本文介绍了Web应用防火墙(WAF)服务支持的不同服务套餐和实例版本,以及不同WAF版本适合防护的业务规模、支持的具体防护功能。

WAF套餐和版本

包年包月计费模式下,WAF提供云上部署套餐(云WAF)和混合云部署套餐(混合云WAF)。根据支持防护的业务规模以及提供的防护功能不同,云WAF实例具体分为高级版企业版旗舰版独享版(独享版只能通过提交工单申请开通)。混合云WAF实例目前仅提供独享版

WAF套餐版本(国际站)
相关文档:

适用的业务规模

下表描述了不同WAF版本适用的业务规模。一般情况下,对于中型规模的企业网站,推荐您选择企业版或者旗舰版。

业务规格 云WAF高级版 云WAF企业版 云WAF旗舰版 云WAF独享版 混合云WAF独享版
站点规模 中小型网站,对业务没有特殊的安全需求。 中型企业级网站或服务对互联网公众开放,关注数据安全且具有高标准的安全需求。 中大型企业网站,具备较大的业务规模,或是具有特殊定制的安全需求。 大型企业网站,具备较大的业务规模且基于业务特性具有定制化的配置需求。 大中型企业网站,具有本地化部署业务及无法上云WAF防护的Web流量,希望拥有和云WAF一致的高标准的Web安全防护能力。
云WAF业务并发请求峰值 2,000 QPS 5,000 QPS 超过10,000 QPS 5,000 QPS 0 QPS

支持扩展

本地集群节点数及对应的最大业务并发请求峰值 不支持 付费支持 付费支持 付费支持 2个防护节点,10,000 QPS
业务带宽阈值(源站服务器部署在阿里云) 50 Mbps 100 Mbps 200 Mbps 100 Mbps 0 bps

支持扩展

业务带宽阈值(源站服务器未部署在阿里云) 10 Mbps 30 Mbps 50 Mbps 30 Mbps
默认可防护的主域名个数 1个 1个 1个 1000个 200个(不区分域名级别),每扩展一个节点可增加100个
默认可防护的总域名个数(支持泛域名) 10个 10个 10个 1000个

版本功能列表(中国内地)

下表描述了WAF中国内地实例(购买包年包月实例时选择中国内地地域)的主要功能模块在不同套餐中的支持情况。

标识说明:
  • √:表示在当前版本中支持。
  • ×:表示在当前版本中不支持。
  • ○:表示需要额外付费开启的增值服务。您可以在购买WAF实例时开启增值服务,或者在购买WAF实例后使用升级功能开启增值服务。
功能模块 描述 云WAF高级版 云WAF企业版 云WAF旗舰版 云WAF独享版 混合云WAF独享版
业务接入
HTTPS安全防护 全站一键实现HTTPS防护。
HTTP/2安全防护 支持防护使用HTTP/2协议的网站 ×
非标准端口防护 支持防护80、8080、443、8443以外的特定非标准端口上的业务。 ×
IPv6防护 支持IPv6访问流量的安全检测与防护。 × ×
智能负载均衡 通过多节点智能接入技术,实现源站服务器多节点、多线路自动调度容灾。
域名独享资源包 支持为域名开启独享IP防护。
独享集群 基于业务特性的定制化接入和防护能力。 × × ×
本地防护集群部署 通过在本地IDC部署WAF防护集群,对不经过阿里云的Web流量进行防护。 ×
网站防护
规则防护引擎 防御常见的Web攻击,例如SQL注入、XSS等。
自动更新Web 0day漏洞攻击防护规则。
自定义防护规则组 支持自定义防护规则组。 ×
深度学习引擎 依托于大数据深度学习引擎的0day漏洞风险检测。 × ×
主动防御 基于网站访问流量的深度学习,提供主动防御能力。 × ×
网站防篡改 锁定网站页面,防止内容被恶意篡改。
防敏感信息泄露 防敏感隐私数据泄露,包括电话号码、身份证、银行卡等重要隐私数据。
CC安全防护 防御常见的CC攻击,支持内置的防护和防护-紧急模式。
IP黑名单 一键封禁特定的IP地址和地址段的访问能力。
包含上述特性,且支持一键封禁指定地理区域IP的访问能力。 ×
扫描防护 支持高频Web攻击封禁(默认规则)、目录遍历封禁(默认规则)、扫描工具封禁、协同防御。
包含上述特性,且支持自定义高频Web攻击封禁、目录遍历封禁规则。 ×
自定义防护策略 基础精准条件访问控制:基于基础字段(包含IP、URL、Referer、User-Agent、Params)的ACL访问控制。
高级精准条件访问控制:包含基础字段,且支持高级字段(例如Cookie、Content-Type、Header、Http-Method等)。 ×
支持访问频率限制(即自定义CC攻击防护规则,在精准匹配条件的基础上,自定义访问频率限制条件,精准过滤异常请求),设置基于IP和Session进行请求次数统计的频率控制策略。 ×
支持访问频率限制,设置基于自定义字段(包含IP和Session)进行请求次数统计的频率控制策略。 × ×
数据风控 防御网站关键业务(例如注册、登录、活动、论坛)中可能发生的机器爬虫欺诈行为。 ×
合法爬虫 提供合法搜索引擎白名单(例如Google、Bing、百度、搜狗、Yandex等),为域名放行合法爬虫的访问请求。
爬虫威胁情报 提供拨号池IP、IDC机房IP、恶意扫描工具IP以及云端实时模型生成的恶意爬虫库等多种维度的爬虫威胁情报规则,方便您在全域名或指定路径下设置阻断恶意爬虫的访问请求。
App防护 专门针对原生App端,提供可信通信,防机器脚本滥刷等安全防护,可以有效识别代理、模拟器、非法签名的请求。
账户安全 支持识别与账户关联的业务接口(例如注册、登录等)上的撞库、暴力破解、垃圾注册、弱口令嗅探和短信验证码接口滥刷事件。
DDoS攻击防护 免费防御攻击流量不超过5 Gbps的DDoS攻击。 ×
安全分析和支持
告警设置 支持通过云监控服务配置WAF事件监控、阈值监控规则。
日志服务 支持采集WAF所有的日志信息并存储至日志服务中,提供准实时查询分析和在线报表展示等功能。 x

