服务版本差异
Web应用防火墙支持云模式-CNAME接入、云模式-ELB接入和独享模式三种部署方式,部署模式的差异说明如云模式和独享模式使用说明。
云模式和独享模式使用说明
请您根据业务需求选择使用云模式-CNAME接入、云模式-ELB接入或独享模式,三种模式的部署架构如图1所示,主要差异说明如表1所示。
项目 |
云模式 |
独享模式 |
|
---|---|---|---|
CNAME接入 |
ELB接入 |
||
计费方式 |
包周期(包年/包月) |
购买了云模式标准版、专业版或铂金版后,支持使用ELB接入,域名、QPS、规则扩展包的配额与云模式的CNAME接入方式共用。 |
按需计费 |
服务版本 |
|
- |
- |
使用场景 |
业务服务器部署在华为云、非华为云或线下。 各服务版本推荐使用的场景说明如下: |
业务服务器部署在华为云。 大型企业网站,对业务稳定性有较高要求的安全防护需求。 |
业务服务器部署在华为云。 大型企业网站,具备较大的业务规模且基于业务特性具有制定个性化防护规则的安全需求。 |
防护对象 |
域名 |
|
|
优势 |
|
|
各版本支持的业务规格
WAF各个模式适用的业务规格如表2所示。其中,购买云模式时您可以选择购买域名扩展包、QPS扩展包和规则扩展包,以满足更多域名、更大流量的防护需求,也可以购买额外的扩展包或者通过变更WAF云模式版本和规格从较低版本升级到任一更高版本。
购买了云模式标准版、专业版或铂金版,才支持使用ELB接入的方式,其业务规格与购买的云模式版本的对应规格一致。
- 一个域名包支持10个域名,限制仅支持1个一级域名和与一级域名相关的子域名或泛域名。
- 一个QPS扩展包的QPS限制和带宽限制:
- 对于部署在华为云的Web应用
每秒钟的请求量:1000QPS(Queries Per Second,例如一个HTTP GET请求就是一个Query)
- 对于未部署在华为云的Web应用
每秒钟的请求量:1000QPS(Queries Per Second,例如一个HTTP GET请求就是一个Query)
- 购买了云模式标准版、专业版或铂金版后,才支持使用ELB接入方式,域名、QPS、规则扩展包的配额与云模式的CNAME接入方式共用,且ELB接入方式的业务规格与购买的云模式版本的对应规格一致。
- 带宽限制仅对云模式接入的网站有限制,通过ELB模式接入的网站,没有带宽限制,仅有QPS限制。
- 对于部署在华为云的Web应用
- 一个规则扩展包包含10条IP黑白名单防护规则。
- 域名个数为一级域名(例如,example.com)、单域名/二级域名等子域名(例如,www.example.com)和泛域名(例如,*.example.com)的总数。例如,标准版支持防护10个域名,可以添加1个一级域名和9个与其相关的子域名或泛域名。
- 同一个域名对应不同端口视为不同的域名,例如www.example.com:8080和www.example.com:8081视为两个不同的域名,将占用两个不同的域名防护额度。
- WAF支持上传的证书套数和WAF支持防护的域名的个数相同。例如,购买了标准版WAF(支持防护10个域名)、1个独享版WAF(支持防护2,000个域名)和域名扩展包(20个域名),WAF可以防护2,030个域名,则WAF支持上传2,030套证书。
业务规格 |
入门版 |
标准版 |
专业版 |
铂金版 |
独享模式 |
---|---|---|---|---|---|
正常业务请求峰值 |
|
|
|
|
以下数据为单实例规格:
须知:
极限值为实验室测试值,高敏感业务请以实际业务测试数据为准。实际QPS与业务请求数据大小、自定义防护规则种类及数量相关 |
业务带宽阈值(源站服务器部署在华为云) |
10Mbit/s |
100Mbit/s |
200Mbit/s |
300Mbit/s |
|
业务带宽阈值(源站服务器未部署在华为云) |
10Mbit/s |
30Mbit/s |
50Mbit/s |
100Mbit/s |
- |
域名个数 |
10个(支持1个一级域名) |
10个(支持1个一级域名) |
50个(支持5个一级域名) |
80个(支持8个一级域名) |
2,000个(支持2,000个一级域名) |
回源IP(单个防护域名支持的回源服务器IP个数) |
10个 |
20个 |
50个 |
80个 |
- |
支持的端口个数
说明:
云模式的专业版和铂金版支持定制非标准端口,您可以提交工单申请开通定制的非标准端口。 |
标准端口:2个(80,443) |
|
|
|
|
CC攻击防护峰值 |
- |
100,000QPS |
200,000QPS |
1,000,000QPS |
|
CC攻击防护规则 |
- |
20条 |
50条 |
100条 |
