Web应用防火墙(WAF)可以拦截SQL注入探测、跨站脚本攻击载荷、协议异常、撞库流量、滥用爬虫以及应用层拒绝服务请求,防止它们消耗Node.js进程、数据库连接或第三方API配额。但这绝不意味着WAF可以替代安全的应用代码。Node.js服务仍然必须验证输入、执行身份验证与授权、隔离租户、对高成本的业务操作进行速率限制并保护机密信息。WAF是一个边缘控制层,它能够减少攻击流量,为应用团队争取时间、提供可见性并赋予应急响应能力。
本指南将对比2026年五种实用平台:
- Cloudflare WAF and Bot Management
- AWS WAF and Bot Control
- Google Cloud Armor
- Fastly Next-Gen WAF
- Akamai App & API Protector
对比将聚焦托管规则、Bot控制、API保护、部署模式、误报处理、日志、自动化、请求体检查以及定价。产品状态和公开价格已于2026年7月17日依据官方资料核实。购买前请确认最新的区域价格和合同条款。
快速对比
| 平台 | 公开定价参考 | Bot防护 | 部署边界 | 最适合场景 |
|---|---|---|---|---|
| Cloudflare | Pro版年付$20/月或月付$25;Business版年付$200/月或月付$250 | 免费计划提供Bot Fight Mode,Pro版及以上提供Super Bot Fight Mode,精细的Bot Management作为企业版附加项 | Cloudflare全球代理与边缘网络 | 希望在一个产品中获得CDN、WAF、DDoS和基本Bot控制的初创公司与成长型SaaS团队 |
| AWS WAF | 每个Web ACL $5/月,每条规则$1/月,每百万请求检查$0.60(不含附加服务) | Common和Targeted Bot Control托管规则组 | CloudFront、ALB、API Gateway、AppSync、Cognito及相关AWS服务 | 原生AWS应用,希望透明按用量计价并利用IAM自动化的场景 |
| Google Cloud Armor | 标准版按策略、规则和请求计费;全球请求$0.75/百万次 | 集成reCAPTCHA进行Bot评估和验证 | Google Cloud负载均衡器、Cloud CDN及支持的混合云或多云模式 | 需要IAM、Cloud Logging、Adaptive Protection和边缘执行的Google Cloud应用 |
| Fastly Next-Gen WAF | 需联系销售 | Bot Management作为Professional或Premier安全级别的单独产品购买 | Fastly边缘、云环境、容器、Kubernetes或本地部署 | 需要可移植WAF部署和完善DevSecOps集成的安全团队 |
| Akamai App & API Protector | 定制报价;提供30天试用;Hybrid版在AWS Marketplace提供按用量计费 | 内置Bot控制,可选Bot Manager Premier对抗高级Bot | Akamai边缘、混合、本地、多云及多CDN部署 | 需要集成WAF、API发现、DDoS、Bot和自适应调优的大型全球应用 |
Node.js SaaS的WAF必须保护什么
一个SaaS应用会暴露浏览器页面、登录注册路由、公开API、Webhook、文件上传、管理工具以及高成本的报表或AI接口。这些路径需要不同的防护策略。登录接口需要防撞库;Webhook必须避免浏览器验证;上传需要明确限制请求体大小并进行恶意软件扫描。
应采用分层防护边界:
DDoS → 机器人分类 → 速率规则 → 托管WAF → 负载均衡器 → Node.js验证、身份认证、授权
WAF过滤恶意流量,而应用本身仍需负责租户隔离和业务策略。
先在观察模式下部署规则
合法的富文本、GraphQL查询、搜索过滤、JSON以及Webhook载荷有时会与注入攻击的特征相似。新策略应先在计数、日志、预览或评估模式下启用。
按规则ID和端点审查匹配结果,确认结果后再添加最精确的排除项,然后逐步启用拦截。监控登录成功率、转化率、API错误和客户反馈。不要因为某个字段或路由产生误报就禁用整个托管规则集。
Cloudflare:面向公网SaaS的最佳一体化默认选择
Cloudflare在所有套餐中都提供免费的托管规则集。更丰富的托管规则集和OWASP规则集可用于Pro、Business和Enterprise计划。
公开报价:Pro版年付$20/月或月付$25,Business版年付$200/月或月付$250。Enterprise版需定制。
免费计划包含Bot Fight Mode。Pro和Business包含Super Bot Fight Mode,提供分类操作、有限的分析、静态资源保护和排除项。Enterprise Bot Management则增加了每个请求的Bot评分和精细规则。
当DNS已经通过其边缘网络,且团队希望同时获得CDN、DDoS、WAF、速率限制和Bot控制时,应选择Cloudflare。对API密集型产品而言,务必谨慎测试Bot验证规则,因为过于宽泛的Bot模式可能影响移动客户端、Webhook和合作伙伴自动化。大文件上传也需要注意不同套餐的检测限制。
AWS WAF:AWS工作负载的最佳透明按用量计价选择
AWS WAF可绑定到CloudFront、ALB、API Gateway、AppSync、Cognito及相关服务。
