Web Application Firewall(Web Application Firewall,簡稱WAF)支援訂用帳戶計費模式。本文介紹訂用帳戶計費模式適用的業務規模、支援的防護功能。
WAF套餐和版本
訂用帳戶計費模式下,WAF提供雲上部署套餐(雲WAF)和混合雲部署套餐(混合雲WAF)。根據支援防護的業務規模以及提供的防護功能不同,雲WAF執行個體具體分為進階版、企業版、旗艦版、獨享版(暫停售賣)。混合雲WAF執行個體目前僅提供獨享版。
適用的業務規模
下表描述了不同WAF版本適用的業務規模。一般情況下,對於中型規模的企業網站,推薦您選擇企業版或者旗艦版。
業務規格 | 雲WAF進階版 | 雲WAF企業版 | 雲WAF旗艦版 | 雲WAF獨享版(暫停售賣) | 混合雲WAF獨享版 |
網站規模 | 中小型網站,對業務沒有特殊的安全需求。 | 中型企業級網站或服務對互連網公眾開放,關注資料安全且具有高標準的安全需求。 | 中大型企業網站,具備較大的業務規模,或是具有特殊定製的安全需求。 | 大型企業網站,具備較大的業務規模且基於業務特性具有定製化的配置需求。 | 大中型企業網站,具有本地化部署業務及無法上雲WAF防護的Web流量,希望擁有和雲WAF一致的高標準的Web安全防護能力。 |
雲WAF業務並發請求峰值 | 2,000 QPS | 5,000 QPS | 超過10,000 QPS | 5,000 QPS | 0 QPS,支援擴充。 |
本地叢集節點數及對應的最大業務並發請求峰值 | 不支援 | 付費支援 | 付費支援 | 付費支援 | 2個防護節點,10,000 QPS。 |
業務頻寬閾值(來源站點伺服器部署在阿里雲) | 50 Mbps | 100 Mbps | 200 Mbps | 100 Mbps | 0 Mbps,支援擴充。 |
業務頻寬閾值(來源站點伺服器未部署在阿里雲) | 10 Mbps | 30 Mbps | 50 Mbps | 30 Mbps | |
預設可防護的主網域名稱個數 | 1個 | 1個 | 1個 | 1000個 | 200個(不區分網域名稱層級),每擴充一個節點可增加100個。 |
預設可防護的總網域名稱個數(支援泛網域名稱) | 10個 | 10個 | 10個 | 1000個 |
版本功能列表(中國內地)
下表描述了WAF中國內地執行個體(購買訂用帳戶執行個體時選擇中國內地地區)的主要功能模組在不同套餐中的支援情況。
標識說明:
:表示在目前的版本中支援。
:表示在目前的版本中不支援。
:表示需要額外付費開啟的增值服務。您可以在購買WAF執行個體時開啟增值服務,或者在購買WAF執行個體後使用升級功能開啟增值服務。
功能模組 | 描述 | 雲WAF進階版 | 雲WAF企業版 | 雲WAF旗艦版 | 雲WAF獨享版(暫停售賣) | 混合雲WAF獨享版 |
業務接入 | ||||||
全站一鍵實現HTTPS防護。 |
|
|
|
|
| |
主動發現和管理網站資產,支援一鍵接入防護。 |
|
|
|
|
| |
直接牽引來源站點伺服器(SLB執行個體、ECS執行個體)的業務流量到WAF進行防護。 |
|
|
|
|
| |
支援防護使用HTTP/2協議的網站 |
|
|
|
|
| |
支援防護80、8080、443、8443以外的特定非標準連接埠上的業務。 |
|
|
|
|
| |
支援IPv6訪問流量的安全檢測與防護。 |
|
|
|
|
| |
基於業務特性的定製化接入和防護能力。 |
|
|
|
|
| |
通過在本地IDC部署WAF防護叢集,對不經過阿里雲的Web流量進行防護。 |
|
|
|
|
| |
通過多節點智能接入技術,實現來源站點伺服器多節點、多線路自動調度容災。 |
|
|
|
|
| |
支援為網域名稱開啟獨享IP防護。 |
|
