动态与公告

产品动态

产品公告

安全公告

新手指引

产品简介

产品概述

产品分类

产品优势

应用场景

套餐与版本说明

支持地域

基本概念

购买指南

计费概述

购买方式

升级方式

续费说明

欠费说明

退费说明

快速入门

入门概述

新手常见问题

操作指南

概览

接入管理

安全运营

防护策略

服务设置

实践教程

WAF 等保测评解读

BOT管理相关

API 安全相关

接入相关

防护与配置相关

API 文档

History

Introduction

API Category

Making API Requests

Asset Management APIs

Billing APIs

Protection Settings APIs

Other APIs

IP Management APIs

Integration APIs

Log Service APIs

Security Overview APIs

Rule Engine APIs

Data Types

Error Codes

常见问题

产品咨询相关

接入相关

使用相关

权限相关

沙箱隔离状态

服务等级协议

WAF 策略

隐私协议

数据处理和安全协议

联系我们

词汇表

产品分类

PDF

聚焦模式

字号

最后更新时间： 2025-07-07 17:39:10

类型概述
腾讯云提供两种类型的云上 WAF，SaaS 型 WAF 和负载均衡型 WAF。两种 WAF 的安全防护能力基本相同，但接入方式不同，适用场景不同，您可以根据实际部署需求选择不同类型的 WAF。
类别
SaaS 型
负载均衡型
适用场景
适合所有用户（腾讯云上用户或本地 IDC 用户），通过 DNS 解析调度实现域名接入。
腾讯云上已使用或计划使用七层负载均衡（CLB）、云原生 API 网关、云函数的用户，使用 APISIX 或其他应用网关服务想结合 WAF 防护能力的用户。
核心优势
适用范围广泛，覆盖腾讯云上用户和非腾讯云上用户。
无感知接入，毫秒级延迟，域名接入 WAF 不需要调整现有的网络架构。
网站业务转发和安全防护分离，保障网站业务转发稳定可靠。 
支持多地域接入。
如何选择
若用户在腾讯云上和本地均有网站需要防护，或腾讯云上未使用七层负载均衡，推荐使用 SaaS 型 WAF。
如需使用网页防篡改和数据防泄漏功能，仅 SaaS 型 WAF 可支持。
腾讯云上已使用或计划使用七层负载均衡（CLB）、云原生 API 网关、云函数的用户，且有 Web 安全防护、BOT 流量管理、等保合规保护、网站安全运营需求，推荐使用负载均衡型 WAF。
选择区域
SaaS 型 WAF 在购买时需要选择所属区域。
负载均衡型 WAF购买时不需要选择地域，购买后在控制台配置时再关联负载均衡（Cloud Load Balancer，CLB） 的支持区域。
SaaS 型 WAF
用户在 WAF 上添加防护域名并设置回源信息后，WAF 将为防护域名分配唯一的 CNAME 地址。用户可以通过修改 DNS 解析，将原来的 A 记录修改为 CNAME 记录，并将防护域名流量调度到 WAF 集群。WAF 集群对防护域名进行恶意流量检测和防护后，将正常流量回源到源站，保护网站安全。
﻿
﻿
负载均衡型 WAF
接入方式概览
接入类型
接入步骤
云原生 CLB 域名接入
通过在 WAF 控制台域名接入中配置域名和七层负载均衡 CLB（监听器）资源，对经过负载均衡实例监听器的 HTTP/HTTPS 流量进行旁路威胁检测和清洗，实现业务转发和安全防护分离。
云原生 CLB 实例对象接入
通过在 WAF 控制台对象接入中开启七层负载均衡 CLB（实例）接入 WAF，对经过负载均衡实例的 HTTP/HTTPS 流量进行旁路威胁检测和清洗，实现业务转发和安全防护分离。
云原生 API 网关、云函数域名接入
通过 API 网关控制台（详见 API 网关产品文档）和云函数控制台开启 WAF 防护，以及 WAF 控制台域名接入中配置域名后，对经过云原生 API 网关和云函数网关的 HTTP/HTTPS 流量进行旁路威胁检测和清洗，实现业务转发和安全防护分离。
云原生 API 网关实例对象接入
通过 API 网关控制台（详见API 网关产品文档）开启 WAF 防护，以及在 WAF 控制台对象接入中开启云原生 API 网关（实例）接入 WAF 后，对经过云原生 API 网关实例的  HTTP/HTTPS 流量进行旁路威胁检测和清洗，实现业务转发和安全防护分离。
﻿
流量处理模式
负载均衡型 WAF 提供两种流量处理模式：
清洗模式
通过域名进行关联，云原生七层负载均衡（CLB）、云原生 API 网关及云函数  SCF将业务流量转发至 WAF 集群，WAF 进行旁路检测和告警，同步请求可信状态，网关集群根据状态对请求进行拦截或放行处理。
﻿
镜像模式
通过域名进行关联，云原生七层负载均衡（CLB）镜像流量到 WAF 集群，WAF 进行旁路检测和告警，不返回请求可信状态。
﻿

