购买WAF云模式
Web应用防火墙云模式支持包年/包月(预付费)计费方式。同时,包周期(包年/包月)提供四个服务版本:入门版、标准版、专业版和铂金版,三种扩展包:域名扩展包、QPS扩展包和规则扩展包。您可以根据业务需求购买WAF云模式。
前提条件
登录WAF控制台的账号需要拥有WAF Administrator与BSS Administrator权限。
约束条件
- 入门版不支持购买扩展包。
- 同一账号在同一个大区域(例如,华东区域(华东-上海一、华东-上海二)只能选择一个服务版本。
有关支持购买WAF的区域说明,请参见Web应用防火墙支持防护哪些区域?。
原则上,在任何一个区域购买的WAF支持防护所有区域的Web业务。但是为了提高WAF的转发效率,建议您在购买WAF时,根据防护业务的所在区域就近选择购买的WAF区域。
- WAF的支持降低购买的版本的规格,详见变更WAF云模式版本和规格。
- 专业版和铂金版支持定制非标准端口,您可以提交工单申请开通定制的非标准端口。
规格限制
- 一个域名包支持10个域名,限制仅支持1个一级域名和与一级域名相关的子域名或泛域名。
- 一个QPS扩展包的QPS限制和带宽限制:
- 对于部署在华为云的Web应用
每秒钟的请求量:1000QPS(Queries Per Second,例如一个HTTP GET请求就是一个Query)
- 对于未部署在华为云的Web应用
每秒钟的请求量:1000QPS(Queries Per Second,例如一个HTTP GET请求就是一个Query)
- 购买了云模式标准版、专业版或铂金版后,才支持使用ELB接入方式,域名、QPS、规则扩展包的配额与云模式的CNAME接入方式共用,且ELB接入方式的业务规格与购买的云模式版本的对应规格一致。
- 带宽限制仅对云模式接入的网站有限制,通过ELB模式接入的网站,没有带宽限制,仅有QPS限制。
- 对于部署在华为云的Web应用
- 一个规则扩展包包含10条IP黑白名单防护规则。
应用场景
业务服务器部署在华为云、非华为云或线下,且防护对象为域名。
各服务版本推荐使用的场景说明如下:
操作步骤
- 登录管理控制台。
- 单击管理控制台左上角的
,选择区域或项目。 - 单击页面左上方的
,选择。 - 在页面的右上角,单击“购买WAF实例”。
- (可选)在“企业项目”下拉列表中选择您所在的企业项目。
企业项目针对企业用户使用,只有开通了企业项目的客户,或者权限为企业主账号的客户才可见。如需使用该功能,请开通企业管理功能。企业项目是一种云资源管理方式,企业项目管理服务提供统一的云资源按项目管理,以及项目内的资源管理、成员管理。
- “default”为默认企业项目,账号下原有资源和未选择企业项目的资源均在默认企业项目内。
- 只有注册的华为账号购买WAF时,“企业项目”下拉列表中才可以选择到“default”。
- 在“购买Web应用防火墙”界面,“WAF模式”选择“云模式”。
- 选择“区域”和“版本规格”。
图1 选择服务版本
原则上,在任何一个区域购买的WAF支持防护所有区域的Web业务。但是为了提高WAF的转发效率,建议您在购买WAF时,根据防护业务的所在区域就近选择购买的WAF区域。
如果您需要切换区域,请在“区域”下拉框里选择区域。同一个区域只支持购买一个WAF版本。
- 选择标准版、专业版和铂金版时,可以设置“域名扩展包”、“QPS扩展包”或“规则扩展包”的数量,如图2所示。
- 选择“购买时长”。单击时间轴的点,选择购买时长 ,可以选择1个月~3年的时长。
- 勾选“自动续费”后,当服务期满时,系统会自动按照购买周期进行续费。
- 如果您需要使用内容安全检测服务,可单击,跳转到“购买内容安全检测服务”页面。
- 确认参数配置无误后,在页面右下角单击“立即购买”。
- 确认订单详情无误后,阅读并勾选《华为云Web应用防火墙免责声明》,单击“去支付”,完成购买操作。
- 进入“付款”页面,选择付款方式进行付款。
生效条件
付款成功后,您可以在管理控制台右上方查看当前购买的WAF版本以及到期的天数。
扩展包说明
Web应用防火墙提供了域名扩展包、带宽扩展包和规则扩展包供您实用,当您购买的WAF云模式版本匹配的扩展包数量不能满足业务需求时,可以通过增加扩展包数量提高域名、带宽、规则的防护配额。
一个域名扩展包支持防护10个域名,限制仅支持1个一级域名。如果当前云模式版本的防护域名数量不能满足业务需求时,您可以通过购买域名扩展包增加防护域名配额。例如,您当前使用的是标准版,支持防护10个域名,限制仅支持1个一级域名,如果业务需要防护3个一级域名,您可以通过购买2个域名扩展包增加防护域名配额。
- 入门版/标准版:支持防护10个域名,限制仅支持1个一级域名。
- 专业版:支持防护50个域名,限制仅支持5个一级域名。
- 铂金版:支持防护80个域名,限制仅支持8个一级域名。
- 限制仅支持1个一级域名是指支持1个一级域名和与一级域名相关的子域名或泛域名。即您可以添加1个一级域名example.com和最多9个与其相关的子域名或泛域名,例如www.example.com,*.example.com,mail.example.com,user.pay.example.com,x.y.z.example.com。这些域名(包括一级域名example.com)将各占用一个域名包中的域名配额。
- 同一个域名对应不同端口视为不同的域名,例如www.example.com:8080和www.example.com:8081视为两个不同的域名,将占用两个不同的域名配额。
您也可以通过变更云模式规格增加域名配额。详细操作请参见变更WAF云模式版本和规格。
通过包年/包月模式购买WAF云模式时,标准版、专业版和铂金版存在一定量的业务请求限制,各版本支持的最大业务请求限制请参见各版本支持的业务规格。您可以购买QPS扩展包以满足更大的业务请求需求。
例如,您当前的业务流量需求为6,000QPS,您已经购买了WAF专业版套餐(业务请求限制为5,000QPS),这种情况下您需要额外购买1,000QPS的QPS扩展包,确保您的业务访问正常。您可以通过变更WAF云模式版本和规格来增加QPS扩展配置,满足更大的业务带宽需求。
什么是业务带宽限制?
