WAF 3.0与WAF 2.0对比

Web应用防火墙(Web Application Firewall,简称WAF) 3.0是全新推出的版本,相比于WAF 2.0WAF 3.0在接入方式、防护配置、计费方式等方面进行了优化。本文通过对比,介绍WAF 3.0的主要优化点。

重要
  • WAF 3.0具有不同于WAF 2.0的底层架构、售卖规格、控制台配置逻辑和交互体验等,因此无法跟WAF 2.0在同一个阿里云账号ID下共存。如果您已购买WAF 2.0实例,您登录的控制台版本为2.0版本。如果您已购买WAF 3.0实例,您登录的控制台版本为3.0版本。

  • 您可以通过自助迁移工具,将WAF 2.0实例自动迁移到WAF 3.0。具体操作,请参见WAF 3.0迁移向导

接入方式

WAF支持如下接入方式:CNAME接入、云产品接入。

image

接入方式

WAF 3.0

WAF 2.0

CNAME接入(图示①)

支持。

  • 通过添加域名,并将域名的DNS解析指向WAFCNAME地址,使域名的Web业务引流到WAF。WAF会拦截攻击请求并将正常业务请求转发回源站服务器。

  • 该过程中,WAF作为反向代理集群,同时参与流量的转发和检测防护。

更多信息,请参见CNAME接入

支持。

云产品接入(WAF作为反向代理集群)(图示②)

支持。

  • 通过添加引流端口到WAF的方式,使云产品网关自动改变路由,将Web业务引流到WAF。WAF会拦截攻击请求并将正常业务请求转发回源站服务器。

  • 该过程中,WAF作为反向代理集群,同时参与流量的转发和检测防护。

更多信息,请参见为七层CLB(HTTP/HTTPS)开启WAF防护为四层CLB(TCP)开启WAF防护ECS开启WAF防护

支持。

云产品接入(WAF作为SDK插件)(图示③)

支持。

如果您的业务已经在应用型负载均衡ALB(Application Load Balancer)、微服务引擎MSE(Microservices Engine)、函数计算FC(FunctionCompute)或应用引擎SAE 2.0(Serverless App Engine)运行,推荐您使用这种接入方式接入WAF。

  • WAF 3.0通过SDK模块化的方式集成在云产品的网关中,通过内嵌在网关中的SDK提取流量并进行检测和防护。该过程中,WAF不参与流量转发,避免因额外引入一层转发而带来各种兼容性和稳定性问题。

  • 支持基于实例一键开启安全防护,无需修改DNS,也无需配置证书、端口、回源算法等,简化接入流程,降低对原有业务的影响。

  • 支持阿里云原生产品实例支持的所有地域,覆盖更广。

  • 支持在多云或混合云本地自建网关(如Nginx),通过混合云SDK服务化接入方式集成。

  • 基于服务化接入,WAF 3.0补充完整了各种业务场景下的灵活接入能力,可基于用户的实际网络环境和合规等需求,支持多种环境下的接入部署,并实现由一套控制台统一管控。

更多信息,请参见ALB实例开启WAF防护MSE云原生网关实例开启WAF防护FC自定义域名开启WAF防护SAE 2.0自定义域名开启WAF防护

不支持。

防护配置

防护配置

WAF 3.0

WAF 2.0

批量配置防护规则

支持。

WAF 3.0以接入的域名或实例为防护对象,并支持将防护对象加入到防护对象组。

  • 您可以为防护对象组配置同一条防护规则,为防护对象组中的防护对象批量配置规则。

  • 您也可以将云产品接入WAF的实例中的某一域名单独添加为防护对象,为其配置定制化的防护规则。

不支持。

WAF 2.0以域名为防护对象,仅支持为单条域名配置防护规则。若需要对100个域名下发一条相同规则时,必须配置100遍。

为非域名接入的流量(如透明接入的实例)配置防护规则

支持。

云产品接入的实例自动被添加为防护对象,并支持为其配置和修改防护规则。

不支持。

若透明接入的实例中包含100个域名时,必须将每个域名都接入WAF后,才可以调整规则,否则所有流量都只能使用默认防护规则且无法修改。

全局查看防护规则

支持。

WAF 3.0为每个防护模块规划卡片区域,您可以在每个模块区域查看和管理规则,轻松了解某个防护模块具体配置了哪些防护模板,这些防护模板各自关联了哪些防护对象或防护对象组。您还可以通过规则ID,检索防护规则。

不支持。

若您希望知道某个域名配置了哪些防护规则,需要查看所有防护规则。

修改默认防护规则

支持。

WAF 3.0中的防护规则模板具备默认属性。若您希望新接入的域名配置的默认防护规则均为观察模式,您可以将默认模板设置为观察模式,那么,新接入的防护对象的防护动作都为观察模式,无需每次手动修改。

不支持。

若您希望新接入的域名配置的默认防护规则均为观察模式,WAF 2.0是无法做到的。您需要在接入以后,手动修改对应域名的防护规则。

功能提升

相比WAF 2.0WAF 3.0版本新增如下功能:

  • 新增自定义响应防护规则

    支持自定义请求被拦截时返回给客户端的拦截页面样式或内容,包括响应头、响应体、响应码等。更多信息,请参见设置自定义响应规则配置拦截响应页面

  • 新增重保场景防护规则

    为您提供阿里云多年重保经验沉淀的智能防护策略,无需手工配置复杂规则,一键开启,即可获得高安全等级防护能力。更多信息,请参见重保场景防护

  • 提供全新的资产中心功能

    帮助您梳理云上、云下的域名资产,并根据资产在云上的攻击态势,进行风险等级评估,帮助您掌握业务的整体防护状态。更多信息,请参见资产中心

  • 提供新版安全报表功能

    通过安全报表,您可以查看已启用的各防护模块的防护数据,进行业务安全分析。更多信息,请参见安全报表

  • 提供统一的白名单模块

    支持全局白名单规则管理。更多信息,请参见设置白名单规则放行特定请求

计费方式

WAF 3.0版本针对包年包月和按量付费两种计费方式做了以下优化:

说明

关于WAF 3.0包年包月和按量付费实例的定价详情,请参见Web应用防火墙3.0定价页面

包年包月

  • WAF 3.0新增基础版,适配小流量用户。

  • 针对计费项做了进一步简化:

    • 统一流量规格为QPS,无需关注各版本的带宽限制差异。支持弹性后付费,缓解实例因QPS超用而进入沙箱。

    • 域名数不再通过主域名区分。同时,域名扩展支持梯度定价,扩展域名数越多,单价越低。

  • 多云/混合云防护开放到更多版本。

  • WAF 2.0实例迁移为WAF 3.0版本后,实例的计费模式和版本不会发生变化。关于迁移后的费用变化,请参见包年包月实例费用变化

按量付费

  • 统一流量规格为QPS,无需关注带宽限制。

  • 引入统一计量单元SeCU(Security Capacity Unit),简化计费逻辑,降低计费门槛。SeCU资源包梯度定价,用量越大费用越低。

  • 新增小时级计费,配置删除或功能关闭时自动停止计费,无需手动开关。

相关文档