本文介绍了Web应用防火墙(WAF)按量计费(旧版)实例的计费方式。

注意 自2020年12月31日起,新开通的WAF按量计费实例默认使用按量计费2.0方式计费。相关内容,请参见按量计费2.0

本文仅适用于在2020年12月31日前开通的按量计费(旧版)实例。

如果您使用按量计费(旧版)实例,推荐您尽快升级到按量计费2.0实例。您只需关闭当前使用的按量计费(旧版)实例,并重新开通按量计费实例,即可自动升级到按量计费2.0实例。相关操作,请参见关闭WAF开通按量2.0 WAF实例

计费方式

WAF按量计费(旧版)实例采用按天后付费的方式计费。

您开通WAF按量计费(旧版)实例后,WAF将在每个自然日结算上个自然日的防护服务费用,直至您手动关闭WAF实例。
注意 如果已开通的WAF按量计费(旧版)实例连续五天没有产生业务流量及后付费账单,实例将会自动释放。

每日防护服务费用=已添加防护的所有网站的QPS峰值*QPS峰值对应的阶梯单价*当日已开启的功能规格对应的系数之和。

计费方式解释如下:
  • 网站QPS峰值
    网站QPS峰值指在当日00:00:00~23:59:59之间访问网站(包含所有已接入WAF防护的网站)的每秒请求数峰值。您在Web应用防火墙控制台添加网站配置后,WAF检测到对网站域名的请求就会开始计算网站QPS峰值,与域名的DNS解析是否指向WAF实例无关。
    注意
    • 由于可能有各种因素导致网站域名流量经过WAF实例,因此如果您不想产生任何相关费用,请确保删除所有网站配置记录。
    • 网站QPS峰值不区分请求是否为攻击,以WAF收到的您已配置的所有网站域名的每秒请求总数为准。
    网站QPS峰值的计算方式如下:
    1. 每10秒统计一次QPS峰值,每日共收集8640个计量值。
    2. 将当日所有计量值按照QPS大小降序排序,去掉前千分之二的计量值(17个)。
    3. 以第18个计量值作为当日的网站QPS峰值。
    注意
    • 如果您添加的网站有业务流量,按照实际流量计算QPS峰值;如果当日没有业务流量,则统一计作1 QPS。
    • 实际出账QPS为攻击QPS和正常业务QPS之和。攻击QPS以WAF实际拦截的QPS为准,每日上限为500 QPS(大于500 QPS统一计作500 QPS),其余未被WAF识别为攻击的流量均默认为正常业务QPS,此部分不设定阈值上限,以实际QPS为准。

      如果因为遭受攻击导致实际出账的QPS远超出您的日常业务QPS,您可以提交工单进行咨询。

    网站QPS峰值按照阶梯价格计费。QPS峰值越大,对应的单价越低,具体如下表所示。

    网站QPS峰值 价格(元/QPS)
    5(含)~50(含)
    说明 1~5统一按照5计费。
    0.8
    50(不含)~200(含) 0.75
    200(不含)~1000(含) 0.65
    大于1000 0.5
  • 功能规格系数

    WAF按量计费(旧版)实例默认只开启了基础防护能力,您可以根据实际需要开启更多的可选防护功能。

    每个防护功能对应一个系数。您开启的防护功能越多,当日的防护服务费用也越高。不同功能规格对应的系数如下表所示。

    功能规格项 功能描述 对应系数
    基础防护能力(默认必选) 提供基础的Web攻击防护、CC攻击防护、IP黑白名单、URL黑白名单功能。提供安全总览、业务流量状况及基础安全报表。 1
    高级Web防护能力 具备扫描防护、深度学习引擎功能,能够更高效地防御Web攻击。 0.2
    高级CC防护能力 支持自定义多维度的频率限流规则。

    每个域名最多支持添加100条自定义防护规则。

    0.5
    高级访问控制能力 支持自定义基于常见HTTP头部字段(例如,源IP地址、源IP所属地域、User-Agent、Referer、Cookie、参数内容等)的黑白名单规则。

    每个域名最多支持添加100条自定义防护规则。

    0.4
    数据风控防护 支持防御常见的机器威胁(例如,恶意注册、恶意登录、活动作弊、垃圾消息等场景)。 1
    安全合规能力 支持网页防篡改、个人敏感隐私数据防泄漏,满足网安合规要求。 0.3
    HTTPS业务防护 支持HTTPS业务的安全防护。 0.3
    非标准业务端口防护 支持50个特定的非标准端口业务的安全防护。