- WAF的业务带宽是指所有该WAF防护的域名、站点中正常业务流量的大小,单位为Mbit/s。一个QPS扩展包包含:
- 对于部署在华为云的Web应用
每秒钟的请求量:1000QPS(Query Per Second,例如一个HTTP GET请求就是一个Query)
- 对于未部署在华为云的Web应用
每秒钟的请求量:1000QPS(Query Per Second,例如一个HTTP GET请求就是一个Query)
WAF中的实际业务带宽由WAF单独计算,与其他华为云产品(如CDN、ELB、ECS等)的带宽或者流量限制没有任何关联。
- 对于部署在华为云的Web应用
- 通过包年/包月模式购买WAF时,标准版、专业版和铂金版都存在一定量的业务带宽限制,且在华为云内的源站服务器(如ECS、ELB实例等)可享有更高的业务带宽。例如,在WAF铂金版套餐中,对于华为云内的源站的业务带宽限制为300Mbit/s,而对于华为云外的服务器(如IDC机房等)的业务带宽限制则为100Mbit/s。
超过业务带宽限制和请求限制会有什么影响?
如果您的正常业务流量超过您已购买的WAF版本的业务带宽和请求限制,您在WAF中配置的全部业务的流量转发将可能受到影响。
超出业务请求限制后,可能出现限流、随机丢包等现象,导致您的正常业务在一定时间内不可用、卡顿、延迟等。例如,页面提示“Website is under maintenance (Protected by WAF)”。
如果出现这种情况,您需要升级WAF版本或者扩展业务请求,避免正常业务流量超出业务请求限制所产生的影响。
如何选择QPS扩展包?
购买WAF时,您需要提前考虑准备通过WAF配置防护的所有站点的日常入方向和出方向总流量的峰值,确保您选购的WAF所对应的业务带宽限制大于入、出方向总流量峰值中较大的值。
一般情况下,出方向的流量会比较大。
您可以参考云服务器(ECS)管理控制台中的流量统计,或者通过您站点服务器上的其它监控工具来评估您的实际业务流量大小。
流量指的是业务去掉攻击流量后的正常流量。例如,您需要将所有站点对外访问的流量都接入WAF进行防护,在正常访问(未遭受攻击)时,WAF将这些正常访问流量回源到源站ECS实例;而当站点遭受攻击(CC攻击或DDoS攻击)时,WAF将异常流量拦截、过滤后,将正常流量回源到源站ECS实例。因此,您在云服务器(ECS)管理控制台中查看您源站ECS实例的入方向及出方向的流量就是正常的业务流量。如果存在多个源站ECS实例,则需要统计所有源站ECS实例流量的总和。例如:假设您需要通过WAF配置防护六个站点,每个站点的出方向的正常业务流量峰值都不超过2,000QPS,流量总和不超过12,000QPS。这种情况下,您只需选择购买Web应用防火墙铂金版套餐即可。
通过包年/包月模式购买WAF云模式时,如果当前版本的IP黑白名单防护规则数不能满足要求,您可以通过购买规则扩展包增加IP黑白名单防护规则数,以满足的防护配置需求。
一个规则扩展包包含10条IP黑白名单防护规则。
您可以在购买云模式或变更云模式规格时购买规则扩展包。
详细操作请参见变更WAF云模式版本和规格。
相关操作
- 变更WAF云模式版本和规格
购买了云模式后,您可以从较低版本的WAF升级到任一更高版本,也可以根据需求增加扩展包的数量。
- 如何退订Web应用防火墙?
- 如何为Web应用防火墙续费?
