全部产品
Search
文档中心

Web 应用防火墙:WAF 3.0按量付费计费说明

更新时间:Dec 20, 2024

按量付费是一种先使用后付费的计费方式。通过按量付费,您可以按需使用资源,无需提前购买。系统会根据您的实际用量,在每个结算周期生成账单并从账户中扣除相应费用。您也可以购买SeCU资源包,用于抵扣按量付费模式下的所有费用,减少对应开销。本文介绍WAF按量付费的计费规则。

适用场景

相较于包年包月的付费方式,按量付费更适用于以下业务场景:

  • 业务用量经常变化的场景:业务资源用量具有不确定性时,可以优先使用按量付费方式根据实际使用量付费。

  • 资源使用具有临时性和突发性:当您的业务资源需求具有突发性和临时性波动的特性时,推荐使用按量付费方式。相较于同等规格资源限制的半年包月版本,按量付费方式可以最大程度上保障业务资源的使用,同时降低您的资源使用成本。

计量单元 SeCU

SeCU(Security Capacity Unit)为WAF 3.0引入的按量付费统一计量单元,具有如下属性:

  • SeCU的单价为0.01美元(即1 SeCU收费0.01美元)。

  • SeCU的统计时间间隔为每个完整小时,例如,统计10:00:00~10:59:59期间的SeCU用量。

  • SeCU取值均为整数,出现小数的情形统一向上取整。例如,如果您在10:00:00~10:59:59期间共使用了0.5 SeCU,则您在该统计期间的SeCU出账量为1 SeCU。

计费项

重要
  • 产品及服务价格可能会发生变动,最终请以您的阿里云账单为准。

  • 如果您为ALB实例开启WAF防护,除了在WAF侧结算上述计费项费用外,ALB侧还会结算 ALB WAF增强版实例费。关于ALB WAF增强版计费说明,请参见开通和管理ALB WAF增强版

重保场景防护费

重保场景防护功能和生效时长产生的费用,采用先付费后使用的方式,支持30天起购。关于特定时间段内重大活动安全保障该功能计费的更多详情,请参见重保场景防护

说明
  • 重保防护为开通WAF 3.0实例后的付费服务,登录Web应用防火墙3.0控制台,选择您实例所在的资源组及地域后,在左侧导航栏,选择防护配置重保场景防护进入页面并开通。

  • 重保场景防护在购买后立即生效(非实例购买时间),计费周期与WAF 3.0按量付费实例不一致,有效期为开通时所选的购买时长。到期后,重保场景防护功能将自动停止防护。

按量计费总费用

按量计费总费用主要包含请求处理费功能费两部分,具体计费项组成请见下图。WAF核心防护规则升级迭代,详细见【公告】WAF 3.0核心防护规则功能升级。新用户请参见新计费组成与明细,如果未对核心防护规则进行升级的老用户请参见旧计费组成与明细

说明
  • 请求处理费和功能费均支持 SeCU 资源包抵扣,关于抵扣规则请参见SeCU资源包介绍

  • 当您因遭遇CC攻击等非预期因素导致QPS暴涨时,使用流量计费保护,可避免因实际峰值QPS流量过高产生超高账单。流量计费保护的介绍及详细规则,请参见流量计费保护

  • 流量计费保护按量付费实例的实际峰值QPS超过指定阈值时,实例可能会进入沙箱。

新计费项组成与明细

image

计费明细

计费类型

计费项

计费描述

SeCU

请求处理费:一个完整小时内的请求费用。

核心流量费

按一个完整小时内,客户端发起的业务请求数计费,包括正常请求和攻击请求,不包括服务端的响应。

1 SeCU/5,000次请求

说明
  • 某个完整小时内,如果请求数为0,则请求处理费为0 SeCU;如果请求次数不是5,000的整数倍,则向上取整计算 SeCU。详情请见计费示例

  • 核心流量费中已包含白名单的功能费。

Bot管理

按一个完整小时内,命中防护目标的请求数计费,仅开通 Bot 管理功能时结算。

1 SeCU/7,500次请求

说明

如果某个完整小时内的请求数不是7,500的整数倍,则向上取整计算SeCU。详情请见计费示例

API安全

按一个完整小时内,命中防护目标的请求数计费,仅在开通API安全功能时结算。

1 SeCU/7,500次请求

说明

如果某个完整小时内的请求数不是7,500的整数倍,则向上取整计算SeCU。详情请见计费示例

QPS峰值

分时计费,按一个完整小时内,QPS的最大峰值计费。

  • ≤1,000 QPS,0 SeCU/小时;