公开费用:每个Web ACL $5/月,每条规则或托管组$1/月,每百万请求检查$0.60(不含附加功能)。CAPTCHA、高级请求体检查、日志记录、Bot Control、Fraud Control和Marketplace规则会产生额外费用。
AWS给出了一个包含Common Bot Control的2200万请求示例,总费用约为$48.20/月。而Targeted Bot Control的示例中,3个ACL处理的3500万请求费用达$430/月。由于Common Bot Control默认包含1000万次请求检查,Targeted仅包含100万次,通过范围限定语句可显著控制成本。
对于使用IAM、CDK、CloudFormation、Terraform和Firewall Manager构建的AWS原生应用,AWS WAF是自然之选。2026年6月15日,AWS还推出了基于x402的可选AI流量变现功能,用于Bot Control。
Google Cloud Armor:Google Cloud负载均衡应用的最佳选择
Cloud Armor在Google边缘网络为支持的负载均衡器执行安全策略,提供OWASP规则、自定义表达式、速率限制、DDoS防御、日志、预览模式以及Adaptive Protection。
标准版定价:全球请求$0.75/百万次,区域请求$0.60/百万次,策略约$0.006849315/小时,规则约$0.001369863/小时。Enterprise Paygo版起步约$0.273972603/小时,另需计算资源和处理费用。
Adaptive Protection可检测七层异常,并生成或自动部署缓解规则。Bot控制与reCAPTCHA评估集成。
如果你的架构使用Cloud Run、GKE或Compute Engine,并已挂载在Google负载均衡器后,Cloud Armor是最佳选择。注意,其预配置WAF仅分析请求体的前64KB,大文件上传需要在应用层增加控制。
Fastly Next-Gen WAF:最佳可移植安全部署方案
Fastly Next-Gen WAF能够保护Fastly边缘、云环境、容器、Kubernetes以及本地部署中的工作负载。它强调基于信号的检测、减少调优工作量、高级速率限制、告警以及DevSecOps集成。
定价需联系销售。Bot Management需单独购买,且客户端验证需要Professional或Premier级别。
Fastly适合需要在多种环境中实现统一策略执行的安全团队。2026年6月30日,Fastly增加了在保持原有控制面的同时,将现有Next-Gen WAF组织连接到主Fastly账户并共享API的能力。
Akamai:最佳全球企业级WAAP平台
Akamai App & API Protector整合了WAF、七层DDoS防护、API发现、敏感数据控制和Bot保护。Bot Manager Premier则为登录、注册、付款及其他交易类端点提供行为分析与高级防御。
Akamai支持边缘、混合、本地、多云及多CDN部署。定价需定制,提供30天试用。2026年5月19日,Akamai为Hybrid反向代理部署在AWS Marketplace引入了按每小时请求数计费的按用量付费模式。
对于看重一体化WAAP控制、自适应调优及企业支持的大型全球应用,Akamai是强有力的选择。
Node.js源站配置
如果攻击者能绕过WAF,那它就形同虚设。应将源站流量限制为由边缘服务商、私有负载均衡器、经认证的隧道或受信网络范围访问,不要暴露任何备用的源站主机名。
Express必须只信任已知的代理拓扑:
import crypto from "node:crypto";
import express from "express";
const app = express();
app.set("trust proxy", 1); // 替换为实际受信任的拓扑。
app.use((req, res, next) => {
const requestId =
req.get("cf-ray") ||
req.get("x-amzn-trace-id") ||
req.get("x-cloud-trace-context") ||
req.get("x-request-id") ||
crypto.randomUUID();
res.setHeader("x-request-id", requestId);
req.securityContext = {
requestId,
clientIp: req.ip,
};
next();
});
绝不要接受来自任意客户端的转发头,也不要未经脱敏就记录Cookie、Authorization头、签名和请求体。应输出应用级信号,如登录失败、注册频率、API密钥失效、租户枚举、昂贵查询以及Webhook签名验证失败等。
成本模型
月度成本 =
基础订阅
+ 受保护的资源与规则
+ 检查的请求次数与请求体大小
+ Bot分析、欺诈检测、CAPTCHA和验证费用
+ 日志、SIEM、数据处理和支持
+ 误报调优与事件处置成本
基础请求检查可能很廉价,但目标Bot分析可能成为账单大头。同时也要计算因边缘阻断而节省的源站带宽、计算、数据库负载、欺诈损失和事件处理成本。
常见错误
- 在观察真实生产流量前就开启拦截
- 只保护浏览器页面,却把API或源站直接暴露在外
- 对Webhook和合作伙伴客户端施加浏览器验证
- 信任来自任意来源的转发请求头
- 将WAF的决策等同于应用的授权
- 假设请求体能被完整检查
- 把每个允许的事件都发往昂贵的SIEM
- 使用宽泛的排除规则,而非针对具体规则或字段设置精确例外
