使用案例特定规则组 - Amazon WAF、Amazon Firewall Manager 和 Amazon Shield Advanced
SQL 数据库Linux 操作系统POSIX 操作系统Windows 操作系统PHP 应用程序WordPress 应用程序
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用案例特定规则组

使用案例特定规则组为许多不同的 Amazon WAF 使用案例提供增量保护。选择适用于您的应用程序的规则组。

注意

我们针对中的规则发布的信息Amazon托管规则组旨在为您提供足够的信息以使用规则,同时不提供不良行为者可以用来规避规则的信息。如果您需要的信息比本文档中提供的更多信息,请联系Amazon Web Services Support中心

SQL 数据库托管规则组

VendorName:AWS,名称:AWSManagedRulesSQLiRuleSet,WCU:200

SQL 数据库规则组包含阻止与 SQL 数据库攻击(如 SQL 注入攻击)相关的请求模式的规则。该规则组有助于防止远程注入未经授权的查询。如果应用程序与 SQL 数据库相连,请评估此规则组以便使用。

注意

此表描述了此规则组的最新静态版本。对于其他版本,请使用 API 命令DescribeManagedRuleGroup

Rule name(规则名称) 描述和标签
SQLi_QUERYARGUMENTS

使用内置的Amazon WAF SQL 注入攻击规则语句,将灵敏度级别设置为Low,检查所有查询参数的值是否存在与恶意 SQL 代码匹配的模式。

规则操作:Block

标签:awswaf:managed:aws:sql-database:SQLi_QueryArguments
SQLiExtendedPatterns_QUERYARGUMENTS

检查所有查询参数的值,以查找与恶意 SQL 代码匹配的模式。该规则未涵盖该规则所检查的模式SQLi_QUERYARGUMENTS

规则操作:Block

awswaf:managed:aws:sql-database:SQLiExtendedPatterns_QueryArguments
SQLi_BODY

使用内置的Amazon WAF SQL 注入攻击规则语句,将灵敏度级别设置为Low,检查请求正文中是否存在与恶意 SQL 代码匹配的模式。

警告

此规则仅检查不超过 Web ACL 正文大小限制的请求正文。区域网络 ACL 的限制为 8 KB,区域网络 ACL 的限制为 16 KBCloudFront网络 ACL。对于CloudFront仅限 Web ACL,您可以在 Web ACL 配置中将其增加到 64 KB。这条规则使用Continue超大内容处理选项。有关更多信息,请参阅在中处理超大的 Web 请求组件Amazon WAF

规则操作:Block

标签:awswaf:managed:aws:sql-database:SQLi_Body
SQLiExtendedPatterns_BODY

检查请求正文中是否存在与恶意 SQL 代码匹配的模式。该规则未涵盖该规则所检查的模式SQLi_BODY

警告

此规则仅检查不超过 Web ACL 正文大小限制的请求正文。区域网络 ACL 的限制为 8 KB,区域网络 ACL 的限制为 16 KBCloudFront网络 ACL。对于CloudFront仅限 Web ACL,您可以在 Web ACL 配置中将其增加到 64 KB。这条规则使用Continue超大内容处理选项。有关更多信息,请参阅在中处理超大的 Web 请求组件Amazon WAF

规则操作:Block

awswaf:managed:aws:sql-database:SQLiExtendedPatterns_Body
SQLi_COOKIE

使用内置的Amazon WAF SQL 注入攻击规则语句,将灵敏度级别设置为Low,检查请求 cookie 标头中是否存在与恶意 SQL 代码匹配的模式。

警告

此规则仅检查请求 cookie 的前 8 KB 或前 200 个 cookie,以先达到限制为准,它使用Continue超大内容处理选项。有关更多信息,请参阅在中处理超大的 Web 请求组件Amazon WAF

规则操作:Block

标签:awswaf:managed:aws:sql-database:SQLi_Cookie

Linux 操作系统托管规则组

VendorName:AWS,名称:AWSManagedRulesLinuxRuleSet,WCU:200

Linux 操作系统规则组包含阻止请求模式的规则,这些请求模式与利用 Linux 特定漏洞(包括 Linux 特定的本地文件包含 (LFI) 攻击)相关。这可以帮助防止暴露文件内容或运行攻击者本不应访问的代码的攻击。如果应用程序的任何部分在 Linux 上运行,则应评估此规则组。您应将此规则组与 POSIX 操作系统 规则组结合使用。

注意

此表描述了此规则组的最新静态版本。对于其他版本,请使用 API 命令DescribeManagedRuleGroup

Rule name(规则名称) 描述和标签
LFI_URIPATH

检查请求路径,以查找是否有恶意方试图利用 Web 应用程序中的本地文件包含 (LFI) 漏洞。示例模式包括类似于 /proc/version 的文件,它们可能向攻击者提供操作系统信息。

规则操作:Block

标签:awswaf:managed:aws:linux-os:LFI_URIPath
LFI_QUERYSTRING

检查查询字符串的值是否有人试图利用 Web 应用程序中的本地文件包含 (LFI) 漏洞。示例模式包括类似于 /proc/version 的文件,它们可能向攻击者提供操作系统信息。

