更新时间:2025-05-20 GMT+08:00
分享

购买WAF云模式

Web应用防火墙云模式支持包年/包月(预付费)计费方式。同时,包周期(包年/包月)提供四个服务版本:入门版、标准版、专业版和企业版,三种扩展包:域名扩展包、QPS扩展包和规则扩展包。您可以根据业务需求购买WAF云模式。

  • 云模式的ELB接入方式需要提交工单申请开通后才能使用,支持使用的Region请参考功能总览
  • 购买了云模式标准版、专业版或企业版后,才支持使用ELB接入方式,域名、QPS、规则扩展包的配额与云模式的CNAME接入方式共用,且ELB接入方式的业务规格与购买的云模式版本的对应规格一致。
  • WAF的API接口目前是免费支持调用,暂不收费。

前提条件

登录WAF控制台的账号需要拥有WAF Administrator与BSS Administrator权限。

约束条件

  • 入门版不支持购买扩展包。
  • 同一账号在同一个大区域(例如,华东区域:华东-上海一、华东-上海二)只能选择一个服务版本。

    有关支持购买WAF的区域说明,请参见Web应用防火墙支持防护哪些区域

    原则上,在任何一个区域购买的WAF支持防护所有区域的Web业务。但是为了提高WAF的转发效率,建议您在购买WAF时,根据防护业务的所在区域就近选择购买的WAF区域。

  • 专业版和企业版支持定制非标准端口,您可以提交工单申请开通定制的非标准端口。

规格限制

  • 一个域名扩展包支持10个域名。
  • 一个QPS扩展包的QPS限制和带宽限制:
    • 对于部署在华为云的Web应用

      业务带宽:50Mbit/s

      每秒钟的请求量:1000QPS(Queries Per Second,例如一个HTTP GET请求就是一个Query)

    • 对于未部署在华为云的Web应用

      业务带宽:20Mbit/s

      每秒钟的请求量:1000QPS(Queries Per Second,例如一个HTTP GET请求就是一个Query)

  • 一个规则扩展包包含10条IP黑白名单防护规则。
  • 购买了云模式标准版、专业版或企业版后,才支持使用ELB接入方式,域名、QPS、规则扩展包的配额与云模式的CNAME接入方式共用,且ELB接入方式的业务规格与购买的云模式版本的对应规格一致。
  • 带宽限制仅对云模式-CNAME方式接入的网站有限制,通过ELB模式接入的网站,没有带宽限制,仅有QPS限制。

应用场景

业务服务器部署在华为云、非华为云或线下,且防护对象为域名。

各服务版本推荐使用的场景说明如下:

  • 入门版

    个人网站防护

  • 标准版

    中小型网站,对业务没有特殊的安全需求

  • 专业版

    中型企业级网站或服务对互联网公众开放,关注数据安全且具有高标准的安全需求

  • 企业版

    中大型企业网站,具备较大的业务规模,或是具有特殊定制的安全需求

包年月方式购买云模式WAF

  1. 登录管理控制台
  2. 单击管理控制台左上角的,选择区域或项目。
  3. 单击页面左上方的,选择安全与合规 > Web应用防火墙 WAF
  4. 在页面的右上角,单击“购买WAF实例”
  5. “购买Web应用防火墙”界面,“WAF模式”选择“云模式”
  6. 选择“区域”

    原则上,在任何一个区域购买的WAF支持防护所有区域的Web业务。但是为了提高WAF的转发效率,建议您在购买WAF时,根据防护业务的所在区域就近选择购买的WAF区域。

    如果您需要切换区域,请在“区域”下拉框里选择区域。同一个区域只支持购买一个WAF版本。

  7. 选择“版本规格”

    图1 选择服务版本

  8. 选择标准版、专业版和企业版时,可以设置“域名扩展包”“QPS扩展包”“规则扩展包”的数量,如图2所示。

    可参照域名扩展包QPS扩展包规则扩展包进行详细了解。
    图2 选择扩展包

  9. 选择标准版、专业版时,选择是否购买“大模型内容安全”。购买后,可在防护策略中,配置大模型检测规则保障大模型应用安全合规,检测大模型输入内容的提示词攻击风险,识别输入输出的不宜或违规内容。

    • 仅云模式-CNAME接入支持“大模型内容安全”功能。
    • 如果您购买的WAF服务版本为标准版、专业版,则购买的“大模型内容安全”版本自动对应为标准版、专业版。
    • “大模型内容安全”不支持单独退订。仅在退订WAF云模式时,可同时退订“大模型内容安全”
    图3 购买大模型内容安全

  10. 选择“购买时长”。单击时间轴的点,选择购买时长 ,可以选择1个月~3年的时长。

    • 勾选“自动续费”后,当服务期满时,系统会自动按照购买周期进行续费。
    • 如果您需要使用内容安全检测服务,可单击前往购买,跳转到“购买内容安全检测服务”页面。

  11. 确认参数配置无误后,在页面右下角单击“立即购买”
  12. 确认订单详情无误后,阅读并勾选“我已经阅读并同意《Web应用防火墙免责声明》”,单击“去支付”,完成购买操作。
  13. 进入“付款”页面,选择付款方式进行付款。

    开通WAF后,您可以返回WAF控制台。在左侧导航栏,选择系统管理 > 产品信息,在产品信息页,查看已购买的实例详情。更多操作,请参见查看产品信息

扩展包说明

Web应用防火墙提供了域名扩展包、带宽扩展包和规则扩展包,当您购买的WAF云模式版本匹配的扩展包数量不能满足业务需求时,可以通过增加扩展包数量提高域名、带宽、规则的防护配额。