帮助和支持

本页内容是否解决了您的问题？

您也可以联系销售或提交工单以寻求帮助。

填写满意度调查问卷，共创更好文档体验。

文档反馈

tencent cloud

Web 应用防火墙

产品分类

类型概述

SaaS 型 WAF

负载均衡型 WAF

接入方式概览

流量处理模式

清洗模式

镜像模式

帮助和支持

类别	SaaS 型	负载均衡型
适用场景	适合所有用户（腾讯云上用户或本地 IDC 用户），通过 DNS 解析调度实现域名接入。	腾讯云上已使用或计划使用七层负载均衡（CLB）、云原生 API 网关、云函数的用户，使用 APISIX 或其他应用网关服务想结合 WAF 防护能力的用户。
核心优势	适用范围广泛，覆盖腾讯云上用户和非腾讯云上用户。	无感知接入，毫秒级延迟，域名接入 WAF 不需要调整现有的网络架构。网站业务转发和安全防护分离，保障网站业务转发稳定可靠。支持多地域接入。
如何选择	若用户在腾讯云上和本地均有网站需要防护，或腾讯云上未使用七层负载均衡，推荐使用 SaaS 型 WAF。如需使用网页防篡改和数据防泄漏功能，仅 SaaS 型 WAF 可支持。	腾讯云上已使用或计划使用七层负载均衡（CLB）、云原生 API 网关、云函数的用户，且有 Web 安全防护、BOT 流量管理、等保合规保护、网站安全运营需求，推荐使用负载均衡型 WAF。
选择区域	SaaS 型 WAF 在购买时需要选择所属区域。	负载均衡型 WAF购买时不需要选择地域，购买后在控制台配置时再关联负载均衡（Cloud Load Balancer，CLB）的支持区域。

接入类型	接入步骤
云原生 CLB 域名接入	通过在 WAF 控制台域名接入中配置域名和七层负载均衡 CLB（监听器）资源，对经过负载均衡实例监听器的 HTTP/HTTPS 流量进行旁路威胁检测和清洗，实现业务转发和安全防护分离。
云原生 CLB 实例对象接入	通过在 WAF 控制台对象接入中开启七层负载均衡 CLB（实例）接入 WAF，对经过负载均衡实例的 HTTP/HTTPS 流量进行旁路威胁检测和清洗，实现业务转发和安全防护分离。
云原生 API 网关、云函数域名接入	通过 API 网关控制台（详见 API 网关产品文档）和云函数控制台开启 WAF 防护，以及 WAF 控制台域名接入中配置域名后，对经过云原生 API 网关和云函数网关的 HTTP/HTTPS 流量进行旁路威胁检测和清洗，实现业务转发和安全防护分离。
云原生 API 网关实例对象接入	通过 API 网关控制台（详见API 网关产品文档）开启 WAF 防护，以及在 WAF 控制台对象接入中开启云原生 API 网关（实例）接入 WAF 后，对经过云原生 API 网关实例的 HTTP/HTTPS 流量进行旁路威胁检测和清洗，实现业务转发和安全防护分离。