- 产品详情
SaaS 型 WAF
| 分类 | 类别 | 高级版 | 企业版 | 旗舰版 | 独享版 |
|---|---|---|---|---|---|
| 套餐基础信息 | 价格(元/月) | 3880 | 9880 | 28880 | 仅支持通过联系客服获取价格 |
| 适用场景 | 适用于中小非业务网站的标准防护 | 适用于中小型普通业务站点及中大型官网站点定制化防护服务 | 适用于大型及超大型业务网站及复杂业务站点的定制化防护服务 | 适用于大型及超大型客户 Web 和 API 服务安全防护,资源独享,有特殊定制化防护需求 | |
| 业务 QPS 峰值 | 2500QPS | 5000QPS | 10000QPS | 50000QPS | |
| 独享 IP | - | 支持 | 支持 | 支持 | |
| 支持一级域名个数 | 2 | 3 | 4 | 1000(可定制) | |
| 支持二级域名个数 | 20 | 30 | 40 | 20000(可定制) | |
| 泛域名防护 | 支持 | 支持 | 支持 | 支持 | |
| 证书定制 | - | - | - | 支持 | |
| HTTP2/WebSocket | 支持 | 支持 | 支持 | 支持 | |
| 基础安全防护 | 规则防护引擎 | 支持 | 支持 | 支持 | 支持,可定制 |
| 0Day 漏洞虚拟补丁 | 支持 | 支持 | 支持 | 支持 | |
| IP 黑白名单 | 1000条/域名 | 5000条/域名 | 20000条/域名 | 20000条/域名(可定制) | |
| 地域封禁 | 支持 | 支持 | 支持 | 支持 | |
| 自定义策略 | 10条/域名 | 20条/域名 | 50条/域名 | 200条/域名 | |
| 紧急模式 CC 防护 | 支持 | 支持 | 支持 | 支持 | |
| 基于 IP/Session 自定义 CC 防护 | 5条/域名 | 20条/域名 | 50条/域名 | 50条/域名 | |
| 数据防泄漏 | 5条/域名 | 10条/域名 | 20条/域名 | 50条/域名 | |
| 网页防篡改 | 50条/域名 | 50条/域名 | 50条/域名 | 50条/域名 | |
| 漏洞高级防护 | 未知威胁检测引擎 | - | - | 支持 | 支持 |
| 自定义安全模型 | - | - | 支持 | 支持 | |
| Bot行为管理 | 公开 BOT 类型防护 | - | 支持 | 支持 | 支持 |
| 协议特征防护 | - | 支持 | 支持 | 支持 | |
| IP 情报特征防护 | - | 支持 | 支持 | 支持 | |
| 自定义会话特征防护 | - | 20条/域名 | 50条/域名 | 50条/域名 | |
| 日志处理 | 攻击日志查询和下载 | 支持 | 支持 | 支持 | 支持 |
| 访问日志查询和下载(需购买日志包) | 支持 | 支持 | 支持 | 支持 | |
| 专业服务 | 非标准端口支持 | - | 支持 | 支持,可定制 | 支持,可定制 |
| 一对一售前支持服务 | - | 支持 | 支持 | 支持 | |
| 7*24小时远程+微信群支持 | - | 支持 | 支持 | 支持 | |
| 远程专家服务 | - | - | 支持 | 支持 | |
| 1对1专家现场支持 | - | - | - | 5次 | |
| 工单售前售后支持 | 支持 | 支持 | 支持 | 支持 |
负载均衡型 WAF
如需使用支持 IPv6 的负载均衡型 WAF,请在负载均衡侧创建 IPv6 类型的负载均衡实例,负载均衡接入和支持地区说明,请参见 IPv6 负载均衡快速入门。
| 分类 | 类别 | 高级版 | 企业版 | 旗舰版 | 独享版 |
