J 极盾 jidun.ai
控制台 联系我们
极盾/WAF

Alibaba Cloud WAF 3.0 Ultimate Edition

Web 应用防火墙 WAF 旗舰版

极盾价 $1,300/月起 阿里云官方公开基础服务费 $4,260/月

面向网站、API 与账号体系的应用层安全入口。基于阿里云国际 Web Application Firewall 3.0 旗舰版能力交付,防护 Web 入侵、HTTP Flood / CC、恶意爬虫、API 暴露、敏感数据泄露和账号风险。

Web 入侵防护 CC 频率控制 Bot / 爬虫治理 API 安全 数据泄露防护
联系我们

简介

WAF 负责应用层安全,不是高防产品的替代品

高防解决大流量攻击清洗和入口可用性,WAF 解决 Web 请求是否安全、API 是否暴露、业务是否被刷、数据是否泄露。

Web 应用防火墙 WAF 3.0 对进入网站和 API 的 HTTP/HTTPS 请求进行检测、识别和处置。它通过核心防护规则、自定义规则、频率控制、Bot 管理、API 安全、数据泄露防护和日志分析能力,降低应用被入侵、被刷、被爬和被拖库的风险。

极盾当前仅展示 WAF 旗舰版方案,适合已经有公开业务入口、登录注册、支付充值、查询接口、上传入口、管理后台、开放 API 或高价值数据资产的业务。购买后可通过极盾控制台完成域名接入、证书配置、防护策略、日志查看和规则运营。

WAF 的核心计量是 QPS 与请求特征,不是清洗带宽。遇到大流量 L3/L4 DDoS、UDP Flood 或源站被直接攻击时,应优先评估高防国际或安全加速 2.0。
版本WAF 3.0 Ultimate Edition
QPS 能力旗舰版 10,000 QPS
域名容量版本内 50 个域名,可扩展
保护对象网站、API、云产品、域名入口
风险覆盖漏洞、CC、Bot、API、数据、账号

特性

从漏洞防护到业务风控,覆盖 Web 攻击链路的关键环节

WAF 的价值不是“多一个防火墙”,而是把应用层风险拆成可观察、可评估、可治理的安全能力。
01

Web 核心防护

防护 SQL 注入、XSS、命令执行、目录遍历、文件上传、WebShell、扫描探测和常见框架漏洞攻击。

02

0Day 与虚拟补丁

依托规则更新、威胁情报和主动防御,在业务代码未及时修复前先做入口侧拦截与缓解。

03

CC 与访问控制

针对登录、支付、查询、活动页和 API 做限速、黑白名单、区域限制、JS 验证和自定义策略。

04

Bot 行为识别

结合设备指纹、访问行为、风险情报和挑战动作,识别恶意爬虫、刷量、撞库和自动化工具。

官方旗舰版容量

WAF 3.0 Ultimate 的核心规格,是高 QPS、更多域名和更大的保护对象规模

阿里云官方版本文档把 WAF 能力按 QPS、域名、保护对象、接入方式和高级安全能力拆分。本站只展示旗舰版方案。
10,000 QPSUltimate Edition 官方版本口径为 10,000 QPS。页面请求、API、AJAX、登录支付和活动峰值都会消耗 QPS。
50 个域名官方版本表显示 Ultimate 支持 50 个最大域名名额;超出后可购买额外域名,泛域名和子域名都要计入规划。
10,000 个保护对象保护对象覆盖云产品实例和域名入口,适合多业务线、多应用和复杂 API 体系统一纳管。
20 个账号多账号管理Ultimate 支持更高多账号管理能力,适合集团、多个云账号或多业务部门统一安全运营。
CNAME 与云原生接入官方文档显示 CNAME access 和 Cloud-native mode 均支持,可按是否迁移 DNS、云产品类型和运维边界选择。
混合云与非标端口Ultimate 支持混合云、CNAME 非标准端口、专用 IP 和智能负载均衡等能力,相关能力可能产生增值费用。