  • >1,000 QPS,超出部分单价为1 SeCU/5 QPS/小时

说明

如果超出部分不足5 QPS,则按照5 QPS计算。

风险识别(Bot管理付费功能项)

按命中次数计费。

1 SeCU/次

说明

风险识别功能需开启Bot管理并开启风险识别功能才能生效。具体开启方式参见风险识别

自定义规则滑块

按调用次数计费。

1 SeCU/10次/小时

说明

如果不足10次按10次计算

功能费:一个完整小时内,使用不同功能产生的费用。

WAF实例

WAF按量实例开通后开始计费。

0.5 SeCU/小时

按已配置防护规则条数计费

重要

该部分规则禁用后仍然会有费用产生,若不希望该部分配置规则产生相应费用,请删除相应配置规则。

IP黑名单

按已配置的IP黑名单规则条数计费,包含启用和禁用状态的规则。

2 SeCU/规则

自定义规则

按已配置的自定义规则条数计费,包含启用和禁用状态的规则。

  • 2 SeCU/基础规则;

  • 5 SeCU/高级规则

说明

满足下列条件之一的规则为高级规则,其他均为基础规则:

  • 规则类型为频率控制。

  • 使用了以下匹配字段:Cookie、Content-Type、Content-Length、X-Forwarded-For、Body、Http-Method、File Extension、Filename、Server-Port、Header、Cookie Namet、Body Parameter。

  • 使用了以下逻辑符:正则匹配、正则不匹配。

  • 使用了以下高级设置:规则灰度、生效时间模式。

扫描防护

按已配置的扫描防护规则条数计费,包含启用和禁用状态的规则,每个扫描防护模板固定包含3条规则。

10 SeCU/规则

CC防护

按已配置CC防护规则条数计费,包含启用和禁用状态的规则。

2 SeCU/规则

区域封禁

按已配置区域封禁规则条数计费,包含启用和禁用状态的规则。

10 SeCU/规则

自定义响应

按已配置自定义响应规则条数计费,包含启用和禁用状态的规则,每个自定义响应模板固定包含1条规则。

10 SeCU/规则

网页防篡改

按已配置网页防算改规则条数计费,包含启用和禁用状态的规则。

5 SeCU/规则

信息泄漏防护

按已配置信息泄露防护规则的条数计费,包含启用和禁用状态的规则。

5 SeCU/规则

洪峰限流

按已配置洪峰限流防护规则的条数计费,包含启用和禁用状态的规则。

150 SeCU/规则

按已使用个数计费

Bot管理

按已配置的Bot管理防护模板个数计费,包含开启和禁用状态的模板。

50 SeCU/模板

API安全

按已开启的 API 安全防护的防护对象个数计费。

20 SeCU/防护对象

独享IP

按开启独享IP的域名数量计费,仅CNAME接入时结算。

15 SeCU/独享IP

CNAME 接入域名数

按接入域名数计费,仅CNAME接入时结算。以实际接入的域名数计算,不区分主域名、泛域名等。

阶梯式计费:

  • 1个域名:0 SeCU

  • 2~10 域名:5 SeCU/域名/小时

  • 11~100 域名:3 SeCU/域名/小时

  • 100个域名以上:1 SeCU/域名/小时

按功能启用状态计费

非标端口

按照启用非标端口计费。

  • 未启用:0 SeCU/小时;

  • 启用:25 SeCU/小时

智能加白引擎

按配置核心防护规则时,智能加白按照每个模板的启用状态计费。

  • 未启用:0 SeCU/小时;

  • 启用:10 SeCU/小时

智能负载均衡

按智能负载均衡的启用状态进行计费。

  • 未启用:0 SeCU/小时;

  • 启用:50 SeCU/小时

IPv6

按IPv6启用状态计费。

  • 未启用:0 SeCU/小时;

  • 启用:50 SeCU/小时

资产中心

按启用功能后计费。

  • 未启用:0 SeCU/小时;

  • 启用:1 SeCU/小时

核心防护规则模板

  • 默认模板:接入防护对象后,开始计费,包括启用和禁用状态。

  • 非默认模板:创建后立即基于数量进行计费,包括启用和禁用状态。

  • 无配置:0 SeCU/个/小时;

