Web 应用防火墙产品分类

类型概述
腾讯云提供两种类型的云上 WAF，SaaS 型 WAF 和负载均衡型 WAF。两种 WAF 的安全防护能力基本相同，但接入方式不同，适用场景不同，您可以根据实际部署需求选择不同类型的 WAF。
类别
SaaS 型
负载均衡型
适用场景
适合所有用户（腾讯云上用户或本地 IDC 用户），通过 DNS 解析调度实现域名接入。
腾讯云上已使用或计划使用七层负载均衡（CLB）、云原生 API 网关、云函数的用户，使用 APISIX 或其他应用网关服务想结合 WAF 防护能力的用户。
核心优势
适用范围广泛，覆盖腾讯云上用户和非腾讯云上用户。
无感知接入，毫秒级延迟，域名接入 WAF 不需要调整现有的网络架构。
网站业务转发和安全防护分离，保障网站业务转发稳定可靠。 
支持多地域接入。
如何选择
若用户在腾讯云上和本地均有网站需要防护，或腾讯云上未使用七层负载均衡，推荐使用 SaaS 型 WAF。
如需使用网页防篡改和数据防泄漏功能，仅 SaaS 型 WAF 可支持。
腾讯云上已使用或计划使用七层负载均衡（CLB）、云原生 API 网关、云函数的用户，且有 Web 安全防护、BOT 流量管理、等保合规保护、网站安全运营需求，推荐使用负载均衡型 WAF。
选择区域
SaaS 型 WAF 在购买时需要选择所属区域。
负载均衡型 WAF购买时不需要选择地域，购买后在控制台配置时再关联负载均衡（Cloud Load Balancer，CLB） 的支持区域。
SaaS 型 WAF
用户在 WAF 上添加防护域名并设置回源信息后，WAF 将为防护域名分配唯一的 CNAME 地址。用户可以通过修改 DNS 解析，将原来的 A 记录 修改为 CNAME 记录，并将防护域名流量调度到 WAF 集群。WAF 集群对防护域名进行恶意流量检测和防护后，将正常流量回源到源站，防范网站安全风险。
?
?
?
负载均衡型 WAF
接入方式概览
接入类型
接入步骤
云原生 CLB 域名接入
通过在 WAF 控制台域名接入中配置域名和七层负载均衡 CLB（监听器）资源，对经过负载均衡实例监听器的 HTTP/HTTPS 流量进行旁路威胁检测和清洗，实现业务转发和安全防护分离。
云原生 CLB 实例对象接入
通过在 WAF 控制台对象接入中开启七层负载均衡 CLB（实例）接入 WAF，对经过负载均衡实例的 HTTP/HTTPS 流量进行旁路威胁检测和清洗，实现业务转发和安全防护分离。
云原生 API 网关、云函数域名接入
通过云原生 API 网关控制台 微服务平台控制台-云原生 API 网关（详见 云原生 API 网关产品文档）和云函数控制台开启 WAF 防护，以及 WAF 控制台域名接入中配置域名后，对经过云原生 API 网关和云函数网关的 HTTP/HTTPS 流量进行旁路威胁检测和清洗，实现业务转发和安全防护分离。
云原生 API 网关实例对象接入
通过云原生 API 网关控制台 微服务平台控制台-云原生 API 网关（详见 云原生 API 网关产品文档）开启 WAF 防护，以及在 WAF 控制台对象接入中开启云原生 API 网关（实例）接入 WAF 后，对经过云原生 API 网关实例的  HTTP/HTTPS 流量进行旁路威胁检测和清洗，实现业务转发和安全防护分离。
?
流量处理模式
负载均衡型 WAF 提供两种流量处理模式：
清洗模式
通过域名进行关联，云原生七层负载均衡（CLB）、云原生 API 网关及云函数  SCF将业务流量转发至 WAF 集群，WAF 进行旁路检测和告警，同步请求可信状态，网关集群根据状态对请求进行拦截或放行处理。
?
镜像模式
通过域名进行关联，云原生七层负载均衡（CLB）镜像流量到 WAF 集群，WAF 进行旁路检测和告警，不返回请求可信状态。
?
?
?

类别	SaaS 型	负载均衡型
适用场景	适合所有用户（腾讯云上用户或本地 IDC 用户），通过 DNS 解析调度实现域名接入。	腾讯云上已使用或计划使用七层负载均衡（CLB）、云原生 API 网关、云函数的用户，使用 APISIX 或其他应用网关服务想结合 WAF 防护能力的用户。
核心优势	适用范围广泛，覆盖腾讯云上用户和非腾讯云上用户。	无感知接入，毫秒级延迟，域名接入 WAF 不需要调整现有的网络架构。网站业务转发和安全防护分离，保障网站业务转发稳定可靠。支持多地域接入。
如何选择	若用户在腾讯云上和本地均有网站需要防护，或腾讯云上未使用七层负载均衡，推荐使用 SaaS 型 WAF。如需使用网页防篡改和数据防泄漏功能，仅 SaaS 型 WAF 可支持。	腾讯云上已使用或计划使用七层负载均衡（CLB）、云原生 API 网关、云函数的用户，且有 Web 安全防护、BOT 流量管理、等保合规保护、网站安全运营需求，推荐使用负载均衡型 WAF。
选择区域	SaaS 型 WAF 在购买时需要选择所属区域。	负载均衡型 WAF购买时不需要选择地域，购买后在控制台配置时再关联负载均衡（Cloud Load Balancer，CLB）的支持区域。

接入类型	接入步骤
云原生 CLB 域名接入	通过在 WAF 控制台域名接入中配置域名和七层负载均衡 CLB（监听器）资源，对经过负载均衡实例监听器的 HTTP/HTTPS 流量进行旁路威胁检测和清洗，实现业务转发和安全防护分离。
云原生 CLB 实例对象接入	通过在 WAF 控制台对象接入中开启七层负载均衡 CLB（实例）接入 WAF，对经过负载均衡实例的 HTTP/HTTPS 流量进行旁路威胁检测和清洗，实现业务转发和安全防护分离。
云原生 API 网关、云函数域名接入	通过云原生 API 网关控制台微服务平台控制台-云原生 API 网关（详见云原生 API 网关产品文档）和云函数控制台开启 WAF 防护，以及 WAF 控制台域名接入中配置域名后，对经过云原生 API 网关和云函数网关的 HTTP/HTTPS 流量进行旁路威胁检测和清洗，实现业务转发和安全防护分离。
云原生 API 网关实例对象接入	通过云原生 API 网关控制台微服务平台控制台-云原生 API 网关（详见云原生 API 网关产品文档）开启 WAF 防护，以及在 WAF 控制台对象接入中开启云原生 API 网关（实例）接入 WAF 后，对经过云原生 API 网关实例的 HTTP/HTTPS 流量进行旁路威胁检测和清洗，实现业务转发和安全防护分离。

产品分类

本页目录：

类型概述

SaaS 型 WAF

负载均衡型 WAF

接入方式概览

流量处理模式

清洗模式

镜像模式