一个域名扩展包支持防护10个域名。如果当前云模式版本的防护域名数量不能满足业务需求时,您可以通过购买域名扩展包增加防护域名配额。

云模式各版本支持防护的域名个数说明如下:
  • 入门版/标准版:支持防护10个域名。
  • 专业版:支持防护50个域名。
  • 企业版:支持防护80个域名。

同一个域名对应不同端口视为不同的域名,例如www.example.com:8080和www.example.com:8081视为两个不同的域名,将占用两个不同的域名配额。

您也可以通过变更云模式规格增加域名配额。详细操作请参见变更WAF云模式版本和规格

通过包年/包月模式购买WAF云模式时,标准版、专业版和企业版存在一定量的业务请求限制,各版本支持的最大业务请求限制请参见各版本支持的业务规格。您可以购买QPS扩展包以满足更大的业务请求需求。

例如,您当前的业务流量需求为6,000QPS,您已经购买了WAF专业版套餐(业务请求限制为5,000QPS),这种情况下您需要额外购买1,000QPS的QPS扩展包,确保您的业务访问正常。您可以通过变更WAF云模式版本和规格来增加QPS扩展配置,满足更大的业务带宽需求。

什么是业务带宽限制?

  • WAF的业务带宽是指所有该WAF防护的域名、站点中正常业务流量的大小,单位为Mbit/s。一个QPS扩展包包含:
    • 对于部署在华为云的Web应用

      业务带宽:50Mbit/s

      每秒钟的请求量:1000QPS(Query Per Second,例如一个HTTP GET请求就是一个Query)

    • 对于未部署在华为云的Web应用

      业务带宽:20Mbit/s

      每秒钟的请求量:1000QPS(Query Per Second,例如一个HTTP GET请求就是一个Query)

    WAF中的实际业务带宽由WAF单独计算,与其他华为云产品(如CDN、ELB、ECS等)的带宽或者流量限制没有任何关联。

  • 通过包年/包月模式购买WAF时,标准版、专业版和企业版都存在一定量的业务带宽限制,且在华为云内的源站服务器(如ECS、ELB实例等)可享有更高的业务带宽。例如,在WAF企业版套餐中,对于华为云内的源站的业务带宽限制为300Mbit/s,而对于华为云外的服务器(如IDC机房等)的业务带宽限制则为100Mbit/s。

超过业务带宽限制和请求限制会有什么影响?

如果您的正常业务流量超过您已购买的WAF版本的业务带宽和请求限制,您在WAF中配置的全部业务的流量转发将可能受到影响。

超出业务请求限制后,可能出现限流、随机丢包等现象,导致您的正常业务在一定时间内不可用、卡顿、延迟等。例如,页面提示“Website is under maintenance (Protected by WAF)”

如果出现这种情况,您需要升级WAF版本或者扩展业务请求,避免正常业务流量超出业务请求限制所产生的影响。

如何选择QPS扩展包?

购买WAF时,您需要提前考虑准备通过WAF配置防护的所有站点的日常入方向和出方向总流量的峰值,确保您选购的WAF所对应的业务带宽限制大于入、出方向总流量峰值中较大的值。

一般情况下,出方向的流量会比较大。

您可以参考云服务器(ECS)管理控制台中的流量统计,或者通过您站点服务器上的其它监控工具来评估您的实际业务流量大小。

流量指的是业务去掉攻击流量后的正常流量。例如,您需要将所有站点对外访问的流量都接入WAF进行防护,在正常访问(未遭受攻击)时,WAF将这些正常访问流量回源到源站ECS实例;而当站点遭受攻击(CC攻击或DDoS攻击)时,WAF将异常流量拦截、过滤后,将正常流量回源到源站ECS实例。因此,您在云服务器(ECS)管理控制台中查看您源站ECS实例的入方向及出方向的流量就是正常的业务流量。如果存在多个源站ECS实例,则需要统计所有源站ECS实例流量的总和。例如:假设您需要通过WAF配置防护六个站点,每个站点的出方向的正常业务流量峰值都不超过2,000QPS,流量总和不超过12,000QPS。这种情况下,您只需选择购买Web应用防火墙企业版套餐即可。

通过包年/包月模式购买WAF云模式时,如果当前版本的IP黑白名单防护规则数不能满足要求,您可以通过购买规则扩展包增加IP黑白名单防护规则数,以满足的防护配置需求。

一个规则扩展包包含10条IP黑白名单防护规则。

您可以在购买云模式或变更云模式规格时购买规则扩展包。

详细操作请参见变更WAF云模式版本和规格

后续操作

  1. 接入WAF:云模式支持通过CNAME接入ELB接入方式,将防护网站域名或IP接入WAF进行防护。
  2. 查看防护事件:防护网站域名或IP接入WAF后,默认开启“Web基础防护”的“常规检测”(拦截模式为“仅记录”,“防护等级”为“中等”)和“网站反爬虫”的“扫描器”检测(防护动作为“仅记录”),您可以在防护事件页面,查看并处置对应防护事件。
  3. 配置防护策略:如果默认开启的防护规则不能满足网站的安全需求,您可以配置有针对性的防护规则。
  4. 查询防护事件:查看网站防护详情。

相关操作

相关文档