Web 應用防火墻 WAF(Web Application Firewall)支持通過控制臺升級工具,自助將WAF 2.0實例升級到WAF 3.0。本文介紹要升級的實例需滿足的條件、如何進行自助版本升級操作以及升級相關的詳細說明。
自助升級工具入口分批灰度開放。
如果您的Web應用防火墻控制臺左側導航欄底部已顯示WAF3.0升級入口按鈕,表示您可以直接進行自助升級。
如果沒有WAF3.0升級入口按鈕,且急需將實例升級到WAF 3.0,您需要在WAF 3.0自助升級入口申請頁面提交申請,通過后再進行自助升級。
使用限制
支持升級的WAF 2.0實例需滿足如下要求:
實例接入方式為CNAME接入、透明接入(七層SLB類型、四層SLB類型、ECS類型)或混合云接入。
說明透明接入(ALB類型)暫不支持升級。如果您的實例中存在ALB類型的透明接入,您可以關閉引流、刪除域名接入配置后,再進行自助升級。具體操作,請參見有透明接入引流的實例能不能升級?
七層SLB類型、四層SLB類型、ECS類型升級后分別對應云產品接入的CLB(HTTP/HTTPS)、CLB(TCP)、ECS。
阿里云每日0點至3點進行云產品資產同步等操作,建議您在該時段不要進行透明接入的升級。
實例版本包括云WAF的包年包月高級版、企業版、旗艦版,混合云WAF的獨享版,按量付費版。
實例未使用大屏服務、未開啟定制功能。
實例在15天內不會到期。
進行升級的賬號為阿里云賬號(主賬號)或者擁有WAF完整權限(AliyunYundunWAFFullAccess)的RAM用戶,并且該賬號未欠費。
您可以將鼠標懸停在右上角頭像處,查看賬號詳情。
升級說明
對業務影響
支持平滑升級,無閃斷,不會對正常業務造成影響。
升級后,WAF 2.0提供的CNAME地址、已配置的回源地址不會發生改變。您可以在CNAME接入列表,查看升級后的域名、CNAME地址和源站信息。
升級方式
在完成升級預校驗并通過后,可以先選擇您希望使用的升級方式。
一鍵全量升級
啟動后,系統會預先檢查您的配置,如果滿足升級要求,系統將自動創建WAF 3.0實例,并全量升級轉發配置和防護配置。
適用場景:域名較少且規則簡單,希望升級過程簡單,一鍵完成升級。
手工分批升級
遷移規則
啟動后系統會預檢查您選擇的規則模塊是否支持升級,檢查通過系統將自動創建3.0實例,將防護規則升級到3.0,您需要手動升級轉發配置。
適用場景:希望系統升級規則,但需要手工分批升級并觀察流量情況。
不遷移規則
啟動后,系統將自動創建WAF 3.0實例,并配置默認防護策略,而不升級轉發配置和其他防護配置。您需要手動升級指定域名的轉發配置,創建防護模板及規則,配置防護模板的生效對象。
適用場景:域名較多或者規則復雜,希望分批升級并觀察流量情況,升級后防護模板按自定義方式進行配置。
升級時長
升級時長約15分鐘,為WAF進行自動升級的時長,包括WAF自動創建3.0實例、升級轉發配置和防護配置等。
由于一鍵全量升級前,系統會進行較為復雜的預檢查,所以,一鍵全量升級花費的時間較手工分批升級方式長。
升級窗口期
窗口期時長
升級窗口期為允許進行升級操作的整個周期,從選擇升級方式,并確認升級計時,共計15天。
您可以在升級工具頁面,查看升級窗口期剩余時長。
可進行的操作
查看業務流量。
域名分批升級。
來回切換WAF 2.0或WAF 3.0控制臺。
可以在WAF 3.0控制臺添加防護配置,查看升級后實例的防護是否生效。
回滾到WAF 2.0。
確認升級完成或放棄升級。
不能進行的操作
不能在WAF控制臺或費用與成本進行續費、升級或降配、退訂等操作。否則,可能造成實例被釋放、費用退回失敗等情況。
不能打開或關閉網頁防篡改、敏感信息泄露的防護開關。
不能修改WAF 2.0和WAF 3.0所有的轉發配置,包括增刪改WAF 2.0網站接入和WAF 3.0接入管理的配置。
需注意的操作