产品边界

按攻击层级选择 WAF、高防或安全加速组合

“被攻击”不一定都是 DDoS。真正专业的方案会先拆清楚:攻击是在网络层、传输层、应用层,还是访问质量和安全入口同时存在问题。
WAF

应用层请求安全

判断 HTTP/HTTPS 请求内容、接口行为、账号风险和数据泄露,适合 SQL 注入、XSS、CC、Bot、API 越权等场景。

高防国际

大流量清洗入口

重点处理 UDP Flood、SYN Flood、源站 IP 暴露和非中国内地源站的高频 DDoS 攻击。

安全加速 2.0

中国内地访问海外源站

重点解决中国内地用户访问非中国内地源站时的跨境质量、内联清洗和安全入口问题。

组合方案

清洗在前,WAF 在后

攻击量大时前层负责清洗、隐藏源站和调度,WAF 负责应用层精细检测、策略处置和日志审计。

风险判断

出现这些信号时,WAF 比单纯加带宽更有效

如果已经买了 CDN 或高防,仍可能缺少应用层检测。WAF 用来判断请求内容、用户行为和接口风险,而不是只看流量大小。
SQL 注入 / 拖库攻击者通过参数、搜索框、API 入参或后台入口尝试读取、修改或导出数据库内容。
XSS / 命令执行前端输入、上传接口、管理后台或旧框架组件存在脚本注入和远程执行风险。
WebShell 上传文件上传、富文本、头像、插件或 CMS 后台被利用,导致后门落地和权限扩大。
HTTP Flood / CC登录、注册、支付、查询、活动页和 API 被高频请求压垮,源站 CPU 或数据库异常升高。
爬虫与业务作弊库存、价格、内容、优惠券、权益、榜单和会员接口被自动化抓取、刷量或薅羊毛。
API 与数据泄露老旧接口、未鉴权接口、越权访问、敏感字段返回和日志缺失导致风控与合规压力。

链路架构

用户请求先经过 WAF 检测引擎,再把干净请求转发至源站

网站和 API 通常通过 CNAME 接入。WAF 在入口侧完成证书、域名、规则、挑战、日志和回源策略配置。
Step 01

用户 / 客户端

浏览器、App、小程序、合作方系统和 API 调用方访问业务域名。

Step 02

CNAME 接入

域名解析至 WAF 入口,HTTPS 证书、回源协议和监听端口统一配置。

Step 03

WAF 检测与处置

按规则、情报、行为和策略执行放行、观察、拦截、限速、挑战和记录。

Step 04

业务源站

源站只接收经过 WAF 检测后的请求,并保留真实客户端 IP 与访问日志。

放行正常用户、搜索引擎、合作方回调和可信接口流量保持顺畅访问。
挑战 / 限速对疑似自动化、撞库、采集和异常高频请求进行 JS 验证、限速或灰度处置。
拦截 / 记录对高置信攻击直接阻断,同时保留日志用于复盘、误杀调整和合规审计。

