Web应用防火墙WAF(Web Application Firewall)支持包年包月和按量计费两种计费模式,不同计费模式支持的实例版本不同。本文介绍不同实例版本适用的业务规模、支持的防护功能。

WAF套餐和版本

包年包月计费模式下,WAF提供云上部署套餐(云WAF)和混合云部署套餐(混合云WAF)。根据支持防护的业务规模以及提供的防护功能不同,云WAF实例具体分为高级版企业版旗舰版独享版(独享版只能通过提交工单申请开通)。混合云WAF实例目前仅提供独享版

按量计费模式下,WAF实例目前仅提供按量2.0版

WAF套餐版本

适用的业务规模

下表描述了不同WAF版本适用的业务规模。一般情况下,对于中型规模的企业网站,推荐您选择企业版或者旗舰版。

业务规格 云WAF高级版 云WAF企业版 云WAF旗舰版 云WAF独享版 混合云WAF独享版
站点规模 中小型网站,对业务没有特殊的安全需求。 中型企业级网站或服务对互联网公众开放,关注数据安全且具有高标准的安全需求。 中大型企业网站,具备较大的业务规模,或是具有特殊定制的安全需求。 大型企业网站,具备较大的业务规模且基于业务特性具有定制化的配置需求。 大中型企业网站,具有本地化部署业务及无法上云WAF防护的Web流量,希望拥有和云WAF一致的高标准的Web安全防护能力。
云WAF业务并发请求峰值 2,000 QPS 5,000 QPS 超过10,000 QPS 5,000 QPS 0 QPS,支持扩展。
本地集群节点数及对应的最大业务并发请求峰值 不支持 付费支持 付费支持 付费支持 2个防护节点,10,000 QPS。
业务带宽阈值(源站服务器部署在阿里云) 50 Mbps 100 Mbps 200 Mbps 100 Mbps 0 Mbps,支持扩展。
业务带宽阈值(源站服务器未部署在阿里云) 10 Mbps 30 Mbps 50 Mbps 30 Mbps
默认可防护的主域名个数 1个 1个 1个 1000个 200个(不区分域名级别),每扩展一个节点可增加100个。
默认可防护的总域名个数(支持泛域名) 10个 10个 10个 1000个

版本功能列表(中国内地)

下表描述了WAF中国内地实例(购买包年包月实例时选择中国内地地域)及按量计费实例的主要功能模块在不同套餐中的支持情况。更详细的套餐功能说明,请参见Web应用防火墙产品定价页面