|---|---|---|---|---|---|
| 套餐基础信息 | 价格(元/月) | 3880 | 9880 | 28880 | 仅支持通过联系客服获取价格 |
| 适用场景 | 适用于中小非业务网站的标准防护 | 适用于中小普通业务站点及中大型官网站点定制化防护服务 | 适用于大型及超大型业务网站及复杂业务站点的定制化防护服务 | 适用于大型及超大型客户 Web 和 API 服务安全防护,资源独享,有特殊定制化防护需求 | |
| QPS 峰值 | 2500QPS | 5000QPS | 10000QPS | 50000QPS | |
| 多地域联动支持 | - | - | 支持 | 支持 | |
| 绑定负载均衡监听器个数 | 200 | 300 | 500 | 1000(可定制) | |
| 支持一级域名个数 | 2 | 3 | 4 | 1000(可定制) | |
| 支持二级域名个数 | 20 | 30 | 40 | 20000(可定制) | |
| 泛域名支持 | 支持 | 支持 | 支持 | 支持 | |
| IPv6 防护 | 支持 | 支持 | 支持 | 支持 | |
| HTTP2/WebSocket | 支持 | 支持 | 支持 | 支持 | |
| 基础安全防护 | 规则防护引擎 | 支持 | 支持 | 支持 | 支持(可定制) |
| 0Day 漏洞虚拟补丁 | 支持 | 支持 | 支持 | 支持 | |
| IP 黑白名单 | 1000条/域名 | 5000条/域名 | 20000条/域名 | 20000条/域名(可定制) | |
| 地域封禁 | 支持 | 支持 | 支持 | 支持 | |
| 自定义策略 | 10条/域名 | 20条/域名 | 50条/域名 | 200条/域名 | |
| 基于 IP/Session 自定义 CC 防护 | 5条/域名 | 20条/域名 | 50条/域名 | 50条/域名 | |
| 漏洞高级防护 | 未知威胁检测引擎 | - | - | 支持 | 支持 |
| 自定义安全模型 | - | - | 支持 | 支持 | |
| BOT 管理 | 公开 BOT 类型防护 | - | 支持 | 支持 | 支持 |
| 协议特征防护 | - | 支持 | 支持 | 支持 | |
| IP 情报特征防护 | - | 支持 | 支持 | 支持 | |
| 自定义会话特征防护 | - | 20条/域名 | 50条/域名 | 50条/域名 | |
| 日志处理 | 全量日志检索 | 支持 | 支持 | 支持 | 支持 |
| 全量日志下载 | 支持 | 支持 | 支持 | 支持 | |
| 专业服务 | 证书双向认证 | 支持 | 支持 | 支持 | 支持 |
| 一对一售前支持服务 | - | 支持 | 支持 | 支持 | |
| 7*24小时远程+微信群支持 | - | 支持 | 支持 | 支持 | |
| 远程专家服务 | - | - | 支持 | 支持 | |
| 1对1专家现场支持 | - | - | - | 5次 | |
| 工单售前售后支持 | 支持 | 支持 | 支持 | 支持 |
扩展包价格说明
扩展域名包价格
| 域名包详情 | 费用 |
|---|---|
| 一个域名包最多可以防护10个域名,包含一个一级域名和与其相关的子域名 | 2000元/月 |
QPS 扩展包价格
| QPS 扩展包详情 | 费用 |
|---|---|
| 一个 QPS 扩展包包含1000QPS | 1000元/月 |
安全日志服务包价格
| 安全日志服务包详情 | 费用 |
|---|---|
| 一个日志服务包包含:1T日志服务存储容量(套餐有效期内,日志存储时长为180天) | 500元/月 |
