Web应用防火墙 WAFWeb应用防火墙 WAF

计算
弹性云服务器 ECS
裸金属服务器 BMS
云手机 CPH
专属主机 DeH
弹性伸缩 AS
镜像服务 IMS
函数工作流 FunctionGraph
云耀云服务器 HECS
VR云渲游平台 CVR
特惠算力专区
存储
对象存储服务 OBS
云硬盘 EVS
云备份 CBR
弹性文件服务 SFS
存储容灾服务 SDRS
云硬盘备份 VBS
云服务器备份 CSBS
数据快递服务 DES
专属企业存储服务
云存储网关 CSG
专属分布式存储服务 DSS
CDN与智能边缘
内容分发网络 CDN
智能边缘云 IEC
智能边缘小站 IES
智能边缘平台 IEF
人工智能
AI开发平台ModelArts
华为HiLens
图引擎服务 GES
图像识别 Image
文字识别 OCR
自然语言处理 NLP
内容审核 Moderation
图像搜索 ImageSearch
医疗智能体 EIHealth
园区智能体 CampusGo
企业级AI应用开发专业套件 ModelArts Pro
人脸识别服务 FRS
对话机器人服务 CBS
视频分析服务 VAS
语音交互服务 SIS
知识图谱 KG
人证核身服务 IVS
IoT物联网
设备接入 IoTDA
设备管理 IoTDM(联通用户专用)
全球SIM联接 GSL
IoT数据分析 IoTA
路网数字化服务 DRIS
IoT边缘 IoTEdge
设备发放 IoTDP
开发与运维
软件开发平台 DevCloud
项目管理 ProjectMan
代码托管 CodeHub
流水线 CloudPipeline
代码检查 CodeCheck
编译构建 CloudBuild
部署 CloudDeploy
云测 CloudTest
发布 CloudRelease
移动应用测试 MobileAPPTest
CloudIDE
Classroom
开源镜像站 Mirrors
应用魔方 AppCube
云性能测试服务 CPTS
应用管理与运维平台 ServiceStage
云应用引擎 CAE
视频
实时音视频 SparkRTC
视频直播 Live
视频点播 VOD
媒体处理 MPC
视频接入服务 VIS
管理与监管
统一身份认证服务 IAM
消息通知服务 SMN
云监控服务 CES
应用运维管理 AOM
应用性能管理 APM
云日志服务 LTS
云审计服务 CTS
标签管理服务 TMS
资源管理服务 RMS
应用身份管理服务 OneAccess
区块链
区块链服务 BCS
可信跨链服务 TCS
可信分布式身份服务
智能协作
IdeaHub
开发者工具
SDK开发指南
API签名指南
DevStar
HCloud CLI
Terraform
Ansible
云生态
云市场
合作伙伴中心
华为云培训中心
其他
管理控制台
消息中心
产品价格详情
系统权限
我的凭证
客户关联华为云合作伙伴须知
公共问题
宽限期保留期
奖励推广计划
活动
容器
云容器引擎 CCE
云容器实例 CCI
容器镜像服务 SWR
应用编排服务 AOS
多云容器平台 MCP
基因容器 GCS
容器洞察引擎 CIE
云原生服务中心 OSC
容器批量计算 BCE
容器交付流水线 ContainerOps
应用服务网格 ASM
网络
虚拟私有云 VPC
弹性公网IP EIP
弹性负载均衡 ELB
NAT网关 NAT
云专线 DC
虚拟专用网络 VPN
云连接 CC
VPC终端节点 VPCEP
数据库
云数据库 RDS
数据复制服务 DRS
文档数据库服务 DDS
分布式数据库中间件 DDM
云数据库 GaussDB (for openGauss)
云数据库 GaussDB(for MySQL)
云数据库 GaussDB NoSQL
数据管理服务 DAS
数据库和应用迁移 UGO
大数据
MapReduce服务 MRS
数据湖探索 DLI
表格存储服务 CloudTable
可信智能计算服务 TICS
推荐系统 RES
云搜索服务 CSS
数据可视化 DLV
数据湖治理中心 DGC
数据接入服务 DIS
数据仓库服务 GaussDB(DWS)
应用中间件
微服务引擎 CSE
分布式消息服务Kafka版
分布式消息服务RabbitMQ版
API网关 APIG
分布式缓存服务 DCS
分布式消息服务RocketMQ版
企业应用
域名注册服务 Domains
云解析服务 DNS
云速建站 CloudSite
网站备案
商标注册
华为云WeLink
会议
隐私保护通话 PrivateNumber
语音通话 VoiceCall
消息&短信 MSGSMS
云管理网络
SD-WAN 云服务
边缘数据中心管理 EDCM
云桌面 Workspace
应用与数据集成平台 ROMA Connect
ROMA资产中心 ROMAExchange
API全生命周期管理 ROMA API
安全与合规
安全技术与应用
DDoS防护 ADS
Web应用防火墙 WAF
云防火墙 CFW
应用信任中心 ATC
企业主机安全 HSS
容器安全服务 CGS
云堡垒机 CBH
数据库安全服务 DBSS
数据加密服务 DEW
数据安全中心 DSC
云证书管理服务 CCM
SSL证书管理 SCM
漏洞扫描服务 VSS
态势感知 SA
威胁检测服务 MTD
管理检测与响应 MDR
安全治理云图 Compass
认证测试中心 CTC
迁移
主机迁移服务 SMS
对象存储迁移服务 OMS
云数据迁移 CDM
专属云
专属计算集群 DCC
解决方案
高性能计算 HPC
SAP
混合云灾备
华为工业云平台 IMC
价格
成本优化最佳实践
专属云商业逻辑
用户服务
帐号中心
费用中心
成本中心
资源中心
企业管理
工单管理
客户运营能力
国际站常见问题
支持计划
专业服务
合作伙伴支持计划
更新时间:2022-01-21 GMT+08:00
分享