|
|
|
| |
網站防護 | ||||||
防禦常見的Web攻擊,例如SQL注入、XSS等。 |
|
|
|
|
| |
自動更新Web 0day漏洞攻擊防護規則。 |
|
|
|
|
| |
鎖定網站頁面,防止內容被惡意篡改。 |
|
|
|
|
| |
防敏感性資料泄露,包括電話號碼、身份證、銀行卡等重要隱私資料。 |
|
|
|
|
| |
防禦常見的CC攻擊,支援內建的防護和防護-緊急模式。 |
|
|
|
|
| |
支援識別與賬戶關聯的業務介面(例如註冊、登入等)上的撞庫、暴力破解、垃圾註冊、弱口令嗅探和簡訊驗證碼介面濫刷事件。 |
|
|
|
|
| |
一鍵封鎖特定的IP地址和位址區段的訪問能力。 |
|
|
|
|
| |
包含上述特性,且支援一鍵封鎖指定地理地區IP的訪問能力。 |
|
|
|
|
| |
支援高頻Web攻擊封鎖(預設規則)、目錄遍曆封鎖(預設規則)、掃描工具封鎖、協同防禦。 |
|
|
|
|
| |
包含上述特性,且支援自訂高頻Web攻擊封鎖、目錄遍曆封鎖規則。 |
|
|
|
|
| |
基礎精準條件存取控制:基於基礎欄位(包含IP、URL、Referer、User-Agent、Params)的ACL存取控制。 |
|
|
|
|
| |
進階精準條件存取控制:包含基礎欄位,且支援進階欄位(例如Cookie、Content-Type、Header、Http-Method等)。 |
|
|
|
|
| |
支援訪問頻率限制(即自訂CC攻擊防護規則,在精準匹配條件的基礎上,自訂訪問頻率限制條件,精準過濾異常請求),設定基於IP和Session進行請求次數統計的頻率控制策略。 |
|
|
|
|
| |
支援訪問頻率限制,設定基於自訂欄位(包含IP和Session)進行請求次數統計的頻率控制策略。 |
|
|
|
|
| |
DDoS攻擊防護 | 免費防禦DDoS攻擊。關於防禦能力的資訊,請參見DDoS基礎防護黑洞閾值。 |
|
|
|
|
|
支援自訂防護規則群組。 |
|
|
|
|
| |
基於網站訪問流量的深度學習,提供主動防禦能力。 |
|
|
|
|
| |
防禦網站關鍵業務(例如註冊、登入、活動、論壇)中可能發生的機器爬蟲欺詐行為。 |
|
|
|
|
| |
提供合法搜尋引擎白名單,為網域名稱允許存取合法爬蟲的訪問請求。 |
|
|
|
|
| |
提供撥號池IP、IDC機房IP、惡意掃描工具IP以及雲端即時模型產生的惡意爬蟲庫等多種維度爬蟲威脅情報規則,方便您在全網域名稱或指定路徑下設定阻斷惡意爬蟲的訪問請求。 |
|
|
|
|
| |
專門針對原生App端,提供可信通訊,防機器指令碼濫刷等安全防護,可以有效識別代理、模擬器、非法簽名的請求。 |
|
|
|
|
| |
安全分析和支援 | ||||||
支援通過CloudMonitor服務配置WAF事件監控、閾值監控規則。 |
|
|
|
|
| |
支援採集WAF所有的日誌資訊並儲存至Log Service中,提供准即時查詢分析和線上報表展示等功能。 |
|
|
|
|
| |
版本功能列表(非中國內地)
下表描述了WAF非中國內地執行個體(購買訂用帳戶執行個體時選擇非中國內地地區)的主要功能模組在不同套餐中的支援情況。
標識說明:
- :表示在目前的版本中支援。
- :表示在目前的版本中不支援。
- :表示需要額外付費開啟的增值服務。您可以在購買WAF執行個體時開啟增值服務,或者在購買WAF執行個體後使用升級功能開啟增值服務。
功能模組 | 描述 | 雲WAF進階版 | 雲WAF企業版 | 雲WAF旗艦版 | 雲WAF獨享版(暫停售賣) | 混合雲WAF獨享版 |
業務接入 | ||||||
全站一鍵實現HTTPS防護。 |
|
|
|
|
| |
