服务版本差异
Web应用防火墙提供云模式和独享模式两种模式。不同模式支持的接入方式、对应的服务版本不同。本文通过对比接入方式、服务版本业务规格和功能特性的差异,帮助您根据实际业务需求,快速选择适合的服务版本。
服务版本概述
WAF服务版本的选择与要使用的接入方式、服务版本支持的规格和功能相关。
- 接入方式
WAF提供两种模式:云模式和独享模式。其中,云模式支持“云模式-CNAME接入”、“云模式-ELB接入”两种接入方式。关于接入方式的详细说明,请参见接入方式说明。
- 服务版本
为适应不同业务场景的需求,WAF提供多个服务版本以供选择。不同服务版本适用的业务规格请参见不同服务版本支持的业务规格,支持的功能特性请参见不同服务版本支持的功能特性。
接入方式说明
使用不同接入方式时,配套的服务版本不同。因此,在选择服务版本前,您首先要选择使用哪种方式将业务接入WAF。
WAF提供“云模式-CNAME接入”、“云模式-ELB接入”、“独享模式”三种接入方式,其部署架构如下所示,主要差异说明如表1所示。
项目 |
云模式-CNAME接入 |
云模式-ELB接入 |
独享模式 |
---|---|---|---|
使用场景 |
适用各种规模的业务场景 详细信息可参考云模式不同服务版本推荐的业务规模范围 |
大型企业网站,对业务稳定性有较高要求的安全防护需求 |
大型企业网站,具备较大的业务规模且基于业务特性具有制定个性化防护规则的安全需求 |
业务部署位置 |
业务服务器部署在华为云、非华为云或线下 |
业务服务器部署在华为云 |
业务服务器部署在华为云 |
防护对象 |
域名 |
域名、IP(公网IP/私网IP) |
域名、IP(公网IP/私网IP) |
计费方式 |
包年/包月、按需计费 |
包年/包月、按需计费 |
按需计费 |
服务版本 |
标准版、专业版、铂金版 |
标准版、专业版、铂金版 |
- |
优势 |
|
|
|
接入指导 |
不同服务版本支持的业务规格
选择接入方式后,您需要根据实际业务规模,选择适合的服务版本。不同服务版本适用的业务规格如表2所示。
- “云模式-ELB接入”可使用的业务规格与购买的云模式服务版本对应规格一致,如果已使用“云模式-CNAME接入”,两种接入模式共用域名、QPS(Queries Per Second,例如一个HTTP GET请求就是一个Query)、规则扩展包配额。
- 购买“云模式”时您可以选择购买域名扩展包、QPS扩展包和规则扩展包,以满足更多域名、更大流量的防护需求,也可以通过变更云模式版本和规格从较低版本升级到任一更高版本。服务版本从低到高依次为:“标准版”、“专业版”、“铂金版”。
业务规格 |
云模式 |
云模式(按需计费) |
独享模式(按需计费) |
||
---|---|---|---|---|---|
标准版 |
专业版 |
铂金版 |
|||
业务规模 |
中小型网站,对业务没有特殊的安全需求 |
中型企业级网站或服务对互联网公众开放,关注数据安全且具有高标准的安全需求 |
中大型企业网站,具备较大的业务规模,或是具有制定个性化防护的安全需求 |
业务用量经常有变化。 |
大型企业网站,具备较大的业务规模且基于业务特性具有制定个性化防护规则的安全需求。 |
正常业务请求峰值 |
|
|
|
6,000 回源长连接(每域名) |
以下数据为单实例规格:
须知:
极限值为实验室测试值,高敏感业务请以实际业务测试数据为准。实际QPS与业务请求数据大小、自定义防护规则种类及数量相关 |
业务带宽阈值(源站服务器部署在华为云) |
|
|
|
300Mbit/s |
|
业务带宽阈值(源站服务器未部署在华为云) |
|
|
|
100Mbit/s |
- |
域名个数 |
|
|
|
200个(支持20个一级域名) |
2,000个(支持2,000个一级域名) |
回源IP(单个防护域名支持的回源服务器IP个数) |
20个 |
50个 |
80个 |
20个 |
- |
支持的端口个数 |
|
|
|
|
|
CC攻击防护峰值 |
100,000QPS |
200,000QPS |
1,000,000QPS |
1,000,000QPS |
|
CC攻击防护规则 |
20条 |
50条 |
100条 |
200条 |
100条 |
精准访问防护规则 |
20条 |
50条 |
100条 |
200条 |
100条 |
引用表规则 |
- |
50条 |
100条 |
200条 |
100条 |
IP黑白名单规则 |
|
|
|
200条 |
1000条 |
地理位置封禁规则 |
- |
50条 |
100条 |
200条 |
100条 |
网页防篡改规则 |
20条 |
50条 |
100条 |
200条 |
100条 |
网站反爬虫规则 |
- |
50条 |
100条 |
200条 |
100条 |
防敏感信息泄露 |
- |
50条 |
100条 |
200条 |
100条 |
全局白名单规则 |
1,000条 |
1,000条 |
1,000条 |
2,000条 |
1,000条 |
隐私屏蔽规则 |
20条 |
50条 |
100条 |
200条 |