接入模式

WAF 3.0 可以按业务架构选择 CNAME、云原生或混合云接入

接入方式决定 DNS 改造范围、源站变更成本、是否能覆盖云产品实例,以及后续日志和真实客户端 IP 获取方式。

CNAME 接入

把业务域名解析到 WAF CNAME,由 WAF 代理检测后回源,适合官网、H5、API、后台和跨云源站。

  • 切换窗口清晰,便于灰度和回滚
  • 需配置证书、回源和真实客户端 IP

云原生接入

对支持的云产品实例启用 WAF 防护,减少业务域名代理改造,适合已经在阿里云负载均衡等产品上的应用。

  • 需关注保护对象数量
  • 不同云产品可能产生独立资源费用

混合云节点

当业务在多云、IDC、专有云或无法使用公网 CNAME 方式接入时,可评估混合云扩展节点。

  • 扩展节点按数量分档计费
  • 本地反向代理模式有独立 QPS 容量

接入前复核

确认域名、证书、回源协议、重点 URL、真实客户端 IP、健康检查、灰度切换和源站白名单。

  • 先观察再拦截,降低误杀风险
  • 保留 DNS 回滚方案

功能

独立控制台覆盖接入、防护、Bot、API、日志和策略运营

网站与域名接入

支持通过 CNAME 接入 HTTP/HTTPS 业务,配置源站地址、端口、证书、回源协议、真实客户端 IP 和健康检查。

  • 适合官网、业务系统、H5、后台和开放 API
  • 可按域名、路径和接口重要性拆分策略

Web 入侵防护

基于规则模板、语义检测、威胁情报和自定义规则拦截漏洞利用、扫描探测、恶意上传和异常访问。

  • 支持观察模式、拦截模式和规则分级
  • 可为业务回调、后台和特殊接口配置白名单

CC 与频率控制

针对 URL、IP、Header、Cookie、请求方法和参数设置限速、封禁、挑战和精准访问控制。

  • 重点保护登录、注册、支付、查询和活动接口
  • 按正常峰值、攻击峰值和误伤容忍度设定阈值

Bot 管理

识别恶意爬虫、自动化工具、刷量、撞库和模拟器访问,支持放行、观察、拦截、限速和挑战处置。

  • 搜索引擎和合作方可放行,恶意采集可限速或挑战
  • 适合电商、内容、票务、金融和会员业务

API 安全

识别 API 资产、接口调用异常、未授权访问、越权风险、敏感字段暴露和老旧接口风险。

  • 发现影子 API、僵尸 API、敏感接口和异常调用
  • 适合 App、小程序、开放平台和微服务网关

日志与审计

查看访问趋势、攻击事件、策略命中、拦截详情和安全报表,用于排障、复盘、合规和持续运营。

  • 可按域名、URL、IP、规则、动作和时间筛选
  • 日志容量、保存周期和导出方式需按需求确认

上线流程

先观察,再拦截,避免一上线就影响真实用户

WAF 交付最怕误杀和切换窗口失控。极盾建议以灰度接入、观察分析、重点接口单独策略和逐步收紧为上线原则。
Step 01

资产梳理

确认域名、源站、证书、业务峰值 QPS、重点 URL、登录支付接口和历史攻击日志。

Step 02

接入配置

添加域名、配置 HTTPS 证书、回源协议、真实客户端 IP、健康检查和基础防护模板。

Step 03

观察模式

先记录攻击、异常行为和可能误杀的请求,建立正常访问基线和重点接口画像。

Step 04

策略收紧

对登录、支付、查询、上传、后台和开放 API 单独配置限速、挑战、白名单和拦截规则。

Step 05

复核运营

上线后复核访问成功率、误杀、攻击命中、日志完整性和后续扩容或增值功能需求。

规格确认

WAF 月成本取决于 QPS、域名、功能模块和日志容量

WAF 的基础价格只是起点。真正影响成本的是峰值 QPS、域名数量、API 安全、Bot 管理、日志容量和是否需要混合云节点。
业务峰值 QPS统计页面请求、API 调用、AJAX 请求、登录支付接口和大促峰值,避免超过处理能力。
域名与保护对象确认主域名、二级域名、泛域名、API 域名和云产品保护对象数量。
HTTPS 与证书确认证书来源、SNI、TLS 版本、回源协议和是否需要强制 HTTPS。
API 数量与敏感接口梳理登录、注册、支付、查询、上传、回调和开放平台接口的风险级别。
Bot 与爬虫规模确认爬虫占比、搜索引擎白名单、恶意自动化来源和挑战策略容忍度。
日志与合规要求确认日志保存周期、查询频率、导出需求、告警规则和审计合规要求。