  • 有配置:3 SeCU/个/小时

其他服务计费项目

日志服务

由阿里云日志服务统一计费和出账。

WAF侧不计费

旧计费项组成与明细

image

计费明细

计费类型

计费项

计费描述

SeCU

请求处理费:一个完整小时内的请求费用。

核心流量费

按一个完整小时内,客户端发起的业务请求数计费,包括正常请求和攻击请求,不包括服务端的响应。

1 SeCU/5,000次请求

说明
  • 某个完整小时内,如果请求数为0,则请求处理费为0 SeCU;如果请求次数不是5,000的整数倍,则向上取整计算 SeCU。详情请见计费示例

  • 核心流量费中已包含白名单的功能费。

Bot管理

按一个完整小时内,命中防护目标的请求数计费,仅开通 Bot 管理功能时结算。

1 SeCU/7,500次请求

说明

如果某个完整小时内的请求数不是7,500的整数倍,则向上取整计算SeCU。详情请见计费示例

API安全

按一个完整小时内,命中防护目标的请求数计费,仅在开通API安全功能时结算。

1 SeCU/7,500次请求

说明

如果某个完整小时内的请求数不是7,500的整数倍,则向上取整计算SeCU。详情请见计费示例

QPS峰值

分时计费,按一个完整小时内,QPS的最大峰值计费。

  • ≤1,000 QPS,0 SeCU/小时;

  • >1,000 QPS,超出部分单价为1 SeCU/5 QPS/小时

说明

如果超出部分不足5 QPS,则按照5 QPS计算。

风险识别(Bot管理付费功能项)

按命中次数计费。

1 SeCU/次

说明

风险识别功能需开启Bot管理并开启风险识别功能才能生效。具体开启方式参见风险识别

自定义规则滑块

按调用次数计费。

1 SeCU/10次/小时

说明

如果不足10次按10次计算

功能费:一个完整小时内,使用不同功能产生的费用。

WAF实例

按已配置的IP黑名单规则条数计费,包含启用和禁用状态的规则。

2 SeCU/规则

按已配置防护规则条数计费

重要

该部分规则禁用后仍然会有费用产生,若不希望该部分配置规则产生相应费用,请删除相应配置规则。

IP黑名单

按已配置的IP黑名单规则条数计费,包含启用和禁用状态的规则。

2 SeCU/规则

自定义规则

按已配置的自定义规则条数计费,包含启用和禁用状态的规则。

  • 2 SeCU/核心规则;

  • 5 SeCU/高级规则

说明

满足下列条件之一的规则为高级规则,其他均为基础规则:

  • 规则类型为频率控制。

  • 使用了以下匹配字段:Cookie、Content-Type、Content-Length、X-Forwarded-For、Body、Http-Method、File Extension、Filename、Server-Port、Header、Cookie Namet、Body Parameter。

  • 使用了以下逻辑符:正则匹配、正则不匹配。

  • 使用了以下高级设置:规则灰度、生效时间模式。

扫描防护

按已配置的扫描防护规则条数计费,包含启用和禁用状态的规则,每个扫描防护模板固定包含3条规则。

10 SeCU/规则

CC防护

按已配置CC防护规则条数计费,包含启用和禁用状态的规则。

2 SeCU/规则

区域封禁

按已配置区域封禁规则条数计费,包含启用和禁用状态的规则。

10 SeCU/规则

自定义响应

按已配置自定义响应规则条数计费,包含启用和禁用状态的规则,每个自定义响应模板固定包含1条规则。

10 SeCU/规则

网页防篡改

按已配置网页防算改规则条数计费,包含启用和禁用状态的规则。

5 SeCU/规则

信息泄漏防护

按已配置信息泄露防护规则的条数计费,包含启用和禁用状态的规则。

5 SeCU/规则

洪峰限流

按已配置洪峰限流防护规则的条数计费,包含启用和禁用状态的规则。

150 SeCU/规则

按已使用个数计费

防护规则组(自定义规则组)

按已配置的规则组个数计费,包含已关联防护模板和未关联防护模板的规则组,最多可配置30个自定义规则组。

说明

系统内置的3个规则组不收费。

2 SeCU/规则组

Bot管理

按已配置的Bot管理防护模板个数计费,包含开启和禁用状态的模板。

50 SeCU/模板

API安全

按已开启的 API 安全防护的防护对象个数计费。

20 SeCU/防护对象

独享IP

按开启独享IP的域名数量计费,仅CNAME接入时结算。

15 SeCU/独享IP

CNAME 接入域名数

按接入域名数计费,仅CNAME接入时结算。以实际接入的域名数计算,不区分主域名、泛域名等。

  • 阶梯式计费:

