Web应用防火墙(Web Application Firewall,简称WAF)支持包年包月和按量计费两种计费模式,不同计费模式支持的实例版本不同。本文介绍不同实例版本适用的业务规模、支持的防护功能。
WAF套餐和版本
包年包月计费模式下,WAF提供云上部署套餐(云WAF)和混合云部署套餐(混合云WAF)。根据支持防护的业务规模以及提供的防护功能不同,云WAF实例具体分为高级版、企业版、旗舰版、独享版(暂停售卖)。混合云WAF实例目前仅提供独享版。
按量计费模式下,WAF实例目前仅提供按量2.0版。
适用的业务规模
下表描述了不同WAF版本适用的业务规模。一般情况下,对于中型规模的企业网站,推荐您选择企业版或者旗舰版。
业务规格 | 云WAF高级版 | 云WAF企业版 | 云WAF旗舰版 | 云WAF独享版(暂停售卖) | 混合云WAF独享版 |
站点规模 | 中小型网站,对业务没有特殊的安全需求。 | 中型企业级网站或服务对互联网公众开放,关注数据安全且具有高标准的安全需求。 | 中大型企业网站,具备较大的业务规模,或是具有特殊定制的安全需求。 | 大型企业网站,具备较大的业务规模且基于业务特性具有定制化的配置需求。 | 大中型企业网站,具有本地化部署业务及无法上云WAF防护的Web流量,希望拥有和云WAF一致的高标准的Web安全防护能力。 |
云WAF业务并发请求峰值 | 2,000 QPS | 5,000 QPS | 超过10,000 QPS | 5,000 QPS | 0 QPS,支持扩展。 |
本地集群节点数及对应的最大业务并发请求峰值 | 不支持 | 付费支持 | 付费支持 | 付费支持 | 2个防护节点,10,000 QPS。 |
业务带宽阈值(源站服务器部署在阿里云) | 50 Mbps | 100 Mbps | 200 Mbps | 100 Mbps | 0 Mbps,支持扩展。 |
业务带宽阈值(源站服务器未部署在阿里云) | 10 Mbps | 30 Mbps | 50 Mbps | 30 Mbps | |
默认可防护的主域名个数 | 1个 | 1个 | 1个 | 1000个 | 200个(不区分域名级别),每扩展一个节点可增加100个。 |
默认可防护的总域名个数(支持泛域名) | 10个 | 10个 | 10个 | 1000个 |
版本功能列表(中国内地)
下表描述了WAF中国内地实例(购买包年包月实例时选择中国内地地域)及按量计费实例的主要功能模块在不同套餐中的支持情况。更详细的套餐功能说明,请参见Web应用防火墙产品定价页面。
标识说明:
:表示在当前版本中支持。
:表示在当前版本中不支持。
:表示需要额外付费开启的增值服务。您可以在购买WAF实例时开启增值服务,或者在购买WAF实例后使用升级功能开启增值服务。
:表示需要在开通按量计费WAF后,通过账单与套餐中心开启。
功能模块 | 描述 | 云WAF高级版 | 云WAF企业版 | 云WAF旗舰版 | 云WAF独享版(暂停售卖) | 混合云WAF独享版 | 按量2.0版 |
业务接入 | |||||||
全站一键实现HTTPS防护。 | |||||||
主动发现和管理站点资产,支持一键接入防护。 | |||||||
直接牵引源站服务器(SLB实例、ECS实例)的业务流量到WAF进行防护。 | |||||||
支持防护使用HTTP/2协议的网站 | |||||||
支持防护80、8080、443、8443以外的特定非标准端口上的业务。 | |||||||
支持IPv6访问流量的安全检测与防护。 | |||||||
基于业务特性的定制化接入和防护能力,例如,自定义SNI默认证书、服务端口等信息。 | |||||||
通过在本地IDC部署WAF防护集群,对不经过阿里云的Web流量进行防护。 | |||||||
通过多节点智能接入技术,实现源站服务器多节点、多线路自动调度容灾。 | |||||||
支持为域名开启独享IP防护。 | |||||||
网站防护 | |||||||
防御常见的Web攻击,例如SQL注入、XSS等。 | |||||||
自动更新Web 0day漏洞攻击防护规则。 | |||||||
防御常见的CC攻击,支持内置的防护和防护-紧急模式。 | |||||||
锁定网站页面,防止内容被恶意篡改。 | |||||||
防敏感数据泄露,包括电话号码、身份证、银行卡等重要隐私数据。 | |||||||
支持识别与账户关联的业务接口(例如注册、登录等)上的撞库、暴力破解、垃圾注册、弱口令嗅探和短信验证码接口滥刷事件。 | |||||||
DDoS攻击防护 | 免费防御DDoS攻击。关于防御能力的信息,请参见DDoS基础防护黑洞阈值。 | ||||||
一键封禁特定的IP地址和地址段的访问能力。 | |||||||
包含上述特性,且支持一键封禁指定地理区域IP的访问能力。 | |||||||
支持高频Web攻击封禁(默认规则)、目录遍历封禁(默认规则)、扫描工具封禁、协同防御。 | |||||||
包含上述特性,且支持自定义高频Web攻击封禁、目录遍历封禁规则。 | |||||||
基础精准条件访问控制:基于基础字段(包含IP、URL、Referer、User-Agent、Params)的ACL访问控制。 | |||||||
高级精准条件访问控制:包含基础字段,且支持高级字段(例如Cookie、Content-Type、Header、Http-Method等)。 | |||||||
支持访问频率限制(即自定义CC攻击防护规则,在精准匹配条件的基础上,自定义访问频率限制条件,精准过滤异常请求),设置基于IP和Session进行请求次数统计的频率控制策略。 | |||||||