方案决策

WAF 处理应用层风险,前层入口由安全加速 2.0 或高防国际承接

如果风险来自 HTTP/HTTPS 请求,WAF 负责应用层检测与策略处置;如果同时存在大流量攻击或源站隐藏需求,则与安全加速 2.0、高防国际形成完整链路。
业务问题 适合方案 适用说明
SQL 注入、XSS、WebShell、CC、爬虫、API 泄露 WAF 旗舰版 重点判断 HTTP/HTTPS 请求内容、访问行为、接口风险和数据泄露。
海外源站被 UDP Flood、SYN Flood、大流量 DDoS 攻击 高防国际 重点保障非中国内地源站隐藏、清洗入口和攻击期业务可用性。
中国内地用户访问海外源站,既要体验也要清洗 安全加速 2.0 重点解决中国内地访问非中国内地业务的跨境质量和安全入口。
中国内地访问为主,同时有 CC、Bot、API、漏洞攻击 安全加速 2.0 + WAF 安全加速承接内地访问和清洗,WAF 负责应用层规则、Bot、API 和日志。
海外访问或源站隐藏是重点,同时有 Web/API 风险 高防国际 + WAF 高防国际负责前层清洗与回源保护,WAF 负责请求检测和策略运营。
内地与海外访问都重要,同时存在 DDoS 和应用层攻击 安全加速 2.0 + 高防国际 + WAF 按来源分流前层入口,再用 WAF 统一治理 Web、API、Bot 和日志。

应用场景

只要有公开 Web、API、登录、支付或数据入口,就应该评估 WAF

WAF 的价值通常在事故前被低估,在被入侵、被刷、被爬、被泄露之后才会变得非常明确。

电商与活动大促

保护商品详情、搜索、库存、优惠券、秒杀、支付和活动页,降低刷量和 CC 风险。

App / 小程序 API

保护登录、注册、验证码、查询、上传和开放接口,发现未鉴权和越权风险。

金融与交易平台

保护账户、交易、回调、支付、实名和管理后台,支撑审计与安全运营要求。

内容与会员业务

识别恶意爬虫、采集、撞库、薅权益和账号批量操作,减少内容和权益损耗。

定价

只展示 WAF 3.0 旗舰版,直接看每月基础服务费差距

以下价格展示订阅基础服务费对比。API Security、Bot Management、扩展 QPS、额外域名、日志容量和混合云节点按实际启用确认。
版本 阿里云官方公开价 极盾价 预计每月节省
WAF 3.0 Ultimate Edition $4,260/月 $1,300/月起 $2,960/月
基础服务费对应 WAF 3.0 旗舰版订阅基础服务费,适合稳定、长期、预算明确的 Web/API 防护场景。
增值功能API Security、Bot Management、峰值流量限速、额外域名、专用 IP 和智能负载均衡按启用情况确认。
容量扩展额外 QPS、日志容量、混合云扩展节点和重大活动保障会影响最终月成本。
增值项 官方公开计费口径 报价提醒
API Security Ultimate:$2,880/月 适合 API 资产发现、风险识别、敏感数据和越权接口治理。
Bot Management Web 新版 $1,150/月;App 新版 $1,750/月 Legacy 价格仅适合已购买旧版的续费口径,新购按新版能力确认。
Additional QPS 海外 WAF:$0.6/QPS/月起 如启用 API Security 或 Bot Management,每启用一项会叠加功能费口径。
CNAME 额外域名 $22 至 $2/域名/月分档 按额外域名总量阶梯计费,域名规划会直接影响月成本。
Log Service $75/TB/月 官方文档显示启用 Simple Log Service 时,最小可购买日志存储容量为 3 TB。

价格包含

WAF 3.0 旗舰版基础服务、极盾控制台接入、域名基础配置、证书与回源配置、基础规则策略和上线协助。

方案确认信息

域名数量、峰值 QPS、API 数量、重点接口、爬虫占比、日志保存周期、是否需要 Bot 管理和 API 安全。

官方价格与规格参考阿里云国际站公开文档:WAF 3.0 Subscription Edition Billing GuideWAF 3.0 Editions。文档核对时间为 2026-05-24,官方文档显示 Ultimate Edition 基础服务费为 USD 4,260/month;最终成交价格受业务 QPS、域名、功能模块、日志与商务定制影响。

常见问题

购买前常见问题

产品和阿里云官网有什么区别?