100条 |
精准访问防护规则 |
- |
20条 |
50条 |
100条 |
100条 |
引用表规则 |
- |
- |
50条 |
100条 |
100条 |
IP黑白名单规则 |
- |
1000条 |
2000条 |
5000条 |
1000条 |
地理位置封禁规则 |
- |
- |
50条 |
100条 |
100条 |
网页防篡改规则 |
- |
20条 |
50条 |
100条 |
100条 |
JS脚本反爬虫规则 |
- |
- |
50条 |
100条 |
100条 |
防敏感信息泄露 |
- |
- |
50条 |
100条 |
100条 |
全局白名单规则 |
1000条 |
1000条 |
1000条 |
1000条 |
1000条 |
隐私屏蔽规则 |
- |
20条 |
50条 |
100条 |
100条 |
安全报告模板 |
5个 |
5个 |
10个 |
20个 |
20个 |
各版本支持的功能特性
云模式各个版本、独享模式适用的安全功能特性如表3所示,请您根据业务需求选择对应的服务版本。其中,云模式支持入门版、标准版、专业版和铂金版,您可以通过变更WAF云模式版本和规格从较低版本升级到任一更高版本,以满足更多防护功能需求。
云模式的专业版和铂金版支持定制非标准端口,您可以提交工单申请开通定制的非标准端口。
标识说明:
- √:表示在当前版本中支持。
- ×:表示在当前版本中不支持。
- -:表示不涉及,通过ELB实现。ELB支持的功能特性详见弹性负载均衡功能特性对比。
功能模板 |
云模式-CNAME接入 |
云模式-ELB接入 |
独享模式 |
|||
---|---|---|---|---|---|---|
入门版 |
标准版 |
专业版 |
铂金版 |
|||
域名/QPS/规则扩展包 |
× |
√ |
√ |
√ |
√(与CNAME接入共用配额) |
× |
域名备案检查 |
√ |
√ |
√ |
√ |
× |
× |
支持添加泛域名 |
× |
√ |
√ |
√ |
√ |
√ |
非80、443标准端口防护 |
× |
√ |
√ |
√ |
- |
√ |
非80、443标准端口定制 |
× |
× |
√ |
√ |
- |
× |
批量灵活配置防护策略 |
√(仅支持批量配置全局白名单规则) |
× |
√ |
√ |
√ |
√ |
为防护策略批量配置适用的防护域名 |
× |
× |
√ |
√ |
√ |
√ |
支持IPv6防护
须知:
支持IPv6防护的版本,请参考哪些版本支持IPv6防护? |
× |
× |
√ |
√ |
- |
× |
常见的Web应用攻击防护,包括SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等 |
√ |
√ |
√ |
√ |
√ |
√ |
云端自动更新最新0Day漏洞防护规则,及时下发0Day漏洞虚拟补丁 |
√ |
√ |
√ |
√ |
√ |
√ |
Webshell检测 |
√ |
√ |
√ |
√ |
√ |
√ |
深度检测,同形字符混淆、通配符变形的命令注入、UTF7、Data URI Scheme等深度反逃逸检测 |
√ |
√ |
√ |
√ |
√ |
√ |
header全检测,对请求里header中所有字段进行攻击检测 |
√ |
√ |
√ |
√ |
√ |
√ |
CC攻击防护 |
× |
√ |
√ |
√ |
√ |
√ |
精准访问防护 |
× |
√(不支持全检测) |
√ |
√ |
√ |
√ |
引用表管理 |
× |
× |
√ |
√ |
√ |
√ |
IP黑白名单设置,支持批量导入IP地址/IP地址段 |
× |
√ |
√ |
√ |
√ |
√ |
支持对指定国家、省份的IP自定义访问控制 |
× |
× |
√ |
√ |
√ |
√ |
网页防篡改 |
× |
√ |
√ |
√ |
× |
√ |
检测并拦截搜索引擎、扫描器、脚本工具、其它爬虫等爬虫行为 |
× |
× |
√ |
√ |
√ |
√ |
检测并拦截JS脚本反爬虫检测行为 |
× |
× |
√ |
√ |
× |
√ |
防敏感信息泄露 |
× |
× |
√ |
√ |
× |
√ |
全局白名单规则 |
√ |
√ |
√ |
√ |
√ |
√ |
隐私屏蔽 |
× |
√ |
√ |
√ |
√ |
√ |
资源建议 |
- |
- |
- |
- |
- |
使用独享实例时,建议在云监控(CES)服务配置资源监控及告警:建议CPU使用率不超过70%,内存使用率不超过80%
说明:
当业务请求较大或自定义防护策略复杂时,会增加对CPU、内存的消耗;极端情况下,性能指标会有较大波动。建议根据业务模型压测后,做好性能规格的评估。 |