升級窗口期內,如果您在WAF 3.0添加了新的告警,且告警被觸發,您只會在WAF 2.0收到告警提示。
升級窗口期到期后,如果沒有及時確認升級完成,實例及其配置會自動回滾到WAF 2.0,已升級到WAF 3.0的實例會被釋放,窗口期內的防護配置也會被刪除。
升級完成后,您只能在WAF 3.0控制臺進行安全防護。請您確定不再需要進行升級操作后,再單擊確認升級完成。
升級后的變化
版本規格和支持能力變化
升級后,云WAF的包年包月高級版、企業版、旗艦版,按量付費版實例的計費模式和版本不會發生變化,由于WAF 3.0在WAF 2.0的基礎上進行了升級的同時,也對部分功能做了整合優化,變化如下:
WAF 3.0的包年包月高級版取消了規則防護引擎的智能規則托管功能、自定義規則的滑塊驗證功能。因此,升級后,如果您需要相應功能,請您將實例版本升級到企業版或旗艦版。具體操作,請參見升級。
WAF 3.0新增了防護模板配置、自定義響應規則、重保場景防護、高級資產中心等功能。升級后,您可以根據業務需要,配置相應功能。更多信息,請參見設置自定義響應規則、重保場景防護、資產中心。
WAF 3.0取消了混合云獨享版。因此,WAF 2.0的獨享版升級后的版本如下所示:
中國內地:升級為包年包月企業版。
非中國內地:升級為包年包月旗艦版。
升級后的規格配置為:
場景
升級前
升級后
場景1
WAF 2.0混合云版本(包含節點2+200域名)
WAF 3.0企業版或旗艦版(默認節點1)+擴展節點1+200個域名
場景2
WAF 2.0混合云版本(包含節點2+200域名)+付費擴展節點X個
WAF 3.0企業版或旗艦版(默認節點1)+擴展節點1+擴展節點X+200個域名
場景3
WAF 2.0旗艦版+付費擴展節點X個
WAF 3.0旗艦版(默認節點1)+混合云擴展節點X+200個域名
場景4
WAF 2.0企業版+付費擴展節點X個
WAF 3.0企業版(默認節點1)+混合云擴展節點X+200個域名
費用變化
升級操作不會產生費用。
由于升級后的版本規格和支持能力的變化,升級后,即便您沒有使用其他任何功能,WAF 3.0實例產生的費用也可能變化。
變化發生時間
按量付費實例:升級后,第一次出賬時。
包年包月實例:升級后,第一次續費時。
重要實例升級到WAF 3.0后,在第一次續費前,如果您進行退訂或降配操作,WAF不會退還對應金額。
如果您進行了降配,續費時,WAF會按照降配后的規格,收取相應費用。
關于WAF 3.0包年包月和按量付費實例的定價詳情,請參見Web應用防火墻3.0定價頁面。
包年包月費用變更點
超用QPS
為了與版本內默認QPS規格保持一致,WAF 3.0 QPS統一按業務流量進行擴展。超用QPS的抵扣包由WAF 2.0的帶寬擴展包變為WAF 3.0的QPS擴展。
升級時,系統會根據WAF 2.0實例已購買的業務帶寬規格,自動換算為QPS。如果該QPS規格超過版本默認規格,系統會自動購買QPS擴展規格補齊。
下表以升級前已購買100 Mbps的帶寬擴展包為例,介紹升級后的QPS費用的變化情況。
功能
版本
升級前
升級后
單價
高級版
中國內地:1,000元/50 Mbps/月
非中國內地:5,000元/50 Mbps/月
中國內地:300 元/100 QPS/月
非中國內地:400 元/100 QPS/月
說明支持階梯價格,購買越多單價越便宜。會根據已開啟的Bot管理、API安全功能發生變化
企業版
中國內地:3,000元/50 Mbps/月
非中國內地:12,000元/50 Mbps/月
旗艦版
中國內地:5,000元/50 Mbps/月
非中國內地:20,000元/50 Mbps/月
購買數量
無
100 Mbps。換算為QPS,約為4,000 QPS
自動購買規格為4,000的QPS擴展規格
總費用
高級版
中國內地:2,000元/月
非中國內地:10,000元/月
