基准规则组

基准托管规则组可针对多种常见威胁提供一般保护。请选择以下一个或多个规则组以便为您的资源建立基准保护。

注意

我们针对中的规则发布的信息Amazon托管规则组旨在为您提供足够的信息以使用规则，同时不提供不良行为者可以用来规避规则的信息。如果您需要的信息比本文档中提供的更多信息，请联系Amazon Web Services Support中心。

核心规则集 (CRS) 托管规则组

VendorName:AWS，名称：AWSManagedRulesCommonRuleSet，WCU：700

核心规则集 (CRS) 规则组包含通常适用于 Web 应用程序的规则。这可以防止各种漏洞被利用，包括OWASP出版物中描述的一些高风险和常见漏洞，例如OWASP 前十名。请考虑将此规则组用于任何 Amazon WAF 使用案例。

注意

此表描述了此规则组的最新静态版本。对于其他版本，请使用 API 命令DescribeManagedRuleGroup。

Rule name（规则名称）	描述和标签
`NoUserAgent_HEADER`	检查是否有缺少 HTTP 的请求`User-Agent`标题。规则操作：Block 标签：`awswaf:managed:aws:core-rule-set:NoUserAgent_Header`
`UserAgent_BadBots_HEADER`	检查常见情况`User-Agent`表明请求是错误机器人的标头值。示例模式包括 `nessus` 和 `nmap`。有关机器人管理，另请参阅Amazon WAF机器人控制规则组。规则操作：Block 标签：`awswaf:managed:aws:core-rule-set:BadBots_Header`
`SizeRestrictions_QUERYSTRING`	检查是否有超过 2,048 字节的 URI 查询字符串。规则操作：Block 标签：`awswaf:managed:aws:core-rule-set:SizeRestrictions_QueryString`
`SizeRestrictions_Cookie_HEADER`	检查是否有超过 10,240 字节的 cookie 标头。警告此规则仅检查请求 cookie 的前 8 KB 或前 200 个 cookie，以先达到限制为准，它使用`Continue`超大内容处理选项。有关更多信息，请参阅在中处理超大的 Web 请求组件Amazon WAF：规则操作：Block 标签：`awswaf:managed:aws:core-rule-set:SizeRestrictions_Cookie_Header`
`SizeRestrictions_BODY`	检查是否有超过 8 KB（8,192 字节）的请求正文。规则操作：Block 标签：`awswaf:managed:aws:core-rule-set:SizeRestrictions_Body`
`SizeRestrictions_URIPATH`	检查是否有超过 1,024 字节的 URI 路径。规则操作：Block 标签：`awswaf:managed:aws:core-rule-set:SizeRestrictions_URIPath`
`EC2MetaDataSSRF_BODY`	检查是否有人试图从请求正文中窃取 Amazon EC2 元数据。警告此规则仅检查不超过 Web ACL 正文大小限制的请求正文。区域网络 ACL 的限制为 8 KB，区域网络 ACL 的限制为 16 KBCloudFront网络 ACL。对于CloudFront仅限 Web ACL，您可以在 Web ACL 配置中将其增加到 64 KB。这条规则使用`Continue`超大内容处理选项。有关更多信息，请参阅在中处理超大的 Web 请求组件Amazon WAF：规则操作：Block 标签：`awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_Body`
`EC2MetaDataSSRF_COOKIE`	检查是否有人试图从请求 Cookie 中窃取 Amazon EC2 元数据。警告此规则仅检查请求 cookie 的前 8 KB 或前 200 个 cookie，以先达到限制为准，它使用`Continue`超大内容处理选项。有关更多信息，请参阅在中处理超大的 Web 请求组件Amazon WAF：规则操作：Block 标签：`awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_Cookie`
`EC2MetaDataSSRF_URIPATH`	检查是否有人试图从请求 URI 路径中泄露 Amazon EC2 元数据。规则操作：Block 标签：`awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_URIPath`
`EC2MetaDataSSRF_QUERYARGUMENTS`	检查是否有人试图从请求查询参数中窃取 Amazon EC2 元数据。规则操作：Block 标签：`awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_QueryArguments`
`GenericLFI_QUERYARGUMENTS`	检查查询参数中是否存在本地文件包含 (LFI) 攻击。示例包括使用类似于 `../../` 的技术尝试遍历路径。规则操作：Block 标签：`awswaf:managed:aws:core-rule-set:GenericLFI_QueryArguments`
`GenericLFI_URIPATH`	检查 URI 路径中是否存在本地文件包含 (LFI) 攻击。示例包括使用类似于 `../../` 的技术尝试遍历路径。规则操作：Block 标签：`awswaf:managed:aws:core-rule-set:GenericLFI_URIPath`