服务版本差异

Web应用防火墙支持云模式、独享模式和ELB模式三种部署方式,部署模式的差异说明如下。

云模式、独享模式和ELB模式使用说明

请您根据业务需求选择使用云模式、独享模式或ELB模式(ELB模式为七层负载均衡,支持HTTP和HTTPS协议,监听器收到访问请求后,需要识别并通过HTTP/HTTPS协议报文头中的相关字段,进行数据的转发),您也可以同时使用三种模式, 三种模式的部署架构如图1所示,主要差异说明如表1所示。

使用独享模式或ELB模式前,请确认已提交工单申请开通独享模式或ELB模式。否则,您将无法购买独享模式或ELB模式。

图1 云模式、独享模式和ELB模式部署架构
表1 云模式、独享模式和ELB模式使用说明

项目

云模式

独享模式

ELB模式

计费方式

包周期(包年/包月)

按需计费

按需计费

服务版本

  • 检测版
  • 标准版(原专业版)
  • 专业版(原企业版)
  • 铂金版(原旗舰版)

-

-

使用场景

业务服务器部署在华为云上、非华为云或线下。

各服务版本推荐使用的场景说明如下:

  • 检测版

    个人网站防护

  • 标准版(原专业版)

    中小型网站,对业务没有特殊的安全需求

  • 专业版(原企业版)

    中型企业级网站或服务对互联网公众开放,关注数据安全且具有高标准的安全需求

  • 铂金版(原旗舰版)

    中大型企业网站,具备较大的业务规模,或是具有制定个性化防护的安全需求

业务服务器部署在华为云上。

大型企业网站,具备较大的业务规模且基于业务特性具有制定个性化防护规则的安全需求。

业务服务器部署在华为云上。

大型企业网站,对业务稳定性有较高要求的安全防护需求。

防护对象

域名

域名或IP

域名或IP

优势

  • 弹性扩容能力强,通过升级规格可以扩容防护能力
  • 可以防护华为云、非华为云和云下的Web业务
  • 支持IPv6防护
  • 部署灵活
  • 独享引擎实例资源由用户独享
  • 可以满足大规模流量攻击场景防护需求
  • 独享引擎实例部署在VPC内,网络链路时延低
  • 不改变业务架构,水平扩展防护能力
  • 旁路部署,业务零影响
  • 可靠性高

