更新时间:2024-06-05 GMT+08:00
分享

服务版本差异

Web应用防火墙支持云模式-CNAME接入、云模式-ELB接入和独享模式三种部署方式,部署模式的差异说明如云模式和独享模式使用说明

  • 云模式的ELB接入方式需要提交工单申请开通后才能使用,支持使用的Region请参考功能总览
  • 购买了云模式标准版、专业版或铂金版后,才支持使用ELB接入方式,域名、QPS、规则扩展包的配额与云模式的CNAME接入方式共用,且ELB接入方式的业务规格与购买的云模式版本的对应规格一致。

云模式和独享模式使用说明

请您根据业务需求选择使用云模式-CNAME接入、云模式-ELB接入或独享模式,三种模式的部署架构如图1所示,主要差异说明如表1所示。

图1 部署架构
表1 各模式使用说明

项目

云模式

独享模式

CNAME接入

ELB接入

计费方式

包周期(包年/包月)

购买了云模式标准版、专业版或铂金版后,支持使用ELB接入,域名、QPS、规则扩展包的配额与云模式的CNAME接入方式共用。

按需计费

服务版本

  • 入门版
  • 标准版
  • 专业版
  • 铂金版

-

-

使用场景

业务服务器部署在华为云、非华为云或线下。

各服务版本推荐使用的场景说明如下:

  • 入门版

    个人网站防护

  • 标准版

    中小型网站,对业务没有特殊的安全需求

  • 专业版

    中型企业级网站或服务对互联网公众开放,关注数据安全且具有高标准的安全需求

  • 铂金版

    中大型企业网站,具备较大的业务规模,或是具有制定个性化防护的安全需求

业务服务器部署在华为云。

大型企业网站,对业务稳定性有较高要求的安全防护需求。

业务服务器部署在华为云。

大型企业网站,具备较大的业务规模且基于业务特性具有制定个性化防护规则的安全需求。

防护对象

域名

  • 域名
  • IP地址
  • 域名
  • IP地址

优势

  • 弹性扩容能力强,通过升级规格可以扩容防护能力
  • 可以防护华为云、非华为云和云下的Web业务
  • 支持IPv6防护
  • 不改变业务架构,水平扩展防护能力
  • 旁路部署,业务零影响
  • 可靠性高

    当WAF发生故障时,流量将直接通过ELB发送给后端,不影响客户正常业务。

  • 部署灵活
  • 独享引擎实例资源由用户独享
  • 可以满足大规模流量攻击场景防护需求
  • 独享引擎实例部署在VPC内,网络链路时延低

各版本支持的业务规格

WAF各个模式适用的业务规格如表2所示。其中,购买云模式时您可以选择购买域名扩展包、QPS扩展包和规则扩展包,以满足更多域名、更大流量的防护需求,也可以购买额外的扩展包或者通过变更WAF云模式版本和规格从较低版本升级到任一更高版本。

购买了云模式标准版、专业版或铂金版,才支持使用ELB接入的方式,其业务规格与购买的云模式版本的对应规格一致。

扩展包限制和规格说明如下:
  • 一个域名包支持10个域名,限制仅支持1个一级域名和与一级域名相关的子域名或泛域名。
  • 一个QPS扩展包的QPS限制和带宽限制:
    • 对于部署在华为云的Web应用

      业务带宽:50Mbit/s

      每秒钟的请求量:1000QPS(Queries Per Second,例如一个HTTP GET请求就是一个Query)

    • 对于未部署在华为云的Web应用

      业务带宽:20Mbit/s

      每秒钟的请求量:1000QPS(Queries Per Second,例如一个HTTP GET请求就是一个Query)

    • 购买了云模式标准版、专业版或铂金版后,才支持使用ELB接入方式,域名、QPS、规则扩展包的配额与云模式的CNAME接入方式共用,且ELB接入方式的业务规格与购买的云模式版本的对应规格一致。
    • 带宽限制仅对云模式-CNAME方式接入的网站有限制,通过ELB模式接入的网站,没有带宽限制,仅有QPS限制。
  • 一个规则扩展包包含10条IP黑白名单防护规则。
  • 域名个数为一级域名(例如,example.com)、单域名/二级域名等子域名(例如,www.example.com)和泛域名(例如,*.example.com)的总数。例如,标准版支持防护10个域名,可以添加1个一级域名和9个与其相关的子域名或泛域名。
  • 同一个域名对应不同端口视为不同的域名,例如www.example.com:8080和www.example.com:8081视为两个不同的域名,将占用两个不同的域名防护额度。
  • WAF支持上传的证书套数和WAF支持防护的域名的个数相同。例如,购买了标准版WAF(支持防护10个域名)、1个独享版WAF(支持防护2,000个域名)和域名扩展包(20个域名),WAF可以防护2,030个域名,则WAF支持上传2,030套证书。
表2 适用的业务规格

业务规格

入门版

标准版

专业版

铂金版

独享模式

正常业务请求峰值

  • 100 QPS业务请求
  • 6,000 回源长连接(每域名)
  • 2,000 QPS业务请求
  • 6,000回源长连接(每域名)
  • 5,000 QPS业务请求
  • 6,000 回源长连接(每域名)
  • 10,000 QPS业务请求
  • 6,000 回源长连接(每域名)

以下数据为单实例规格:

