按量付费计费明细与示例-Web应用防火墙-阿里云

按量付费是一种后付费计费方式，根据实际需求使用资源，无需预先购买。系统将根据每个结算周期内的实际用量生成账单，并从账户中扣除相应费用。本文介绍按量付费版WAF的计费规则。

计费原理

SeCU（Security Capacity Unit）为WAF 3.0引入的按量付费统一计量单元，所有计费项每小时消耗的资源都会折算为 SeCU，并按以下规则计费：

单价：SeCU的单价为0.05元，即1 SeCU收费0.05元。
统计间隔：SeCU的统计时间间隔为每个完整小时，例如，统计10:00:00~10:59:59期间的SeCU用量。
取整规则：SeCU 用量取整数，小数部分向上取整。例如，某小时内使用了 0.1 SeCU，则在该统计期间的SeCU出账量为1 SeCU。

每小时费用 = 各计费项消耗的 SeCU 总量 × 单价。

计费项

以下列出按量付费版WAF的计费项，按基础流量、接入功能、防护功能等进行分类。

WAF实例与流量费

计费项	SeCU	描述
WAF实例	0.5 SeCU/小时	WAF按量实例开通后即开始计费，无论是否进行接入或防护配置。说明仅此计费项的SeCU消耗按实际用量计算，不采用向上取整规则；其余计费项均采用向上取整规则。
基础流量费	1 SeCU／5,000次请求/小时	一个完整小时内，客户端发起的业务请求数，包括正常请求和攻击请求，不包括服务端的响应。说明某个完整小时内，若请求数为0，则不计费；若请求数不是5,000的整数倍，则向上取整计算 SeCU。详情请见计费示例。基础流量费中已包含白名单的功能费。
QPS峰值	≤1,000 QPS：0 SeCU/小时； >1,000 QPS：超出部分1 SeCU/5 QPS/小时	分时计费，按一个完整小时内，QPS的最大峰值计费。说明若超出部分不足5 QPS，则按照5 QPS计算。

资源接入功能费

计费项	SeCU	描述
CNAME 接入域名数	阶梯式计费（分段累进）： 1个域名：0 SeCU； 2~10 域名：5 SeCU/域名/小时； 11~100 域名：3 SeCU/域名/小时； 100个域名以上：1 SeCU/域名/小时	CNAME接入方式下，按实际接入的域名数计算，不区分主域名、泛域名等。
CNAME 接入：独享IP	15 SeCU/独享IP/小时	CNAME接入方式下，按开启独享IP的域名数量计费。
CNAME 接入：非标端口	未启用：0 SeCU/小时；启用：25 SeCU/小时	CNAME 接入方式下，若配置了除 80、8080、443 和 8443 以外的任意非标准端口，即视为启用该功能。
CNAME 接入：智能负载均衡	未启用：0 SeCU/小时；启用：50 SeCU/小时	CNAME 接入方式下，若为任一域名配置了智能负载均衡，即视为启用该功能。
CNAME 接入：IPv6	未启用：0 SeCU/小时；启用：50 SeCU/小时	CNAME 接入方式下，若为任一域名配置了IPv6，即视为启用该功能。
资产中心	未启用：0 SeCU/小时；启用：1 SeCU/小时	启用资产中心功能后计费。