    当WAF发生故障时,流量将直接通过ELB发送给后端,不影响客户正常业务。

各版本支持的业务规格

云模式各个版本、独享模式和ELB模式适用的业务规格如表2所示。其中,购买云模式时您可以选择购买域名扩展包、带宽扩展包和规则扩展包,以满足更多域名、更大流量的防护需求,也可以购买额外的扩展包或者通过升级云模式版本和规格从较低版本升级到任一更高版本。

扩展包限制和规格说明如下:
  • 一个域名包支持10个域名,限制仅支持1个一级域名和与一级域名相关的子域名或泛域名。
  • 一个带宽扩展包包含20Mbit/s/50Mbit/s(华为云外/华为云内)或者1,000QPS(Query Per Second,即每秒钟的请求量,例如一个HTTP GET请求就是一个Query)。
    • 华为云外:源站服务器部署在非华为云或云下(线下)。
    • 华为云内:源站服务器部署在华为云上。
  • 一个规则扩展包包含10条IP黑白名单防护规则。
  • 域名个数为一级域名(例如,example.com)、单域名/二级域名等子域名(例如,www.example.com)和泛域名(例如,*.example.com)的总数。例如,标准版(原专业版)支持防护10个域名,则标准版(原专业版)可以添加10个单域名或泛域名,也可以添加1个一级域名和9个与其相关的子域名或泛域名。
  • 同一个域名对应不同端口视为不同的域名,例如www.example.com:8080和www.example.com:8081视为两个不同的域名,将占用两个不同的域名防护额度。
表2 适用的业务规格

业务规格

检测版

标准版(原专业版)

专业版(原企业版)

铂金版(原旗舰版)

独享模式

ELB模式

正常业务请求峰值

  • 100 QPS业务请求
  • 6,000 回源长连接(每域名)
  • 2,000 QPS
  • 6,000回源长连接(每域名)
  • 5,000 QPS业务请求
  • 6,000 回源长连接(每域名)
  • 10,000 QPS业务请求
  • 6,000 回源长连接(每域名)
  • WAF实例规格选择WI-500,参考性能:
    • 吞吐量:500 Mbps,QPS:10,000
    • 单实例可支持回源长连接:60,000(每实例),5,000(每域名)
  • WAF实例规格选择WI-100,参考性能:
    • 吞吐量:100 Mbps,QPS:2,000
    • 单实例可支持回源长连接:60,000(每实例),5,000(每域名)
  • WAF实例规格选择WI-500,参考性能
    • 吞吐量:500Mbit/s
    • QPS:10,000
  • WAF实例规格选择WI-100,参考性能
    • 吞吐量:100Mbit/s
    • QPS:2,000

业务带宽阈值(源站服务器部署在华为云)

10Mbit/s

100Mbit/s

200Mbit/s

300Mbit/s

  • WAF实例规格选择WI-500,参考性能:
    • 吞吐量:500 Mbps,QPS:10,000
    • 单实例可支持回源长连接:60,000(每实例),5,000(每域名)
  • WAF实例规格选择WI-100,参考性能:
    • 吞吐量:100 Mbps,QPS:2,000
    • 单实例可支持回源长连接:60,000(每实例),5,000(每域名)
  • WAF实例规格选择WI-500,参考性能
    • 吞吐量:500Mbit/s
    • QPS:10,000
  • WAF实例规格选择WI-100,参考性能
    • 吞吐量:100Mbit/s
    • QPS:2,000

业务带宽阈值(源站服务器未部署在华为云)