`GenericLFI_BODY`	检查请求正文中是否存在本地文件包含 (LFI) 攻击。示例包括使用类似于 `../../` 的技术尝试遍历路径。警告此规则仅检查不超过 Web ACL 正文大小限制的请求正文。区域网络 ACL 的限制为 8 KB，区域网络 ACL 的限制为 16 KBCloudFront网络 ACL。对于CloudFront仅限 Web ACL，您可以在 Web ACL 配置中将其增加到 64 KB。这条规则使用`Continue`超大内容处理选项。有关更多信息，请参阅在中处理超大的 Web 请求组件Amazon WAF：规则操作：Block 标签：`awswaf:managed:aws:core-rule-set:GenericLFI_Body`
`RestrictedExtensions_URIPATH`	检查其 URI 路径中是否包含无法安全读取或运行的系统文件扩展名的请求。示例模式包括类似于 `.log` 和 `.ini` 的扩展名。规则操作：Block 标签：`awswaf:managed:aws:core-rule-set:RestrictedExtensions_URIPath`
`RestrictedExtensions_QUERYARGUMENTS`	检查查询参数包含无法安全读取或运行的系统文件扩展名的请求。示例模式包括类似于 `.log` 和 `.ini` 的扩展名。规则操作：Block 标签：`awswaf:managed:aws:core-rule-set:RestrictedExtensions_QueryArguments`
`GenericRFI_QUERYARGUMENTS`	检查所有查询参数的值，以查看是否有人试图通过嵌入包含 IPv4 地址的 URL 在 Web 应用程序中利用 RFI（远程文件包含）。例子包括像这样的模式`http://`，`https://`，`ftp://`，`ftps://`，以及`file://`，漏洞尝试中带有 IPv4 主机头。规则操作：Block 标签：`awswaf:managed:aws:core-rule-set:GenericRFI_QueryArguments`
`GenericRFI_BODY`	检查请求正文中是否有人试图通过嵌入包含 IPv4 地址的 URL 来利用 Web 应用程序中的 RFI（远程文件包含）。例子包括像这样的模式`http://`，`https://`，`ftp://`，`ftps://`，以及`file://`，漏洞尝试中带有 IPv4 主机头。警告此规则仅检查不超过 Web ACL 正文大小限制的请求正文。区域网络 ACL 的限制为 8 KB，区域网络 ACL 的限制为 16 KBCloudFront网络 ACL。对于CloudFront仅限 Web ACL，您可以在 Web ACL 配置中将其增加到 64 KB。这条规则使用`Continue`超大内容处理选项。有关更多信息，请参阅在中处理超大的 Web 请求组件Amazon WAF：规则操作：Block 标签：`awswaf:managed:aws:core-rule-set:GenericRFI_Body`
`GenericRFI_URIPATH`	检查 URI 路径是否有人试图通过嵌入包含 IPv4 地址的 URL 在 Web 应用程序中利用 RFI（远程文件包含）。例子包括像这样的模式`http://`，`https://`，`ftp://`，`ftps://`，以及`file://`，漏洞尝试中带有 IPv4 主机头。规则操作：Block 标签：`awswaf:managed:aws:core-rule-set:GenericRFI_URIPath`
`CrossSiteScripting_COOKIE`	使用内置函数检查常见跨站脚本 (XSS) 模式的 cookie 标头值Amazon WAF 跨站点脚本攻击规则语句。示例模式包括类似于 `<script>alert("hello")</script>` 的脚本。警告此规则仅检查请求 cookie 的前 8 KB 或前 200 个 cookie，以先达到限制为准，它使用`Continue`超大内容处理选项。有关更多信息，请参阅在中处理超大的 Web 请求组件Amazon WAF：注意规则匹配详情请见Amazon WAF未填充此规则组版本 2.0 的日志。规则操作：Block 标签：`awswaf:managed:aws:core-rule-set:CrossSiteScripting_Cookie`
`CrossSiteScripting_QUERYARGUMENTS`	使用内置函数检查常见跨站脚本 (XSS) 模式的查询参数值Amazon WAF 跨站点脚本攻击规则语句。示例模式包括类似于 `<script>alert("hello")</script>` 的脚本。注意规则匹配详情请见Amazon WAF未填充此规则组版本 2.0 的日志。规则操作：Block 标签：`awswaf:managed:aws:core-rule-set:CrossSiteScripting_QueryArguments`
`CrossSiteScripting_BODY`	使用内置函数检查请求正文中是否存在常见的跨站脚本 (XSS) 模式Amazon WAF 跨站点脚本攻击规则语句。示例模式包括类似于 `<script>alert("hello")</script>` 的脚本。注意规则匹配详情请见Amazon WAF未填充此规则组版本 2.0 的日志。警告此规则仅检查不超过 Web ACL 正文大小限制的请求正文。区域网络 ACL 的限制为 8 KB，区域网络 ACL 的限制为 16 KBCloudFront网络 ACL。对于CloudFront仅限 Web ACL，您可以在 Web ACL 配置中将其增加到 64 KB。这条规则使用`Continue`超大内容处理选项。有关更多信息，请参阅在中处理超大的 Web 请求组件Amazon WAF：规则操作：Block 标签：`awswaf:managed:aws:core-rule-set:CrossSiteScripting_Body`
`CrossSiteScripting_URIPATH`	使用内置方法检查常见跨站脚本 (XSS) 模式的 URI 路径值Amazon WAF 跨站点脚本攻击规则语句。示例模式包括类似于 `<script>alert("hello")</script>` 的脚本。注意规则匹配详情请见Amazon WAF未填充此规则组版本 2.0 的日志。规则操作：Block 标签：`awswaf:managed:aws:core-rule-set:CrossSiteScripting_URIPath`

