更新时间:2024-11-05 GMT+08:00

购买WAF云模式

Web应用防火墙云模式支持包年/包月(预付费)和按需计费(后付费)两种计费方式。同时,包周期(包年/包月)提供三个服务版本:标准版、专业版和铂金版,三种扩展包:域名扩展包、QPS扩展包和规则扩展包。您可以根据业务需求购买WAF。

  • 按需计费需要提交工单申请开通后才能购买。
  • 云模式的ELB接入方式需要提交工单申请开通后才能使用,支持使用的Region请参考功能总览
  • 购买了云模式标准版、专业版或铂金版后,才支持使用ELB接入方式,域名、QPS、规则扩展包的配额与云模式的CNAME接入方式共用,且ELB接入方式的业务规格与购买的云模式版本的对应规格一致。
  • WAF的API接口目前是免费支持调用,暂不收费。

操作须知

  • 同一账号只能选择一种计费方式。
  • WAF支持包年/包月和按需计费模式互相切换。详细操作请参见包年/包月和按需计费模式是否支持互相切换?
  • 通过包年/包月方式购买WAF云模式,当WAF到期或退订WAF后,您可以选择包年/包月或按需计费方式开通WAF。
    • 如果选择按需计费方式开通WAF,当按需计费的WAF与原WAF为同一项目,原WAF的配置数据将保存。
    • 如果选择包年/包月方式开通WAF,当重购的WAF与原WAF为同一区域,原WAF的配置数据将保存。
  • 通过按需计费方式购买WAF云模式,当关闭按需计费后,您可以选择包年/包月或按需计费方式开通WAF。

    关闭按需计费后,WAF将停止计费,WAF配置数据将保存,且域名的“工作模式”变更为“暂停防护”,流量正常转发,但WAF不检测攻击。

前提条件

登录WAF控制台的账号需要拥有WAF Administrator与BSS Administrator权限。

约束条件

  • 同一账号在同一个大区域(例如,华东区域:华东-上海一、华东-上海二)只能选择一个服务版本。

    有关支持购买WAF的区域说明,请参见Web应用防火墙支持防护哪些区域?

    原则上,在任何一个区域购买的WAF支持防护所有区域的Web业务。但是为了提高WAF的转发效率,建议您在购买WAF时,根据防护业务的所在区域就近选择购买的WAF区域。

  • 专业版和铂金版支持定制非标准端口,您可以提交工单申请开通定制的非标准端口。

规格限制

  • 一个域名包支持10个域名,限制仅支持1个一级域名和与一级域名相关的子域名或泛域名。
  • 一个QPS扩展包的QPS限制和带宽限制:
    • 对于部署在华为云的Web应用

      业务带宽:50Mbit/s

      每秒钟的请求量:1000QPS(Queries Per Second,例如一个HTTP GET请求就是一个Query)

    • 对于未部署在华为云的Web应用

      业务带宽:20Mbit/s

      每秒钟的请求量:1000QPS(Queries Per Second,例如一个HTTP GET请求就是一个Query)

  • 一个规则扩展包包含10条IP黑白名单防护规则。
  • 购买了云模式标准版、专业版或铂金版后,才支持使用ELB接入方式,域名、QPS、规则扩展包的配额与云模式的CNAME接入方式共用,且ELB接入方式的业务规格与购买的云模式版本的对应规格一致。
  • 带宽限制仅对云模式-CNAME方式接入的网站有限制,通过ELB模式接入的网站,没有带宽限制,仅有QPS限制。

应用场景

业务服务器部署在华为云、非华为云或线下,且防护对象为域名。

各服务版本推荐使用的场景说明如下:

  • 标准版

    中小型网站,对业务没有特殊的安全需求

  • 专业版

    中型企业级网站或服务对互联网公众开放,关注数据安全且具有高标准的安全需求

  • 铂金版

    中大型企业网站,具备较大的业务规模,或是具有特殊定制的安全需求

包年月方式购买云模式WAF

  1. 登录管理控制台
  2. 单击管理控制台左上角的,选择区域或项目。
  3. 单击页面左上方的,选择安全与合规 > Web应用防火墙 WAF
  4. 在页面的右上角,单击“购买WAF实例”
  5. “购买Web应用防火墙”界面,“WAF模式”选择“云模式”
  6. 选择“区域”