10Mbit/s

30Mbit/s

50Mbit/s

100Mbit/s

-

-

域名个数

10个(支持1个一级域名)

10个(支持1个一级域名)

50个(支持5个一级域名)

80个(支持8个一级域名)

2,000个(支持2,000个一级域名)

2,000个(支持2,000个一级域名)

回源IP(单个防护域名支持的回源服务器IP个数)

10个

20个

50个

80个

-

-

支持的端口个数

标准端口:不限制

  • 标准端口:不限制
  • 非标准端口:10个
  • 标准端口:不限制
  • 非标准端口:18个
  • 标准端口:不限制
  • 非标准端口:58个
  • 标准端口:不限制
  • 非标准端口:不限制

不限制

CC攻击防护峰值

-

100,000QPS

300,000QPS

1,000,000QPS

500,000QPS

500,000QPS

CC攻击防护规则

-

20条

50条

100条

100条

100条

精准访问防护规则

-

20条

50条

100条

100条

100条

引用表规则

-

-

50条

100条

100条

100条

IP黑白名单规则

-

20条

100条

1000条

1000条

1000条

地理位置封禁规则

-

-

50条

100条

100条

100条

网页防篡改规则

-

20条

50条

100条

100条

-

防敏感信息泄露

-

-

50条

100条

100条

-

误报屏蔽规则

1000条

1000条

1000条

1000条

1000条

1000条

隐私屏蔽规则

-

20条

50条

100条

100条

100条

各版本支持的功能特性

云模式各个版本、独享模式和ELB模式适用的安全功能特性如表3所示,请您根据业务需求选择对应的服务版本。其中,云模式支持检测版、标准版(原专业版)、专业版(原企业版)和铂金版(原旗舰版)四种版本,您可以通过升级云模式版本和规格从较低版本升级到任一更高版本,以满足更多防护功能需求。

云模式的专业版(原企业版)和铂金版(原旗舰版)支持定制非标准端口,您可以提交工单申请开通定制的非标准端口。定制的非标准端口数将统计到非标准端口配额中(铂金版支持防护58个非标准端口),例如,如果您添加了6个铂金版支持的非标准端口,2个定制的非标准端口,则您还可以添加50个非标准端口。

表3 安全功能特性

功能模板

检测版

标准版(原专业版)

专业版(原企业版)

铂金版(原旗舰版)

独享版

ELB模式

域名/带宽/规则扩展包

×

×

×

域名备案检查

×

×

支持添加泛域名

×

非80、443标准端口防护

×

非80、443标准端口定制

×

×

×

×

批量灵活配置防护策略

√(仅支持批量配置误报屏蔽策略)

×

为防护策略批量配置适用的防护域名

×

×

支持IPv6防护

须知:

当前仅“华东”“华北”区域支持IPv4/6双栈和NAT64。

×

×

×

×

常见的Web应用攻击防护,包括SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等

√(只检测,不支持拦截)

云端自动更新最新0Day漏洞防护规则,及时下发0Day漏洞虚拟补丁

×

Webshell检测

√(只检测,不支持拦截)

深度检测,同形字符混淆、通配符变形的命令注入、UTF7、Data URI Scheme等深度反逃逸检测

√(只检测,不支持拦截)

header全检测,对请求里header中所有字段进行攻击检测

√(只检测,不支持拦截)

CC攻击防护

×

精准访问防护

×

√(不支持全检测)

引用表管理

×

×

IP黑白名单设置,支持批量导入IP地址/IP地址段

×

支持对指定国家、省份的IP自定义访问控制

×

×

网页防篡改

×

×

检测并拦截搜索引擎、扫描器、脚本工具、其它爬虫等爬虫行为

×

×

检测并拦截JS脚本反爬虫检测行为

×

×

×

防敏感信息泄露

×

×

×

误报屏蔽

隐私屏蔽

×

分享:

    相关文档

    相关产品

关闭导读