首页 Web 应用防火墙 如何将WAF 2.0实例迁移到WAF 3.0

如何将WAF 2.0实例迁移到WAF 3.0

更新时间: 2023-09-01 15:48:13

Web应用防火墙(Web Application Firewall,简称WAF)支持通过控制台迁移工具,自助将WAF 2.0实例迁移到WAF 3.0。本文介绍要迁移的实例需满足的条件、迁移后的详细说明和如何进行迁移。

重要

自助迁移工具入口分批灰度开放。

使用限制

支持迁移的WAF 2.0实例需满足如下要求:

  • 实例接入方式为CNAME接入

    说明

  • 实例版本为包年包月的高级版、企业版、旗舰版,按量付费版。且迁移后,实例的计费模式和版本不会发生变化。

  • 实例未使用大屏服务、未开启定制功能。

  • 实例在15天内不会到期。

  • 进行迁移的账号为阿里云账号(主账号),并且该账号未欠费。

    您可以将鼠标悬停在右上角头像处,查看账号详情。image.png

迁移说明

对业务影响

支持平滑迁移,无闪断,不会对正常业务造成影响。

说明

迁移后,WAF 2.0提供的CNAME地址、已配置的回源地址不会发生改变。您可以在CNAME接入列表,查看迁移后的域名、CNAME地址和源站信息。

迁移方式

  • 手动分批迁移

    启动后,系统仅自动创建WAF 3.0实例,而不迁移转发配置或防护配置。您需要指定部分或全部域名,手动迁移转发配置。该场景下,手工迁移的域名仅启用系统默认的防护规则,因此,您需要根据业务需要,配置相应防护策略。

    适用场景:域名较多或者规则复杂,希望分批迁移并观察流量情况。

  • 一键全量迁移

    启动后,系统会预检查您的配置,如果满足全量迁移要求,系统将自动创建WAF 3.0实例,并全量迁移转发配置和防护配置。

    适用场景:域名较少且规则简单,希望迁移过程简单,一键完成迁移。

  • 规则迁移

    启动后,系统会预检查您选择的规则模块是否支持迁移,检查通过,系统将自动创建WAF 3.0实例,并将选中的防护规则迁移到WAF 3.0。该场景下,系统会按同等效果将防护规则迁移到WAF 3.0。您需要手工分批迁移指定域名的转发配置,并将迁移后的防护规则模板关联到对应防护对象。

    适用场景:希望系统迁移规则,但需要手工分批迁移并观察流量情况。

迁移时长

迁移时长约15分钟,为WAF进行自动迁移的时长,包括WAF自动创建3.0实例、迁移转发配置和防护配置等。

由于一键全量迁移前,系统会进行较为复杂的预检查,所以,一键全量迁移花费的时间会比手动分批迁移、规则迁移长。

迁移窗口期

窗口期时长

迁移窗口期为允许进行迁移操作的整个周期,从单击我已了解迁移须知,开始迁移计时,共计15天。

您可以在迁移工具页面,查看迁移窗口期剩余时长。image

可进行的操作

  • 查看业务流量。

  • 域名分批迁移。

  • 来回切换WAF 2.0或WAF 3.0控制台。

  • 可以在WAF 3.0控制台添加防护配置,查看迁移后实例的防护是否生效。

  • 回滚到WAF 2.0。

  • 确认迁移完成或放弃迁移。

不能进行的操作

  • 不能在WAF控制台或用户中心进行续费升级降配退订等操作。否则,可能造成实例被释放、费用退回失败等情况。

  • 不能打开或关闭网页防篡改、敏感信息泄露的防护开关。

  • 不能修改WAF 2.0和WAF 3.0所有的转发配置,包括增删改WAF 2.0网站接入和WAF 3.0接入管理的配置。

需注意的操作

  • 迁移窗口期内,如果您在WAF 3.0添加了新的告警,且告警被触发,您只会在WAF 2.0收到告警提示。

  • 迁移窗口期到期后,如果没有及时确认迁移完成,实例及其配置会自动回滚到WAF 2.0,已迁移到WAF 3.0的实例会被释放,窗口期内的防护配置也会被删除。

  • 迁移完成后,您只能在WAF 3.0控制台进行安全防护。请您确定不再需要进行迁移操作后,再单击确认迁移完成

迁移后的变化

版本规格和支持能力变化

WAF 3.0在WAF 2.0的基础上进行了升级的同时,也对部分功能做了整合优化。

  • WAF 3.0的包年包月高级版取消了规则防护引擎的智能规则托管功能、自定义规则的滑块验证功能。因此,迁移后,如果您需要相应功能,请您将实例版本升级到企业版旗舰版。具体操作,请参见升级