管理员保护托管规则组

VendorName:AWS，名称：AWSManagedRulesAdminProtectionRuleSet，WCU：100

管理保护规则组包含允许您阻止对公开的管理页面进行外部访问的规则。如果您运行第三方软件，或者希望降低恶意人员获取您的应用程序的管理访问权限的风险，该规则组可能非常有用。

注意

此表描述了此规则组的最新静态版本。对于其他版本，请使用 API 命令DescribeManagedRuleGroup。

Rule name（规则名称）描述和标签

Rule name（规则名称）	描述和标签
`AdminProtection_URIPATH`	检查通常为管理 Web 服务器或应用程序而保留的 URI 路径。示例模式包括 `sqlmanager`。规则操作：Block 标签：`awswaf:managed:aws:admin-protection:AdminProtection_URIPath`

AdminProtection_URIPATH

检查通常为管理 Web 服务器或应用程序而保留的 URI 路径。示例模式包括 sqlmanager。

规则操作：Block

标签：awswaf:managed:aws:admin-protection:AdminProtection_URIPath

已知错误输入管理规则组

VendorName:AWS，名称：AWSManagedRulesKnownBadInputsRuleSet，WCU：200

已知错误输入规则组包含用于阻止请求模式的规则，这些模式确认无效且与漏洞攻击或发现相关联。这可以帮助降低恶意行为者发现有漏洞的应用程序的风险。

注意

此表描述了此规则组的最新静态版本。对于其他版本，请使用 API 命令DescribeManagedRuleGroup。

Rule name（规则名称）	描述和标签
`JavaDeserializationRCE_HEADER`	检查 HTTP 请求标头的密钥和值是否存在表明 Java 反序列化远程命令执行 (RCE) 尝试的模式，例如 Spring Core 和 Cloud Function RCE 漏洞（CVE-2022-22963、CVE-2022-22965）。示例模式包括 `(java.lang.Runtime).getRuntime().exec("whoami")`。警告此规则仅检查请求标头的前 8 KB 或前 200 个标头（以先达到限制为准），它使用`Continue`超大内容处理选项。有关更多信息，请参阅在中处理超大的 Web 请求组件Amazon WAF：规则操作：Block 标签：`awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_Header`
`JavaDeserializationRCE_BODY`	检查请求正文中是否存在表明 Java 反序列化远程命令执行 (RCE) 尝试的模式，例如 Spring Core 和 Cloud Function RCE 漏洞（CVE-2022-22963、CVE-2022-22965）。示例模式包括 `(java.lang.Runtime).getRuntime().exec("whoami")`。警告此规则仅检查不超过 Web ACL 正文大小限制的请求正文。区域网络 ACL 的限制为 8 KB，区域网络 ACL 的限制为 16 KBCloudFront网络 ACL。对于CloudFront仅限 Web ACL，您可以在 Web ACL 配置中将其增加到 64 KB。这条规则使用`Continue`超大内容处理选项。有关更多信息，请参阅在中处理超大的 Web 请求组件Amazon WAF：规则操作：Block 标签：`awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_Body`
`JavaDeserializationRCE_URIPATH`	检查请求 URI 中是否存在表明 Java 反序列化远程命令执行 (RCE) 尝试的模式，例如 Spring Core 和 Cloud Function RCE 漏洞（CVE-2022-22963、CVE-2022-22965）。示例模式包括 `(java.lang.Runtime).getRuntime().exec("whoami")`。规则操作：Block 标签：`awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_URIPath`
