SAAS-WAF概述
更新时间:2026-05-21
Web 应用防火墙(WAF)的 SaaS 服务版本为暴露在公网的业务提供应用层安全防护。您无需更改现有网络架构,只需将域名接入 WAF 并修改 DNS 解析,即可将流量牵引至 WAF 进行防护。
套餐选择
SaaS WAF 提供高级版和企业版两个套餐,功能对比如下:
| 功能特性 | 高级版 | 企业版 |
|---|---|---|
| 防护域名(默认 10 个,可扩展) | ✓ | ✓ |
| HTTP / HTTPS 业务支持 | ✓ | ✓ |
| 基础 QPS | 100 QPS | 1000 QPS |
| Web 攻击防护 | ✓ | ✓ |
| 自定义防护规则(默认 20 条,可扩展) | ✓ | ✓ |
| 智能 CC 攻击防护 | ✓ | ✓ |
| IP / 区域封禁 | ✓ | ✓ |
| 日志投递服务 | ✓ | ✓ |
| BOT 管理 | ✗ | ✓ |
| 威胁情报 | ✗ | ✓ |
| 支持除 443/80 之外的端口 | ✗ | ✓ |
- 高级版:适合中小规模业务,提供完备的基础安全防护能力
- 企业版:适合对 BOT 防护、威胁情报有较高要求的安全敏感场景
基础配置项说明
地域选择
SaaS WAF 需选择「北京」地域,请您在北京地域下进行购买和配置防护实例
计费模式
| 模式 | 说明 | 适用场景 |
|---|---|---|
| 包年包月 | 预付费模式,性价比更高 | 长期稳定业务 |
| 按量付费 | 后付费模式,按实际用量结算 | 短期业务或流量波动较大的场景 |
扩展配置说明
子域名数量扩展
- 默认:10 个
- 可选档位:10 / 20 / 30 / 40 / 50 / 60 / 70 / 80 / 90 / 最大 100 个(每 10 个一档)
自定义规则数量扩展
- 默认:20 条
- 可选档位:20 / 40 / 60 / 80 / 最大 100 条(每 20 条一档)
业务计费类型(二选一)
| 类型 | 说明 |
|---|---|
| QPS 计费 | 按每秒请求数计费,适合请求频率较高的业务 |
| 流量包计费 | 按流量计费,适合大文件传输或低频高带宽场景 |
QPS 保底额度
根据套餐版本,QPS 可选区间不同:
| 套餐 | QPS 区间 | 步长 |
|---|---|---|
| 高级版 | 100 QPS ~ 2000 QPS | 每 100 QPS 一档 |
| 企业版 | 1000 QPS ~ 20000 QPS | 每 1000 QPS 一档 |
流量包规格(选择流量包计费时)
可选:100 GB / 300 GB / 500 GB / 1 TB / 5 TB
超量弹性计费
| 状态 | 说明 |
|---|---|
| 开启(推荐) | 业务 QPS/流量超出保底额度时,超出部分按量自动计费,业务防护不中断 |
| 关闭 | 超出保底额度后不额外计费,但超出部分的流量将被限速 |
如存在短期促销活动或业务峰值,建议开启弹性计费,避免因限速影响正常业务。
购买并创建 SaaS WAF 实例
实例参数说明
| 参数 | 说明 |
|---|---|
| 地域 | SaaS WAF 支持全局接入,根据客户所在区域自动路由至对应 WAF 节点 |
| 支持防护域名数 | 每个 WAF 实例默认保护 10 个域名,子域名数量支持扩展 |
| 自定义规则数 | 不同套餐包含不同数量的自定义规则,可根据业务需要额外购买 |
| 网页防篡改 | 通过对页面进行静态缓存,实现网页防篡改保护 |
| BOT 防护 | 支持 BOT 识别与管理功能 |