Web 应用防火墙支持免费添加三级、四级域名,但添加的三级或四级域名将会占用一个域名额度。
如需关闭 QPS 扩展包,可以在 续费管理 中,找到相应计费项目,取消续费。
如需要单独关闭域名包自动续费,请 联系我们 处理。
安全日志服务包日志容量,建议按照业务 QPS 用量进行购买,建议每月每800QPS购买1T的日志容量。
弹性防护价格说明
当业务 QPS 峰值超过基础套餐或基础套餐+QPS 扩展规格后,WAF 将对超量 QPS 提供弹性防护,最高可提供100万 QPS 的弹性防护能力。
若同一账号下,同时购买 SAAS 型 WAF 和负载均衡型 WAF,各实例类型相关联的弹性防护消耗独立计算,费用独立结算。
若用户未购买 QPS 扩展包或未启用弹性防护,对超出基础套餐或基础套餐+QPS 扩展包的 QPS,WAF 将无法提供防护。
| 弹性防护 | 费用 |
|---|---|
| 对超过基础套餐或基础套餐+QPS 扩展包的 QPS,进行安全防护 | 0.2元/QPS/天 |
什么是 Web 应用防火墙
腾讯云 Web 应用防火墙(Web Application Firewall,WAF)是一款基于 AI 的一站式 Web 业务运营风险防护方案。通过 AI+规则双引擎识别恶意流量,保护网站安全,提高 Web 站点的安全性和可靠性。通过 BOT 行为分析,防御恶意访问行为,保护网站核心业务安全和数据安全。
腾讯云 WAF 提供两种类型的云上 WAF,SaaS 型 WAF 和负载均衡型 WAF,两种 WAF 提供的安全防护能力基本相同,接入方式不同。
SaaS 型 WAF 通过 DNS 解析,将域名解析到 WAF 集群提供的 CNAME 地址上,通过 WAF 配置源站服务器 IP,实现域名恶意流量清洗和过滤,将正常流量回源到源站,保护网站安全。
负载均衡型 WAF 通过和腾讯云负载均衡集群进行联动,将负载均衡的 HTTP/HTTPS 流量镜像到 WAF 集群,WAF 进行旁路威胁检测和清洗,将用户请求的可信状态同步到负载均衡集群进行威胁拦截或放行,实现网站安全防护。
腾讯云 WAF 可以有效防御 SQL 注入、XSS 跨站脚本、木马上传、非授权访问等 OWASP 攻击。此外还可以有效过滤 CC 攻击、提供 0day 漏洞补丁、防止网页篡改等,通过多种手段全方位保护网站的系统以及业务安全。
主要功能
| 功能 | 简介 |
|---|---|
| AI + Web 应用防火墙 | 基于 AI + 规则的 Web 攻击识别,防绕过、低漏报、低误报、精准有效防御常见 Web 攻击,如 SQL 注入、非授权访问、XSS 跨站脚本、CSRF 跨站请求伪造,Webshell 木马上传等 OWASP 定义的十大 Web 安全威胁攻击 |
| 0day 漏洞虚拟补丁 | 腾讯安全团队 7 * 24 小时监测,主动发现并响应,24 小时内下发高危 Web 漏洞,0day 漏洞防护虚拟补丁,受护用户无需任何操作即可获取紧急漏洞,0day 漏洞攻击防护能力,大大缩短漏洞响应周期 |
| 网页防篡改 | 用户可设置将核心网页内容缓存云端,并对外发布缓存中的网页内容,实现网页替身效果,防止网页篡改给组织带来负面影响 |
| 数据防泄漏 | 通过事前服务器应用隐藏,事中入侵防护及事后敏感数据替换隐藏策略,防止后台数据库被黑客窃取 |
| CC 攻击防护 | 智能 CC 防护,综合源站异常响应情况(超时、响应延迟)和网站行为大数据分析,智能决策生成防御策略。多维度自定义精准访问控制、配合人机识别和频率控制等对抗手段,高效过滤垃圾访问及缓解 CC 攻击问题 |
| 爬虫 BOT 行为管理 | 基于 AI + 规则库的网页爬虫及 BOT 机器人管理,协助企业规避恶意 BOT 行为带来的站点用户数据泄露、内容侵权、竞争比价、库存查取、黑产 SEO、商业策略外泄等业务风险问题 |