Web 核心防护功能费

计费项	SeCU	描述
Web 核心防护规则	无防护对象的默认模板：0 SeCU/小时；存在防护对象的默认模板：3 SeCU/小时；非默认模板：3 SeCU/个/小时	默认模板：接入防护对象后，开始计费，包括启用和禁用状态的模板。非默认模板：创建后基于数量进行计费，包括启用和禁用状态的模板。说明默认模板数量最多为一个。
Web 核心防护规则：智能加白引擎	未启用：0 SeCU/个/小时；启用：10 SeCU/个/小时	按启用智能加白功能的Web 核心防护规则模板数量计费。
IP黑名单	2 SeCU/规则/小时	按IP黑名单规则条数计费，包含启用和禁用状态的规则。
自定义规则	2 SeCU/基础规则/小时； 5 SeCU/高级规则/小时	按自定义规则的防护规则条数计费，包含启用和禁用状态的规则。说明满足下列任意条件之一的规则为高级规则，其他均为基础规则：规则类型为频率控制。使用了匹配字段：Cookie、Content-Type、Content-Length、X-Forwarded-For、Body、Http-Method、File Extension、Filename、Server-Port、Header、Cookie Name、Body Parameter。使用了逻辑符：正则匹配、正则不匹配。使用了高级设置：规则灰度、生效时间模式。
自定义规则：滑块规则动作	1 SeCU/10次/小时	按调用次数计费。若不足10次，则按10次计算。
扫描防护	10 SeCU/规则/小时	按扫描防护规则条数计费，包含启用和禁用状态的规则，每个扫描防护模板固定包含3条规则。
CC防护	2 SeCU/规则/小时	按CC防护的规则条数计费，包含启用和禁用状态的规则。
区域封禁	10 SeCU/规则/小时	按区域封禁规则条数计费，包含启用和禁用状态的规则。
自定义响应	10 SeCU/规则/小时	按自定义响应规则条数计费，包含启用和禁用状态的规则，每个自定义响应模板固定包含1条规则。
网页防篡改	5 SeCU/规则/小时	按网页防篡改规则条数计费，包含启用和禁用状态的规则。
信息泄露防护	5 SeCU/规则/小时	按信息泄露防护的规则条数计费，包含启用和禁用状态的规则。
洪峰限流	150 SeCU/规则/小时	按洪峰限流的规则条数计费，包含启用和禁用状态的规则。
威胁情报	50 SeCU/模板/小时	按威胁情报防护模板个数计费，包含开启和禁用状态的模板。

高级防护功能费

计费项	SeCU	描述
Bot管理	Bot-Web模板：50 SeCU/模板/小时； Bot-App模板：80 SeCU/模板/小时	按已配置的Bot-Web和Bot-App防护模板个数计费，包含开启和禁用状态的模板。说明此处介绍新版本Bot管理计费，更多信息，请参见【公告】Bot管理版本升级及服务定价调整。
Bot管理：请求处理费	1 SeCU/7,500次请求/小时	一个完整小时内，命中防护对象的请求数。说明某个完整小时内，若请求数不是7,500的整数倍，则向上取整计算 SeCU。详情请见计费示例。
Bot管理：风险识别	1 SeCU/次/小时	按命中次数计费。
Bot管理：高级自定义规则	15SeCU/规则/小时	按Bot管理-高级自定义规则的规则条数计费，包含启用和禁用状态的规则。
API安全	20 SeCU/防护对象/小时	按已开启API 安全的防护对象个数计费。
API安全：请求处理费	1 SeCU/7,500次请求/小时	一个完整小时内，命中防护对象的请求数。说明某个完整小时内，若请求数不是7,500的整数倍，则向上取整计算 SeCU。详情请见计费示例。

其他费用

计费项	描述
日志服务	由日志服务统一计费和出账，WAF侧不计费。
重保场景防护	按量付费版WAF支持开启重保场景防护，此功能采用预付费方式，支持30天起购。更多信息，请参见重保场景防护。

计费示例

案例1

您通过CNAME接入方式接入了5个域名到WAF防护，并配置了2条IP黑名单规则；在某个完整小时内，业务请求数量为0次，QPS峰值为0 QPS。

该场景下，一个完整小时内消耗27.5 SeCU，总费用为1.375元。详细计费见下表。

计费项	单价	SeCU（按1小时向上取整）	总费用（1 SeCU = 0.05元）
基础流量费	1 SeCU／5,000次请求/小时	0 SeCU	0.05*0=0元
QPS峰值	QPS 峰值≤1,000 QPS，0 SeCU/1小时	0 SeCU	0.05*0=0元
CNAME 接入域名数	阶梯式计费： 1个域名：0 SeCU 2~10 域名：5 SeCU/域名/小时 11~100 域名：3 SeCU/域名/小时 100个域名以上：1 SeCU/域名/小时	10+45=20 SeCU	0.05*20=1元
WAF实例	WAF按量实例开通后开始计费。0.5 SeCU/小时	0.5 SeCU	0.05*0.5=0.025元
IP黑名单	2 SeCU/规则/小时	4 SeCU	0.05*4=0.2元
Web 核心防护规则说明资源接入WAF后，系统自动创建防护对象，并将其应用至Web 核心防护规则默认模板。	存在防护对象：3 SeCU/1小时	3 SeCU	0.05*3=0.15元

案例2

您已经通过CNAME接入方式接入了12个域名到WAF防护，其中2个域名启用了独享IP和智能负载均衡，并创建了1个扫描防护模板；在某个完整小时内，业务请求数量为50,001次，QPS峰值为4,000QPS。