| 威胁情报 | 支持代理 IP、秒拨 IP、攻击威胁 IP 等多类型 IP 威胁情报,便于识别并阻断恶意来源的访问请求 |
| 业务计费 | 支持 QPS 和流量两种保底计费模式。开启弹性计费时,超出保底部分按量收费;关闭时,超出部分的流量将被限速 |
操作步骤
- 选择类型:SaaS WAF。
- 选择地域:北京。
- 选择计费模式:包年包月 或 按量付费。
- 选择套餐:高级版 或 企业版。
-
配置扩展项:
- 子域名数量(默认 10,最多 100)
- 自定义规则数量(默认 20,最多 100)
- 业务计费类型:QPS 或 流量
- 保底 QPS 额度 / 流量包规格
- 是否开启超量弹性计费
- 确认配置费用,点击「下一步」完成购买。
- 支付完成后,WAF 实例创建成功,可返回资源列表页查看。
接入管理
进入域名接入
完成资源创建后,进入 WAF 控制台左侧菜单「接入管理 > 域名接入」,点击「接入域名」按钮进行接入配置。
基本设置
| 配置项 | 说明 |
|---|---|
| 关联 WAF 实例 | 从下拉列表选择已购买的 SaaS WAF 实例 |
| 防护域名 | 填写需要防护的域名(如 www.example.com 或泛域名 *.example.com),同一实例下的子域名须属于同一主域名 |
| 前端协议 / 端口 | 选择 HTTP(默认 80)或 HTTPS(默认 443),企业版支持非标端口 |
| SSL 证书 | 选择 HTTPS 协议时必填,支持手动上传、选择已有证书或申请新证书 |
| 回源地址 | 填写源站 IP 或域名 |
| TLS 协议版本 | 支持限制 TLS 1.0 及以上、TLS 1.1 及以上、TLS 1.2 及以上 TLS 协议版本访问 |
| WAF 前是否有七层代理 |
无其他代理服务,选择「否」(默认) 表示 WAF 收到的请求由客户端直接发起,而非经过其他代理转发。此场景下,WAF 直接获取与其建立连接的 IP 作为客户端 IP。 有其他代理服务,选择「是」 表示 WAF 收到的请求来自其他七层代理服务转发,而非客户端直接发起。为确保 WAF 能获取真实客户端 IP 进行安全分析,您需要进一步配置客户端 IP 判定方式: 默认方式:取 X-Forwarded-For(XFF)中的第一个 IP 作为客户端源 IP。 推荐方式:取指定 Header 字段中的第一个 IP 作为客户端源 IP,可有效防止 XFF 伪造。若您的业务已在上游代理中将客户端真实 IP 写入自定义 Header 字段(如 X-Client-IP、X-Real-IP),请选择此方式并填写对应的 Header 字段名。 |
回源能力(可选配置)
| 配置项 | 说明 |
|---|---|
| 建连超时时间 | WAF 与后端服务器建立连接的超时时间,支持 4~600 秒,默认 4 秒 |
| 写连接超时时间 | WAF 向后端服务器传输请求的超时时间,支持 30~3600 秒,默认 60 秒 |
| 读连接超时时间 | WAF 从后端服务器读取响应的超时时间,支持 30~3600 秒,默认 60 秒 |
| 回源长连接数 | WAF 与后端服务器之间可保持的空闲长连接数量,支持 60~1000 个,默认 100 个 |
| 回源重试次数 | WAF 回源失败时的重试次数,支持 1~10 次,默认 3 次 |
| 空闲长连接超时时间 | 长连接空闲超时时间,支持 1~300 秒,默认 15 秒 |
健康检查(可选配置)
开启后,WAF 将定期对源站发起健康探测,自动识别源站可用性。
| 配置项 | 说明 |
|---|---|
| 健康检查状态 | 开启后 WAF 定期向后端服务器发送探测请求并返回检查结果;关闭后状态显示「未配置」 |