| 30线 BGP IP 接入防护 | WAF 支持防护节点 30 线独享 BGP IP 链路接入,节点智能调度,有效解决访问延迟问题,保障 1 ~ 18 线城市用户的站点访问速度,实现网站访问速度影响无感知的云 WAF 安全防护部署 |
为何需要 Web 应用防火墙
在以下场景中,使用 WAF 均可有效防御以及预防,保障企业网站的系统以及业务安全。
数据泄露(核心信息资产泄露)
Web 站点作为很多企业信息资产的入口,黑客可以通过 Web 入侵进行企业信息资产的盗取,对企业造成不可估量的损失。
恶意访问和数据抓取(无法正常服务,被对手利用数据)
黑客控制肉鸡对 Web 站点发动 CC 攻击,资源耗尽而不能提供正常服务。恶意用户通过网络爬虫抓取网站的核心内容(文学博客、招聘网站、论坛网站、电商内的评论)电商网站被竞争对手刻意爬取商品详情进行研究。羊毛党们试图搜寻低价商品信息或在营销大促前提前获取情报寻找套利的可能。
网站被挂马被篡改(影响公信力和形象)
攻击者在获取 Web 站点或者服务器权限后,通过插入恶意代码来让用户执行恶意程序、赚取流量、盗取账号、炫技等;植入“黄、赌、非”链接;篡改网页图片和文字;对网站运行造成很大影响,损坏网站运营者的形象。对外公信力和形象蒙受损失。
框架漏洞(补丁修复时段被攻击)
很多 Web 系统基于常见的开源框架如 Structs2、Spring、WordPress 等,这些框架常常爆出安全漏洞,但等待安装补丁的维护时段,则是一段艰难和危险的过程,很多攻击会漏洞公布之后一天内就遍地开花。
大流量 DDoS 造成业务中断
为了使得竞争对手业务中断,或者造成关键门户网站不能访问,DDoS 攻击已经成为成本和门槛较低的攻击手段,对业务的连续性和品牌的影响极大,而且往往运营者在被攻击时很被动。
类型概述
腾讯云提供两种类型的云上 WAF,SaaS 型 WAF 和负载均衡型 WAF。两种 WAF 的安全防护能力基本相同,但接入方式不同,适用场景不同,您可以根据实际部署需求选择不同类型的 WAF。
| 类别 | SAAS 型 | 负载均衡型 |
|---|---|---|
| 适用场景 | 适合所有用户(云上用户或本地 IDC 用户),通过 DNS 解析调度实现域名接入。 | 腾讯云上已使用或计划使用七层负载均衡的用户。 |
| 核心优势 | 适用范围广阔,广泛覆盖腾讯云上和非腾讯云上用户。 | 无感知接入,毫秒级延迟,WAF 接入不需要调整现有的网络架构。 网站业务转发和安全防护分离,一键 bypass,保障网站业务安全、稳定可靠。 支持多地域接入。 |
| 如何选择 | 若用户在腾讯云上和本地均有网站需要防护需求,或腾讯云上未使用七层负载均衡,推荐使用 SAAS 型 WAF。 | 腾讯云上已使用或计划使用七层负载均衡的用户,且有 Web 安全防护、BOT 行为管理、等保合规保护、网站安全运营需求,推荐使用负载均衡型 WAF。 |
SaaS 型 WAF
用户在 WAF 上添加防护域名并设置回源信息后,WAF 将为防护域名分配**的 CNAME 地址。用户可以通过修改 DNS 解析,将原来的 A 记录修改为 CNAME 记录,并将防护域名流量调度到 WAF 集群。WAF 集群对防护域名进行恶意流量检测和防护后,将正常流量回源到源站,保护网站安全。
负载均衡型 WAF
WAF 通过配置域名和腾讯云七层负载均衡(监听器)集群进行联动,对经过负载均衡的 HTTP/HTTPS 流量进行旁路威胁检测和清洗,实现业务转发和安全防护分离,**限度减少安全防护对网站业务的影响,保护网站稳定运行。
负载均衡型 WAF 提供两种流量处理模式:
镜像模式:通过域名进行关联,CLB 镜像流量到 WAF 集群,WAF 进行旁路检测和告警,不返回请求可信状态。