标识说明:
  • 支持:表示在当前版本中支持。
  • 不支持:表示在当前版本中不支持。
  • 增值服务:表示需要额外付费开启的增值服务。您可以在购买WAF实例时开启增值服务,或者在购买WAF实例后使用升级功能开启增值服务。
  • 按量增值:表示需要在开通按量计费WAF后,通过账单与套餐中心开启。
功能模块 描述 云WAF高级版 云WAF企业版 云WAF旗舰版 云WAF独享版 混合云WAF独享版 按量2.0版
业务接入
HTTPS安全防护 全站一键实现HTTPS防护。 支持 支持 支持 支持 支持 按量增值
资产识别 主动发现和管理站点资产,支持一键接入防护。 支持 支持 支持 支持 支持 支持
透明接入 直接牵引源站服务器(SLB实例、ECS实例)的业务流量到WAF进行防护。 支持 支持 支持 支持 支持 支持
HTTP/2安全防护 支持防护使用HTTP/2协议的网站 不支持 支持 支持 支持 支持 支持
非标准端口防护 支持防护80、8080、443、8443以外的特定非标准端口上的业务。 不支持 支持 支持 支持 支持 按量增值
IPv6防护 支持IPv6访问流量的安全检测与防护。 不支持 支持 支持 支持 支持 按量增值
独享集群 基于业务特性的定制化接入和防护能力,例如,自定义SNI默认证书、服务端口等信息。 不支持 不支持 不支持 支持 支持 不支持
本地防护集群部署 通过在本地IDC部署WAF防护集群,对不经过阿里云的Web流量进行防护。 不支持 增值服务 增值服务 增值服务 支持 不支持
智能负载均衡 通过多节点智能接入技术,实现源站服务器多节点、多线路自动调度容灾。 增值服务 增值服务 增值服务 增值服务 增值服务 按量增值
域名独享资源包 支持为域名开启独享IP防护。 增值服务 增值服务 增值服务 增值服务 增值服务 按量增值
网站防护
规则防护引擎 防御常见的Web攻击,例如SQL注入、XSS等。 支持 支持 支持 支持 支持 支持
自动更新Web 0day漏洞攻击防护规则。 支持 支持 支持 支持 支持 支持
CC安全防护 防御常见的CC攻击,支持内置的防护和防护-紧急模式。 支持 支持 支持 支持 支持 支持
网站防篡改 锁定网站页面,防止内容被恶意篡改。 支持 支持 支持 支持 支持 按量增值
防敏感信息泄露 防敏感数据泄露,包括电话号码、身份证、银行卡等重要隐私数据。 支持 支持 支持 支持 支持 按量增值
账户安全 支持识别与账户关联的业务接口(例如注册、登录等)上的撞库、暴力破解、垃圾注册、弱口令嗅探和短信验证码接口滥刷事件。 支持 支持 支持 支持 支持 按量增值
DDoS攻击防护 免费防御攻击流量不超过5 Gbps的DDoS攻击。 支持 支持 支持 支持 不支持 支持
IP黑名单 一键封禁特定的IP地址和地址段的访问能力。 支持 支持 支持 支持 支持 按量增值
包含上述特性,且支持一键封禁指定地理区域IP的访问能力。 不支持 支持 支持 支持 支持 按量增值
扫描防护 支持高频Web攻击封禁(默认规则)、目录遍历封禁(默认规则)、扫描工具封禁、协同防御。 支持 支持 支持 支持 支持 按量增值
包含上述特性,且支持自定义高频Web攻击封禁、目录遍历封禁规则。 不支持 支持 支持 支持 支持 按量增值
自定义防护策略 基础精准条件访问控制:基于基础字段(包含IP、URL、Referer、User-Agent、Params)的ACL访问控制。 支持 支持 支持 支持 支持 支持
高级精准条件访问控制:包含基础字段,且支持高级字段(例如Cookie、Content-Type、Header、Http-Method等)。 不支持 支持 支持 支持 支持 按量增值
支持访问频率限制(即自定义CC攻击防护规则,在精准匹配条件的基础上,自定义访问频率限制条件,精准过滤异常请求),设置基于IP和Session进行请求次数统计的频率控制策略。 不支持 支持 支持 支持 支持 按量增值
支持访问频率限制,设置基于自定义字段(包含IP和Session)进行请求次数统计的频率控制策略。 不支持 不支持 支持 支持 支持 支持
自定义防护规则组 支持自定义防护规则组。 不支持 支持 支持 支持 支持 按量增值
深度学习引擎 依托于大数据深度学习引擎的0day漏洞风险检测。 不支持 支持 支持 支持 不支持 按量增值
主动防御 基于网站访问流量的深度学习,提供主动防御能力。 不支持 不支持 支持 支持 支持 按量增值
数据风控 防御网站关键业务(例如注册、登录、活动、论坛)中可能发生的机器爬虫欺诈行为。 增值服务 增值服务 增值服务 增值服务 不支持 按量增值
合法爬虫 提供合法搜索引擎白名单,为域名放行合法爬虫的访问请求。 增值服务 增值服务 增值服务 增值服务 增值服务 按量增值
爬虫威胁情报 提供拨号池IP、IDC机房IP、恶意扫描工具IP以及云端实时模型生成的恶意爬虫库等多种维度的爬虫威胁情报规则,方便您在全域名或指定路径下设置阻断恶意爬虫的访问请求。 增值服务 增值服务 增值服务 增值服务 增值服务 按量增值
App防护 专门针对原生App端,提供可信通信,防机器脚本滥刷等安全防护,可以有效识别代理、模拟器、非法签名的请求。 增值服务 增值服务 增值服务 增值服务 增值服务 按量增值
API安全 支持对已接入WAF防护的业务中开放的API资产进行全面防护、并提供检测API漏洞等功能。 增值服务 增值服务 增值服务 增值服务 增值服务 不支持
安全分析和支持
告警设置 支持通过云监控服务配置WAF事件监控、阈值监控规则。 支持 支持 支持 支持 支持 支持
日志服务 支持采集WAF所有的日志信息并存储至日志服务中,提供准实时查询分析和在线报表展示等功能。 增值服务 增值服务 增值服务 增值服务 增值服务 按量增值
大屏服务 提供网站整体业务及安全状况的可视化大屏分析。 增值服务 增值服务 增值服务 增值服务 增值服务 按量增值

版本功能列表(非中国内地)

下表描述了WAF非中国内地实例(购买包年包月实例时选择非中国内地地域)的主要功能模块在不同套餐中的支持情况。更详细的套餐功能说明,请参见Web应用防火墙产品定价页面

