接入方式

接入原理

WAF 3.0

WAF 2.0

CNAME接入

• 通过添加域名，并将域名的DNS解析指向WAF的CNAME地址，使域名的Web业务引流到WAF。WAF会拦截攻击请求并将正常业务请求转发回源站服务器。

• 该过程中，WAF作为反向代理集群，同时参与流量的转发和检测防护。

支持

支持

云产品接入（原透明接入）

• 通过添加引流端口到WAF的方式，使云产品网关自动改变路由，将Web业务引流到WAF。WAF会拦截攻击请求并将正常业务请求转发回源站服务器。

• 该过程中，WAF作为反向代理集群，同时参与流量的转发和检测防护。

支持

支持

云产品接入（全新的云原生架构）

• 通过SDK模块化的方式将WAF集成在云产品的网关中，通过内嵌在网关中的SDK提取流量并进行检测和防护。

• 该过程中，WAF不参与流量转发，避免因额外引入一层转发而带来各种兼容性和稳定性问题。

支持

不支持

功能

WAF 3.0

WAF 2.0

生效对象

WAF 3.0支持为防护对象或防护对象组配置防护策略。

• 防护对象可以是接入的域名，也可以是云产品实例。

• 您也可以将多个防护对象加入到一个防护规则组，批量为防护对象配置防护策略。

WAF 2.0支持为单个域名配置防护规则。

如果您通过透明接入将实例接入WAF，您需要将实例中的所有域名单独接入WAF，才能配置防护规则，否则所有流量只能使用默认防护规则，且无法修改。

实现方式

通过创建防护模板，并为模板配置防护规则，实现为不同防护对象应用不同的防护规则。

直接为指定域名创建防护规则。

查看方式

• 支持通过防护对象或防护对象组查看各自配置的所有防护规则。

• 支持通过防护模块查看该模块下配置的所有防护规则。

• 支持通过规则ID，检索防护规则。

支持查看单个域名配置的所有防护规则。

管理默认防护规则

新接入WAF 3.0的防护对象默认开启基础防护。WAF 3.0支持修改该默认防护规则的防护动作为拦截或放行。

新接入WAF的域名默认开启规则防护引擎，但不支持修改规则防护动作。只有为域名创建防护规则后，才能指定防护动作。

防护规格

• 关于各版本支持的防护对象数量，请参见防护对象。

• 关于支持的防护模块，及各模块支持的防护规则数量，请参见安全功能。

• 关于各版本支持防护的域名数，请参见默认可防护的主域名个数和默认可防护的总域名个数。

• 关于支持的防护模块，及各防护模块支持的防护规则数量，请参见概述。

区别

WAF 3.0

WAF 2.0

配套版本

• 支持基础版、高级版、企业版、旗舰版。

• 新增基础版，适配小流量用户。

支持高级版、企业版、旗舰版。

计费项

流量规格

统一为QPS，无需关注带宽。

同时支持QPS和带宽，需要进行换算。

域名规格

不再区分主域名和子域名，统一按接入域名个数结算费用。

区分主域名和子域名。

混合云接入

开通企业版、旗舰版即可直接使用混合云接入。

需要单独开通混合云WAF独享版。

区别

WAF 3.0

WAF 2.0

计量单元

统一计量单元为SeCU（Security Capacity Unit），1 SeCU收费0.05元。

无。

统计方式

• 小时级计费。

• 无需单独开启功能，即可直接使用，且使用后开始计费。配置删除或功能关闭时自动停止计费，无需手动开关。

开启功能后才能使用，并开始计费。关闭功能后，停止计费。