阿里云：三分钟看明白Web应用防火墙（WAF）

WAF是阿里云云盾提供的Web应用防火墙，帮助您监控网站上的HTTP/HTTPS访问请求，并通过自定义过滤规则和启用Web攻击防护、安全合规等功能，帮助您部署网站访问控制。

在使用WAF时，

1、您需要开通WAF并将网站接入WAF，使网站的访问流量全部流转到WAF。下图显示了开通和接入WAF的简要流程，具体操作参见下文说明。

2、WAF将按照您配置的过滤规则和启用的Web防护功能，检测并过滤收到的访问请求，只有满足规则条件的合法请求才会经WAF返回到您的服务器（回源）。

如何开通WAF

您可以使用按量付费或包年包月的计费方式来开通WAF。

按量付费按当日被防护网站的访问QPS峰值和当日选用的WAF防护功能，生成后付费账单；每日结算前一日费用。

包年包月按月/年计费，由您选购适用的WAF套餐，生成账单后直接付费；您可在选购的时长内享用套餐内的防护服务。

WAF的计费方式

包年包月模式：

按所选购的套餐版本计费，高级版（3880/月）、企业版（9800/月）、旗舰版（29800/月）。

自购买当日起，根据所选择的购买时长（月/年）计算；购买时长支持选择一个月、三个月、半年、一年。一次性选购10个月即可享受一年的防护服务。

按量付费模式：

计费项：当日已添加防护的网站的QPS峰值*所选用的功能规格对应系数。

开通WAF后，您将获得一个WAF实例（对应一个实例IP）；您可以使用这个WAF实例接入最多10个网站，为其开启防护，这10个网站只能使用1个一级域名。

如果您希望防护具有不同一级域名的网站，您需要。

如果您有很重要的域名需要单独防护，而非使用同一个WAFIP防护所有域名，您可以。

如何接入WAF

开通WAF后，您需要通过，将访问您网站的流量流转到已开通的WAF实例（IP）上，并设置由WAF实例在过滤掉恶意请求后，将合法的访问流量再返回到您的源站服务器。

以上操作就是接入WAF，它分为两个环节：

所有访问流量由客户端到WAF。您将要防护的网站（域名）添加到WAF，WAF分配给这个域名一个。您只要在对应域名的解析记录中添加并应用这条CNAME记录，就可以将通过域名访问您网站的流量导向WAF实例。

过滤后的访问流量由WAF到源站服务器。您只需要告诉我们您的源站服务器地址，它可以是IP或其他地址（如对象存储OSS的CNAME等），WAF就会将过滤后的访问流量返还到您指定的源站地址。

如果您的域名使用进行域名解析，我们支持一键式接入WAF；否则，您需要手动接入。

如何选用WAF防护功能

WAF分析客户端使用HTTP/HTTPS协议发送的GET/POST请求，并应用访问规则过滤恶意访问流量。

您可以使用精准访问控制，自定义访问规则，过滤客户端IP、请求URL、以及常见的请求头字段。

您也可以直接使用Web防护功能，抵御常见的Web攻击。我们结和Web攻击特征，分析请求头和请求主体，编写了精准的过滤算法，并将这些复杂的过滤算法封装各类防护功能，方便您直接使用。WAF提供的防护功能包括：

Web攻击防护：帮助您防护SQL注入、XSS跨站攻击等常见的Web攻击。

CC攻击防护：帮助您防护针对页面请求的CC攻击。

智能防护引擎：对请求做语义分析，检测经伪装或隐藏的恶意请求，帮助您防护通过攻击混淆、变种等方式发起的恶意攻击。

恶意IP惩罚：帮助您自动封禁在短时间内进行多次Web攻击的客户端IP。

地理IP封禁：帮助您一键封禁来自指定国内省份或海外地区的IP的访问请求。

数据风控：帮助您对抗机器威胁，如垃圾注册、账号被盗、活动作弊、垃圾消息等欺诈行为。

配置完成后，您网站的所有访问流量都将先经过WAF实例，WAF实例根据所配置的安全防护规则过滤恶意请求，并最终将正常的业务流量转发至源站服务器，保护您的网站业务。

以上就是全部内容了，如果大家在操作中遇到问题，可以在下方留言与我们进行交流。