更新时间:2024-11-25 GMT+08:00

服务版本差异

Web应用防火墙提供云模式和独享模式两种模式。不同模式支持的接入方式、对应的服务版本不同。本文通过对比接入方式、服务版本业务规格和功能特性的差异,帮助您根据实际业务需求,快速选择适合的服务版本。

服务版本概述

WAF服务版本的选择与要使用的接入方式、服务版本支持的规格和功能相关。

  • 接入方式

    WAF提供两种模式:云模式独享模式。其中,云模式支持“云模式-CNAME接入”“云模式-ELB接入”两种接入方式。关于接入方式的详细说明,请参见接入方式说明

  • 服务版本

    为适应不同业务场景的需求,WAF提供多个服务版本以供选择。不同服务版本适用的业务规格请参见不同服务版本支持的业务规格,支持的功能特性请参见不同服务版本支持的功能特性

    • 云模式支持包年/包月计费模式、按需计费模式。包年/包月计费模式提供“标准版”“专业版”“铂金版”三个版本。不同接入模式与服务版本的配套关系如图1所示。

      云模式的包年/包月计费模式、按需计费模式支持互相切换。切换方法请参见变更计费模式

    • 独享模式仅支持按需计费模式。
    图1 服务版本配套关系说明
  • 使用“云模式-ELB接入”时,需要购买云模式包年/包月的标准版、专业版或铂金版后,提交工单申请开通。“云模式-ELB接入”支持使用的Region请参考功能总览
  • 独享模式在部分区域已经停售,详见独享模式停售通知。已购买该版本的用户不受影响,可继续使用和续费。

接入方式说明

使用不同接入方式时,配套的服务版本不同。因此,在选择服务版本前,您首先要选择使用哪种方式将业务接入WAF。

WAF提供“云模式-CNAME接入”“云模式-ELB接入”“独享模式”三种接入方式,其部署架构如下所示,主要差异说明如表1所示。

表1 接入方式说明

项目

云模式-CNAME接入

云模式-ELB接入

独享模式

使用场景

适用各种规模的业务场景

详细信息可参考云模式不同服务版本推荐的业务规模范围

大型企业网站,对业务稳定性有较高要求的安全防护需求

大型企业网站,具备较大的业务规模且基于业务特性具有制定个性化防护规则的安全需求

业务部署位置

业务服务器部署在华为云、非华为云或线下

业务服务器部署在华为云

业务服务器部署在华为云

防护对象

域名

域名、IP(公网IP/私网IP)

域名、IP(公网IP/私网IP)

计费方式

包年/包月、按需计费

包年/包月、按需计费

按需计费

服务版本

标准版、专业版、铂金版

标准版、专业版、铂金版

-

优势

  • 弹性扩容能力强,通过升级规格可以扩容防护能力
  • 可以防护华为云、非华为云和云下的Web业务
  • 支持IPv6防护
  • 不改变业务架构,水平扩展防护能力
  • 旁路部署,业务零影响
  • 可靠性高

    当WAF发生故障时,流量将直接通过ELB发送给后端,不影响客户正常业务。

  • 部署灵活
  • 独享引擎实例资源由用户独享
  • 可以满足大规模流量攻击场景防护需求
  • 独享引擎实例部署在VPC内,网络链路时延低

接入指导

将网站接入WAF防护(云模式-CNAME接入)

将网站接入WAF防护(云模式-ELB接入)

将网站接入WAF防护(独享模式)

不同服务版本支持的业务规格

选择接入方式后,您需要根据实际业务规模,选择适合的服务版本。不同服务版本适用的业务规格如表2所示。

  • “云模式-ELB接入”可使用的业务规格与购买的云模式服务版本对应规格一致,如果已使用“云模式-CNAME接入”,两种接入模式共用域名、QPS(Queries Per Second,例如一个HTTP GET请求就是一个Query)、规则扩展包配额。
  • 购买“云模式”时您可以选择购买域名扩展包、QPS扩展包和规则扩展包,以满足更多域名、更大流量的防护需求,也可以通过变更云模式版本和规格从较低版本升级到任一更高版本。服务版本从低到高依次为:“标准版”“专业版”“铂金版”

表2 适用的业务规格

业务规格

云模式

云模式(按需计费)

独享模式(按需计费)