`JavaDeserializationRCE_QUERYSTRING`	检查请求查询字符串中是否存在指示 Java 反序列化远程命令执行 (RCE) 尝试的模式，例如 Spring Core 和 Cloud Function RCE 漏洞（CVE-2022-22963、CVE-2022-22965）。示例模式包括 `(java.lang.Runtime).getRuntime().exec("whoami")`。规则操作：Block 标签：`awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_QueryString`
`Host_localhost_HEADER`	检查请求中的主机标头是否有指示本地主机的模式。示例模式包括 `localhost`。规则操作：Block 标签：`awswaf:managed:aws:known-bad-inputs:Host_Localhost_Header`
`PROPFIND_METHOD`	检查请求中用于 `PROPFIND` 的 HTTP 方法，这是一种类似于 `HEAD` 的方法，但具有泄漏 XML 对象的额外意图。规则操作：Block 标签：`awswaf:managed:aws:known-bad-inputs:Propfind_Method`
`ExploitablePaths_URIPATH`	检查 URI 路径中是否有恶意方试图访问可利用的 Web 应用程序路径。示例模式包括类似于 `web-inf` 的路径。规则操作：Block 标签：`awswaf:managed:aws:known-bad-inputs:ExploitablePaths_URIPath`
`Log4JRCE_HEADER`	检查请求标头的密钥和值是否存在 Log4j 漏洞 (CVE-2021-44228，CVE-2021-45046，CVE-2021-45105) 并防范远程代码执行 (RCE) 尝试。示例模式包括 `${jndi:ldap://example.com/}`。警告此规则仅检查请求标头的前 8 KB 或前 200 个标头（以先达到限制为准），它使用`Continue`超大内容处理选项。有关更多信息，请参阅在中处理超大的 Web 请求组件Amazon WAF：规则操作：Block 标签：`awswaf:managed:aws:known-bad-inputs:Log4JRCE_Header`
`Log4JRCE_QUERYSTRING`	检查查询字符串中是否存在 Log4j 漏洞 (CVE-2021-44228，CVE-2021-45046，CVE-2021-45105) 并防范远程代码执行 (RCE) 尝试。示例模式包括 `${jndi:ldap://example.com/}`。规则操作：Block 标签：`awswaf:managed:aws:known-bad-inputs:Log4JRCE_QueryString`
`Log4JRCE_BODY`	检查身体是否存在 Log4j 漏洞 (CVE-2021-44228，CVE-2021-45046，CVE-2021-45105) 并防范远程代码执行 (RCE) 尝试。示例模式包括 `${jndi:ldap://example.com/}`。警告此规则仅检查不超过 Web ACL 正文大小限制的请求正文。区域网络 ACL 的限制为 8 KB，区域网络 ACL 的限制为 16 KBCloudFront网络 ACL。对于CloudFront仅限 Web ACL，您可以在 Web ACL 配置中将其增加到 64 KB。这条规则使用`Continue`超大内容处理选项。有关更多信息，请参阅在中处理超大的 Web 请求组件Amazon WAF：规则操作：Block 标签：`awswaf:managed:aws:known-bad-inputs:Log4JRCE_Body`
`Log4JRCE_URIPATH`	检查 URI 路径中是否存在 Log4j 漏洞 (CVE-2021-44228，CVE-2021-45046，CVE-2021-45105) 并防范远程代码执行 (RCE) 尝试。示例模式包括 `${jndi:ldap://example.com/}`。规则操作：Block 标签：`awswaf:managed:aws:known-bad-inputs:Log4JRCE_URIPath`

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

Amazon托管规则规则组列表

使用案例特定规则组

基准规则组

注意

核心规则集 (CRS) 托管规则组

注意

警告

警告

警告

警告

警告

警告

注意

注意

注意

警告

注意

管理员保护托管规则组

注意

已知错误输入管理规则组

注意

警告

警告

警告

警告