WAF 3.0與WAF 2.0對比
Web應(yīng)用防火墻(Web Application Firewall,簡稱WAF) 3.0是全新推出的版本,相比于WAF 2.0,WAF 3.0在接入方式、防護配置、計費方式等方面進行了優(yōu)化。本文通過對比,介紹WAF 3.0的主要優(yōu)化點。
WAF 3.0具有不同于WAF 2.0的底層架構(gòu)、售賣規(guī)格、控制臺配置邏輯和交互體驗等,因此無法跟WAF 2.0在同一個阿里云賬號ID下共存。如果您已購買WAF 2.0實例,您登錄的控制臺版本為2.0版本。如果您已購買WAF 3.0實例,您登錄的控制臺版本為3.0版本。
您可以通過自助遷移工具,將WAF 2.0實例自動遷移到WAF 3.0。具體操作,請參見WAF 3.0遷移向?qū)?/a>。
接入方式
WAF支持如下接入方式:CNAME接入、云產(chǎn)品接入。
接入方式 | WAF 3.0 | WAF 2.0 |
CNAME接入(圖示①) | 支持。
更多信息,請參見CNAME接入。 | 支持。 |
云產(chǎn)品接入(WAF作為反向代理集群)(圖示②) | 支持。
更多信息,請參見將七層CLB(HTTP/HTTPS)實例接入WAF、將四層CLB(TCP)實例接入WAF和將ECS實例接入WAF。 | 支持。 |
云產(chǎn)品接入(WAF作為SDK插件)(圖示③) | 支持。 如果您的業(yè)務(wù)已經(jīng)在應(yīng)用型負載均衡ALB(Application Load Balancer)、微服務(wù)引擎MSE(Microservices Engine)、函數(shù)計算FC(FunctionCompute)或應(yīng)用引擎SAE 2.0(Serverless App Engine)運行,推薦您使用這種接入方式接入WAF。
更多信息,請參見為ALB實例開啟WAF防護、為MSE實例開啟WAF防護、為FC自定義域名開啟WAF防護和為SAE 2.0自定義域名開啟WAF防護。 | 不支持。 |
防護配置
防護配置 | WAF 3.0 | WAF 2.0 |
批量配置防護規(guī)則 | 支持。 WAF 3.0以接入的域名或?qū)嵗秊榉雷o對象,并支持將防護對象加入到防護對象組。
| 不支持。 WAF 2.0以域名為防護對象,僅支持為單條域名配置防護規(guī)則。若需要對100個域名下發(fā)一條相同規(guī)則時,必須配置100遍。 |
為非域名接入的流量(如透明接入的實例)配置防護規(guī)則 | 支持。 云產(chǎn)品接入的實例自動被添加為防護對象,并支持為其配置和修改防護規(guī)則。 | 不支持。 若透明接入的實例中包含100個域名時,必須將每個域名都接入WAF后,才可以調(diào)整規(guī)則,否則所有流量都只能使用默認防護規(guī)則且無法修改。 |
全局查看防護規(guī)則 | 支持。 WAF 3.0為每個防護模塊規(guī)劃卡片區(qū)域,您可以在每個模塊區(qū)域查看和管理規(guī)則,輕松了解某個防護模塊具體配置了哪些防護模板,這些防護模板各自關(guān)聯(lián)了哪些防護對象或防護對象組。您還可以通過規(guī)則ID,檢索防護規(guī)則。 | 不支持。 若您希望知道某個域名配置了哪些防護規(guī)則,需要查看所有防護規(guī)則。 |
修改默認防護規(guī)則 | 支持。 WAF 3.0中的防護規(guī)則模板具備默認屬性。若您希望新接入的域名配置的默認防護規(guī)則均為觀察模式,您可以將默認模板設(shè)置為觀察模式,那么,新接入的防護對象的防護動作都為觀察模式,無需每次手動修改。 | 不支持。 若您希望新接入的域名配置的默認防護規(guī)則均為觀察模式,WAF 2.0是無法做到的。您需要在接入以后,手動修改對應(yīng)域名的防護規(guī)則。 |
功能提升
相比WAF 2.0,WAF 3.0版本新增如下功能:
新增自定義響應(yīng)防護規(guī)則
支持自定義請求被攔截時返回給客戶端的攔截頁面樣式或內(nèi)容,包括響應(yīng)頭、響應(yīng)體、響應(yīng)碼等。更多信息,請參見設(shè)置自定義響應(yīng)規(guī)則配置攔截響應(yīng)頁面。
新增重保場景防護規(guī)則
為您提供阿里云多年重保經(jīng)驗沉淀的智能防護策略,無需手工配置復(fù)雜規(guī)則,一鍵開啟,即可獲得高安全等級防護能力。更多信息,請參見重保場景防護。
提供全新的資產(chǎn)中心功能
幫助您梳理云上、云下的域名資產(chǎn),并根據(jù)資產(chǎn)在云上的攻擊態(tài)勢,進行風(fēng)險等級評估,幫助您掌握業(yè)務(wù)的整體防護狀態(tài)。更多信息,請參見資產(chǎn)中心。
提供新版安全報表功能
通過安全報表,您可以查看已啟用的各防護模塊的防護數(shù)據(jù),進行業(yè)務(wù)安全分析。更多信息,請參見安全報表。
提供統(tǒng)一的白名單模塊
支持全局白名單規(guī)則管理。更多信息,請參見設(shè)置白名單規(guī)則放行特定請求。
計費方式
WAF 3.0版本針對包年包月和按量付費兩種計費方式做了以下優(yōu)化:
關(guān)于WAF 3.0包年包月和按量付費實例的定價詳情,請參見Web應(yīng)用防火墻3.0定價頁面。
包年包月
WAF 3.0新增基礎(chǔ)版,適配小流量用戶。
針對計費項做了進一步簡化:
統(tǒng)一流量規(guī)格為QPS(無需關(guān)注bps)。支持彈性后付費,緩解實例因QPS超用而進入沙箱。
域名數(shù)不再通過主域名區(qū)分。同時,域名擴展支持梯度定價,擴展域名數(shù)越多,單價越低。
多云/混合云防護開放到更多版本。
WAF 2.0實例遷移為WAF 3.0版本后,實例的計費模式和版本不會發(fā)生變化。關(guān)于遷移后的費用變化,請參見包年包月實例費用變化。
按量付費
引入統(tǒng)一計量單元SeCU(Security Capacity Unit),簡化計費邏輯,降低計費門檻。SeCU資源包梯度定價,用量越大費用越低。
新增小時級計費,配置刪除或功能關(guān)閉時自動停止計費,無需手動開關(guān)。