Web应用防火墙 WAFWeb应用防火墙 WAF

更新时间:2021/08/30 GMT+08:00
分享

服务版本差异

Web应用防火墙支持云模式、独享模式和ELB模式三种部署方式,部署模式的差异说明如下。

云模式、独享模式和ELB模式使用说明

请您根据业务需求选择使用云模式、独享模式或ELB模式,您也可以同时使用三种模式, 三种模式的部署架构如图1所示,主要差异说明如表1所示。

  • 使用独享模式或ELB模式前,请确认已提交工单申请开通独享模式或ELB模式。否则,您将无法购买独享模式或ELB模式。
  • 当前“华北-北京二”“华北-北京四”区域支持ELB模式。
图1 云模式、独享模式和ELB模式部署架构
表1 云模式、独享模式和ELB模式使用说明

项目

云模式

独享模式

ELB模式

计费方式

包周期(包年/包月)

按需计费

按需计费

服务版本

  • 检测版
  • 标准版(原专业版)
  • 专业版(原企业版)
  • 铂金版(原旗舰版)

-

-

使用场景

业务服务器部署在华为云上、非华为云或线下。

各服务版本推荐使用的场景说明如下:

  • 检测版

    个人网站防护

  • 标准版(原专业版)

    中小型网站,对业务没有特殊的安全需求

  • 专业版(原企业版)

    中型企业级网站或服务对互联网公众开放,关注数据安全且具有高标准的安全需求

  • 铂金版(原旗舰版)

    中大型企业网站,具备较大的业务规模,或是具有制定个性化防护的安全需求

业务服务器部署在华为云上。

大型企业网站,具备较大的业务规模且基于业务特性具有制定个性化防护规则的安全需求。

业务服务器部署在华为云上。

大型企业网站,对业务稳定性有较高要求的安全防护需求。

防护对象

域名

域名或IP

域名或IP

优势

  • 弹性扩容能力强,通过升级规格可以扩容防护能力
  • 可以防护华为云、非华为云和云下的Web业务
  • 支持IPv6防护
  • 部署灵活
  • 独享引擎实例资源由用户独享
  • 可以满足大规模流量攻击场景防护需求
  • 独享引擎实例部署在VPC内,网络链路时延低
  • 不改变业务架构,水平扩展防护能力
  • 旁路部署,业务零影响
  • 可靠性高

    当WAF发生故障时,流量将直接通过ELB发送给后端,不影响客户正常业务。

各版本支持的业务规格

云模式各个版本、独享模式和ELB模式适用的业务规格如表2所示。其中,购买云模式时您可以选择购买域名扩展包、带宽扩展包和规则扩展包,以满足更多域名、更大流量的防护需求,也可以购买额外的扩展包或者通过升级云模式版本和规格从较低版本升级到任一更高版本。

扩展包限制和规格说明如下:
  • 检测版不支持购买扩展包。
  • 一个域名包支持防护10个域名,限制仅支持1个一级域名和与一级域名相关的子域名或泛域名。
  • 一个带宽扩展包包含20Mbit/s/50Mbit/s(华为云外/华为云内)或者1,000QPS(Query Per Second,即每秒钟的请求量,例如一个HTTP GET请求就是一个Query)。
  • 一个规则扩展包包含10条IP黑白名单防护规则。
  • 域名个数为一级域名(例如,example.com)、单域名/二级域名等子域名(例如,www.example.com)和泛域名(例如,*.example.com)的总数。例如,标准版(原专业版)支持防护10个域名,则标准版(原专业版)可以添加10个单域名或泛域名,也可以添加1个一级域名和9个与其相关的子域名或泛域名。
  • 同一个域名对应不同端口视为不同的域名,例如www.example.com:8080和www.example.com:8081视为两个不同的域名,将占用两个不同的域名防护额度。
表2 适用的业务规格

业务规格

检测版

标准版(原专业版)

专业版(原企业版)

铂金版(原旗舰版)

独享版

ELB模式

正常业务请求峰值

100QPS

2,000QPS

5,000QPS

10,000QPS

  • WAF实例规格选择WI-500,参考性能
    • 吞吐量:500Mbit/s
    • QPS:10,000
  • WAF实例规格选择WI-100,参考性能
    • 吞吐量:100Mbit/s
    • QPS:2,000
  • WAF实例规格选择WI-500,参考性能
    • 吞吐量:500Mbit/s
    • QPS:10,000
  • WAF实例规格选择WI-100,参考性能
    • 吞吐量:100Mbit/s
    • QPS:2,000

业务带宽阈值(源站服务器部署在华为云)