决策指南
想要最简单的一体化边缘安全套件且具有公开的小型企业定价,请选择Cloudflare。
对于使用AWS原生架构,并看重按ACL、按规则和按请求透明计费的场景,AWS WAF是最佳选择。
如果应用运行在Google负载均衡器后,且需要IAM、Cloud Logging、预览模式和Adaptive Protection,则选择Google Cloud Armor。
需要在边缘、云环境、容器和本地基础设施中实现可移植策略执行时,Fastly Next-Gen WAF更合适。
对于需要集成WAF、API、DDoS、高级Bot防护及自适应运营的全球性企业应用,Akamai App & API Protector是理想平台。
生产就绪清单
- 所有公网流量都通过防护层路由
- 尽可能拒绝直接到达源站的流量
- 托管规则先从观察模式启动
- 排除项保持精确并记录在案
- 为登录、注册、密码重置、付款、API和Webhook等设置独立策略
- 将可信的机器流量排除在浏览器验证之外
- Node.js配置精确的受信代理边界
- 将WAF请求ID与脱敏的应用日志关联
- 文档化请求体检查与上传限制
- 身份验证、授权和租户隔离始终在服务内部实现
- 通过版本控制或基础设施即代码管理规则
- 测试回滚、服务商故障和DNS恢复流程
- 使用真实流量建模Bot分析费用和日志成本
总结
只有当WAF保护的是一个经过精心设计的应用边界时,它才能发挥最大效用。
Cloudflare为许多SaaS团队提供了最简单的边缘安全组合方案。AWS WAF和Google Cloud Armor则与各自的云平台无缝集成,并提供了详细的用量定价。Fastly为不希望将安全策略绑定到单一边缘的组织提供了灵活的部署方式。Akamai则为复杂的全球环境交付了广阔的企业应用与API保护平台。
平台的选择应该遵循流量架构。识别每一个源站和主机名,区分浏览器流量与机器流量,定义高成本和高敏感端点,测量正常请求大小,建立安全的灰度上线模式,并将Bot分析费用与基础请求检查成本分开建模。
最终的控制权仍在Node.js手中:验证每一个请求,为每一个租户操作实施授权,把WAF当作一个强大的上游过滤器,而非安全的保证。
主要参考来源
- Cloudflare WAF定价与套餐:https://www.cloudflare.com/application-services/products/waf/
- Cloudflare托管规则:https://developers.cloudflare.com/waf/managed-rules/
- Cloudflare Bot产品概述:https://developers.cloudflare.com/bots/
- Cloudflare Super Bot Fight Mode:https://developers.cloudflare.com/bots/get-started/super-bot-fight-mode/
- AWS WAF定价:https://aws.amazon.com/waf/pricing/
- AWS WAF Bot控制:https://docs.aws.amazon.com/waf/latest/developerguide/waf-bot-control.html
- AWS WAF AI流量变现:https://aws.amazon.com/about-aws/whats-new/2026/06/aws-waf-ai-traffic-monetization/
- Google Cloud Armor定价:https://cloud.google.com/armor/pricing
- Google Cloud Armor文档:https://docs.cloud.google.com/armor/docs
- Google Cloud Armor自适应防护:https://docs.cloud.google.com/armor/docs/adaptive-protection-overview
- Google Cloud Armor Bot管理:https://docs.cloud.google.com/armor/docs/bot-management
- Fastly Next-Gen WAF:https://www.fastly.com/products/web-application-api-protection
- Fastly定价:https://www.fastly.com/pricing
- Fastly Next-Gen WAF账户连接更新:https://www.fastly.com/documentation/reference/changes/2026/06/connect-fastly-account-to-corp/
- Akamai App & API Protector:https://www.akamai.com/products/app-and-api-protector
- Akamai Bot Manager:https://www.akamai.com/products/bot-manager
- Akamai Hybrid按用量计费更新:https://techdocs.akamai.com/cloud-security/changelog/may-19-2026-usage-based-billing-now-available-for-app-api-protector-hybrid-reverse-proxy-deployment-in-aws-marketplace