清洗模式:通过域名进行关联,CLB 镜像流量到 WAF 集群,WAF 进行旁路检测和告警,同步请求可信状态,CLB 集群根据状态对请求进行拦截或放行处理。
多种接入防护方式
开通 WAF 后,无需进行业务变更即可完成防护接入,一键绑定腾讯云负载均衡实现网站旁路检测和威胁清洗,同时提供一键 bypass 功能,实现业务转发和安全防护分离,稳定可靠。
通过 CNAME 接入 WAF,隐藏用户真实源站,将可信流量回源,覆盖腾讯云和非腾讯云上用户。
防护集群资源多地部署、动态扩展,按需使用,避免冗余及单点故障。
AI+规则双引擎防护
在安全规则引擎进行 OWASP Top10 防御(如 SQL 注入、非授权访问、XSS 跨站脚本、CSRF 跨站请求伪造、命令行注入等)的基础上,引入 AI 防御能力,通过交叉验证持续学习,精准有效捕捉各类常规 Web 攻击、0day 攻击及其它新型未知攻击。
通过不断学习海量业务数据特征,生成基于业务的个性化防护策略,避免误报,用户可基于 AI 引擎实现自助误报和漏报处理,提升运营效率。
共享腾讯安全联合实验室为腾讯云安全持续输送安全防护能力,Web 应用防火墙由专业攻防团队7x24小时持续迭代防护系统,保障您的网站防御系统处于行业前沿。
BOT 行为管理
基于 AI 的行为分析引擎,实现实时会话追踪,通过流量画像匹配行为模型及行为标签,进行识别高效率检测恶意 BOT 行为。
提供超过1000种公开 BOT 类型,可快速设定防护策略。
提供爬虫和 IP 情报特征,快速识别 BOT 行为。
提供协议特征和50+会话特征,针对多种业务场景定义防护策略。
提供已知、未知和自定义类型 BOT 详细报表和统计,快速定位和防御恶意 BOT,保护网站业务安全。
智能 CC 防护
综合源站异常响应情况(超时、响应延迟)和网站历史访问数据,智能决策生成防御策略,实时拦截高频访问请求,封禁攻击源。
可自定义 session,通过 session 维度进行 CC 防护,更加精确防护 CC 攻击,减少误报。
可实时查看 CC 封堵状态 IP,根据需要快速调整防护策略。
一键无缝接入百 G 抗 DDoS 攻击能力,轻松应对敏感大流量 DDoS 攻击问题,无惧突发风险。
IPv6 安全防护
可使用云上 NAT64 实例,实现网站 IPv6 防护接入,无需对 IPv4 站点进行改造即可支持 IPv6 访问和防护。
通过和腾讯云负载均衡进行联动,无缝处理 IPv4 和 IPv6 访问流量,使其具备同等安全防护能力,简单快捷。
政务网站防护
一键接入防御,轻松配置,隐藏并保护源站,保证网站内容不被黑客入侵篡改。保障网站信息正确,政府服务正常可用,民众访问满意畅通。
电商网站防护
持续优化防护规则、精准拦截 Web 攻击,全面抵御 OWASP Top 10 Web 应用风险。
在高并发抢购场景下,可智能过滤恶意攻击及垃圾访问,保障正常访问业务流畅。
金融网站防护
一键接入防护,可跟大流量 DDoS 防御有机结合,同时具备 Web 安全防护。
有效监测 DNS 链路劫持,防止网站流量被恶意指向。
可有效检测撞库等异常访问,保护用户信息不外泄。
云端资源优势,自动伸缩,轻松应对业务突发,大流量 CC 攻击。
防数据泄密
避免因黑客的注入入侵攻击,导致网站核心数据被拖库泄露。
防 CC 攻击,防恶意 CC(HTTPFlood),通过在四层和七层阻断海量的恶意请求,保障网站可用性。
![微信客服](javascript: Mobi.showWeChatService("//20163793.s21i.faimallusr.com//20163793.s21i.faimallusr.com/2/1/ABUIABACGAAgnu_agwYo-ZKNlQEwrgM4rgM.jpg",{"tips":"请使用微信扫一扫"});){kind=link}