通过SDK模块化的方式将WAF集成在云产品的网关中，通过内嵌在网关中的SDK提取流量并进行检测和防护。该过程中，WAF不参与流量转发，避免因额外引入一层转发而带来各种兼容性和稳定性问题。	支持	不支持

防护配置

功能	WAF 3.0	WAF 2.0
生效对象	WAF 3.0支持为防护对象或防护对象组配置防护策略。防护对象可以是接入的域名，也可以是云产品实例。您也可以将多个防护对象加入到一个防护规则组，批量为防护对象配置防护策略。	WAF 2.0支持为单个域名配置防护规则。如果您通过透明接入将实例接入WAF，您需要将实例中的所有域名单独接入WAF，才能配置防护规则，否则所有流量只能使用默认防护规则，且无法修改。
实现方式	通过创建防护模板，并为模板配置防护规则，实现为不同防护对象应用不同的防护规则。	直接为指定域名创建防护规则。
查看方式	支持通过防护对象或防护对象组查看各自配置的所有防护规则。支持通过防护模块查看该模块下配置的所有防护规则。支持通过规则ID，检索防护规则。	支持查看单个域名配置的所有防护规则。
管理默认防护规则	新接入WAF 3.0的防护对象默认开启基础防护。WAF 3.0支持修改该默认防护规则的防护动作为拦截或放行。	新接入WAF的域名默认开启规则防护引擎，但不支持修改规则防护动作。只有为域名创建防护规则后，才能指定防护动作。
防护规格	关于各版本支持的防护对象数量，请参见防护对象。关于支持的防护模块，及各模块支持的防护规则数量，请参见安全功能。	关于各版本支持防护的域名数，请参见默认可防护的主域名个数和默认可防护的总域名个数。关于支持的防护模块，及各防护模块支持的防护规则数量，请参见概述。

计费方式

包年包月

区别		WAF 3.0	WAF 2.0
配套版本		支持基础版、高级版、企业版、旗舰版。新增基础版，适配小流量用户。	支持高级版、企业版、旗舰版。
计费项	流量规格	统一为QPS，无需关注带宽。	同时支持QPS和带宽，需要进行换算。
	域名规格	不再区分主域名和子域名，统一按接入域名个数结算费用。	区分主域名和子域名。
	混合云接入	开通企业版、旗舰版即可直接使用混合云接入。	需要单独开通混合云WAF独享版。

按量付费

区别	WAF 3.0	WAF 2.0
支持地域	中国内地、非中国内地	中国内地
计量单元	统一计量单元为SeCU（Security Capacity Unit），1 SeCU收费0.01美元。	无。
统计方式	小时级计费。无需单独开启功能，即可直接使用，且使用后开始计费。配置删除或功能关闭时自动停止计费，无需手动开关。	开启功能后才能使用，并开始计费。关闭功能后，停止计费。

如何快速使用WAF

参考文档		WAF 3.0	WAF 2.0
了解WAF		什么是Web应用防火墙3.0 支持的配套版本、不同版本支持哪些功能如何计费支持的接入方式支持哪些防护配置	什么是Web应用防火墙2.0 支持的配套版本、不同版本支持哪些功能如何计费支持的接入方式支持哪些防护配置
开通WAF		购买WAF 3.0包年包月实例开通WAF 3.0按量付费实例	不支持新购
接入WAF		云产品接入为ALB实例开启WAF防护为MSE实例开启WAF防护为FC自定义域名开启WAF防护将七层CLB（HTTP/HTTPS）实例接入WAF 将四层CLB（TCP）实例接入WAF 将ECS实例接入WAF CNAME接入添加域名修改域名DNS解析设置	透明接入（ALB、七层SLB、四层SLB、ECS） CNAME接入添加域名修改域名DNS解析设置
使用WAF	查看域名资产	资产中心	资产识别
	使用WAF进行防护	配置防护对象和防护对象组配置防护规则基础防护规则白名单规则 IP黑名单规则自定义规则扫描防护规则自定义响应规则 CC防护规则区域封禁规则网页防篡改规则信息泄露防护规则重保场景防护 Bot管理	规则防护引擎白名单网站白名单 Web入侵防护白名单数据安全白名单 Bot管理白名单访问控制或限流白名单 IP黑名单自定义防护策略扫描防护 CC安全防护网站防篡改防敏感信息泄露主动防御账户安全 Bot管理
	配置监控与告警	配置云监控通知配置日志服务	配置云监控通知配置日志服务
	查看防护数据	安全报表日志查询	安全报表日志查询
API接口		WAF 3.0 API参考	WAF 2.0 API参考