规则操作:Block

标签:awswaf:managed:aws:linux-os:LFI_QueryString
LFI_HEADER

检查请求标头是否有人试图利用 Web 应用程序中的本地文件包含 (LFI) 漏洞。示例模式包括类似于 /proc/version 的文件,它们可能向攻击者提供操作系统信息。

警告

此规则仅检查请求标头的前 8 KB 或前 200 个标头(以先达到限制为准),它使用Continue超大内容处理选项。有关更多信息,请参阅在中处理超大的 Web 请求组件Amazon WAF

规则操作:Block

标签:awswaf:managed:aws:linux-os:LFI_Header

POSIX 操作系统托管规则组

VendorName:AWS,名称:AWSManagedRulesUnixRuleSet,WCU:100

POSIX 操作系统规则组包含的规则可阻止与利用 POSIX 和类似 POSIX 的操作系统特定漏洞(包括 Linux 特定的本地文件包含 (LFI) 攻击)相关的请求模式。这可以帮助防止暴露文件内容或运行攻击者本不应访问的代码的攻击。如果应用程序的任何部分在 POSIX 或类似 POSIX 的操作系统(包括 Linux、AIX、HP-UX、macOS、Solaris、FreeBSD 和 OpenBSD)上运行,则应评估此规则组。

注意

此表描述了此规则组的最新静态版本。对于其他版本,请使用 API 命令DescribeManagedRuleGroup

Rule name(规则名称) 描述和标签
UNIXShellCommandsVariables_QUERYARGUMENTS

检查所有查询参数的值,以查找是否有恶意方试图利用在 Unix 系统上运行的 Web 应用程序中的命令注入、LFI 和路径遍历漏洞。示例包括类似于 echo $HOMEecho $PATH 的模式。

规则操作:Block

标签:awswaf:managed:aws:posix-os:UNIXShellCommandsVariables_QUERYARGUMENTS
UNIXShellCommandsVariables_BODY

检查请求正文,以查找是否有恶意方试图利用在 Unix 系统上运行的 Web 应用程序中的命令注入、LFI 和路径遍历漏洞。示例包括类似于 echo $HOMEecho $PATH 的模式。

警告

此规则仅检查不超过 Web ACL 正文大小限制的请求正文。区域网络 ACL 的限制为 8 KB,区域网络 ACL 的限制为 16 KBCloudFront网络 ACL。对于CloudFront仅限 Web ACL,您可以在 Web ACL 配置中将其增加到 64 KB。这条规则使用Continue超大内容处理选项。有关更多信息,请参阅在中处理超大的 Web 请求组件Amazon WAF

规则操作:Block

标签:awswaf:managed:aws:posix-os:UNIXShellCommandsVariables_BODY

Windows 操作系统托管规则组

VendorName:AWS,名称:AWSManagedRulesWindowsRuleSet,WCU:200

Windows 操作系统规则组包含的规则可阻止与利用 Windows 特有漏洞相关的请求模式,例如远程执行PowerShell命令。这有助于防止利用允许攻击者运行未经授权的命令或运行恶意代码的漏洞。如果应用程序的任何部分在 Windows 操作系统上运行,则应评估此规则组。

注意

此表描述了此规则组的最新静态版本。对于其他版本,请使用 API 命令DescribeManagedRuleGroup

Rule name(规则名称) 描述和标签
WindowsShellCommands_COOKIE

检查请求 cookie 标头中是否有WindowsShellWeb 应用程序中的命令注入尝试。匹配模式代表WindowsShell命令。示例模式包括||nslookup;cmd

警告

此规则仅检查请求 cookie 的前 8 KB 或前 200 个 cookie,以先达到限制为准,它使用Continue超大内容处理选项。有关更多信息,请参阅在中处理超大的 Web 请求组件Amazon WAF

规则操作:Block

标签:awswaf:managed:aws:windows-os:WindowsShellCommands_Cookie
WindowsShellCommands_QUERYARGUMENTS

检查所有查询参数的值WindowsShellWeb 应用程序中的命令注入尝试。匹配模式代表WindowsShell命令。示例模式包括||nslookup;cmd

规则操作:Block

标签:awswaf:managed:aws:windows-os:WindowsShellCommands_QueryArguments
WindowsShellCommands_BODY

检查请求正文是否为WindowsShellWeb 应用程序中的命令注入尝试。匹配模式代表WindowsShell命令。示例模式包括||nslookup;cmd

警告

此规则仅检查不超过 Web ACL 正文大小限制的请求正文。区域网络 ACL 的限制为 8 KB,区域网络 ACL 的限制为 16 KBCloudFront网络 ACL。对于CloudFront仅限 Web ACL,您可以在 Web ACL 配置中将其增加到 64 KB。这条规则使用Continue超大内容处理选项。有关更多信息,请参阅在中处理超大的 Web 请求组件Amazon WAF

规则操作:Block

标签:awswaf:managed:aws:windows-os:WindowsShellCommands_Body
PowerShellCommands_COOKIE

