WAF是什么、怎么用
WAF怎么收费
华为云WAF计费项
Web应用防火墙云模式支持包年/包月(预付费)计费方式,独享模式支持按需计费(后付费)计费方式。
有关Web应用防火墙详细的服务资费费率标准请参见产品价格详情。
计费模式
• 包周期(包年/包月):云模式计费模式,使用越久越便宜。包周期计费按照订单的购买周期来进行结算。
• 按需计费:从开通并使用WAF开始计费到关闭按需计费时结束计费,按实际添加的域名个数、自定义规则个数以及使用的请求数计费。
• 按需计费:独享模式计费模式,这种购买方式比较灵活,可以即开即停。
实例从创建成功开始计费到删除实例时结束计费,按实际使用时长(精确到秒)计费。
- WAF计费项信息
|
购买模式
|
计费模式
|
计费项目
|
计费说明
|
|---|---|---|---|
云模式 |
包周期(包年/包月) |
服务版本(必选) |
按购买的服务版本:入门版、标准版、专业版、铂金版计费。 各服务版本支持的业务规格和功能,请参见服务版本差异。 |
域名扩展包(可选) |
按购买的个数计费。 |
||
带宽扩展包(可选) |
按购买的个数计费。 |
||
规则扩展包(可选) |
按购买的个数计费。 |
||
购买时长 |
提供包月和包年的购买模式。 |
||
独享模式 |
按需计费 |
实例个数 |
按实际使用时长计费。 |
WAF怎么用
本指南以云模式为例,引导您快速开启Web应用防火墙防护,开启防护后,可防护常见的Web安全问题。
Step1 购买Web应用防火墙
步骤
① 登录华为云控制台。在控制台页面中选择“安全与合规 > Web应用防火墙 WAF”。
② 首次使用WAF,单击“立即购买WAF”,进入购买页面,选择云模式后,选择服务版本、扩展包,以及购买时长。
说明
① 云模式提供了入门版、标准版、专业版和铂金版四种服务版本,参见服务版本说明了解详情。
② 勾选“自动续费”后,当服务期满时,系统会自动按照购买周期进行续费。
Step2 添加防护域名
步骤
① 在左侧导航树中选择“网站设置”,在域名列表的左上角,单击“添加防护网站”,选择“云模式”并单击“确认”。
② 防护域名:支持单域名(www.domain.com)和泛域名(*.domain.com)。
③ 源站配置:分别完成“防护域名端口”、“对外协议”、“源站协议”、“源站地址”、“源站端口”的配置。
④ 高级配置:根据业务需要,配置“IPv6防护”、“负载均衡算法”、“代理”、“HTTP2协议”以及“策略配置”。
说明
① 系统默认防护“80”和“443”端口,如需配置除“80”和“443”以外的端口,勾选“非标准端口”,在“端口”下拉列表中选择非标准端口。
② “对外协议”选择“HTTPS”时,需要选择证书或者导入新证书,证书转换请参见导入新证书。
③ 如果WAF前已使用如CDN、云加速等提供七层Web代理的产品,为了保障WAF的安全策略能够针对真实源IP生效,“代理”请务必选择“是”。
Step3 域名接入
步骤
① (未使用代理)按界面提示,到该域名的DNS服务商处,将其解析指向新的CNAME值。
② (使用了代理)按界面提示,将代理类服务(高防DDOS、CDN服务等)的回源地址修改为WAF的CNAME地址。为了防止其他用户提前将您的域名配置到Web应用防火墙上,从而对您的域名防护造成干扰,建议您到DNS服务商处添加“子域名”,并为它配置“TXT记录”,具体的配置方法请参见未配置子域名和TXT记录的影响?。
说明
① 默认情况下,服务每隔一小时就会自动检测每个防护域名的接入状态。如果您确认已完成域名接入,“接入状态”为“已接入”,表示域名接入成功。
② WAF防护默认状态为“仅记录”模式,按照Step4开启WAF“拦截”模式。
Step4 开启WAF防护
步骤
① 在目标域名所在行的“防护策略”栏中,单击“已开启N项防护”。
② 在“Web基础防护”配置框中,选择“拦截”模式。
说明
开启Web基础防护的“拦截”模式后,发现攻击行为后立即阻断并记录。
WAF使用常见问题解答
WAF使用常见问题解答
-
同一帐号可以购买多个Web应用防火墙吗?
购买云模式时,同一帐号在同一个大区域(例如华东区域)只能选择一个服务版本。购买云模式后,您可以升级云模式版本和规格。
同一帐号可以同时购买云模式、独享模式。其中,独享模式实例可以购买多个。
-
Web应用防火墙服务到期后还能防护域名吗?