标识说明:
  • 支持:表示在当前版本中支持。
  • 不支持:表示在当前版本中不支持。
  • 增值服务:表示需要额外付费开启的增值服务。您可以在购买WAF实例时开启增值服务,或者在购买WAF实例后使用升级功能开启增值服务。
  • 按量增值:表示需要在开通按量计费WAF后,通过账单与套餐中心开启。
说明 非中国内地WAF不支持按量计费。
功能模块 描述 云WAF高级版 云WAF企业版 云WAF旗舰版 云WAF独享版 混合云WAF独享版
业务接入
HTTPS安全防护 全站一键实现HTTPS防护。 支持 支持 支持 支持 支持
透明接入 直接牵引源站服务器(SLB实例、ECS实例)的业务流量到WAF进行防护。 支持 支持 支持 支持 支持
HTTP/2安全防护 支持防护使用HTTP/2协议的网站 不支持 支持 支持 支持 支持
非标准端口防护 支持防护80、8080、443、8443以外的特定非标准端口上的业务。 不支持 支持 支持 支持 支持
独享集群 基于业务特性的定制化接入和防护能力。 不支持 不支持 不支持 支持 支持
IPv6防护 支持IPv6访问流量的安全检测与防护。 不支持 不支持 不支持 不支持 支持
资产识别 主动发现和管理站点资产,支持一键接入防护。 不支持 不支持 不支持 不支持 不支持
域名独享资源包 支持为域名开启独享IP防护。 增值服务 增值服务 增值服务 增值服务 增值服务
本地防护集群部署 通过在本地IDC部署WAF防护集群,对不经过阿里云的Web流量进行防护。 不支持 增值服务 增值服务 增值服务 支持
智能负载均衡 通过多节点智能接入技术,实现源站服务器多节点、多线路自动调度容灾。 不支持 增值服务 增值服务 增值服务 增值服务
网站防护
规则防护引擎 防御常见的Web攻击,例如SQL注入、XSS等。 支持 支持 支持 支持 支持
自动更新Web 0day漏洞攻击防护规则。 支持 支持 支持 支持 支持
账户安全 支持识别与账户关联的业务接口(例如注册、登录等)上的撞库、暴力破解、垃圾注册、弱口令嗅探和短信验证码接口滥刷事件。 支持 支持 支持 支持 支持
CC安全防护 防御常见的CC攻击,支持内置的防护和防护-紧急模式。 支持 支持 支持 支持 支持
IP黑名单 一键封禁特定的IP地址和地址段的访问能力。 支持 支持 支持 支持 支持
包含上述特性,且支持一键封禁指定地理区域IP的访问能力。 不支持 支持 支持 支持 支持
扫描防护 支持高频Web攻击封禁(默认规则)、目录遍历封禁(默认规则)、扫描工具封禁、协同防御。 支持 支持 支持 支持 支持
包含上述特性,且支持自定义高频Web攻击封禁、目录遍历封禁规则。 不支持 支持 支持 支持 支持
自定义防护策略 基础精准条件访问控制:基于基础字段(包含IP、URL、Referer、User-Agent、Params)的ACL访问控制。 支持 支持 支持 支持 支持
高级精准条件访问控制:包含基础字段,且支持高级字段(例如Cookie、Content-Type、Header、Http-Method等)。 不支持 支持 支持 支持 支持
支持访问频率限制(即自定义CC攻击防护规则,在精准匹配条件的基础上,自定义访问频率限制条件,精准过滤异常请求),设置基于IP和Session进行请求次数统计的频率控制策略。 不支持 支持 支持 支持 支持
支持访问频率限制,设置基于自定义字段(包含IP和Session)进行请求次数统计的频率控制策略。 不支持 不支持 支持 支持 支持
网站防篡改 锁定网站页面,防止内容被恶意篡改。 不支持 支持 支持 支持 支持
防敏感信息泄露 防敏感数据泄露,包括电话号码、身份证、银行卡等重要隐私数据。 不支持 支持 支持 支持 支持
自定义防护规则组 支持自定义防护规则组。 不支持 不支持 支持 支持 支持
主动防御 基于网站访问流量的深度学习,提供主动防御能力。 不支持 不支持 支持 支持 不支持
深度学习引擎 依托于大数据深度学习引擎的0day漏洞风险检测。 不支持 不支持 不支持 不支持 不支持
数据风控 防御网站关键业务(例如注册、登录、活动、论坛)中可能发生的机器爬虫欺诈行为。 不支持 不支持 不支持 不支持 不支持
DDoS攻击防护 免费防御攻击流量不超过5 Gbps的DDoS攻击。 不支持 不支持 不支持 不支持 不支持
合法爬虫 提供合法搜索引擎白名单,为域名放行合法爬虫的访问请求。 增值服务 增值服务 增值服务 增值服务 增值服务
爬虫威胁情报 提供拨号池IP、IDC机房IP、恶意扫描工具IP以及云端实时模型生成的恶意爬虫库等多种维度的爬虫威胁情报规则,方便您在全域名或指定路径下设置阻断恶意爬虫的访问请求。 增值服务 增值服务 增值服务 增值服务 增值服务
App防护 专门针对原生App端,提供可信通信,防机器脚本滥刷等安全防护,可以有效识别代理、模拟器、非法签名的请求。 增值服务 增值服务 增值服务 增值服务 增值服务
安全分析和支持
告警设置 支持通过云监控服务配置WAF事件监控、阈值监控规则。 支持 支持 支持 支持 支持
日志服务 支持采集WAF所有的日志信息并存储至日志服务中,提供准实时查询分析和在线报表展示等功能。 增值服务 增值服务 增值服务 增值服务 增值服务
大屏服务 提供网站整体业务及安全状况的可视化大屏分析。 增值服务 增值服务 增值服务 增值服务 增值服务