直接牽引來源站點伺服器(SLB執行個體、ECS執行個體)的業務流量到WAF進行防護。 |
|
|
|
|
| |
支援防護使用HTTP/2協議的網站 |
|
|
|
|
| |
支援防護80、8080、443、8443以外的特定非標準連接埠上的業務。 |
|
|
|
|
| |
基於業務特性的定製化接入和防護能力。 |
|
|
|
|
| |
支援IPv6訪問流量的安全檢測與防護。 |
|
|
|
|
| |
通過多節點智能接入技術,實現來源站點伺服器多節點、多線路自動調度容災。 |
|
|
|
|
| |
通過在本地IDC部署WAF防護叢集,對不經過阿里雲的Web流量進行防護。 |
|
|
|
|
| |
支援為網域名稱開啟獨享IP防護。 |
|
|
|
|
| |
網站防護 | ||||||
支援識別與賬戶關聯的業務介面(例如註冊、登入等)上的撞庫、暴力破解、垃圾註冊、弱口令嗅探和簡訊驗證碼介面濫刷事件。 |
|
|
|
|
| |
防禦常見的Web攻擊,例如SQL注入、XSS等。 |
|
|
|
|
| |
自動更新Web 0day漏洞攻擊防護規則。 |
|
|
|
|
| |
防禦常見的CC攻擊,支援內建的防護和防護-緊急模式。 |
|
|
|
|
| |
一鍵封鎖特定的IP地址和位址區段的訪問能力。 |
|
|
|
|
| |
包含上述特性,且支援一鍵封鎖指定地理地區IP的訪問能力。 |
|
|
|
|
| |
支援高頻Web攻擊封鎖(預設規則)、目錄遍曆封鎖(預設規則)、掃描工具封鎖、協同防禦。 |
|
|
|
|
| |
包含上述特性,且支援自訂高頻Web攻擊封鎖、目錄遍曆封鎖規則。 |
|
|
|
|
| |
基礎精準條件存取控制:基於基礎欄位(包含IP、URL、Referer、User-Agent、Params)的ACL存取控制。 |
|
|
|
|
| |
進階精準條件存取控制:包含基礎欄位,且支援進階欄位(例如Cookie、Content-Type、Header、Http-Method等)。 |
|
|
|
|
| |
支援訪問頻率限制(即自訂CC攻擊防護規則,在精準匹配條件的基礎上,自訂訪問頻率限制條件,精準過濾異常請求),設定基於IP和Session進行請求次數統計的頻率控制策略。 |
|
|
|
|
| |
支援訪問頻率限制,設定基於自訂欄位(包含IP和Session)進行請求次數統計的頻率控制策略。 |
|
|
|
|
| |
鎖定網站頁面,防止內容被惡意篡改。 |
|
|
|
|
| |
防敏感性資料泄露,包括電話號碼、身份證、銀行卡等重要隱私資料。 |
|
|
|
|
| |
支援自訂防護規則群組。 |
|
|
|
|
| |
基於網站訪問流量的深度學習,提供主動防禦能力。 |
|
|
|
|
| |
防禦網站關鍵業務(例如註冊、登入、活動、論壇)中可能發生的機器爬蟲欺詐行為。 |
|
|
|
|
| |
DDoS攻擊防護 | 免費防禦DDoS攻擊。關於防禦能力的資訊,請參見DDoS基礎防護黑洞閾值。 |
|
|
|
|
|
提供合法搜尋引擎白名單,為網域名稱允許存取合法爬蟲的訪問請求。 |
|
|
|
|
| |
提供撥號池IP、IDC機房IP、惡意掃描工具IP以及雲端即時模型產生的惡意爬蟲庫等多種維度爬蟲威脅情報規則,方便您在全網域名稱或指定路徑下設定阻斷惡意爬蟲的訪問請求。 |
|
|
|
|
| |
專門針對原生App端,提供可信通訊,防機器指令碼濫刷等安全防護,可以有效識別代理、模擬器、非法簽名的請求。 |
|
|
|
|
| |
安全分析和支援 | ||||||
支援通過CloudMonitor服務配置WAF事件監控、閾值監控規則。 |
|
|
|
|
| |
支援採集WAF所有的日誌資訊並儲存至Log Service中,提供准即時查詢分析和線上報表展示等功能。 |
|
|
|
|
| |