    • 1个域名:0 SeCU

    • 2~10 域名:5 SeCU/域名/小时

    • 11~100 域名:3 SeCU/域名/小时

    • 100个域名以上:1 SeCU/域名/小时

按功能启用状态计费

非标端口

按照启用非标端口计费。

25 SeCU/小时

智能白名单

按配置核心防护规则时,智能白名单按照每个模板的启用状态计费。

  • 未启用:0 SeCU/小时;

  • 启用:10 SeCU/小时

智能负载均衡

按智能负载均衡的启用状态进行计费。

  • 未启用:0 SeCU/小时;

  • 启用:50 SeCU/小时

IPv6

按IPv6启用状态计费。

  • 未启用:0 SeCU/小时;

  • 启用:50 SeCU/小时

协议合规

按启用功能状态计费。

  • 未启用:0 SeCU/小时;

  • 启用:20 SeCU/小时 * 开启协议合规的防护模板数

资产中心

按启用功能后计费。

  • 未启用:0 SeCU/小时;

  • 启用:1 SeCU/小时

核心防护规则模板

  • 默认模板:接入防护对象后,开始计费,包括启用和禁用状态。

  • 非默认模板:创建后立即基于数量进行计费,包括启用和禁用状态

  • 无配置:0 SeCU/个/小时;

  • 有配置:3 SeCU/个/小时

其他服务计费项目

日志服务

由阿里云日志服务统一计费和出账。

WAF侧不计费

计费示例

案例1

您通过CNAME接入方式接入了5个域名到WAF防护,并配置了2条IP黑名单规则;在某个完整小时内,业务请求数量为0次,QPS峰值为0 QPS。

该场景下,一个完整小时内的请求处理费为0 SeCU,功能费为15 SeCU,总费用为0.15美元。详细计费见下表。

计费类型

计费项

单价

SeCU(按1小时向上取整)

总费用(1 SeCU = 0.01美元

请求处理费

核心流量费

1 SeCU/5,000次请求

0 SeCU

0.01*0=0美元

QPS峰值

QPS 峰值≤5,000 QPS,0 SeCU/1小时

0 SeCU

0.01*0=0美元

功能费

CNAME接入

1个域名:0 SeCU/1个;

每超出1个域名:2 SeCU/1个

8 SeCU

0.01*8=0.08美元

IP黑名单

2 SeCU/1条

4 SeCU

0.01*4=0.04美元

核心防护规则模板

说明

接入防护对象后开始计费。

有配置:3 SeCU/1小时

3 SeCU

0.01*3=0.03美元

案例2

您已经通过CNAME接入方式接入了12个域名到WAF防护,其中2个域名启用了独享IP和智能负载均衡,并创建了1个扫描防护规则模板;在某个完整小时内,业务请求数量为50,001次,QPS峰值为4,000QPS。

该场景下,本小时内的请求处理费为11 SeCU,功能费为108 SeCU,总费用为7.19美元。详细计费见下表。

计费类型

计费项

单价

SeCU(按1小时向上取整)

总费用(1SeCU = 0.01美元

请求处理费

核心流量费

1 SeCU/5,000次请求

11 SeCU

0.01*11=0.11美元

QPS峰值

QPS 峰值≤1,000 QPS,0 SeCU/小时

>1,000 QPS,超出部分单价为1 SeCU/5 QPS/小时

600 SeCU

0.01*600=6美元

功能费

CNAME接入

1个域名:0 SeCU/个;

每超出1个域名:2 SeCU/个

22 SeCU

0.01*22=0.22美元

独享IP

15 SeCU/个

30 SeCU

0.01*30=0.3美元

智能负载均衡

启用:50 SeCU/小时

50 SeCU

0.01*50=0.5美元

扫描防护

说明

每个扫描防护模板固定包含3条规则。

1 SeCU/条

3 SeCU

0.01*3=0.03美元

核心防护规则模板

说明

默认为有配置

有配置:3 SeCU/小时

3 SeCU

0.01*3=0.03美元

案例3

您已经通过云产品接入的方式为七层CLB(HTTP/HTTPS)实例开启WAF防护(以硅谷地域为例),并将CLB实例中的域名添加为 WAF 的防护对象,除配置了核心防护规则以外,也开启了Bot 管理和CC防护功能,并配置了相应规则模板。其中CC防护规则配置了2条,状态为禁用;Bot管理配置了1个模板,模板状态为开启,并在配置时开启了风险识别功能配置了相应规则。在某个完整小时内,业务请求数量为4200次,QPS峰值为537 QPS,Bot管理配置的规则命中了34次,风险识别配置的规则命中了3次。