中國內地:12000元/月
非中國內地:16000元/月
企業版
中國內地:6,000元/月
非中國內地:24,000元/月
旗艦版
中國內地:10,000元/月
非中國內地:40,000元/月
升級完成后,您可以根據實際QPS用量,減少QPS規格,降低費用。具體操作,請參見降配。
超用域名
WAF 3.0 CNAME接入的域名不再區分主域名與子域名,統一按接入WAF的域名數計費。超用域名的抵扣包由WAF 2.0的域名擴展包變為WAF 3.0的域名擴展。
升級時,如果WAF 2.0實例已使用的主域名和子域名數總數超過WAF 3.0版本內默認規格,系統會自動購買域名擴展規格補齊。
下表以升級前已購買2個域名擴展包為例,介紹升級后的域名費用的變化情況。
功能
版本
升級前
升級后
單價
高級版
中國內地:600元/個擴展包/月
非中國內地:500元/個擴展包/月
1~10個:150元/個/月
11~100個:110元/個/月
>100個:60元/個/月
企業版
中國內地:1,000元/個擴展包/月
非中國內地:900元/個擴展包/月
旗艦版
中國內地:2,000元/個擴展包/月
非中國內地:2,000元/個擴展包/月
購買數量
高級版
購買2個域名擴展包
高級版、企業版、旗艦版均包含1個免費域名包
不區分主域名或子域名,1個免費域名包和2個域名擴展包共計30個域名。
版本內包含5個免費域名,系統會自動購買25個域名擴展規格,補齊30個域名。
企業版
版本內包含10個免費域名,系統會自動購買20個域名擴展規格,補齊30個域名。
旗艦版
版本內包含50個免費域名,系統不會自動購買域名擴展規格。
總費用
高級版
中國內地:1,200元/月
非中國內地:1,000元/月
3,150元/月(10×150+15×110)
企業版
中國內地:2,000元/月
非中國內地:1,800元/月
2,600元/月(10×150+10×110)
旗艦版
中國內地:4,000元/月
非中國內地:4,000元/月
0元/月
升級完成后,您可以根據已接入域名數,減少域名擴展規格,降低費用。具體操作,請參見降配。
如果您已添加主域名
example.com
及其子域名mail.example.com
、主域名example.edu
、主域名aliyun.com
,共需要4個域名額度。您可以直接使用WAF 3.0版本內免費贈送的域名額度,無需額外購買域名擴展包。通過降配,可減少域名擴展規格為0個。
續費時,域名擴展費用為0元/月。
API安全
開啟API安全后,QPS擴展單價額外增加200元/100 QPS/月。升級前后,具體費用變化如下所示。
版本
升級前
升級后
高級版
功能費:20,000元/月
帶寬擴展包:1000元/50 Mbps/月
5,000元/月
企業版
功能費:20,000元/月
帶寬擴展包:1000元/50 Mbps/月
10,000元/月
旗艦版
功能費:20,000元/月
帶寬擴展包:1000元/50 Mbps/月
20,000元/月
Bot管理
開啟Bot管理-Web防護或Bot管理-APP防護任意一種功能后,QPS擴展單價額外增加200元/100 QPS/月。升級前后,具體費用變化如下所示。
版本
Bot管理-Web防護
Bot管理-APP防護
升級前
升級后
升級前
升級后
高級版
7,000元/月
3,500元/月
2,000元/月
2,000元/月
企業版
7,000元/月
7,000元/月
2,000元/月
2,000元/月
旗艦版
7,000元/月
12,000元/月
2,000元/月
2,000元/月
新增沙箱、彈性后付費QPS、流量計費保護
沙箱為WAF 3.0引入的一種特殊機制。實例進入沙箱后,WAF將不再保證產品SLA。接入該實例的防護對象將隨時可能出現業務訪問異常,包括但不限于丟包、限速、限連、防護失效、日志或報表數據異常、訪問超時、進入DDoS清洗或黑洞等情況。更多信息,請參見沙箱說明。
