簡單來說,Azure Front Door (AFD) 本身不是 WAF,但它「包含」並「整合」了 WAF 功能。
你可以把它想像成一個**「全球性的交通樞紐」,而 WAF 是這個樞紐上的「安檢門」**。
1. 它們的關係是什麼?
- Azure Front Door (AFD): 是一個全球性的 內容傳遞網路 (CDN) 和 第 7 層負載平衡器。它的主要工作是讓你的網站跑得更快(加速)、更穩(高可用性)。
- Azure WAF: 是一個安全插件/策略,可以掛載在 Azure Front Door 上。它的主要工作是過濾惡意攻擊(如 SQL 注入、XSS 跨站腳本攻擊)。
2. 為什麼大家常把它們放在一起講?
因為當你使用 Azure Front Door 時,通常會啟用它的 WAF 功能。這有幾個好處:
- 邊緣防護 (Edge Security): 攻擊在還沒進入你的伺服器(甚至還沒進入 Azure 區域中心)之前,就在全球各地的邊緣節點被攔截了。
- 集中管理: 你只需要設定一份 WAF 規則,就能保護全球各地的後端服務。
3. Azure Front Door 的兩個版本與 WAF 的差異
| 功能 | Standard (標準版) | Premium (高級版) |
| WAF 支援 | 支援自定義規則 | 完整支援 (含受管規則集) |
| 安全防護 | 僅基本的自定義 WAF | 進階 Bot 防護、受管規則集 (DRS) |
| 適用場景 | 一般加速與基礎防護 | 對安全性要求極高、怕爬蟲攻擊的企業 |
💡 總結
如果你需要的是 WAF(Web 應用程式防火牆),在 Azure 中你有兩個主要選擇:
- Azure Front Door + WAF: 適用於全球性/對外的網站,在邊緣端就攔截攻擊。
- Application Gateway + WAF: 適用於區域性/虛擬網路內的架構。
你的需求是要幫全球分佈的網站做防護嗎? 如果是的話,Azure Front Door 的 WAF 功能會是非常強大的選擇。
在選擇 Azure 防禦方案時,價格結構主要分為「固定月費」與「變動流量費」。以下為 Azure Front Door (AFD) 兩個版本與 Application Gateway (AppGW) 的價格與定位比較:
1. 價格比較表 (預估)
| 費用維度 | AFD Standard (標準版) | AFD Premium (高級版) | AppGW + WAF (v2) |
| 基本固定月費 | 約 $35 USD/月 | 約 $330 USD/月 | 約 $323 USD/月 ($0.443/hr) |
| WAF 策略費 | 需額外支付策略/規則費 | 已包含 在月費內 | 需額外支付策略/規則費 |
| 流量費用 | 按 GB 與請求數計費 | 按 GB 與請求數計費 | 按 CU (容量單位) 計費 |
| 主要 WAF 功能 | 僅支援「自定義規則」 | 支援「微軟受管規則集」 | 支援「微軟受管規則集」 |
| Bot 防護 | 基礎 (Basic) | 進階 (Advanced) | 基礎 (Basic) |
| Private Link | 不支援 | 支援 (可私連後端) | 不支援 (它是區域性服務) |
2. 重點解析:該選哪一個?
Azure Front Door Standard (標準版)
- 適合誰: 預算有限、主要需要 CDN 加速,且只需要簡單的安全規則(如封鎖特定 IP 或地理位置)。
- 注意: 如果你需要微軟自動更新的 SQLi/XSS 規則,這個版本「不支援」受管規則集,防禦力較弱。
Azure Front Door Premium (高級版)
- 適合誰: 大型企業、跨國網站、對安全性有高度要求的服務。
- 關鍵價值: 它包含了 WAF 受管規則集(不需要自己寫防禦代碼)和 Private Link。如果你不希望你的後端伺服器暴露在公網上,Premium 是唯一能透過私有網路連接後端的方案。
- 省錢點: 雖然月費高,但它免除了 WAF 的政策費與規則費。
Application Gateway + WAF v2 (區域型)
- 適合誰: 服務集中在 單一區域 (例如只在台灣或香港),不需要全球加速,且後端架構多為 VM 或 AKS (Kubernetes)。
- 關鍵差異: 它是一個區域性服務。如果你有 3 個區域的後端,你就需要買 3 組 AppGW,成本會迅速超過 Front Door。
- 價格陷阱: 除了固定費用,它的 CU (Capacity Unit) 計費方式較複雜,高併發流量下成本可能波動較大。
3. 決策建議
- 如果你要保護「全球」流量: 直接看 Front Door。如果只是小型個人網站選 Standard,如果是商業營運、怕被黑、怕爬蟲,請直上 Premium。
- 如果你要保護「單一區域」內的 VNet 資源: 選擇 Application Gateway + WAF。它能更深層地整合你的虛擬網路空間。
- 如果你極度重視安全(尤其是 Bot 攻擊): Front Door Premium 的 Bot 防護是三者中最強的(基於微軟威脅情報中心數據)。
你是打算保護已經上線的既有網站,還是正在規劃新的跨區域架構?