该场景下，本小时内消耗775.5 SeCU，总费用为38.775元。详细计费见下表。

计费项	单价	SeCU（按1小时向上取整）	总费用（1SeCU = 0.05元）
基础流量费	1 SeCU／5,000次请求/小时	11 SeCU	0.05*11=0.55元
QPS峰值	QPS 峰值≤1,000 QPS，0 SeCU/小时 >1,000 QPS，超出部分单价为1 SeCU/5 QPS/小时	600 SeCU	0.05*600=30元
WAF实例	WAF按量实例开通后开始计费。0.5 SeCU/小时	0.5 SeCU	0.05*0.5=0.025元
CNAME 接入域名数	阶梯式计费： 1个域名：0 SeCU 2~10 域名：5 SeCU/域名/小时 11~100 域名：3 SeCU/域名/小时 100个域名以上：1 SeCU/域名/小时	10+95+2*3=51 SeCU	0.05*51=2.55元
CNAME 接入：独享IP	15 SeCU/独享IP/小时	30 SeCU	0.05*30=1.5元
CNAME 接入：智能负载均衡	启用：50 SeCU/小时	50 SeCU	0.05*50=2.5元
扫描防护说明每个扫描防护模板固定包含3条规则。	10 SeCU/规则/小时	30 SeCU	0.05*30=1.5元
Web 核心防护规则说明资源接入WAF后，系统自动创建防护对象，并将其应用至Web 核心防护规则默认模板。	存在防护对象：3 SeCU/小时	3 SeCU	0.05*3=0.15元

案例3

您已经通过云产品接入的方式为七层CLB（HTTP/HTTPS）实例开启WAF防护（以杭州地域为例），除配置Web核心防护规则外，还启用了Bot管理和CC防护功能，并配置了相应的防护模板。其中，CC防护配置了2条规则，状态为禁用；Bot管理配置了1个模板，状态为启用，并已开启风险识别功能。在某一完整小时内，业务总请求数为4200次，QPS峰值为537。Bot管理规则命中34次，风险识别规则命中3次。

该场景下，一个完整小时内消耗62.5 SeCU，本小时总费用为3.125元。详细计费见下表。

计费项	单价	SeCU（按1小时向上取整）	总费用（1SeCU = 0.05元）
基础流量费	1 SeCU／5,000次请求/小时	1 SeCU	0.05*1=0.05元
QPS峰值	QPS 峰值≤1,000 QPS，0 SeCU/小时	0 SeCU	0.05*0=0元
Bot管理：请求处理费	按一个完整小时内，命中防护目标的请求数计费。 1 SeCU/7,500次请求	1 SeCU	0.05*1=0.05元
Bot管理：风险识别	按命中次数计费。 1 SeCU/次/小时	3 SeCU	0.05*3=0.15元
WAF实例	WAF按量实例开通后开始计费。0.5 SeCU/小时	0.5 SeCU	0.05*0.5=0.025元
Web 核心防护规则说明资源接入WAF后，系统自动创建防护对象，并将其应用至Web 核心防护规则默认模板。	存在防护对象：3 SeCU/小时	3 SeCU	0.05*3=0.15元
Bot管理	按已配置的Bot-Web防护模板个数计费，包含开启和禁用状态的模板。 Bot-Web模板：50 SeCU/模板/小时	50 SeCU	0.05*50=2.5元
CC防护	按CC防护的规则条数计费，包含启用和禁用状态的规则。 2 SeCU/规则/小时	4 SeCU	0.05*4=0.2元

案例4

您已经通过云产品接入的方式为ALB实例开启WAF防护（以杭州地域为例），并创建了2个自定义响应模板（分别应用于不同的防护对象）；在某个完整小时内，业务请求数量为50,004，QPS 峰值为5,997 QPS。

该场景下，本小时内消耗1034.5 SeCU，WAF增强版ALB实例费为0.208元/小时，总费用为51.933元。详细计费见下表。

计费项	单价	SeCU（按1小时向上取整）	总费用（1SeCU = 0.05元）
基础流量费	1 SeCU／5,000次请求/小时	11 SeCU	0.05 *11=0.55元
QPS峰值	QPS峰值>1,000 QPS，超出部分单价1 SeCU/5 QPS/小时	1000 SeCU	0.05*1000=50元
WAF实例	WAF按量实例开通后开始计费。0.5 SeCU/小时	0.5 SeCU	0.05*0.5=0.025元
自定义响应	10 SeCU/规则/小时	20 SeCU	0.05*20=1.0元
Web 核心防护规则说明资源接入WAF后，系统自动创建防护对象，并将其应用至Web 核心防护规则默认模板。	存在防护对象：3 SeCU/小时	3 SeCU	0.05*3=0.15元
WAF增强版ALB实例费	0.208元/小时，实际购买价格请以购买页为准。	/	0.208*1=0.208元

