Web应用防火墙包年包月服务默认提供高级版、企业版、旗舰版等套餐(独享版需要提交工单申请后才支持开通)。通过包年包月方式开通WAF时,您可以根据要防护的业务规模和安全防护需求选择合适的套餐。本文介绍了不同WAF套餐适用的业务规模和支持的防护功能。

适用的业务规模

下表描述了不同WAF套餐适用的业务规模。一般情况下,对于中型规模的企业网站,推荐您选择企业版或者旗舰版。
说明 独享版需要提交工单申请后才支持开通。
业务规格 高级版 企业版 旗舰版 独享版(仅支持工单开通)
站点规模 中小型网站,对业务没有特殊的安全需求 中型企业级网站或服务对互联网公众开放,关注数据安全且具有高标准的安全需求 中大型企业网站,具备较大的业务规模,或是具有特殊定制的安全需求 大型企业网站,具备较大的业务规模且基于业务特性具有定制化的配置需求
业务并发请求峰值 2,000 QPS 5,000 QPS 超过10,000 QPS 5,000 QPS
业务带宽阈值(源站服务器部署在阿里云) 50 Mbps 100 Mbps 200 Mbps 100 Mbps
业务带宽阈值(源站服务器未部署在阿里云) 10 Mbps 30 Mbps 50 Mbps 30 Mbps
默认可防护的一级域名个数 1个 1个 1个 1,000个
默认可防护的总域名个数(支持泛域名) 10个 10个 10个 1,000个

关于如何开通Web应用防火墙服务,请参见开通Web应用防火墙

套餐功能列表(中国内地)

下表描述了Web应用防火墙中国内地实例(购买包年包月实例时选择中国内地地域)及按量计费实例的主要功能模块在不同套餐中的支持情况。更详细的套餐功能说明,请参见Web应用防火墙产品定价页面

标识说明:
  • √:表示在当前套餐中支持。
  • ×:表示在当前套餐中不支持。
  • 增值:表示需要在开通WAF时额外开启的特性,或者在开通WAF后需要使用升级功能单独购买的特性。
  • 配置后支持:表示需要在开通按量计费WAF后,通过功能与规格设置单独开启的特性。
功能模块 描述 高级版 企业版 旗舰版 独享版

(仅支持工单开通)

按量计费
业务接入
HTTPS安全防护 全站一键实现HTTPS防护。 配置后支持
非标准端口防护 支持防护80、8080、443、8443以外的特定非标准端口上的业务。 × 配置后支持
IPv6防护 支持IPv6访问流量的安全检测与防护。 × ×
智能负载均衡 通过多节点智能接入技术,实现源站服务器多节点、多线路自动调度容灾。 增值 增值 增值 增值 ×
域名独享资源包 支持为域名开启独享IP防护。 增值 增值 增值 增值 配置后支持
独享集群 基于业务特性的定制化接入和防护能力。 × × × ×
资产识别 主动发现和管理站点资产,支持一键接入防护。
透明接入 直接牵引源站ECS的流量到Web应用防火墙进行防护。 × ×
网站防护
正则防护引擎 防御常见的Web攻击,例如SQL注入、XSS等。
自动更新Web 0day漏洞攻击防护规则。
防护规则组 支持自定义防护规则组。 × ×
大数据深度学习引擎 依托于大数据深度学习引擎的0day漏洞风险检测。 × ×
主动防御 基于网站访问流量的深度学习,提供主动防御能力。 × × ×
网站防篡改 锁定网站页面,防止内容被恶意篡改。 配置后支持
防敏感信息泄露 防敏感隐私数据泄露,包括电话号码、身份证、银行卡等重要隐私数据。 配置后支持
CC安全防护 防御常见的CC攻击,支持内置的防护和防护-紧急模式。
IP黑名单 一键封禁特定的IP地址和地址段的访问能力。 配置后支持
包含上述特性,且支持一键封禁指定地理区域IP的访问能力。 × 配置后支持
扫描防护 支持高频Web攻击封禁(默认规则)、目录遍历封禁(默认规则)、扫描工具封禁、协同防御。 配置后支持
包含上述特性,且支持自定义高频Web攻击封禁、目录遍历封禁规则。 × 配置后支持
自定义防护策略 基于基础字段(包含IP、URL、Referer、User-Agent、Params)的ACL访问控制。
包含基础字段,且支持高级字段(例如Cookie、Content-Type、Header、Http-Method等)。 ×
自定义CC防护规则,设置基于IP和Session进行请求次数统计的频率控制策略。 ×
包含IP和Session,且支持基于自定义字段进行请求次数统计。 × ×
数据风控 防御网站关键业务(例如注册、登录、活动、论坛)中可能发生的机器爬虫欺诈行为。 增值 增值 增值 增值 配置后支持
Bot管理 提供针对自动化攻击或Bot流量的智能防护方案,缓解机器流量对业务造成的安全威胁。支持人机识别,防黄牛、防恶意注册场景。 增值 增值 增值 增值 ×
App防护 专门针对原生APP端,提供可信通信,防机器脚本滥刷等安全防护,可以有效识别代理、模拟器、非法签名的请求。 增值 增值 增值 增值 ×
账户安全 支持识别与账户关联的业务接口(例如注册、登录等)上的撞库、暴力破解、垃圾注册、弱口令嗅探和短信验证码接口滥刷事件。 ×
API安全 支持上传自定义的API规则文件,确保只有符合规则的API请求才会被执行。 × ×
安全分析和支持
日志服务 支持采集WAF所有的日志信息并存储至日志服务中,提供准实时查询分析和在线报表展示等功能。 增值 增值 增值 增值 配置后支持
可视化大屏服务 提供网站整体业务及安全状况的可视化大屏分析。 增值 增值 增值 增值 ×
产品专家服务 由阿里云安全专家提供钉钉群咨询服务,负责产品配置、策略优化、日常监控等技术支持。 增值 增值 增值 增值 ×