    关于WAF支持的非标准端口,请参见WAF支持的端口

    0.5
    业务分析 提供业务分析报表,例如,统计业务请求的来源地域、浏览器类型分布等。 0.2
    地理区域封禁能力 支持基于地理位置信息封禁指定来源的访问,例如,封禁来自指定中国省份或海外国家的访问。 0.4
    域名扩展包 默认支持防护10个域名(必须对应同一个主域名)。

    如果您需要防护更多的域名,可以购买域名扩展包。每个域名扩展包支持扩展防护10个域名(必须对应同一个主域名)。

    0.1*已购买的扩展域名包的个数
    独享IP包 默认所有接入WAF防护的域名共享使用同一个WAF IP。

    如果您有比较重要的域名需要加强防护(避免在其他域名遭受DDoS攻击时,重要域名的业务受到影响),可以购买独享IP包并为重要域名开启独享IP属性。

    0.1*已购买的独享IP包的个数
    日志服务 为已接入防护的网站提供自定义全量日志存储、查询分析、统计报表、告警事件设置等一站式日志增值服务。 0.5
    关于开启可选防护功能的操作及不同防护功能的详细介绍,请参见功能与规格设置(按量付费模式)

计费示例

  • 示例一:我开通了按量计费(旧版)后,未接入任何域名,也未开启任何可选功能项。
    每日账单费用=0元
    说明 未接入域名的情况下,WAF按量计费(旧版)实例不计费。
  • 示例二:我开通了按量计费(旧版)后,购买了1个域名扩展包并接入了12个域名,未开启其他可选功能项,当日网站QPS峰值为60。
    每日账单费用=60 QPS*0.75元/QPS*(1+0.1)=49.5元
    说明
    • 60 QPS对应的单价为0.75元/QPS。
    • 1个域名扩展包对应的规格系数为0.1,结合基础防护能力的系数1,规格系数之和为1.1。
  • 示例三:我开通了按量计费(旧版)后,接入了1个域名,并开启了高级Web防护、高级CC防护、HTTPS防护和日志服务,当日网站QPS峰值为60。
    每日账单费用=60 QPS*0.75元/QPS*(1+0.2+0.5+0.3+0.5)=112.5元
    说明
    • 60 QPS对应的单价为0.75元/QPS。
    • 高级Web防护对应的规格系数为0.2、高级CC防护对应的规格系数为0.5、HTTPS防护对应的规格系数为0.3、日志服务对应的规格系数为0.5,结合基础防护能力的系数1,规格系数之和为2.5。

结算与欠费

WAF按量计费(旧版)实例的防护服务费用按照自然日结算。每个自然日根据前一日实际发生的网站QPS峰值及已启用的功能规格所对应的系数之和计算服务费用,生成后付费账单。

账单的结算方式如下:
  • 如果您已购买WAF资源包,则优先通过资源包抵扣账单费用。关于WAF资源包的介绍,请参见WAF资源包
  • 如果您没有可用的WAF资源包,则从您的阿里云账号余额中扣除账单费用。

请确保您的阿里云账号余额充足,如果您的账号余额不足抵扣账单费用,则出现欠费。

阿里云账号欠费当日,WAF仍将正常提供服务,并在欠费第二日生成欠费当日的账单;阿里云账号发生欠费起的第二日,如果欠费仍未补缴,WAF将终止为您提供服务。
注意 在WAF实例停止提供服务前,只要您及时补缴所欠费用,WAF实例将继续为您提供服务。WAF终止提供服务后,如果您需要重新使用WAF,必须先补缴欠费,并重新开通WAF按量计费实例。

WAF资源包

您可以购买WAF资源包(预付费)来抵扣WAF按量计费实例的每日账单。购买WAF资源包后,在每日账单结算时将优先抵扣WAF资源包中剩余的QPS消费值。相比根据每日账单后付费,购买WAF资源包可以以更低廉的价格使用WAF按量计费服务。

注意
  • WAF资源包的有效期为一年,超出有效期后将无法再用于抵扣WAF按量计费实例的每日账单。
  • WAF资源包经使用后剩余的QPS消费值不支持退款。

您可以根据业务实际所需的QPS消费值,选择合适的WAF资源包规格。更多信息,请参见购买WAF资源包