10Mbit/s

100Mbit/s

200Mbit/s

300Mbit/s

  • WAF实例规格选择WI-500,参考性能
    • 吞吐量:500Mbit/s
    • QPS:10,000
  • WAF实例规格选择WI-100,参考性能
    • 吞吐量:100Mbit/s
    • QPS:2,000
  • WAF实例规格选择WI-500,参考性能
    • 吞吐量:500Mbit/s
    • QPS:10,000
  • WAF实例规格选择WI-100,参考性能
    • 吞吐量:100Mbit/s
    • QPS:2,000

业务带宽阈值(源站服务器未部署在华为云)

10Mbit/s

30Mbit/s

50Mbit/s

100Mbit/s

-

-

域名个数

10个(支持1个一级域名)

10个(支持1个一级域名)

50个(支持5个一级域名)

80个(支持8个一级域名)

2,000个(支持2,000个一级域名)

2,000个(支持2,000个一级域名)

回源IP(单个防护域名支持的回源服务器IP个数)

10个

20个

50个

80个

-

-

支持的端口个数

标准端口:不限制

  • 标准端口:不限制
  • 非标准端口:10个
  • 标准端口:不限制
  • 非标准端口:18个
  • 标准端口:不限制
  • 非标准端口:58个
  • 标准端口:不限制
  • 非标准端口:不限制

不限制

CC攻击防护峰值

-

100,000QPS

300,000QPS

1,000,000QPS

500,000QPS

500,000QPS

CC攻击防护规则

-

20条

50条

100条

100条

100条

精准访问防护规则

-

20条

50条

100条

100条

100条

引用表规则

-

-

50条

100条

100条

100条

IP黑白名单规则

-

20条

50条

1000条

1000条

1000条

地理位置封禁规则

-

-

50条

100条

100条

100条

网页防篡改规则

-

20条

50条

100条

100条

-

防敏感信息泄露

-

-

50条

100条

100条

-

误报屏蔽规则

1000条

1000条

1000条

1000条

1000条

1000条

隐私屏蔽规则

-

20条

50条

100条

100条

100条

各版本支持的功能特性

云模式各个版本、独享模式和ELB模式适用的安全功能特性如表3所示,请您根据业务需求选择对应的服务版本。其中,云模式支持检测版、标准版(原专业版)、专业版(原企业版)和铂金版(原旗舰版)四种版本,您可以通过升级云模式版本和规格从较低版本升级到任一更高版本,以满足更多防护功能需求。

云模式的铂金版(原旗舰版)支持定制非标准端口,您可以提交工单申请开通定制的非标准端口。定制的非标准端口数将统计到非标准端口配额中(铂金版支持防护58个非标准端口),例如,如果您添加了6个铂金版支持的非标准端口,2个定制的非标准端口,则您还可以添加50个非标准端口。

表3 安全功能特性

功能模板

检测版

标准版(原专业版)

专业版(原企业版)

铂金版(原旗舰版)

独享版

ELB模式

相关文档

域名备案检查

×

×

如何在添加域名中配置防护域名

支持添加泛域名

×

如何在添加域名中配置防护域名

非80、443标准端口防护

×

Web应用防火墙支持哪些非标准端口

非80、443标准端口定制

×

×

×

×

-

-

批量灵活配置防护策略

√(仅支持批量配置误报屏蔽策略)

×

防护策略

支持IPv6防护

须知:

当前仅“华东”“华北”区域支持IPv4/6双栈和NAT64。

×

×

×

×

IPv6防护

常见的Web应用攻击防护,包括SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等

√(只检测,不支持拦截)

Web基础防护规则

云端自动更新最新0Day漏洞防护规则,及时下发0Day漏洞虚拟补丁

×

Webshell检测

√(只检测,不支持拦截)

深度检测,同形字符混淆、通配符变形的命令注入、UTF7、Data URI Scheme等深度反逃逸检测

√(只检测,不支持拦截)

header全检测,对请求里header中所有字段进行攻击检测

√(只检测,不支持拦截)

CC攻击防护

×

CC攻击防护规则

精准访问防护

×

√(不支持全检测)

精准访问防护规则

引用表管理

×

×

创建引用表

IP黑白名单设置

×

黑白名单规则

支持对指定国家、省份的IP自定义访问控制

×

×

地理位置访问控制规则

网页防篡改

×

×

网页防篡改规则

检测并拦截搜索引擎、扫描器、脚本工具、其它爬虫等爬虫行为

×

×

网站反爬虫规则

检测并拦截JS脚本反爬虫检测行为

×

×

×

防敏感信息泄露

×

×

×

防敏感信息泄露规则

误报屏蔽

误报屏蔽规则

隐私屏蔽

×

隐私屏蔽规则

分享:

    相关文档

    相关产品