检查请求 cookie 标头中是否有PowerShellWeb 应用程序中的命令注入尝试。匹配模式代表PowerShell命令。例如,Invoke-Expression

警告

此规则仅检查请求 cookie 的前 8 KB 或前 200 个 cookie,以先达到限制为准,它使用Continue超大内容处理选项。有关更多信息,请参阅在中处理超大的 Web 请求组件Amazon WAF

规则操作:Block

标签:awswaf:managed:aws:windows-os:PowerShellCommands_Cookie
PowerShellCommands_QUERYARGUMENTS

检查所有查询参数的值PowerShellWeb 应用程序中的命令注入尝试。匹配模式代表PowerShell命令。例如,Invoke-Expression

规则操作:Block

标签:awswaf:managed:aws:windows-os:PowerShellCommands_QueryArguments
PowerShellCommands_BODY

检查请求正文是否为PowerShellWeb 应用程序中的命令注入尝试。匹配模式代表PowerShell命令。例如,Invoke-Expression

警告

此规则仅检查不超过 Web ACL 正文大小限制的请求正文。区域网络 ACL 的限制为 8 KB,区域网络 ACL 的限制为 16 KBCloudFront网络 ACL。对于CloudFront仅限 Web ACL,您可以在 Web ACL 配置中将其增加到 64 KB。这条规则使用Continue超大内容处理选项。有关更多信息,请参阅在中处理超大的 Web 请求组件Amazon WAF

规则操作:Block

标签:awswaf:managed:aws:windows-os:PowerShellCommands_Body

PHP 应用程序管理的规则组

VendorName:AWS,名称:AWSManagedRulesPHPRuleSet,WCU:100

PHP 应用程序规则组包含阻止请求模式的规则,这些请求模式与利用特定于 PHP 编程语言使用的漏洞相关,包括注入不安全的 PHP 函数。这可以帮助防止利用漏洞,使攻击者能够远程运行未经授权的代码或命令。如果 PHP 安装在与应用程序相连的任何服务器上,则评估此规则组。

注意

此表描述了此规则组的最新静态版本。对于其他版本,请使用 API 命令DescribeManagedRuleGroup

Rule name(规则名称) 描述和标签
PHPHighRiskMethodsVariables_HEADER

检查所有头文件中是否有 PHP 脚本代码注入尝试。示例模式包括类似 fsockopen$_GET 超全局变量的函数。

警告

此规则仅检查请求标头的前 8 KB 或前 200 个标头(以先达到限制为准),它使用Continue超大内容处理选项。有关更多信息,请参阅在中处理超大的 Web 请求组件Amazon WAF

规则操作:Block

标签:awswaf:managed:aws:php-app:PHPHighRiskMethodsVariables_Header
PHPHighRiskMethodsVariables_QUERYSTRING

在第一次检查之后检查所有内容?在请求 URL 中,查找 PHP 脚本代码注入尝试。示例模式包括类似 fsockopen$_GET 超全局变量的函数。

规则操作:Block

标签:awswaf:managed:aws:php-app:PHPHighRiskMethodsVariables_QueryString
PHPHighRiskMethodsVariables_BODY

检查请求主体的值以查找 PHP 脚本代码注入尝试。示例模式包括类似 fsockopen$_GET 超全局变量的函数。

警告

此规则仅检查不超过 Web ACL 正文大小限制的请求正文。区域网络 ACL 的限制为 8 KB,区域网络 ACL 的限制为 16 KBCloudFront网络 ACL。对于CloudFront仅限 Web ACL,您可以在 Web ACL 配置中将其增加到 64 KB。这条规则使用Continue超大内容处理选项。有关更多信息,请参阅在中处理超大的 Web 请求组件Amazon WAF

规则操作:Block

标签:awswaf:managed:aws:php-app:PHPHighRiskMethodsVariables_Body

WordPress应用程序管理的规则组

VendorName:AWS,名称:AWSManagedRulesWordPressRuleSet,WCU:100

该WordPress应用程序规则组包含阻止与利用特定漏洞相关的请求模式的规则WordPress网站。如果您正在运行,则应评估此规则组WordPress。此规则组应与 SQL 数据库PHP 应用程序 规则组一起使用。

注意

此表描述了此规则组的最新静态版本。对于其他版本,请使用 API 命令DescribeManagedRuleGroup

Rule name(规则名称) 描述和标签
WordPressExploitableCommands_QUERYSTRING

检查请求查询字符串是否存在高风险WordPress可在易受攻击的安装或插件中利用的命令。示例模式包括类似于 do-reset-wordpress 的命令。

规则操作:Block

标签:awswaf:managed:aws:wordpress-app:WordPressExploitableCommands_QUERYSTRING
WordPressExploitablePaths_URIPATH

检查请求 URI 路径为WordPress像这样的文件xmlrpc.php,已知这些漏洞很容易被利用。

规则操作:Block

标签:awswaf:managed:aws:wordpress-app:WordPressExploitablePaths_URIPATH