| 健康检查协议 | 指定检查后端服务器健康状态时使用的协议类型 |
| 健康检查头域 | 指定检查后端服务器健康状态时的 HTTP 请求中 Host 头字段 |
| 健康检查端口 | 指定检查后端服务器健康状态时的目标端口 |
| 健康检查路径 | 指定检查后端服务器健康状态时的 HTTP 请求路径 |
| 正常状态码 | 判定源站健康的响应状态码,固定为 200 |
| 响应超时时间 | 单次探测的超时时间,支持 1~10 秒,建议 3 秒,需小于健康检查间隔 |
| 健康检查间隔 | 相邻两次探测的间隔时间,支持 3~60 秒,建议 10 秒 |
| 业务异常报警阈值 | 连续探测失败达到该次数时,服务器将被判定为异常并触发报警 |
| 业务恢复判断阈值 | 连续探测成功达到该次数时,服务器将被判定为已恢复 |
高级设置(可选配置)
| 配置项 | 说明 |
|---|---|
| HTTPS 强制转换 | 开启后,访客的 HTTP 请求将会被要求以 HTTPS 形式重新访问 |
| 开启 IPv6 | 关闭时仅支持 IPv4 接入;开启后可将 IPv6 流量接入 WAF 进行防护 |
| 自定义回源 Host | 关闭时使用默认 Host 回源;开启后可指定自定义回源 Host |
DNS 解析切换
此步骤是流量实际经过 WAF 防护的关键,完成后防护才正式生效。
通用配置方法
- 在域名接入列表中,找到已添加的域名,复制 WAF 分配的 CNAME 地址。
- 登录您的 DNS 服务商管理控制台。
- 将该域名的 DNS 解析记录修改为 CNAME 类型,记录值填写 WAF 分配的 CNAME 地址。
- 等待 DNS 生效(通常 5~10 分钟,最长取决于原记录 TTL)。
域名解析托管在百度云的配置方法
如果您的域名解析托管在百度云解析 DNS,您可以直接参照以下步骤进行操作。
- 登录智能云解析 DNS 控制台
- 在域名解析页面,定位到要设置的域名,单击其操作列下的「解析」设置。
- 在修改记录对话框,选择记录类型为 CNAME,修改记录值为 WAF 的 CNAME 地址,其余设置保持不变。
设置安全组访问限制
DNS 解析切换完成后,请配置源站安全组,仅允许 WAF 回源 IP 访问源站业务端口,确保所有业务流量经过 WAF 防护。
- 在「域名接入」页面,点击 DNS 状态旁的提示图标查看 WAF 回源 IP 网段。
- 配置安全组入站规则,确保源站业务端口仅放行 WAF 回源 IP 网段。安全组配置可参考安全组概述。
若未配置安全组限制,攻击者可能通过源站真实 IP 绕过 WAF 直接访问源站。
验证接入状态
完成 DNS 切换后,请务必验证接入状态,确认流量已正常经过 WAF 防护。
- 返回 WAF 控制台,进入「接入管理 > 域名接入」。
-
查看域名的接入状态:
- DNS 解析正常:DNS 已正确切换,流量正在经过 WAF 防护
- 无 DNS 记录:DNS 尚未生效,请检查 DNS 配置或等待 TTL 过期
- 进入「安全总览」页面,通过流量带宽面板确认已有流量接入 WAF。
开启防护规则
完成域名接入和 DNS 切换仅表示流量已经过 WAF,并不代表防护已自动生效。您还需要在防护配置中开启并配置相应的防护规则,WAF 才会对恶意请求进行识别和处置。
- 在 WAF 控制台左侧导航栏,选择 防护配置 > Web 防护,开启所需的防护规则并完成策略配置。
- 如需 BOT 防护,选择 防护配置 > BOT 管理,配置 BOT 识别与处置策略(仅企业版支持)。
- 建议初期将处置动作设置为「观察」模式,通过日志确认无误拦截后,再切换为「拦截」模式。
评价此篇文章