支持访问频率限制,设置基于自定义字段(包含IP和Session)进行请求次数统计的频率控制策略。 | |||||||
支持自定义防护规则组。 | |||||||
基于网站访问流量的深度学习,提供主动防御能力。 | |||||||
防御网站关键业务(例如注册、登录、活动、论坛)中可能发生的机器爬虫欺诈行为。 | |||||||
提供合法搜索引擎白名单,为域名放行合法爬虫的访问请求。 | |||||||
提供拨号池IP、IDC机房IP、恶意扫描工具IP以及云端实时模型生成的恶意爬虫库等多种维度的爬虫威胁情报规则,方便您在全域名或指定路径下设置阻断恶意爬虫的访问请求。 | |||||||
专门针对原生App端,提供可信通信,防机器脚本滥刷等安全防护,可以有效识别代理、模拟器、非法签名的请求。 | |||||||
支持对已接入WAF防护的业务中开放的API资产进行全面防护、并提供检测API漏洞等功能。 | |||||||
安全分析和支持 | |||||||
支持通过云监控服务配置WAF事件监控、阈值监控规则。 | |||||||
支持采集WAF所有的日志信息并存储至日志服务中,提供准实时查询分析和在线报表展示等功能。 | |||||||
提供网站整体业务及安全状况的可视化大屏分析。 |
版本功能列表(非中国内地)
下表描述了WAF非中国内地实例(购买包年包月实例时选择非中国内地地域)的主要功能模块在不同套餐中的支持情况。更详细的套餐功能说明,请参见Web应用防火墙产品定价页面。
标识说明:
:表示在当前版本中支持。
:表示在当前版本中不支持。
:表示需要额外付费开启的增值服务。您可以在购买WAF实例时开启增值服务,或者在购买WAF实例后使用升级功能开启增值服务。
:表示需要在开通按量计费WAF后,通过账单与套餐中心开启。
非中国内地WAF不支持按量计费。
功能模块 | 描述 | 云WAF高级版 | 云WAF企业版 | 云WAF旗舰版 | 云WAF独享版(暂停售卖) | 混合云WAF独享版 |
业务接入 | ||||||
全站一键实现HTTPS防护。 | ||||||
直接牵引源站服务器(SLB实例、ECS实例)的业务流量到WAF进行防护。 | ||||||
支持防护使用HTTP/2协议的网站 | ||||||
支持防护80、8080、443、8443以外的特定非标准端口上的业务。 | ||||||
基于业务特性的定制化接入和防护能力。 | ||||||
支持IPv6访问流量的安全检测与防护。 | ||||||
主动发现和管理站点资产,支持一键接入防护。 | ||||||
支持为域名开启独享IP防护。 | ||||||
通过在本地IDC部署WAF防护集群,对不经过阿里云的Web流量进行防护。 | ||||||
通过多节点智能接入技术,实现源站服务器多节点、多线路自动调度容灾。 | ||||||
网站防护 | ||||||
防御常见的Web攻击,例如SQL注入、XSS等。 | ||||||
自动更新Web 0day漏洞攻击防护规则。 | ||||||
支持识别与账户关联的业务接口(例如注册、登录等)上的撞库、暴力破解、垃圾注册、弱口令嗅探和短信验证码接口滥刷事件。 | ||||||
防御常见的CC攻击,支持内置的防护和防护-紧急模式。 | ||||||
一键封禁特定的IP地址和地址段的访问能力。 | ||||||
包含上述特性,且支持一键封禁指定地理区域IP的访问能力。 | ||||||
支持高频Web攻击封禁(默认规则)、目录遍历封禁(默认规则)、扫描工具封禁、协同防御。 | ||||||
包含上述特性,且支持自定义高频Web攻击封禁、目录遍历封禁规则。 | ||||||
基础精准条件访问控制:基于基础字段(包含IP、URL、Referer、User-Agent、Params)的ACL访问控制。 | ||||||
高级精准条件访问控制:包含基础字段,且支持高级字段(例如Cookie、Content-Type、Header、Http-Method等)。 | ||||||
支持访问频率限制(即自定义CC攻击防护规则,在精准匹配条件的基础上,自定义访问频率限制条件,精准过滤异常请求),设置基于IP和Session进行请求次数统计的频率控制策略。 | ||||||
支持访问频率限制,设置基于自定义字段(包含IP和Session)进行请求次数统计的频率控制策略。 | ||||||
锁定网站页面,防止内容被恶意篡改。 | ||||||
防敏感数据泄露,包括电话号码、身份证、银行卡等重要隐私数据。 | ||||||
支持自定义防护规则组。 | ||||||
基于网站访问流量的深度学习,提供主动防御能力。 | ||||||
防御网站关键业务(例如注册、登录、活动、论坛)中可能发生的机器爬虫欺诈行为。 | ||||||
DDoS攻击防护 | 免费防御DDoS攻击。关于防御能力的信息,请参见DDoS基础防护黑洞阈值。 | |||||
提供合法搜索引擎白名单,为域名放行合法爬虫的访问请求。 | ||||||
提供拨号池IP、IDC机房IP、恶意扫描工具IP以及云端实时模型生成的恶意爬虫库等多种维度的爬虫威胁情报规则,方便您在全域名或指定路径下设置阻断恶意爬虫的访问请求。 | ||||||
专门针对原生App端,提供可信通信,防机器脚本滥刷等安全防护,可以有效识别代理、模拟器、非法签名的请求。 | ||||||
安全分析和支持 | ||||||
支持通过云监控服务配置WAF事件监控、阈值监控规则。 | ||||||
支持采集WAF所有的日志信息并存储至日志服务中,提供准实时查询分析和在线报表展示等功能。 | ||||||
提供网站整体业务及安全状况的可视化大屏分析。 |