当前负载均衡型 WAF 可支持五种流量来源方式:云原生七层负载均衡 CLB 实例(内网和公网型)、云原生 API 网关、云函数、APISIX 网关与其他应用网关,对比如下:
实例类型 | 适用场景 | 核心优势 | 接入方式 | 支持国内地域 |
适用于已使用或计划使用腾讯云公网或内网七层负载均衡的用户,如 Web 业务高并发场景。 | 支持镜像与清洗两种模式。 无需调整架构,支持一键 ByPass,稳定可靠。 | 支持域名与实例对象接入。 域名防护方式通过将域名与CLB监听器绑定,实现流量镜像检测与清洗。 | 重庆、福州、广州、上海、北京、成都、上海金融、深圳金融、北京金融、南京 | |
适用于云原生 API 网关用户,如微服务架构、API 开放平台等场景,需统一管理API安全。 | 支持清洗模式。 转发与防护分离,API 网关侧控制流量接入,更可靠。 | 北京、上海、广州、成都、南京 | ||
适用于云函数(SCF)用户,如无服务器 Web 应用、事件触发型业务防护。 | 支持清洗模式。 转发与防护分离,云函数侧控制流量接入,更可靠。 | 北京、上海、广州、成都、重庆、南京、上海金融、深圳金融 | ||
适用于 APISIX 网关用户,希望结合腾讯云 WAF 增强安全防护能力。 | 兼容开源生态。 支持集成 SDK 插件接入,自主可控。 | 接入方式与云原生 API 网关相同,但需要 APISIX 网关集成 SDK,转发业务流量至腾讯云 WAF 集群(需要定制接入)。 | 北京、广州、上海定制接入 | |
适用于云上、云下等多种环境下的客户流量混合云 WAF 部署接入。 | 兼容任意环境。 支持集成 SDK 插件接入,自主可控。 | 接入方式与云原生 API 网关相同,但需要客户网关集成 SDK,转发业务流量至腾讯云 WAF 混合云防护集群。 | 客户自定义地域 |
域名接入方式对比
负载均衡 CLB 实例:通过在 WAF 控制台域名接入中配置域名和七层负载均衡 CLB(监听器)资源,对经过负载均衡实例监听器的 HTTP/HTTPS 流量进行旁路威胁检测和清洗,实现业务转发和安全防护分离。
云原生 API 网关与云函数实例:通过云原生 API 网关控制台:微服务平台控制台-云原生 API 网关(详情请参见 云原生 API 网关产品文档)和云函数控制台开启 WAF 防护,以及 WAF 控制台域名接入中配置域名后,对经过云原生 API 网关和云函数网关的 HTTP/HTTPS 流量进行旁路威胁检测和清洗,实现业务转发和安全防护分离。
APISIX 网关服务:APISIX 网关集成 SDK,转发业务流量至腾讯云 WAF 集群(需要定制接入)。
其他应用网关服务:客户网关集成 SDK,转发业务流量至腾讯云 WAF 混合云防护集群。
