按量付费（旧版）

您开通WAF按量付费（旧版）实例后，WAF将在每个自然日结算上个自然日的防护服务费用，直至您手动关闭WAF实例。

计费方式解释如下：

• 网站QPS峰值

  网站QPS峰值指在当日00:00:00~23:59:59之间访问网站（包含所有已接入WAF防护的网站）的每秒请求数峰值。您在Web应用防火墙控制台添加网站配置后，WAF检测到对网站域名的请求就会开始计算网站QPS峰值，与域名的DNS解析是否指向WAF实例无关。

  重要

  • 由于可能有各种因素导致网站域名流量经过WAF实例，因此如果您不想产生任何相关费用，请确保删除所有网站配置记录。

  • 网站QPS峰值不区分请求是否为攻击，以WAF收到的您已配置的所有网站域名的每秒请求总数为准。

  网站QPS峰值的计算方式如下：

  1. 每10秒统计一次QPS峰值，每日共收集8640个计量值。

  2. 将当日所有计量值按照QPS大小降序排序，去掉前千分之二的计量值（17个）。

  3. 以第18个计量值作为当日的网站QPS峰值。

  重要

  如果您添加的网站有业务流量，按照实际流量计算QPS峰值；如果当日没有业务流量，则统一计作1 QPS。

  网站QPS峰值按照阶梯价格计费。QPS峰值越大，对应的单价越低，具体如下表所示。

  网站QPS峰值	价格（元/QPS）
  5（含）~50（含） 说明 1~5统一按照5计费。	0.8
  50（不含）~200（含）	0.75
  200（不含）~1000（含）	0.65
  大于1000	0.5

• 功能规格系数

  WAF按量付费（旧版）实例默认只开启了基础防护能力，您可以根据实际需要开启更多的可选防护功能。

  每个防护功能对应一个系数。您开启的防护功能越多，当日的防护服务费用也越高。不同功能规格对应的系数如下表所示。

  功能规格项	功能描述	对应系数
  基础防护能力（默认必选）	提供基础的Web攻击防护、CC攻击防护、IP黑白名单、URL黑白名单功能。提供安全总览、业务流量状况及基础安全报表。	1
  高级Web防护能力	具备扫描防护、深度学习引擎功能，能够更高效地防御Web攻击。	0.2
  高级CC防护能力	支持自定义多维度的频率限流规则。 每个域名最多支持添加100条自定义防护规则。	0.5
  高级访问控制能力	支持自定义基于常见HTTP头部字段（例如，源IP地址、源IP所属地域、User-Agent、Referer、Cookie、参数内容等）的黑白名单规则。 每个域名最多支持添加100条自定义防护规则。	0.4
  数据风控防护	支持防御常见的机器威胁（例如，恶意注册、恶意登录、活动作弊、垃圾消息等场景）。	1
  安全合规能力	支持网页防篡改、个人敏感隐私数据防泄漏，满足合规要求。	0.3
  HTTPS业务防护	支持HTTPS业务的安全防护。	0.3
  非标准业务端口防护	支持50个特定的非标准端口业务的安全防护。 关于WAF支持的非标准端口，请参见WAF支持的端口。	0.5
  业务分析	提供业务分析报表，例如，统计业务请求的来源地域、浏览器类型分布等。	0.2
  地理区域封禁能力	支持基于地理位置信息封禁指定来源的访问，例如，封禁来自指定中国省份或海外国家的访问。	0.4
  域名扩展包	默认支持防护10个域名（必须对应同一个主域名）。 如果您需要防护更多的域名，可以购买域名扩展包。每个域名扩展包支持扩展防护10个域名（必须对应同一个主域名）。	0.1*已购买的扩展域名包的个数
  独享IP包	默认所有接入WAF防护的域名共享使用同一个WAF IP。 如果您有比较重要的域名需要加强防护（避免在其他域名遭受DDoS攻击时，重要域名的业务受到影响），可以购买独享IP包并为重要域名开启独享IP属性。	0.1*已购买的独享IP包的个数
  日志服务	为已接入防护的网站提供自定义全量日志存储、查询分析、统计报表、告警事件设置等一站式日志增值服务。	0.5

  关于开启可选防护功能的操作及不同防护功能的详细介绍，请参见功能与规格设置（按量付费模式）。

账单的结算方式如下：

• 如果您已购买WAF资源包，则优先通过资源包抵扣账单费用。关于WAF资源包的介绍，请参见WAF资源包。

• 如果您没有可用的WAF资源包，则从您的阿里云账号余额中扣除账单费用。

阿里云账号欠费当日，WAF仍将正常提供服务，并在欠费第二日生成欠费当日的账单；阿里云账号发生欠费起的第二日，如果欠费仍未补缴，WAF将终止为您提供服务。