  • WAF 3.0新增了防护模板配置、自定义响应规则、重保场景防护、高级资产中心等功能。迁移后,您可以根据业务需要,配置相应功能。更多信息,请参见设置自定义响应规则重保场景防护资产中心

关于WAF 3.0支持各版本支持的功能及规格的详细信息,请参见版本说明

费用变化

说明

迁移操作不会产生费用。

由于迁移后的版本规格和支持能力的变化,迁移后,即便您没有使用其他任何功能,WAF 3.0实例产生的费用也可能变化。

  • 变化发生时间

    • 按量付费实例:迁移后,第一次出账时。

    • 包年包月实例:迁移后,第一次续费时。

      重要

      • 实例迁移到WAF 3.0后,在第一次续费前,如果您进行退订或降配操作,WAF不会退还对应金额。

      • 如果您进行了降配,续费时,WAF会按照降配后的规格,收取相应费用。

    关于WAF 3.0包年包月和按量付费实例的定价详情,请参见Web应用防火墙3.0定价页面

  • 包年包月费用变更点

    • 超用QPS

    • 为了与版本内默认QPS规格保持一致,WAF 3.0 QPS统一按业务流量进行扩展。超用QPS的抵扣包由WAF 2.0的带宽扩展包变为WAF 3.0的QPS扩展规格。

    • 迁移时,系统会根据WAF 2.0实例已购买的业务带宽规格,自动换算为QPS。如果该QPS规格超过版本默认规格,系统会自动购买QPS扩展补齐。迁移完成后,您可以根据实际QPS用量,减少QPS规格,降低费用。具体操作,请参见降配

    • 下表以迁移前已购买100 Mbps的带宽扩展包为例,介绍迁移后的QPS费用的变化情况。

    • 功能

      版本

      迁移前

      迁移后

      单价

      高级版

      • 中国内地:1,000元/50 Mbps/月

      • 非中国内地:5,000元/50 Mbps/月

      300 元/100 QPS/月,会根据已开启的Bot管理、API安全功能发生变化

      企业版

      • 中国内地:3,000元/50 Mbps/月

      • 非中国内地:12,000元/50 Mbps/月

      旗舰版

      • 中国内地:5,000元/50 Mbps/月

      • 非中国内地:20,000元/50 Mbps/月

      购买数量

      100 Mbps。换算为QPS,约为4,000 QPS

      自动购买4,000 QPS

      总费用

      高级版

      • 中国内地:2,000元/月

      • 非中国内地:10,000元/月

      12,000元/月

      企业版

      • 中国内地:6,000元/月

      • 非中国内地:24,000元/月

      旗舰版

      • 中国内地:10,000元/月

      • 非中国内地:40,000元/月

    • 超用域名

      WAF 3.0 CNAME接入的域名不再区分主域名与子域名,统一按接入WAF的域名数计费。超用域名的抵扣包由WAF 2.0的域名扩展包变为WAF 3.0的域名扩展数。

      迁移时,如果WAF 2.0实例已使用的主域名和子域名数总数超过WAF 3.0版本内默认规格,系统会自动购买域名扩展补齐。迁移完成后,您可以根据已接入域名数,减少域名扩展规格,降低费用。具体操作,请参见降配

      降配示例

      如果您已添加主域名example.com及其子域名mail.example.com、主域名example.edu、主域名aliyun.com,共需要4个域名额度。