100条 |
安全报告模板 |
5个 |
10个 |
20个 |
- |
20个 |
域名个数说明:
|
不同服务版本支持的功能特性
选择接入模式和服务版本规模后,您还需要综合考虑,选择的“接入模式+服务版本”组合支持的安全功能是否满足业务需要。详细信息如表3所示。
标识说明:
- √:表示在当前版本中支持。
- ×:表示在当前版本中不支持。
- -:表示不涉及,通过ELB实现。ELB支持的功能特性详见弹性负载均衡功能特性对比。
功能模板 |
功能说明 |
云模式-CNAME接入 |
云模式-ELB接入(标准版/专业版/铂金版) |
云模式(按需计费) |
独享模式(按需计费) |
||
---|---|---|---|---|---|---|---|
标准版 |
专业版 |
铂金版 |
|||||
域名扩展包 |
一个域名扩展包支持防护10个域名,限制仅支持1个一级域名。 |
√ |
√ |
√ |
√ |
× |
× |
QPS扩展包 |
一个QPS扩展包包含:
|
√ |
√ |
√ |
√ |
× |
× |
规则扩展包 |
一个规则扩展包包含10条IP黑白名单防护规则。 |
√ |
√ |
√ |
√ |
× |
× |
泛域名 |
接入WAF时,支持添加泛域名(例如,*.example.com)。 |
√ |
√ |
√ |
√ |
√ |
√ |
非80、443标准端口防护 |
防护除80、443标准端口外的特定非标准端口上的业务。 |
√ |
√ |
√ |
- |
√ |
√ |
非80、443标准端口定制 |
支持通过提交工单,申请除80、443标准端口外的其他非标准端口。 |
× |
√ |
√ |
- |
× |
× |
批量灵活配置防护策略 |
支持为防护域名批量灵活配置防护策略。 |
× |
√ |
√ |
√ |
√ |
√ |
为防护策略批量配置适用的防护域名 |
支持为防护策略批量配置适用的防护域名。 |
× |
√ |
√ |
√ |
√ |
√ |
常见的Web应用攻击防护 |
常见的Web应用攻击防护,包括SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等。 |
√ |
√ |
√ |
√ |
√ |
√ |
0Day漏洞防护 |
云端自动更新最新0Day漏洞防护规则,及时下发0Day漏洞虚拟补丁。 |
√ |
√ |
√ |
√ |
√ |
× |
Webshell检测 |
支持防护通过上传接口植入网页木马。 |
√ |
√ |
√ |
√ |
√ |
√ |
深度检测 |
包括同形字符混淆、通配符变形的命令注入、UTF7、Data URI Scheme等深度反逃逸检测。 |
√ |
√ |
√ |
√ |
√ |
√ |
header全检测 |
包括对请求里header中所有字段进行攻击检测。 |
√ |
√ |
√ |
√ |
√ |
√ |
CC攻击防护 |
通过限制单个IP/Cookie/Referer访问者对防护网站上源端的访问频率等,精准识别CC攻击以及有效缓解CC攻击。 |
√ |
√ |
√ |
√ |
√ |
√ |
精准访问防护 |
对常见的HTTP字段进行条件组合,筛选访问请求,并对命中条件的请求设置仅记录、放行或阻断操作。 |
√(不支持全检测) |
√ |
√ |
√(不支持全检测) |
√(不支持全检测) |
√ |
引用表管理 |
对路径、User Agent、IP、Params、Cookie、Referer、Header这些单一类型的防护指标进行批量配置。 |
× |
√ |
√ |
√ |
√ |
√ |
IP黑白名单设置 |
一键放行或封禁特定的IP地址的访问,支持批量导入IP地址/IP地址段。 |
√ |
√ |
√ |
√ |
√ |
√ |
地理位置访问控制 |
支持对指定国家、省份的IP自定义访问控制。 |
× |
√ |
√ |
√ |
√ |
√ |
网页防篡改 |
锁定需要保护的网站页面(例如敏感页面),防止内容被恶意篡改。 |
√ |
√ |
√ |
√ |
√ |
√ |
网站反爬虫 |
检测并拦截搜索引擎、扫描器、脚本工具、其它爬虫等爬虫行为。 |
× |
√ |
√ |
√ |
√ |
√ |
检测并拦截JS脚本反爬虫检测行为。 |
× |
√ |
√ |
× |
× |
√ |
|
防敏感信息泄露 |
支持身份证号、电话号码、电子邮箱等重要隐私数据的泄露防护。 |
× |
√ |
√ |
√ |
√ |
√ |
全局白名单规则 |
误报情况,您可以添加白名单对误报进行忽略。 |
√ |
√ |
√ |
√ |
√ |
√ |
隐私屏蔽 |
屏蔽隐私信息,避免用户的密码等信息出现在事件日志中。 |
√ |
√ |
√ |
√ |
√ |
√ |
资源建议 |
使用独享实例时,建议在云监控(CES)服务配置资源监控及告警:建议CPU使用率不超过70%,内存使用率不超过80%。
说明:
当业务请求较大或自定义防护策略复杂时,会增加对CPU、内存的消耗;极端情况下,性能指标会有较大波动。建议根据业务模型压测后,做好性能规格的评估。 |
- |
- |
- |
- |
- |
√ |