该场景下,一个完整小时内的请求处理费为35 SeCU,功能费为60 SeCU,本小时总费用为0.95美元。详细计费见下表。

计费类型

计费项

单价

SeCU(按1小时向上取整)

总费用(1SeCU = 0.01美元

请求处理费

核心流量费

1 SeCU/5,000次请求

1 SeCU

0.01*1=0.01美元

QPS峰值

QPS 峰值≤1,000 QPS,0 SeCU/小时

0 SeCU

0.01*0=0美元

Bot管理

按一个完整小时内,命中防护目标的请求数计费。

34 SeCU

0.01*34=0.34美元

功能费

核心防护规则模板

说明

默认为有配置

有配置:3 SeCU/小时

3 SeCU

0.01*1=0.03美元

Bot管理

按已配置的Bot管理防护模板个数计费,包含开启和禁用状态的模板。

50 SeCU

0.01*50=0.5美元

风险识别

按命中次数计费。

1 SeCU/次

3 SeCU

0.01*3=0.03美元

CC防护

按已配置的CC防护规则条数计费,包含启用和禁用状态的规则。

2 SeCU/规则

4 SeCU

0.01*4=0.04美元

案例4

您已经通过云产品接入的方式为ALB实例开启WAF防护(以硅谷地域为例),并创建了2个自定义响应模板(分别应用于不同的防护对象);在某个完整小时内,业务请求数量为50,004,QPS 峰值为5,997 QPS。

该场景下,本小时内的请求处理费为211 SeCU,功能费为23 SeCU,WAF增强版ALB实例费为0.035美元/小时,总费用为2.555美元。详细计费见下表。

计费类型

计费项

单价

SeCU(按1小时向上取整)

总费用(1SeCU = 0.01美元

请求处理费

核心流量费

1 SeCU/5,000次请求

11 SeCU

0.01*11=0.11美元

QPS峰值

QPS峰值>1,000 QPS,超出部分单价1 SeCU/5 QPS/小时

1000 SeCU

0.01*1000=10美元

功能费

自定义响应

10 SeCU/条

20 SeCU

0.01*20=0.2美元

核心防护规则模板

说明

默认为有配置

有配置:3 SeCU/小时

3 SeCU

0.01*1=0.03美元

WAF增强版ALB实例费

0.035美元/小时,实际购买价格请以购买页为准。

/

0.035*1=0.035美元

说明
  • 若您需要以天(或者更长时间)为单位估算WAF按量付费的使用成本,推荐您结合实际业务随时间变化产生的波峰波谷情况,进行成本折算校准。例如,您的业务在每日6:00至18:00有较高的流量,在其余时间基本没有业务请求,建议您将业务活跃时段产生的成本估算为平均每日的按量付费使用成本,以获得更准确的长期成本估算结果。

  • 在开通WAF按量付费之后,产生的实际用量及费用,请以您的阿里云账单为准。

计费周期

按量付费每天结算一次费用(以 UTC+8 时间为准),结算完毕后进入新的结算周期。

说明
  • 按量付费费用结算一般在凌晨进行,若您需要修改功能变更(例如添加域名、开启新的功能防护等),建议您在每日6:00之后进行,否则该变更可能会计入前一天的账单。

  • 如果您的账户可用额度(含阿里云账户余额和代金券)小于待结算的账单,会收到余额不足的短信或邮件提醒。

欠费说明

欠费将影响您的WAF产品服务使用,请您关注费用与成本,及时处理欠费。关于如何查询您的欠费余额及详细的欠费说明,请参见欠费说明

警告

出现欠费后有停机风险,系统会提醒或通知您请及时续费,避免对您的服务造成影响。

账单查询

如果您想要在WAF 3.0账单管理页面查看按量付费实例实际用量和产生的具体费用明细,请参见查看账单

相关文档

  • 关于如何退订WAF 3.0包年包月实例,或关闭按量付费实例,请参见退订说明

  • 关于因自动化工具(例如脚本、模拟器等)造成的业务异常的处理方法,请参见开通和配置Bot管理

  • 关于检测API风险(例如未授权访问、敏感数据过度暴露、内部接口泄露等),通过报表还原API异常事件,审查出境数据和溯源敏感数据泄露事件等相关功能,请参见API安全

  • 关于如何查询防护对象的Web访问及攻击防护日志及相关操作说明,请参见日志管理概述

  • 关于计费中高级规则和核心规则的详细说明,请参见匹配条件说明