    原则上,在任何一个区域购买的WAF支持防护所有区域的Web业务。但是为了提高WAF的转发效率,建议您在购买WAF时,根据防护业务的所在区域就近选择购买的WAF区域。

    如果您需要切换区域,请在“区域”下拉框里选择区域。同一个区域只支持购买一个WAF版本。

  7. 选择“版本规格”
  8. 可以设置“域名扩展包”“QPS扩展包”“规则扩展包”的数量,如图1所示。

    可参照域名扩展包QPS扩展包规则扩展包进行详细了解。
    图1 选择扩展包

  9. 选择“购买时长”。单击时间轴的点,选择购买时长 ,可以选择1个月~3年的时长。

    勾选“自动续费”后,当服务期满时,系统会自动按照购买周期进行续费。

  10. 确认参数配置无误后,在页面右下角单击“立即购买”
  11. 确认订单详情无误后,阅读并勾选“我已经阅读并同意《Web应用防火墙免责声明》”,单击“去支付”,完成购买操作。
  12. 进入“付款”页面,选择付款方式进行付款。

按需计费方式购买云模式WAF

按需计费需要提交工单申请开通后才能购买。

  1. 登录管理控制台
  2. 单击管理控制台左上角的,选择区域或项目。
  3. 单击页面左上方的,选择安全与合规 > Web应用防火墙 WAF
  4. 在页面的右上角,单击“购买WAF实例”
  5. “购买Web应用防火墙”界面,“计费模式”选择“按需计费”,并选择“区域”

    原则上,在任何一个区域购买的WAF支持防护所有区域的Web业务。但是为了提高WAF的转发效率,建议您在购买WAF时,根据防护业务的所在区域就近选择购买的WAF区域。

    如果您需要切换区域,请在“区域”下拉框里选择区域。同一个区域只支持购买一个WAF版本。

    图2 按需计费

  1. 在页面右下角单击“立即开通”,开通WAF。
  2. 单击“返回网站配置”,可以在“网站配置”页面添加防护域名。

    开通WAF后,选择系统管理 > 产品信息,在“产品信息”页面的“云模式”栏,单击“关闭按需计费”,可以关闭按需计费。

生效条件

付款成功后,您可以在管理控制台右上方查看当前购买的WAF版本以及到期的天数。

扩展包说明

Web应用防火墙提供了域名扩展包、带宽扩展包和规则扩展包,当您购买的WAF云模式版本匹配的扩展包数量不能满足业务需求时,可以通过增加扩展包数量提高域名、带宽、规则的防护配额。

一个域名扩展包支持防护10个域名,限制仅支持1个一级域名。如果当前云模式版本的防护域名数量不能满足业务需求时,您可以通过购买域名扩展包增加防护域名配额。例如,您当前使用的是标准版,支持防护10个域名,限制仅支持1个一级域名,如果业务需要防护3个一级域名,您可以通过购买2个域名扩展包增加防护域名配额。

云模式各版本支持防护的域名个数说明如下:
  • 标准版:支持防护10个域名,限制仅支持1个一级域名。
  • 专业版:支持防护50个域名,限制仅支持5个一级域名。
  • 铂金版:支持防护80个域名,限制仅支持8个一级域名。
  • 限制仅支持1个一级域名是指支持1个一级域名和与一级域名相关的子域名或泛域名。即您可以添加1个一级域名example.com和最多9个与其相关的子域名或泛域名,例如www.example.com,*.example.com,mail.example.com,user.pay.example.com,x.y.z.example.com。这些域名(包括一级域名example.com)将各占用一个域名包中的域名配额。
  • 同一个域名对应不同端口视为不同的域名,例如www.example.com:8080和www.example.com:8081视为两个不同的域名,将占用两个不同的域名配额。