极盾基于阿里云国际 WAF 3.0 Ultimate Edition 能力交付,提供平台化采购、独立控制台、接入协助、策略配置和更灵活的商务价格。

WAF 旗舰版适合什么业务?

适合网站、API、登录、支付、后台、开放平台和 App 接口等 HTTP/HTTPS 入口,尤其是存在 SQL 注入、漏洞扫描、CC、Bot、爬虫、撞库、接口滥用或敏感数据风险的业务。

WAF 和高防国际有什么区别?

高防国际主要处理大流量 DDoS、源站隐藏和攻击清洗;WAF 主要处理 HTTP/HTTPS 请求里的 Web 漏洞、CC、Bot、API、数据泄露和账号风险。两者经常组合使用。

WAF 能不能防 DDoS?

WAF 可以缓解部分 HTTP Flood / CC 类应用层攻击,但不适合作为大流量 L3/L4 DDoS 的唯一防护。UDP Flood、SYN Flood、大流量攻击和源站暴露场景,应评估高防国际或安全加速 2.0。

$1,300/月起是否包含所有费用?

该价格对应极盾平台 WAF 旗舰版基础服务起步价。实际费用需要结合峰值 QPS、域名数量、API Security、Bot Management、日志容量、扩展节点和定制需求确认。

WAF 旗舰版官方基础价包含哪些口径?

官方计费文档把 WAF 订阅费用拆成基础服务费和增值服务费。Ultimate Edition 基础服务费为公开月费口径,API Security、Bot Management、额外 QPS、额外域名、日志服务和混合云节点等会影响最终费用。

为什么需要确认 QPS?

WAF 按请求处理能力规划容量。页面访问、API 调用、AJAX 请求和活动峰值都会消耗 QPS。官方文档提示,超过处理能力后可能出现丢包、限流、连接限制、日志异常、超时,持续超限还可能进入 sandbox mode。

是否需要迁移源站或改造代码?

通常不需要迁移源站,也不需要大规模改代码。网站和 API 一般通过域名 CNAME 接入 WAF,再配置证书、源站、回源协议和策略。特殊接口可能需要配合真实客户端 IP 获取和白名单调整。

CNAME 接入和云原生接入怎么选?

跨云、IDC、第三方源站、DNS 可控的公网 Web/API 通常优先 CNAME 接入;已经部署在阿里云负载均衡等支持云原生模式的业务,可评估云原生接入以减少代理改造。最终取决于源站位置、DNS 权限、保护对象数量和运维边界。

Bot 管理和 API 安全是否默认包含?

官方计费中 Bot Management 和 API Security 属于可能产生费用的增值能力。极盾会根据是否需要完整 Bot 防护、App 防护、API 发现和数据安全能力确认最终方案。

可以先观察不拦截吗?

可以。WAF 上线建议先用观察或较温和策略建立正常访问基线,再对登录、支付、查询、上传、后台和开放 API 逐步收紧规则,降低误杀真实用户的风险。

WAF 能隐藏源站 IP 吗?

WAF 通过代理检测 HTTP/HTTPS 请求,但如果源站 IP、历史解析或旁路域名仍可被直接访问,攻击者仍可能绕过 WAF。上线时建议配合源站白名单、防火墙策略和历史解析清理。

误拦截正常用户怎么办?

可以通过日志查看命中的规则、URL、参数、IP、Header 和动作,再对可信接口配置白名单、观察模式、规则例外或更细的频率阈值。极盾可协助初期策略调优。

接入 WAF 前需要准备什么?

建议准备域名列表、源站地址、证书、业务峰值 QPS、重点 URL、登录支付等敏感接口、历史攻击日志、爬虫情况、误伤容忍度和日志保存要求。

为什么极盾价格更低?

极盾通过渠道资源、平台化交付和批量采购能力降低成本,再把成本优势直接体现在采购价格上。最终价格仍需按业务规格、可售区域和正式订单确认。

获取真实报价

发送域名数量、峰值 QPS、API 数量、登录支付接口、爬虫情况和日志需求,获取月度成本拆解。

联系我们