套餐功能列表(海外地区)

下表描述了Web应用防火墙海外地区实例(购买包年包月实例时选择海外地区地域)的主要功能模块在不同套餐中的支持情况。更详细的套餐功能说明,请参见Web应用防火墙产品定价页面

标识说明:
  • √:表示在当前套餐中支持。
  • ×:表示在当前套餐中不支持。
  • 增值:表示需要在开通WAF时额外开启的特性,或者在开通WAF后需要使用升级功能单独购买的特性。
  • 配置后支持:表示需要在开通按量计费WAF后,通过功能与规格设置单独开启的特性。
说明 海外地区WAF实例不支持按量计费。
功能模块 描述 高级版 企业版 旗舰版 独享版

(仅支持工单开通)

业务接入
HTTPS安全防护 全站一键实现HTTPS防护。
非标准端口防护 支持防护80、8080、443、8443以外的特定非标准端口上的业务。 ×
IPv6防护 支持IPv6访问流量的安全检测与防护。 × × × ×
智能负载均衡 通过多节点智能接入技术,实现源站服务器多节点、多线路自动调度容灾。 × 增值 增值 增值
域名独享资源包 支持为域名开启独享IP防护。 增值 增值 增值 增值
独享集群 基于业务特性的定制化接入和防护能力。 × × ×
资产识别 主动发现和管理站点资产,支持一键接入防护。 × × × ×
透明接入 直接牵引源站ECS的流量到Web应用防火墙进行防护。 × × × ×
网站防护
正则防护引擎 防御常见的Web攻击,例如SQL注入、XSS等。
自动更新Web 0day漏洞攻击防护规则。
防护规则组 支持自定义防护规则组。 × ×
大数据深度学习引擎 依托于大数据深度学习引擎的0day漏洞风险检测。 × × × ×
主动防御 基于网站访问流量的深度学习,提供主动防御能力。 × × × ×
网站防篡改 锁定网站页面,防止内容被恶意篡改。 × ×
防敏感信息泄露 防敏感隐私数据泄露,包括电话号码、身份证、银行卡等重要隐私数据。 ×
CC安全防护 防御常见的CC攻击,支持内置的防护和防护-紧急模式。
IP黑名单 一键封禁特定的IP地址和地址段的访问能力。
包含上述特性,且支持一键封禁指定地理区域IP的访问能力。 ×
扫描防护 支持高频Web攻击封禁(默认规则)、目录遍历封禁(默认规则)、扫描工具封禁、协同防御。
包含上述特性,且支持自定义高频Web攻击封禁、目录遍历封禁规则。 ×
自定义防护策略 基于基础字段(包含IP、URL、Referer、User-Agent、Params)的ACL访问控制。
包含基础字段,且支持高级字段(例如Cookie、Content-Type、Header、Http-Method等)。 ×
自定义CC防护规则,设置基于IP和Session进行请求次数统计的频率控制策略。 ×
包含IP和Session,且支持基于自定义字段进行请求次数统计。 × ×
数据风控 防御网站关键业务(例如注册、登录、活动、论坛)中可能发生的机器爬虫欺诈行为。 × × × ×
Bot管理 提供针对自动化攻击或Bot流量的智能防护方案,缓解机器流量对业务造成的安全威胁。支持人机识别,防黄牛、防恶意注册场景。 增值 增值 增值 增值
App防护 专门针对原生APP端,提供可信通信,防机器脚本滥刷等安全防护,可以有效识别代理、模拟器、非法签名的请求。 增值 增值 增值 增值
账户安全 支持识别与账户关联的业务接口(例如注册、登录等)上的撞库、暴力破解、垃圾注册、弱口令嗅探和短信验证码接口滥刷事件。
API安全 支持上传自定义的API规则文件,确保只有符合规则的API请求才会被执行。 × ×
安全分析和支持
日志服务 支持采集WAF所有的日志信息并存储至日志服务中,提供准实时查询分析和在线报表展示等功能。 增值 增值 增值 增值
可视化大屏服务 提供网站整体业务及安全状况的可视化大屏分析。 × 增值 增值 增值
产品专家服务 由阿里云安全专家提供钉钉群咨询服务,负责产品配置、策略优化、日常监控等技术支持。 增值 增值 增值 增值