标准版

专业版

铂金版

业务规模

中小型网站,对业务没有特殊的安全需求

中型企业级网站或服务对互联网公众开放,关注数据安全且具有高标准的安全需求

中大型企业网站,具备较大的业务规模,或是具有制定个性化防护的安全需求

业务用量经常有变化。

大型企业网站,具备较大的业务规模且基于业务特性具有制定个性化防护规则的安全需求。

正常业务请求峰值

  • 2,000QPS业务请求
  • 支持购买QPS扩展包
    • 源站部署在华为云:每个扩展包包含1,000QPS请求量,50Mbit/s带宽
    • 源站未部署在华为云:每个扩展包包含1,000QPS请求量,20Mbit/s带宽
  • 6,000回源长连接(每域名)
  • 5,000QPS业务请求
  • 支持购买QPS扩展包
    • 源站部署在华为云:每个扩展包包含1,000QPS请求量,50Mbit/s带宽
    • 源站未部署在华为云:每个扩展包包含1,000QPS请求量,20Mbit/s带宽
  • 6,000回源长连接(每域名)
  • 10,000QPS业务请求
  • 支持购买QPS扩展包
    • 源站部署在华为云:每个扩展包包含1,000QPS请求量,50Mbit/s带宽
    • 源站未部署在华为云:每个扩展包包含1,000QPS请求量,20Mbit/s带宽
  • 6,000回源长连接(每域名)

6,000 回源长连接(每域名)

以下数据为单实例规格:

  • WAF实例规格选择WI-500,参考性能:
    • HTTP业务:建议5,000QPS;极限10,000QPS
    • HTTPS业务:建议 4,000QPS;极限8,000QPS
    • Websocket业务:支持最大并发连接5,000
    • 最大回源长连接:60,000
  • WAF实例规格选择WI-100,参考性能:
    • HTTP业务:建议1,000QPS;极限2,000QPS
    • HTTPS业务:建议800QPS;极限1,600QPS
    • Websocket业务:支持最大并发连接1,000
    • 最大回源长连接:60,000
须知:

极限值为实验室测试值,高敏感业务请以实际业务测试数据为准。实际QPS与业务请求数据大小、自定义防护规则种类及数量相关

业务带宽阈值(源站服务器部署在华为云)

  • 100Mbit/s
  • 支持购买QPS扩展包(每个包含50Mbit/s带宽和1,000QPS请求量)
  • 200Mbit/s
  • 支持购买QPS扩展包(每个包含50Mbit/s带宽和1,000QPS请求量)
  • 300Mbit/s
  • 支持购买QPS扩展包(每个包含50Mbit/s带宽和1,000QPS请求量)

300Mbit/s

  • WAF实例规格选择WI-500,参考性能:

    吞吐量:500Mbps

  • WAF实例规格选择WI-100,参考性能:

    吞吐量:100Mbps

业务带宽阈值(源站服务器未部署在华为云)

  • 30Mbit/s
  • 支持购买QPS扩展包(每个包含20Mbit/s带宽和1,000QPS请求量)
  • 50Mbit/s
  • 支持购买QPS扩展包(每个包含20Mbit/s带宽和1,000QPS请求量)
  • 100Mbit/s
  • 支持购买QPS扩展包(每个包含20Mbit/s带宽和1,000QPS请求量)

100Mbit/s

-

域名个数

  • 10个(支持1个一级域名)
  • 支持购买域名扩展包(每个包含10个域名,其中1个一级域名)
  • 50个(支持5个一级域名)
  • 支持购买域名扩展包(每个包含10个域名,其中1个一级域名)
  • 80个(支持8个一级域名)
  • 支持购买域名扩展包(每个包含10个域名,其中1个一级域名)

200个(支持20个一级域名)

2,000个(支持2,000个一级域名)

回源IP(单个防护域名支持的回源服务器IP个数)

20个

50个

80个

20个

-

支持的端口个数

  • 标准端口:2个(80,443)
  • 非标准端口:可使用WAF支持的端口列表中的任意端口,不限制数量。
  • 标准端口:2个(80,443)
  • 非标准端口:可使用WAF支持的端口列表中的任意端口,不限制数量。
  • 标准端口:2个(80,443)
  • 非标准端口:可使用WAF支持的端口列表中的任意端口,不限制数量。

CC攻击防护峰值

100,000QPS

200,000QPS

1,000,000QPS

1,000,000QPS

  • WAF实例规格选择WI-500,参考性能:

    防护峰值:20,000QPS

  • WAF实例规格选择WI-100,参考性能:

    防护峰值:4,000QPS

CC攻击防护规则

20条

50条

100条

200条

100条

精准访问防护规则

20条

50条

100条

200条

100条

引用表规则

-

50条

100条

200条

100条

IP黑白名单规则

  • 1000条
  • 支持购买规则扩展包(每个包含10条IP黑白名单防护规则)
  • 2000条
  • 支持购买规则扩展包(每个包含10条IP黑白名单防护规则)
  • 5000条
  • 支持购买规则扩展包(每个包含10条IP黑白名单防护规则)

200条

1000条

地理位置封禁规则

-

50条

100条

200条

100条

网页防篡改规则

20条

50条

100条

200条

100条

网站反爬虫规则

-

50条

100条

200条

100条

防敏感信息泄露

-

50条

100条

200条

100条

全局白名单规则

1,000条

1,000条

1,000条

2,000条

1,000条

隐私屏蔽规则

20条

50条

100条

200条

100条

安全报告模板

5个

10个

20个

-

20个

域名个数说明:

