什么是WAF
WAF可对网站或者App的业务流量进行恶意特征识别及防护,在对流量清洗和过滤后,将正常、安全的流量返回给服务器,避免网站服务器被恶意入侵导致性能异常等问题,从而保障网站的业务安全和数据安全。
WAF 2.0和WAF 3.0是什么关系
WAF 3.0是在WAF 2.0基础上推出的最新一代WAF产品,两者具有不同的底层架构、售卖规格、控制台配置逻辑和交互体验等,因此无法在同一个阿里云账号ID下共存。如果您已购买WAF 2.0实例,您登录的控制台版本为2.0版本。如果您已购买WAF 3.0实例,您登录的控制台版本为3.0版本。
WAF 3.0推出后,不会对已购买和使用WAF 2.0的用户产生影响。WAF 2.0依然能够正常使用产品、续费或升级规格,产品服务等级定义SLA(Service Level Agreement)也会继续受到保证。
如果您已开通WAF 2.0,并且希望体验和使用WAF 3.0,您可以通过自助迁移工具,将WAF 2.0实例自动迁移到WAF 3.0。具体操作,请参见如何将WAF 2.0实例迁移到WAF 3.0。
Web应用防火墙网站防护包含多个防护模块,接入防护的网站访问请求默认需要经过所有已开启的防护模块的检测。如果您的业务中有完全受信任的访问流量,您可以设置网站白名单,让满足条件的请求不经过任何防护模块的检测,直接访问源站服务器。
您也可以为不同网站防护模块单独设置白名单,让满足条件的请求只忽略指定模块的检测。支持设置的模块白名单包括:
Web入侵防护白名单:可以让满足条件的请求不经过规则防护引擎的检测。
数据安全白名单:可以让满足条件的请求不经过防敏感信息泄露、网站防篡改、账户安全模块的检测。
Bot管理白名单:可以让满足条件的请求不经过爬虫威胁情报、数据风控、智能算法、App防护模块的检测。
访问控制/限流白名单:可以让满足条件的请求不经过CC安全防护、IP黑名单、扫描防护、自定义防护策略模块的检测。