升級窗口期內,實例不會進入沙箱。
包年包月實例
如果實例的實際流量超過已購買QPS流量規格(包括版本包含的默認規格和QPS擴展之和)時,實例可能會進入沙箱。更多信息,請參見彈性后付費。
升級后,實例的實際流量可能會超過當前版本默認支持的QPS規格,從而使得實例進入沙箱狀態。
您可以通過升級版本、購買QPS擴展規格、開啟彈性后付費的方式,避免實例因QPS超用進入沙箱,影響正常業務。
按量付費實例
如果實例在某一小時內的峰值QPS流量超過設定的QPS流量閾值時,實例將進入沙箱,并且該小時不會出賬,從而避免因QPS暴漲而產生超高賬單。更多信息,請參見流量計費保護。
升級后,實例默認開啟流量計費保護,且不支持關閉,并設置QPS流量閾值(即流量計費保護閾值)與實例支持的最大QPS規格保持一致:
中國內地:100,000 QPS
非中國內地:10,000 QPS
若您的實際業務需求超過該規格,請聯系您的商務經理或架構師。
實例的沙箱狀態會在下一個小時的峰值QPS低于或等于流量計費保護閾值時,自動解除。如果沙箱狀態持續一段時間,您可以根據實際QPS流量,及時調整流量計費保護閾值。
日志服務變化
使用一鍵升級后,系統會自動創建WAF 3.0的logstore,同時保留WAF 2.0的logstore。
重要遷移完成后,WAF 3.0日志服務僅記錄必選字段。如果您在WAF 2.0勾選過可選字段,需要在WAF 3.0控制臺上重新勾選。
升級窗口期內,您仍可以在WAF 2.0的控制臺中查看logstore。在升級完成后,您需要登錄日志服務(SLS)控制臺查看WAF 2.0的logstore。更多信息,請參見查詢和分析日志。
WAF 2.0的logstore的日志會根據用戶設置的保留時間按從遠到近的順序依次清空超出保留時間的日志,直至清空。如果需要保留,請及時備份。具體操作,請參見下載日志。
WAF 3.0的logstore的日志存儲時長默認為180天,如需修改,可在日志服務控制臺進行配置。
按量付費實例的日志費用由日志服務出賬,WAF側不再收取該費用。
需要重新進行的配置
升級后,OpenAPI、針對OpenAPI接口級別的權限管理、Terraform、資源組、云監控與告警、日志服務、實例續費、商品code變化引發的商務變更等需要重新配置。具體操作,請參見后續操作。
升級流程介紹
升級透明接入的域名時,WAF會將域名綁定的云產品(七層SLB類型、四層SLB類型、ECS類型)實例引流端口的流量升級到對應云產品接入中,同時將實例添加為防護對象,將域名添加為自定義防護對象。
升級混合云接入的流量時,WAF默認將流量升級到混合云反向代理模式中,并生成一個防護對象。
灰度升級功能介紹
在選擇手工分批升級時,針對域名粒度支持流量灰度功能。流量灰度可以支持先將部分流量導向WAF 3.0版本,根據實際業務穩定性的需求,選擇切入到新版本流量的比例,直到將全部流量切入到WAF 3.0版本,完成流量切換。關于流量灰度功能中規則與流量生效的流程與原理如下圖所示。
流量灰度比例支持檔位為1%、5%、10%、20%、30%、50%、70%、90%、100%,不支持自定義比例。僅允許增加灰度比例,如10%增加至20%,不允許減少灰度比例。
信息泄露防護(DLP)功能暫不支持灰度,當遷移任務開啟時,信息泄露防護的命中記錄將被記錄在WAF 3.0中。
升級操作步驟
1. 升級預校驗
在選擇WAF版本升級方式之前,阿里云為您提供了升級預校驗工具,幫助您排查當前不滿足對應升級方式的原因。當您進行完首次預校驗后,您可以在升級工具頁面中查看最近一次的校驗時間及校驗結果,如圖所示。若您希望使用的升級方式的預校驗不通過,您可以根據原因說明和建議進行操作。在修復未通過的校驗項后,回到升級工具頁面進行重新校驗,再次校驗通過后,選擇您希望使用的升級方式完成升級操作。
2. 選擇升級方式