      您可以直接使用WAF 3.0版本内免费赠送的域名额度,无需额外购买域名扩展包。通过降配,可减少域名扩展规格为0个。

      续费时,域名扩展费用为0元/月。

      下表以迁移前已购买2个域名扩展包为例,介绍迁移后的域名费用的变化情况。

      功能

      版本

      迁移前

      迁移后

      单价

      高级版

      • 中国内地:600元/个扩展包/月

      • 非中国内地:500元/个扩展包/月

      • 1~10个:150元/个/月

      • 11~100个:110元/个/月

      • >100个:60元/个/月

      企业版

      • 中国内地:1,000元/个扩展包/月

      • 非中国内地:900元/个扩展包/月

      旗舰版

      • 中国内地:2,000元/个扩展包/月

      • 非中国内地:2,000元/个扩展包/月

      购买数量

      高级版

      • 购买2个域名扩展包

      • 高级版、企业版、旗舰版均包含1个免费域名包

      • 不区分主域名或子域名,1个免费域名包和2个域名扩展包共计30个域名。

      版本内包含5个免费域名,系统会自动购买25个域名扩展规格,补齐30个域名规格。

      企业版

      版本内包含10个免费域名,系统会自动购买20个域名扩展规格,补齐30个域名规格。

      旗舰版

      版本内包含50个免费域名,系统不会自动购买域名扩展规格。

      总费用

      高级版

      • 中国内地:1,200元/月

      • 非中国内地:1,000元/月

      3,150元/月(10×150+15×110)

      企业版

      • 中国内地:2,000元/月

      • 非中国内地:1,800元/月

      2,600元/月(10×150+10×110)

      旗舰版

      • 中国内地:4,000元/月

      • 非中国内地:4,000元/月

      0元/月

    • API安全

      迁移前后,API安全费用变化如下所示。

      版本

      迁移前

      迁移后

      高级版

      20,000元/月

      5,000元/月

      企业版

      20,000元/月

      10,000元/月

      旗舰版

      20,000元/月

      20,000元/月

      开启API安全后,QPS扩展单价额外增加200 元/100QPS/月。

    • Bot管理

      迁移前后,Bot管理费用变化如下所示。

      版本

      Bot管理-Web防护

      Bot管理-APP防护

      迁移前

      迁移后

      迁移前

      迁移后

      高级版

      7,000元/月

      3,500元/月

      2,000元/月

      2,000元/月

      企业版

      7,000元/月

      7,000元/月

      2,000元/月

      2,000元/月

      旗舰版

      7,000元/月

      12,000元/月

      2,000元/月

      2,000元/月

      开启Bot管理-Web防护Bot管理-APP防护任意一种功能后,QPS扩展单价额外增加200元/100QPS/月。

新增沙箱和弹性QPS

  • 什么是沙箱

    沙箱为WAF 3.0引入的一种特殊机制。针对包年包月实例,如果实例的实际流量超过已购买QPS流量规格(包括版本包含的默认规格和QPS扩展之和)时,实例可能会进入的一种异常状态。更多信息,请参见沙箱说明

    说明

    迁移窗口期内,实例不会进入沙箱。

  • 迁移后的变化

    迁移后,包年包月实例的实际流量可能会超过当前版本默认支持的QPS规格,从而使得实例进入沙箱状态。

  • 解决方法

    您可以通过升级版本、购买QPS扩展规格、开启弹性后付费QPS的方式,避免实例因QPS超用进入沙箱,影响正常业务。

    • 关于开启弹性后付费QPS的具体操作,请参见开通弹性后付费

    • 关于购买QPS扩展规格的具体操作,请参见QPS扩展

    • 关于升级版本的具体操作,请参见升级

日志服务变化

  • 迁移后,系统会自动创建WAF 3.0的logstore,同时保留WAF 2.0的logstore。

    迁移窗口期内,已迁移的域名日志会写入WAF 3.0的logstore,未迁移的域名日志会继续写入WAF 2.0的logstore。

  • WAF 2.0的logstore的日志会根据用户设置的保留时间按从远到近的顺序依次清空超出保留时间的日志,直至清空。如果需要保留,请及时备份。具体操作,请参见下载日志

  • WAF 3.0的logstore的日志存储时长默认为180天,如需修改,可在日志服务控制台进行配置。

  • 按量付费实例的日志费用由日志服务出账,WAF侧不再收取该费用。

需要重新进行的配置

迁移后,OpenAPI、针对OpenAPI接口级别的权限管理、Terraform、资源组、云监控与告警、日志服务、实例续费、产品code变化引发的商务变更等需要重新配置。具体操作,请参见后续操作