版本功能列表(海外地区)

下表描述了WAF海外地区实例(购买包年包月实例时选择海外地区地域)的主要功能模块在不同套餐中的支持情况。

标识说明:
  • √:表示在当前版本中支持。
  • ×:表示在当前版本中不支持。
  • ○:表示需要额外付费开启的增值服务。您可以在购买WAF实例时开启增值服务,或者在购买WAF实例后使用升级功能开启增值服务。
功能模块 描述 云WAF高级版 云WAF企业版 云WAF旗舰版 云WAF独享版 混合云WAF独享版
业务接入
HTTPS安全防护 全站一键实现HTTPS防护。
HTTP/2安全防护 支持防护使用HTTP/2协议的网站 ×
非标准端口防护 支持防护80、8080、443、8443以外的特定非标准端口上的业务。 ×
IPv6防护 支持IPv6访问流量的安全检测与防护。 × × × × ×
智能负载均衡 通过多节点智能接入技术,实现源站服务器多节点、多线路自动调度容灾。 ×
域名独享资源包 支持为域名开启独享IP防护。
独享集群 基于业务特性的定制化接入和防护能力。 × × ×
本地防护集群部署 通过在本地IDC部署WAF防护集群,对不经过阿里云的Web流量进行防护。 ×
网站防护
规则防护引擎 防御常见的Web攻击,例如SQL注入、XSS等。
自动更新Web 0day漏洞攻击防护规则。
自定义防护规则组 支持自定义防护规则组。 × ×
深度学习引擎 依托于大数据深度学习引擎的0day漏洞风险检测。 × × × × ×
主动防御 基于网站访问流量的深度学习,提供主动防御能力。 × × ×
网站防篡改 锁定网站页面,防止内容被恶意篡改。
注意 海外地区实例(旗舰版及以上规格)虽然支持配置该功能,但是配置实际不生效。建议您不要使用海外地区实例配置该功能。
× × × × ×
防敏感信息泄露 防敏感隐私数据泄露,包括电话号码、身份证、银行卡等重要隐私数据。 ×
CC安全防护 防御常见的CC攻击,支持内置的防护和防护-紧急模式。
IP黑名单 一键封禁特定的IP地址和地址段的访问能力。
包含上述特性,且支持一键封禁指定地理区域IP的访问能力。 × ×
扫描防护 支持高频Web攻击封禁(默认规则)、目录遍历封禁(默认规则)、扫描工具封禁、协同防御。
包含上述特性,且支持自定义高频Web攻击封禁、目录遍历封禁规则。 ×
自定义防护策略 基础精准条件访问控制:基于基础字段(包含IP、URL、Referer、User-Agent、Params)的ACL访问控制。
高级精准条件访问控制:包含基础字段,且支持高级字段(例如Cookie、Content-Type、Header、Http-Method等)。 ×
支持访问频率限制(即自定义CC攻击防护规则,在精准匹配条件的基础上,自定义访问频率限制条件,精准过滤异常请求),设置基于IP和Session进行请求次数统计的频率控制策略。 ×
支持访问频率限制,设置基于自定义字段(包含IP和Session)进行请求次数统计的频率控制策略。 × ×
数据风控 防御网站关键业务(例如注册、登录、活动、论坛)中可能发生的机器爬虫欺诈行为。 × × × × ×
合法爬虫 提供合法搜索引擎白名单(例如Google、Bing、百度、搜狗、Yandex等),为域名放行合法爬虫的访问请求。
爬虫威胁情报 提供拨号池IP、IDC机房IP、恶意扫描工具IP以及云端实时模型生成的恶意爬虫库等多种维度的爬虫威胁情报规则,方便您在全域名或指定路径下设置阻断恶意爬虫的访问请求。
App防护 专门针对原生App端,提供可信通信,防机器脚本滥刷等安全防护,可以有效识别代理、模拟器、非法签名的请求。
账户安全 支持识别与账户关联的业务接口(例如注册、登录等)上的撞库、暴力破解、垃圾注册、弱口令嗅探和短信验证码接口滥刷事件。
DDoS攻击防护 免费防御攻击流量不超过5 Gbps的DDoS攻击。 × × × × ×
安全分析和支持
告警设置 支持通过云监控服务配置WAF事件监控、阈值监控规则。
日志服务 支持采集WAF所有的日志信息并存储至日志服务中,提供准实时查询分析和在线报表展示等功能。 ×