登錄Web應用防火墻控制臺,在頂部菜單欄,選擇WAF實例的資源組和地域(中國內地、非中國內地)。
在左側導航欄底部,單擊WAF3.0升級入口。
如果您的實例滿足升級要求,您可以在升級須知面板,閱讀并勾選升級須知后,單擊我已了解升級須知,開始升級,進入升級工具頁面,準備進行升級。
如果您的實例不滿足升級要求,WAF將彈出錯誤提示框。您可以根據提示內容,執行對應操作。如果您有升級相關的任何問題,請加入釘群(釘群號:34657699),聯系產品技術專家進行咨詢。
如果存在透明接入的域名,將域名綁定到對應云產品(ECS、CLB(TCP)、CLB(HTTP/HTTPS))。升級前后綁定關系:ECS對應ECS類型,CLB(TCP)對應四層SLB類型,CLB(HTTP/HTTPS)對應七層SLB類型。
在升級工具頁面,選擇一鍵全量升級、手工分批遷移-遷移規則或手工分批遷移-不遷移規則后,單擊立即開始。
選擇手工分批遷移-遷移規則后,您需選擇要升級的防護規則。支持多選。
您只能在升級工具頁面選擇要升級的防護規則,請您根據業務情況仔細評估后,再單擊立即開始。
在確認升級的提示對話框,單擊確定。單擊確定后,實例將開始自動升級,并進入升級窗口期。自動升級預計需要15分鐘,請您保持當前頁面的打開狀態,不要刷新頁面。
WAF自動升級結束后,在WAF 3.0版本實例創建成功對話框,單擊確認。
切換到WAF 3.0控制臺,確認自動升級的配置項已升級完成。自動升級的配置項信息,請參見升級流程介紹。
切換到WAF 2.0控制臺,在升級工具頁面,查看域名升級狀態。
一鍵全量升級
所有域名的升級狀態顯示為已升級,表示該域名的相關配置已自動升級到WAF 3.0。
說明如果升級不成功,實例將自動回滾到WAF 2.0。您可以在回滾完成對話框,查看升級失敗原因。
手工分批升級
域名對應的升級狀態為未升級,表示該域名存在部分配置未自動升級到WAF 3.0,您還需要進行手動升級。
手動升級。(僅手工分批升級需要進行該操作)在升級過程中,您可以針對業務升級的部分選擇直接升級到3.0版本或者流量灰度升級,當灰度升級進度達到100%時,WAF 2.0配置的規則被清除,升級狀態顯示為已升級。關于灰度升級規則的詳細介紹,請參見灰度升級功能介紹。
手工分批升級-規則升級
升級域名轉發配置
升級單個域名:定位到目標域名,單擊操作列的升級到3.0版本。
批量升級多個域名:選中要升級的域名,單擊域名列表下的批量升級到3.0版本。
升級成功后,域名的升級狀態顯示為已升級。
配置防護模板生效對象
在左側導航欄,單擊切到3.0版本。
在WAF 3.0控制臺,為自動升級的防護模板配置生效對象。將防護對象關聯到對應防護模板。
在左側導航欄,選擇 。定位到目標防護規則后,單擊操作列的編輯,在生效對象區域,將防護對象移入已選擇對象框。
說明如果防護模板類型為BOT管理-場景化,在左側導航欄,選擇 。定位到目標防護規則后,單擊圖標,在生效范圍配置向導頁,將防護對象移入已選擇對象框。
手工分批升級-不規則升級
升級域名轉發配置
升級單個域名:定位到目標域名,單擊操作列的升級到3.0版本。
批量升級多個域名:選中要升級的域名,單擊域名列表下的批量升級到3.0版本。
升級成功后,域名的升級狀態顯示為已升級。
創建防護模板及防護規則
切換到WAF 3.0控制臺,參考WAF 2.0實例的防護策略,創建防護模板及防護規則。具體操作,請參見防護配置。
配置防護模板生效對象
在左側導航欄,單擊切到3.0版本。
在WAF 3.0控制臺,為自動升級的防護模板配置生效對象。將防護對象關聯到對應防護模板。
在左側導航欄,選擇 。定位到目標防護規則后,單擊操作列的編輯,在生效對象區域,將防護對象移入已選擇對象框。
說明如果防護模板類型為BOT管理-場景化,在左側導航欄,選擇 。定位到目標防護規則后,單擊圖標,在生效范圍配置向導頁,將防護對象移入已選擇對象框。