操作步骤

  1. 登录Web应用防火墙控制台,在顶部菜单栏,选择WAF实例的资源组和地域(中国内地非中国内地)。

  2. 在左侧导航栏底部,单击WAF3.0迁移入口

    • 如果您的实例满足迁移要求,您可以在迁移须知面板,阅读迁移须知并选中须知项后,单击我已了解迁移须知,开始迁移

    • 如果您的实例不满足迁移要求,WAF将弹出错误提示框。您可以根据提示内容,执行对应操作。如果您有迁移相关的任何问题,请加入钉群(钉群号:34657699),联系产品技术专家进行咨询。

  3. 迁移工具页面,选择手动分批迁移一键全量迁移规则迁移后,单击立即开始

    选择规则迁移后,需选择要迁移的防护规则:基础防护(自定义规则组)白名单IP黑名单(IP黑名单和区域封禁)CC防护扫描防护自定义防护规则(ACL)网页防篡改信息泄露防护BOT管理-场景化。支持多选。

    重要

    • 您只能在迁移工具页面选择要迁移的防护规则,请您根据业务情况仔细评估后,再单击立即开始

      开始迁移后,如果您希望迁移其他防护规则,可单击域名列表上方的放弃迁移,退出迁移流程后,再重新进行迁移。退出后,系统会删除WAF 3.0实例及其配置。

    • 迁移过程中,如果您有其他问题,也可随时单击放弃迁移,退出迁移流程。

    手动分批迁移

    完成迁移后,系统将自动创建WAF 3.0实例,只将指定域名的转发配置迁移到WAF 3.0。

    1. 在弹出的手动分批迁移提示对话框,单击确定

      WAF会自动为您进行迁移预校验、WAF 3.0实例创建、WAF 3.0防护规则迁移等,预计需要15分钟,请您保持当前页面打开状态,不要刷新页面。

    2. 实例创建成功,弹出WAF 3.0版本实例创建成功对话框,单击确定

      此时,域名对应的迁移状态为未迁移image

    3. 迁移工具页面,迁移域名转发配置。

      • 迁移单个域名:定位到目标域名,单击操作列的迁移到3.0版本

      • 批量迁移多个域名:选中要迁移的域名,单击域名列表下的批量迁移到3.0版本

      迁移成功后,域名的迁移状态显示为已迁移image

    一键全量迁移

    完成迁移后,系统将自动创建WAF 3.0实例,并将所有域名的转发配置和防护配置全量迁移到WAF 3.0。

    1. 在弹出的一键全量迁移提示对话框,单击确定

      系统会自动为您进行迁移预校验、WAF 3.0实例创建、WAF 3.0防护规则迁移、WAF 3.0日志服务Logstore创建、WAF 3.0转发配置迁移等,预计需要15分钟,请您保持当前页面打开状态,不要刷新页面。

    2. 迁移成功后,弹出一键迁移成功对话框,单击确认

      此时,所有域名的迁移状态显示为已迁移image

      说明

      如果迁移不成功,实例将自动回滚到WAF 2.0。您可以在回滚完成对话框,查看迁移失败原因。

    规则迁移

    完成迁移后,系统将自动创建WAF 3.0实例,并将选中的防护规则迁移到WAF 3.0。

    1. 在弹出的规则迁移提示对话框,单击确定

      系统会自动为您进行迁移预校验、WAF 3.0实例创建、WAF 3.0防护规则迁移等,预计需要15分钟,请您保持当前页面打开状态,不要刷新页面。

    2. 实例创建成功,弹出WAF 3.0版本实例创建成功对话框,单击确定

      此时,域名对应的迁移状态为未迁移image

    3. 迁移工具页面,迁移域名转发配置。

      • 迁移单个域名:定位到目标域名,单击操作列的迁移到3.0版本

      • 批量迁移多个域名:选中要迁移的域名,单击域名列表下的批量迁移到3.0版本

      迁移成功后,域名的迁移状态显示为已迁移image

    4. 在左侧导航栏,单击切到3.0版本

    5. 在WAF 3.0控制台,将防护规则关联到要生效的防护对象。

      在左侧导航栏,选择防护配置 > 防护规则定位到目标防护规则后,单击操作列的编辑,在生效对象区域,将防护对象移入已选择对象框。

      说明

      如果迁移的规则为BOT管理-场景化在左侧导航栏,选择防护配置 > 场景防护 > BOT管理定位到目标防护规则后,单击image.png图标,在生效范围配置向导页,将防护对象移入已选择对象框。

