本文介紹了Web應用防火墻(Web Application Firewall,簡稱WAF)2.0和3.0版本的關系、區別、如何快速使用WAF。
什么是WAF
WAF可對網站或者App的業務流量進行惡意特征識別及防護,在對流量清洗和過濾后,將正常、安全的流量返回給服務器,避免網站服務器被惡意入侵導致性能異常等問題,從而保障網站的業務安全和數據安全。
WAF 2.0和WAF 3.0是什么關系
WAF 3.0是在WAF 2.0基礎上推出的最新一代WAF產品,兩者具有不同的底層架構、售賣規格、控制臺配置邏輯和交互體驗等,因此無法在同一個阿里云賬號ID下共存。如果您已購買WAF 2.0實例,您登錄的控制臺版本為2.0版本。如果您已購買WAF 3.0實例,您登錄的控制臺版本為3.0版本。
WAF 3.0推出后,不會對已購買和使用WAF 2.0的用戶產生影響。WAF 2.0依然能夠正常使用產品、續費或升級規格,產品服務等級定義SLA(Service Level Agreement)也會繼續受到保證。
如果您已開通WAF 2.0,并且希望體驗和使用WAF 3.0,您可以通過自助遷移工具,將WAF 2.0實例自動遷移到WAF 3.0。具體操作,請參見如何將WAF 2.0實例升級到WAF 3.0。
WAF 2.0和WAF 3.0有什么區別
接入方式
WAF 2.0支持CNAME接入和透明接入。WAF 3.0在此基礎上,實現了與應用型負載均衡ALB(Application Load Balancer)等云產品的云原生架構集成,支持云產品接入。您可以在ALB等云產品控制臺,為實例(包括內網實例)一鍵開啟WAF安全防護,無需修改DNS,配置證書、端口、回源算法等復雜的接入轉發配置,進一步增強業務性能和穩定性,降低訪問延遲。
接入方式 | 接入原理 | WAF 3.0 | WAF 2.0 |
CNAME接入 |
| 支持 | 支持 |
云產品接入(原透明接入) |
| 支持 說明 WAF 3.0中云產品接入中CLB、ECS為透明接入。 | 支持 |
云產品接入(全新的云原生架構) |
| 支持 | 不支持 |
防護配置
功能 | WAF 3.0 | WAF 2.0 |
生效對象 | WAF 3.0支持為防護對象或防護對象組配置防護策略。
| WAF 2.0支持為單個域名配置防護規則。 如果您通過透明接入將實例接入WAF,您需要將實例中的所有域名單獨接入WAF,才能配置防護規則,否則所有流量只能使用默認防護規則,且無法修改。 |
實現方式 | 通過創建防護模板,并為模板配置防護規則,實現為不同防護對象應用不同的防護規則。 | 直接為指定域名創建防護規則。 |
查看方式 |
| 支持查看單個域名配置的所有防護規則。 |
管理默認防護規則 | 新接入WAF 3.0的防護對象默認開啟基礎防護。WAF 3.0支持修改該默認防護規則的防護動作為攔截或放行。 | 新接入WAF的域名默認開啟規則防護引擎,但不支持修改規則防護動作。只有為域名創建防護規則后,才能指定防護動作。 |
防護規格 |
|
計費方式
包年包月
區別 | WAF 3.0 | WAF 2.0 | |
配套版本 |
| 支持高級版、企業版、旗艦版。 | |
計費項 | 流量規格 | 統一為QPS,無需關注帶寬。 | 同時支持QPS和帶寬,需要進行換算。 |
域名規格 | 不再區分主域名和子域名,統一按接入域名個數結算費用。 | 區分主域名和子域名。 | |
混合云接入 | 開通企業版、旗艦版即可直接使用混合云接入。 | 需要單獨開通混合云WAF獨享版。 | |
按量付費
區別 | WAF 3.0 | WAF 2.0 |
計量單元 | 統一計量單元為SeCU(Security Capacity Unit),1 SeCU收費0.05元。 | 無。 |
統計方式 |
| 開啟功能后才能使用,并開始計費。關閉功能后,停止計費。 |
如何快速使用WAF
參考文檔 | WAF 3.0 | WAF 2.0 | |
了解WAF | |||
開通WAF | 不支持新購 | ||
接入WAF | |||
使用WAF | 查看域名資產 | ||
使用WAF進行防護 | |||
配置監控與告警 | |||
查看防護數據 | |||
API接口 | |||