切換到WAF 3.0控制臺,驗證升級后的配置和實際業務是否正常。
如果升級后的配置或實際業務存在不正常情況,可單擊目標域名操作列的回滾到2.0版本,或選中多個域名,單擊域名列表下的批量回滾到2.0版本,將實例及其配置回退到WAF 2.0進行驗證。
一鍵全量升級的域名配置被回滾到2.0后,也可在升級工具頁面,單擊目標域名操作列的升級到3.0版本。此時,系統將只升級該域名的轉發配置。升級完成后,您需要為該域名配置相應的防護策略。
單擊確認升級完成。
升級完成后,WAF 2.0實例會被釋放,您可以在WAF 3.0控制臺進行安全防護。
升級完成后,請及時確認升級是否完成。如果升級窗口期15天到期后,您仍未單擊確認升級完成,實例及其配置會回滾到WAF 2.0,自動創建的WAF 3.0實例會被釋放,窗口期內的防護配置也會被刪除。如果仍需升級,需要重新開始。
后續操作
完成升級后,您需要進行如下操作,才能正常使用WAF 3.0。
配置OpenAPI
WAF 3.0啟用新的OpenAPI,需要重新配置。更多信息,請參見API概覽。
配置RAM權限
針對OpenAPI接口級別的權限管理需要重新配置。更多信息,請參見授權信息。
配置Terraform
Terraform需要重新配置。更多信息,請參見Terraform Registry(域名)、Terraform Registry(實例)。
配置資源組
資源組暫不支持升級,需要重新配置。具體操作,請參見添加域名。
配置云監控與告警
WAF 3.0啟用新的事件和指標監控項,需要重新配置。具體操作,請參見配置云監控通知。
配置日志服務
您需要重新配置日志服務的如下信息:
商品code變更引發的操作
完成升級后,WAF對應的商品code會發生變化。如果您的實例因此需要進行商務變更,請聯系您的商務經理。
常見問題
有透明接入引流的實例能不能升級?
可以。WAF支持自助將透明接入(七層SLB類型、四層SLB類型、ECS類型)的流量升級到WAF 3.0。透明接入(ALB類型)的流量暫不支持自助升級。您可以先關閉ALB類型的引流、刪除域名接入配置后,再進行升級。具體操作可參考如下步驟:
訪問網站接入頁面,在服務器列表頁簽,單擊實例端口操作列的關閉引流。
在域名列表頁簽,單擊域名操作列的刪除。
升級WAF實例。具體操作,請參見升級操作。
將ALB類型的流量重新接入WAF 3.0。具體操作,請參見云產品接入。
獨享版實例能不能升級?
可以,詳情請咨詢您的商務經理,或通過工單提交咨詢。
升級過程中,會不會產生費用?
不會。升級完成后,包年包月實例會在下一次續費時產生費用,按量付費實例會在下一次出賬時產生費用。關于費用變化情況和產生費用的時間的詳細信息,請參見費用變化。
WAF 2.0按量付費版能不能升級為WAF 3.0包年包月版?
不能。WAF 2.0按量付費實例只能升級為WAF 3.0按量付費實例。如果您希望將計費模式轉換為包年包月,您可以在升級完成后,關閉按量付費實例,再重新購買包年包月實例。
關于關閉按量付費實例的具體操作,請參見關閉WAF。
關于購買包年包月實例的具體操作,請參見購買WAF 3.0包年包月實例。
WAF 2.0企業版能不能升級成WAF 3.0高級版,WAF 2.0高級版能不能升級成WAF 3.0企業版?
不能。包年包月實例僅支持同版本升級,WAF 2.0高級版只能升級為WAF 3.0高級版。如果您希望使用企業版,您可以在升級完成后,將高級版升級為企業版。具體操作,請參見升級。
升級窗口內,能不能在WAF 2.0上新添加一個域名,再繼續進行升級?
不能。升級窗口期內,網站接入會被置灰,不支持新添加域名、刪除或修改已接入域名的所有轉發配置。如果您在升級窗口期內,需要在WAF 2.0上新添加一個域名,您需要先放棄升級,再添加域名。完成后,重新進行升級。
放棄升級后,系統會刪除WAF 3.0實例及其配置,并退出升級流程。