  4. 在左侧导航栏,单击切到3.0版本,在WAF 3.0控制台,验证迁移后的配置和实际业务是否正常。

    如果迁移后的配置或实际业务存在不正常情况,可单击目标域名操作列的回滚到2.0版本,或选中多个域名,单击域名列表下的批量回滚到2.0版本,将实例及其配置回退到WAF 2.0进行验证。

    说明

    一键全量迁移的域名配置被回滚到2.0后,也可在迁移工具页面,单击迁移到3.0版本此时,系统将只迁移该域名的转发配置。迁移完成后,您需要为该域名配置相应的防护规则。

  5. 单击确认迁移完成

    迁移完成后,WAF 2.0实例会被释放,您可以在WAF 3.0控制台进行安全防护。

    重要

    迁移完成后,请及时确认迁移完成。如果迁移窗口期15天到期后,您仍未单击确认迁移完成,实例及其配置会回滚到WAF 2.0,自动创建的WAF 3.0实例会被释放,窗口期内的防护配置也会被删除。如果仍需迁移,需要重新开始。

后续操作

完成迁移后,您需要进行如下操作,才能正常使用WAF 3.0。

  • 配置OpenAPI

    WAF 3.0启用新的OpenAPI,需要重新配置。更多信息,请参见API概览

  • 配置RAM权限

    针对OpenAPI接口级别的权限管理需要重新配置。更多信息,请参见授权信息

  • 配置Terraform

    Terraform需要重新配置。更多信息,请参见Terraform Registry(域名)Terraform Registry(实例)

  • 配置资源组

    资源组暂不支持迁移,需要重新配置。具体操作,请参见添加域名

  • 配置云监控与告警

    WAF 3.0启用新的事件和指标监控项,需要重新配置。具体操作,请参见配置云监控通知

  • 配置日志服务

    您需要重新配置日志服务的如下信息:

  • 配置防护策略

    如果采用手动分批迁移,您需要配置防护规则并关联防护对象。具体操作,请参见防护配置

  • 为迁移后的实例开启自动续费

    如果迁移前WAF 2.0实例已开启自动续费,迁移完成后,您需要为迁移后的WAF 3.0实例开启自动续费。否则,实例到期后15天会被释放。具体操作,请参见自动续费

  • 产品code变更引发的操作

    完成迁移后,WAF对应的产品code会发生变化。如果您的实例因此需要进行商务变更,请联系您的商务经理。

常见问题

有透明接入引流的实例能不能迁移?

可以。您可以先关闭引流、删除域名接入配置后,再进行迁移。具体操作可参考如下步骤:

  1. 访问网站接入页面,在服务器列表页签,单击实例端口操作列的关闭引流image

  2. 域名列表页签,单击域名操作列的删除image

  3. 迁移实例。具体操作,请参见迁移操作

  4. 将迁移后的实例接入WAF 3.0。具体操作,请参见云产品接入

独享版实例能不能迁移?

不能。WAF 3.0不支持独享版。

迁移过程中,会不会产生费用?

不会。迁移完成后,包年包月实例会在下一次续费时产生费用,按量付费实例会在下一次出账时产生费用。关于费用变化情况和产生费用的时间的详细信息,请参见费用变化

WAF 2.0按量付费版能不能迁移为WAF 3.0包年包月版

不能。WAF 2.0按量付费实例只能迁移为WAF 3.0按量付费实例。如果您希望将计费模式转换为包年包月,您可以在迁移完成后,关闭按量付费实例,再重新购买包年包月实例。

WAF 2.0企业版能不能迁移成WAF 3.0高级版?

不能。

WAF 2.0高级版能不能迁移成WAF 3.0企业版?

不能。包年包月实例仅支持同版本迁移,WAF 2.0高级版只能迁移为WAF 3.0高级版。如果您希望使用企业版,您可以在迁移完成后,将高级版升级为企业版。具体操作,请参见升级

迁移窗口内,能不能在WAF 2.0上新添加一个域名,再继续进行迁移?

不能。迁移窗口期内,网站接入会被置灰,不支持新添加域名、删除或修改已接入域名的所有转发配置。如果您在迁移窗口期内,需要在WAF 2.0上新添加一个域名,您需要先放弃迁移,再添加域名。完成后,重新进行迁移。

说明

放弃迁移后,系统会删除WAF 3.0实例及其配置,并退出迁移流程。

相关文档

阿里云首页 Web 应用防火墙 相关技术圈