本文介绍了Web应用防火墙(Web Application Firewall,简称WAF)2.0和3.0版本的关系、区别、如何快速使用WAF。
什么是WAF
WAF可对网站或者App的业务流量进行恶意特征识别及防护,在对流量清洗和过滤后,将正常、安全的流量返回给服务器,避免网站服务器被恶意入侵导致性能异常等问题,从而保障网站的业务安全和数据安全。
WAF 2.0和WAF 3.0是什么关系
WAF 3.0是在WAF 2.0基础上推出的最新一代WAF产品,两者具有不同的底层架构、售卖规格、控制台配置逻辑和交互体验等,因此无法在同一个阿里云账号ID下共存。如果您已购买WAF 2.0实例,您登录的控制台版本为2.0版本。如果您已购买WAF 3.0实例,您登录的控制台版本为3.0版本。
WAF 3.0推出后,不会对已购买和使用WAF 2.0的用户产生影响。WAF 2.0依然能够正常使用产品、续费或升级规格,产品服务等级定义SLA(Service Level Agreement)也会继续受到保证。
如果您已开通WAF 2.0,并且希望体验和使用WAF 3.0,您可以通过自助迁移工具,将WAF 2.0实例自动迁移到WAF 3.0。具体操作,请参见如何将WAF 2.0实例升级到WAF 3.0。
WAF 2.0和WAF 3.0有什么区别
接入方式
WAF 2.0支持CNAME接入和透明接入。WAF 3.0在此基础上,实现了与应用型负载均衡ALB(Application Load Balancer)等云产品的云原生架构集成,支持云产品接入。您可以在ALB等云产品控制台,为实例(包括内网实例)一键开启WAF安全防护,无需修改DNS,配置证书、端口、回源算法等复杂的接入转发配置,进一步增强业务性能和稳定性,降低访问延迟。
接入方式 | 接入原理 | WAF 3.0 | WAF 2.0 |
CNAME接入 |
| 支持 | 支持 |
云产品接入(原透明接入) |
| 支持 说明 WAF 3.0中云产品接入中CLB、ECS为透明接入。 | 支持 |
云产品接入(全新的云原生架构) |
| 支持 | 不支持 |
防护配置
功能 | WAF 3.0 | WAF 2.0 |
生效对象 | WAF 3.0支持为防护对象或防护对象组配置防护策略。
| WAF 2.0支持为单个域名配置防护规则。 如果您通过透明接入将实例接入WAF,您需要将实例中的所有域名单独接入WAF,才能配置防护规则,否则所有流量只能使用默认防护规则,且无法修改。 |
实现方式 | 通过创建防护模板,并为模板配置防护规则,实现为不同防护对象应用不同的防护规则。 | 直接为指定域名创建防护规则。 |
查看方式 |
| 支持查看单个域名配置的所有防护规则。 |
管理默认防护规则 | 新接入WAF 3.0的防护对象默认开启基础防护。WAF 3.0支持修改该默认防护规则的防护动作为拦截或放行。 | 新接入WAF的域名默认开启规则防护引擎,但不支持修改规则防护动作。只有为域名创建防护规则后,才能指定防护动作。 |
防护规格 |
|
计费方式
包年包月
区别 | WAF 3.0 | WAF 2.0 | |
配套版本 |
| 支持高级版、企业版、旗舰版。 | |
计费项 | 流量规格 | 统一为QPS,无需关注带宽。 | 同时支持QPS和带宽,需要进行换算。 |
域名规格 | 不再区分主域名和子域名,统一按接入域名个数结算费用。 | 区分主域名和子域名。 | |
混合云接入 | 开通企业版、旗舰版即可直接使用混合云接入。 | 需要单独开通混合云WAF独享版。 |
按量付费
区别 | WAF 3.0 | WAF 2.0 |
支持地域 | 中国内地、非中国内地 | 中国内地 |
计量单元 | 统一计量单元为SeCU(Security Capacity Unit),1 SeCU收费0.01美元。 | 无。 |
统计方式 |
| 开启功能后才能使用,并开始计费。关闭功能后,停止计费。 |
如何快速使用WAF
参考文档 | WAF 3.0 | WAF 2.0 | |
了解WAF | |||
开通WAF | 不支持新购 | ||
接入WAF | |||
使用WAF | 查看域名资产 | ||
使用WAF进行防护 | |||
配置监控与告警 | |||
查看防护数据 | |||
API接口 |