购买的WAF云模式到期,如果没有按时续费,公有云平台会提供一定的保留期。
保留期的时长由客户等级而定,具体请参见保留期。
冻结期内,WAF只转发流量,但用户配置的各种防护策略将不再生效。
冻结期满,进入资源清理期,域名的所有配置将会被全部删除。清除资源的时候,默认会把域名指回源站,但由于用户配置的协议和端口可能存在不一致的情况,所以不能保证该域名的业务能正常运行。
为了防止造成不必要的损失,请您及时续费。如果未续费,您将不能使用WAF服务,不影响您的网站访问业务。
-
退订后重购WAF,原配置数据可以保存吗?
通过包年/包月方式重购的WAF与原WAF在同一区域
原WAF上的配置数据可以保存24小时。
退订WAF后,WAF将暂停防护域名。当您重新购买WAF后,您只需要为域名开启防护,即将域名的“工作模式”切换为“开启防护”。开启防护后,WAF会根据域名在原WAF上配置的防护对域名进行防护。
通过包年/包月方式重购的WAF与原WAF不在同一区域
原WAF上的配置数据不能保存。
当您重新购买WAF后,您需要将防护域名重新接入WAF,并根据防护需求为域名配置相应的防护规则。
-
如何为Web应用防火墙续费?
服务到期前,系统会以短信或邮件的形式提醒您服务即将到期,并提醒您续费。
服务到期后,如果没有按时续费,公有云平台会提供一定的保留期。
保留期的时长由客户等级而定,具体请参见保留期。
• 冻结期内,WAF只转发流量,但用户配置的各种防护策略将不再生效。
• 冻结期满,进入资源清理期,域名的所有配置将会被全部删除。清除资源的时候,默认会把域名指回源站,但由于用户配置的协议和端口可能存在不一致的情况,所以不能保证该域名的业务能正常运行。
为了防止造成不必要的损失,请您及时续费。
-
如何降低Web应用防火墙的版本和规格?
WAF云模式提供了入门版、标准版、专业版和铂金版四种服务版本。WAF支持降低WAF的版本和域名扩展包、QPS扩展包、规则扩展包的数量,如果您需要降低当前的WAF版本和规格,在页面的右上角,单击“变更”,进入“变更Web应用防火墙规格”页面进行操作,详细操作请参见变更WAF云模式版本和规格(新版)。
• 变更版本:在“版本”所在行的“变更详情”列,单击“变更版本”,选择规格版本并单击“确定”。
• 变更扩展包:分别在“域名额度”、“QPS额度”、“规则额度”所在行的变更详情列,增减扩展包数量。
-
若流量超过Web应用防火墙的业务请求限制,该如何处理?
如果您的正常业务流量超过您已购买的WAF版本的业务请求限制,您在WAF中配置的全部业务的流量转发将可能受到影响。
超出业务请求限制后,可能出现限流、随机丢包等现象,导致您的正常业务在一定时间内不可用、卡顿、延迟等。
说明:超出业务请求限制后,WAF不会发告警通知,当QPS超过版本支持的峰值且受到攻击时,WAF会发送告警通知。有关告警通知的详细介绍,请参见开启告警通知。如果出现这种情况,您需要升级WAF版本或者扩展业务QPS,避免正常业务流量超出业务带宽限制所产生的影响。
有关升级版本的详细介绍,请参见变更WAF云模式版本和规格(新版)。
-
续费时如何变更Web应用防火墙的规格?
您只能为当前的WAF云模式进行续费,续费时不能直接变更WAF的规格。即WAF会按照当前WAF的版本、购买的域名/QPS/规则扩展包的数量进行续费。
如果您需要在续费时变更WAF的规格,请您根据以下说明先升级或降低WAF规格:
● 升级WAF规格
○ 从较低版本升级到任一更高版本
○ 增加域名扩展包、QPS扩展包或规则扩展包的数量
有关升级WAF规格的详细操作,请参见变更WAF云模式版本和规格(新版)。
● 降低WAF规格
○ 从较高版本降低到任一更低版本
○ 减少域名扩展包、QPS扩展包或规则扩展包的数量
-
Web应用防火墙的防护日志可以存储多久?
在WAF管理控制台,您可以免费查看最近30天的防护日志、下载5天内的所有防护域名的防护日志数据。
您可以将WAF的防护日志记录到单独收费的云日志服务(Log Tank Service,简称LTS),LTS默认存储日志的时间为7天,存储时间可以在1~30天之间进行设置,超出存储时间的日志数据将会被自动删除,对于需要长期存储的日志数据(日志持久化),LTS提供转储功能,可以将日志转储至对象存储服务(OBS)或者数据接入服务(DIS)中长期保存。
● 有关WAF日志配置到LTS的详细操作,请参见防护日志记录到LTS。
● 有关LTS日志转储至OBS的详细操作,请参见LTS日志转储至OBS。