  • WAF实例规格选择WI-500,参考性能:
    • HTTP业务:建议QPS 5,000;极限QPS 10,000
    • HTTPS业务:建议QPS 4,000;极限QPS 8,000
    • Websocket业务:支持最大并发连接5,000
    • 最大回源长连接:60,000
  • WAF实例规格选择WI-100,参考性能:
    • HTTP业务:建议QPS 1,000;极限QPS 2,000
    • HTTPS业务:建议QPS 800;极限QPS 1,600
    • Websocket业务:支持最大并发连接1,000
    • 最大回源长连接:60,000
须知:

极限值为实验室测试值,高敏感业务请以实际业务测试数据为准。实际QPS与业务请求数据大小、自定义防护规则种类及数量相关

业务带宽阈值(源站服务器部署在华为云)

10Mbit/s

100Mbit/s

200Mbit/s

300Mbit/s

  • WAF实例规格选择WI-500,参考性能:

    吞吐量:500 Mbps

  • WAF实例规格选择WI-100,参考性能:

    吞吐量:100 Mbps

业务带宽阈值(源站服务器未部署在华为云)

10Mbit/s

30Mbit/s

50Mbit/s

100Mbit/s

-

域名个数

10个(支持1个一级域名)

10个(支持1个一级域名)

50个(支持5个一级域名)

80个(支持8个一级域名)

2,000个(支持2,000个一级域名)

回源IP(单个防护域名支持的回源服务器IP个数)

10个

20个

50个

80个

-

支持的端口个数

说明:

云模式的专业版和铂金版支持定制非标准端口,您可以提交工单申请开通定制的非标准端口。

标准端口:2个(80,443)

  • 标准端口:2个(80,443)
  • 非标准端口:可任意使用WAF支持的端口列表中的端口,不限制数量。
  • 标准端口:2个(80,443)
  • 非标准端口:可任意使用WAF支持的端口列表中的端口,不限制数量。
  • 标准端口:2个(80,443)
  • 非标准端口:可任意使用WAF支持的端口列表中的端口,不限制数量。
  • 标准端口:2个(80,443)
  • 非标准端口:可任意使用WAF支持的端口列表中的端口,不限制数量。

CC攻击防护峰值

-

100,000QPS

200,000QPS

1,000,000QPS

  • WAF实例规格选择WI-500,参考性能:

    防护峰值:20,000QPS

  • WAF实例规格选择WI-100,参考性能:

    防护峰值:4,000QPS

CC攻击防护规则

-

20条

50条

100条

100条

精准访问防护规则

-

20条

50条

100条

100条

引用表规则

-

-

50条

100条

100条

IP黑白名单规则

-

1000条

2000条

5000条

1000条

地理位置封禁规则

-

-

50条

100条

100条

网页防篡改规则

-

20条

50条

100条

100条

网站反爬虫规则

-

-

50条

100条

100条

防敏感信息泄露

-

-

50条

100条

100条

全局白名单规则

1000条

1000条

1000条

1000条

1000条

隐私屏蔽规则

-

20条

50条

100条

100条

安全报告模板

5个

5个

10个

20个

20个

各版本支持的功能特性

云模式各个版本、独享模式适用的安全功能特性如表3所示,请您根据业务需求选择对应的服务版本。其中,云模式支持入门版、标准版、专业版和铂金版,您可以通过变更WAF云模式版本和规格从较低版本升级到任一更高版本,以满足更多防护功能需求。

云模式的专业版和铂金版支持定制非标准端口,您可以提交工单申请开通定制的非标准端口。

标识说明:

  • √:表示在当前版本中支持。
  • ×:表示在当前版本中不支持。
  • -:表示不涉及,通过ELB实现。ELB支持的功能特性详见弹性负载均衡功能特性对比
表3 安全功能特性

功能模板

云模式-CNAME接入

云模式-ELB接入

独享模式

入门版

标准版

专业版

铂金版

域名/QPS/规则扩展包

×

√(与CNAME接入共用配额)

×

域名备案检查

×

×

支持添加泛域名

×

非80、443标准端口防护

×

-

非80、443标准端口定制

×

×

-

×

批量灵活配置防护策略

√(仅支持批量配置全局白名单规则)

×

为防护策略批量配置适用的防护域名

×

×

支持IPv6防护

须知:

支持IPv6防护的版本,请参考哪些版本支持IPv6防护?

×

×

-

×

常见的Web应用攻击防护,包括SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等

云端自动更新最新0Day漏洞防护规则,及时下发0Day漏洞虚拟补丁

Webshell检测

深度检测,同形字符混淆、通配符变形的命令注入、UTF7、Data URI Scheme等深度反逃逸检测

header全检测,对请求里header中所有字段进行攻击检测

CC攻击防护

×

精准访问防护

×

√(不支持全检测)

引用表管理

×

×

IP黑白名单设置,支持批量导入IP地址/IP地址段

×

支持对指定国家、省份的IP自定义访问控制

×

×

网页防篡改

×

×

检测并拦截搜索引擎、扫描器、脚本工具、其它爬虫等爬虫行为

×

×

检测并拦截JS脚本反爬虫检测行为

×

×

×

防敏感信息泄露

×

×

×

全局白名单规则

隐私屏蔽

×

资源建议

-

-

-

-

-

使用独享实例时,建议在云监控(CES)服务配置资源监控及告警:建议CPU使用率不超过70%,内存使用率不超过80%

说明:

当业务请求较大或自定义防护策略复杂时,会增加对CPU、内存的消耗;极端情况下,性能指标会有较大波动。建议根据业务模型压测后,做好性能规格的评估。

分享:

    相关文档

    相关产品