Web应用防火墙(Web Application Firewall,简称WAF) 3.0是全新推出的版本,相比于WAF 2.0,WAF 3.0在接入方式、防护配置、计费方式等方面进行了优化。本文通过对比,介绍WAF 3.0的主要优化点。
WAF 3.0具有不同于WAF 2.0的底层架构、售卖规格、控制台配置逻辑和交互体验等,因此无法跟WAF 2.0在同一个阿里云账号ID下共存。如果您已购买WAF 2.0实例,您登录的控制台版本为2.0版本。如果您已购买WAF 3.0实例,您登录的控制台版本为3.0版本。
您可以通过自助迁移工具,将WAF 2.0实例自动迁移到WAF 3.0。具体操作,请参见WAF 3.0迁移向导。
接入方式
WAF支持如下接入方式:CNAME接入、云产品接入。
接入方式 | WAF 3.0 | WAF 2.0 |
CNAME接入(图示①) | 支持。
更多信息,请参见CNAME接入。 | 支持。 |
云产品接入(WAF作为反向代理集群)(图示②) | 支持。
更多信息,请参见将七层CLB(HTTP/HTTPS)实例接入WAF、将四层CLB(TCP)实例接入WAF和将ECS实例接入WAF。 | 支持。 |
云产品接入(WAF作为SDK插件)(图示③) | 支持。 如果您的业务已在应用型负载均衡ALB(Application Load Balancer)、微服务引擎MSE(Microservices Engine)或函数计算(FunctionCompute,简称FC)运行,推荐您使用该种接入的方式接入WAF。
更多信息,请参见为ALB实例开启WAF防护、为MSE实例开启WAF防护和为FC自定义域名开启WAF防护。 | 不支持。 |
防护配置
防护配置 | WAF 3.0 | WAF 2.0 |
批量配置防护规则 | 支持。 WAF 3.0以接入的域名或实例为防护对象,并支持将防护对象加入到防护对象组。
| 不支持。 WAF 2.0以域名为防护对象,仅支持为单条域名配置防护规则。若需要对100个域名下发一条相同规则时,必须配置100遍。 |
为非域名接入的流量(如透明接入的实例)配置防护规则 | 支持。 云产品接入的实例自动被添加为防护对象,并支持为其配置和修改防护规则。 | 不支持。 若透明接入的实例中包含100个域名时,必须将每个域名都接入WAF后,才可以调整规则,否则所有流量都只能使用默认防护规则且无法修改。 |
全局查看防护规则 | 支持。 WAF 3.0为每个防护模块规划卡片区域,您可以在每个模块区域查看和管理规则,轻松了解某个防护模块具体配置了哪些防护模板,这些防护模板各自关联了哪些防护对象或防护对象组。您还可以通过规则ID,检索防护规则。 | 不支持。 若您希望知道某个域名配置了哪些防护规则,需要查看所有防护规则。 |
修改默认防护规则 | 支持。 WAF 3.0中的防护规则模板具备默认属性。若您希望新接入的域名配置的默认防护规则均为观察模式,您可以将默认模板设置为观察模式,那么,新接入的防护对象的防护动作都为观察模式,无需每次手动修改。 | 不支持。 若您希望新接入的域名配置的默认防护规则均为观察模式,WAF 2.0是无法做到的。您需要在接入以后,手动修改对应域名的防护规则。 |
功能提升
相比WAF 2.0,WAF 3.0版本新增如下功能:
新增自定义响应防护规则
支持自定义请求被拦截时返回给客户端的拦截页面样式或内容,包括响应头、响应体、响应码等。更多信息,请参见设置自定义响应规则配置拦截响应页面。
新增重保场景防护规则
为您提供阿里云多年重保经验沉淀的智能防护策略,无需手工配置复杂规则,一键开启,即可获得高安全等级防护能力。更多信息,请参见重保场景防护。
提供全新的资产中心功能
帮助您梳理云上、云下的域名资产,并根据资产在云上的攻击态势,进行风险等级评估,帮助您掌握业务的整体防护状态。更多信息,请参见资产中心。
提供新版安全报表功能
通过安全报表,您可以查看已启用的各防护模块的防护数据,进行业务安全分析。更多信息,请参见安全报表。
提供统一的白名单模块
支持全局白名单规则管理。更多信息,请参见设置白名单规则放行特定请求。
计费方式
WAF 3.0版本针对包年包月和按量付费两种计费方式做了以下优化:
关于WAF 3.0包年包月和按量付费实例的定价详情,请参见Web应用防火墙3.0定价页面。
包年包月
WAF 3.0新增基础版,适配小流量用户。
针对计费项做了进一步简化:
统一流量规格为QPS(无需关注bps)。支持弹性后付费,缓解实例因QPS超用而进入沙箱。
域名数不再通过主域名区分。同时,域名扩展支持梯度定价,扩展域名数越多,单价越低。
多云/混合云防护开放到更多版本。
WAF 2.0实例迁移为WAF 3.0版本后,实例的计费模式和版本不会发生变化。关于迁移后的费用变化,请参见包年包月实例费用变化。
按量付费
引入统一计量单元SeCU(Security Capacity Unit),简化计费逻辑,降低计费门槛。SeCU资源包梯度定价,用量越大费用越低。
新增小时级计费,配置删除或功能关闭时自动停止计费,无需手动开关。