说明

在开通WAF按量付费之后，产生的实际用量及费用，请以您的阿里云账单为准。

计费周期

按量付费每天结算一次费用（以 UTC+8 时间为准），结算完毕后进入新的结算周期。

说明

按量付费费用结算一般在凌晨进行，若您需要修改功能变更（例如添加域名、开启新的功能防护等），建议您在每日6:00之后进行，否则该变更可能会计入前一天的账单。
如果您的账户可用额度（含阿里云账户余额和代金券）小于待结算的账单，会收到余额不足的短信或邮件提醒。

欠费说明

欠费将影响您的WAF产品服务使用，请您关注费用与成本，及时处理欠费。关于如何查询您的欠费余额及详细的欠费说明，请参见欠费说明。

警告

出现欠费后有停机风险，系统会提醒或通知您请及时续费，避免对您的服务造成影响。

账单查询

如果您想要在WAF 3.0账单管理页面查看按量付费实例实际用量和产生的具体费用明细，请参见查看账单。

常见问题

按量付费WAF产生的费用很高，如何进行成本优化？

为控制按量付费版 WAF 的成本并避免非预期高额费用，可参考以下优化措施：

按需启用功能：部分功能启用后将产生额外费用，应根据实际业务需求选择性开启，避免无差别启用多项功能或创建大量防护规则。
- API安全：仅当业务存在 API 接口时启用。
- Bot管理：用于防护自动化脚本、爬虫等机器流量，若业务无需此类防护，可保持关闭。
- Web核心防护：扫描防护、区域封禁等模块在创建防护规则后即开始计费。建议充分了解各模块功能后再配置，如无需使用，请及时删除对应防护模板。
- CNAME接入：配置非标准端口、启用IPv6 或独享 IP 等高级选项将产生额外费用。例如，仅接入单个域名时，无需开启独享 IP。
设置流量计费保护阈值：若成本控制优先于业务连续性保障需求，可配置该阈值，以限制 WAF 可处理的峰值 QPS，防止因大流量攻击导致费用激增。
采用预付费模式：当月度SeCU消耗较高，且因业务需要无法降低配置时，建议购买预付费的SeCU资源包或包年包月版WAF，以获得更优单价。

为什么没有配置WAF，没有接入资源，还是扣费了？

按量付费版WAF除请求处理费用外，还收取功能费用（包括WAF实例本身的费用等）。因此开通WAF服务后，无论是否有流量到达，立即开始产生费用。

当您不再计划使用WAF，取消最后一个接入的资源后，控制台也将弹出如下页面，提示您关闭WAF以停止计费。

如何关闭WAF停止扣费？

若不再计划使用WAF，希望关闭WAF停止计费时，请参照如下步骤关闭WAF实例。

警告

关闭WAF实例前，请确认接入到WAF的网站域名DNS已解析回源站。
关闭WAF实例后，所有网站域名配置信息将被清空。若仍有请求到达WAF实例，将无法被正常转发，导致网站无法访问。

进入总览页面，在顶部菜单栏，选择WAF实例的资源组和地域（中国内地、非中国内地）。
若显示如下界面，请单击右上角访问控制台。若未显示如下界面，请跳过此步骤。
在页面右侧区域单击关闭WAF，在页面弹出的提示框中勾选相关内容后单击确定。

关闭了WAF后为什么还是继续在扣费？

关闭 WAF 后仍产生费用，可能由以下原因导致：

未正确完成关闭操作：可能仅取消了资产接入或关闭了WAF防护开关，请严格按照如何关闭WAF停止扣费？的步骤进行关闭操作。
账单生成存在延迟：按量付费版WAF于次日生成账单，例如，若在10月2日关闭 WAF，则10月3日将生成10月2日的账单；自10月3日起，不再产生新的账单。
地域未正确切换：若购买了非中国内地的WAF，需要在总览页面顶部菜单栏，切换地域后再操作。