  • 域名个数为一级域名(例如,example.com)、单域名/二级域名等子域名(例如,www.example.com)和泛域名(例如,*.example.com)的总数。例如,标准版支持防护10个域名,可以添加1个一级域名和9个与其相关的子域名或泛域名。
  • 同一个域名对应不同端口视为不同的域名,例如www.example.com:8080和www.example.com:8081视为两个不同的域名,将占用两个不同的域名防护额度。
  • WAF支持上传的证书套数和WAF支持防护的域名的个数相同。例如,购买了标准版WAF(支持防护10个域名)、1个独享版WAF(支持防护2,000个域名)和域名扩展包(20个域名),WAF可以防护2,030个域名,则WAF支持上传2,030套证书。

不同服务版本支持的功能特性

选择接入模式和服务版本规模后,您还需要综合考虑,选择的“接入模式+服务版本”组合支持的安全功能是否满足业务需要。详细信息如表3所示。

标识说明:

  • √:表示在当前版本中支持。
  • ×:表示在当前版本中不支持。
  • -:表示不涉及,通过ELB实现。ELB支持的功能特性详见弹性负载均衡功能特性对比
表3 安全功能特性

功能模板

功能说明

云模式-CNAME接入

云模式-ELB接入(标准版/专业版/铂金版)

云模式(按需计费)

独享模式(按需计费)

标准版

专业版

铂金版

域名扩展包

一个域名扩展包支持防护10个域名,限制仅支持1个一级域名。

×

×

QPS扩展包

一个QPS扩展包包含:

  • 对于部署在华为云的Web应用
    • 业务带宽:50Mbit/s。
    • 每秒钟的请求量:1000QPS。
  • 对于未部署在华为云的Web应用
    • 业务带宽:20Mbit/s。
    • 每秒钟的请求量:1000QPS。

×

×

规则扩展包

一个规则扩展包包含10条IP黑白名单防护规则。

×

×

泛域名

接入WAF时,支持添加泛域名(例如,*.example.com)。

非80、443标准端口防护

防护除80、443标准端口外的特定非标准端口上的业务。

-

非80、443标准端口定制

支持通过提交工单,申请除80、443标准端口外的其他非标准端口。

×

-

×

×

批量灵活配置防护策略

支持为防护域名批量灵活配置防护策略。

×

为防护策略批量配置适用的防护域名

支持为防护策略批量配置适用的防护域名。

×

常见的Web应用攻击防护

常见的Web应用攻击防护,包括SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等。

0Day漏洞防护

云端自动更新最新0Day漏洞防护规则,及时下发0Day漏洞虚拟补丁。

×

Webshell检测

支持防护通过上传接口植入网页木马。

深度检测

包括同形字符混淆、通配符变形的命令注入、UTF7、Data URI Scheme等深度反逃逸检测。

header全检测

包括对请求里header中所有字段进行攻击检测。

CC攻击防护

通过限制单个IP/Cookie/Referer访问者对防护网站上源端的访问频率等,精准识别CC攻击以及有效缓解CC攻击。

精准访问防护

对常见的HTTP字段进行条件组合,筛选访问请求,并对命中条件的请求设置仅记录、放行或阻断操作。

√(不支持全检测)

√(不支持全检测)

√(不支持全检测)

引用表管理

对路径、User Agent、IP、Params、Cookie、Referer、Header这些单一类型的防护指标进行批量配置。

×

IP黑白名单设置

一键放行或封禁特定的IP地址的访问,支持批量导入IP地址/IP地址段。

地理位置访问控制

支持对指定国家、省份的IP自定义访问控制。

×

网页防篡改

锁定需要保护的网站页面(例如敏感页面),防止内容被恶意篡改。

网站反爬虫

检测并拦截搜索引擎、扫描器、脚本工具、其它爬虫等爬虫行为。

×

检测并拦截JS脚本反爬虫检测行为。

×

×

×

防敏感信息泄露

支持身份证号、电话号码、电子邮箱等重要隐私数据的泄露防护。

×

全局白名单规则

误报情况,您可以添加白名单对误报进行忽略。

隐私屏蔽

屏蔽隐私信息,避免用户的密码等信息出现在事件日志中。

资源建议

使用独享实例时,建议在云监控(CES)服务配置资源监控及告警:建议CPU使用率不超过70%,内存使用率不超过80%。

说明:

当业务请求较大或自定义防护策略复杂时,会增加对CPU、内存的消耗;极端情况下,性能指标会有较大波动。建议根据业务模型压测后,做好性能规格的评估。

-

-

-

-

-