您也可以通过变更云模式规格增加域名配额。详细操作请参见变更WAF云模式版本和规格

通过包年/包月模式购买WAF云模式时,标准版、专业版和铂金版存在一定量的业务请求限制,各版本支持的最大业务请求限制请参见各版本支持的业务规格。您可以购买QPS扩展包以满足更大的业务请求需求。

例如,您当前的业务流量需求为6,000QPS,您已经购买了WAF专业版套餐(业务请求限制为5,000QPS),这种情况下您需要额外购买1,000QPS的QPS扩展包,确保您的业务访问正常。您可以通过变更WAF云模式版本和规格来增加QPS扩展配置,满足更大的业务带宽需求。

什么是业务带宽限制?

  • WAF的业务带宽是指所有该WAF防护的域名、站点中正常业务流量的大小,单位为Mbit/s。一个QPS扩展包包含:
    • 对于部署在华为云的Web应用

      业务带宽:50Mbit/s

      每秒钟的请求量:1000QPS(Query Per Second,例如一个HTTP GET请求就是一个Query)

    • 对于未部署在华为云的Web应用

      业务带宽:20Mbit/s

      每秒钟的请求量:1000QPS(Query Per Second,例如一个HTTP GET请求就是一个Query)

    WAF中的实际业务带宽由WAF单独计算,与其他华为云产品(如CDN、ELB、ECS等)的带宽或者流量限制没有任何关联。

  • 通过包年/包月模式购买WAF时,标准版、专业版和铂金版都存在一定量的业务带宽限制,且在华为云内的源站服务器(如ECS、ELB实例等)可享有更高的业务带宽。例如,在WAF铂金版套餐中,对于华为云内的源站的业务带宽限制为300Mbit/s,而对于华为云外的服务器(如IDC机房等)的业务带宽限制则为100Mbit/s。

超过业务带宽限制和请求限制会有什么影响?

如果您的正常业务流量超过您已购买的WAF版本的业务带宽和请求限制,您在WAF中配置的全部业务的流量转发将可能受到影响。

超出业务请求限制后,可能出现限流、随机丢包等现象,导致您的正常业务在一定时间内不可用、卡顿、延迟等。例如,页面提示“Website is under maintenance (Protected by WAF)”

如果出现这种情况,您需要升级WAF版本或者扩展业务请求,避免正常业务流量超出业务请求限制所产生的影响。

如何选择QPS扩展包?

购买WAF时,您需要提前考虑准备通过WAF配置防护的所有站点的日常入方向和出方向总流量的峰值,确保您选购的WAF所对应的业务带宽限制大于入、出方向总流量峰值中较大的值。

一般情况下,出方向的流量会比较大。

您可以参考云服务器(ECS)管理控制台中的流量统计,或者通过您站点服务器上的其它监控工具来评估您的实际业务流量大小。

流量指的是业务去掉攻击流量后的正常流量。例如,您需要将所有站点对外访问的流量都接入WAF进行防护,在正常访问(未遭受攻击)时,WAF将这些正常访问流量回源到源站ECS实例;而当站点遭受攻击(CC攻击或DDoS攻击)时,WAF将异常流量拦截、过滤后,将正常流量回源到源站ECS实例。因此,您在云服务器(ECS)管理控制台中查看您源站ECS实例的入方向及出方向的流量就是正常的业务流量。如果存在多个源站ECS实例,则需要统计所有源站ECS实例流量的总和。例如:假设您需要通过WAF配置防护六个站点,每个站点的出方向的正常业务流量峰值都不超过2,000QPS,流量总和不超过12,000QPS。这种情况下,您只需选择购买Web应用防火墙铂金版套餐即可。

通过包年/包月模式购买WAF云模式时,如果当前版本的IP黑白名单防护规则数不能满足要求,您可以通过购买规则扩展包增加IP黑白名单防护规则数,以满足的防护配置需求。

一个规则扩展包包含10条IP黑白名单防护规则。

您可以在购买云模式或变更云模式规格时购买规则扩展包。

详细操作请参见变更WAF云模式版本和规格

相关操作