使用案例特定规则组 - Amazon WAFAmazon Firewall Manager、和 Amazon Shield Advanced
SQL 数据库Linux 操作系统POSIX 操作系统Windows 操作系统PHP 应用程序WordPress 应用程序
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用案例特定规则组

特定于用例的规则组为许多不同的 Amazon WAF 用例提供增量保护。选择适用于您的应用程序的规则组。

注意

我们为 Amazon 托管规则组中的规则发布的信息旨在为您提供使用规则所需的足够信息,同时不提供不良行为者可能用来规避规则的信息。如果您需要本文档以外的信息,请联系 Amazon Web Services Support 中心

SQL 数据库托管规则组

VendorName:AWS,名称:AWSManagedRulesSQLiRuleSet,WCU:200

SQL 数据库规则组包含阻止与 SQL 数据库攻击(如 SQL 注入攻击)相关的请求模式的规则。该规则组有助于防止远程注入未经授权的查询。如果应用程序与 SQL 数据库相连,请评估此规则组以便使用。

此托管规则组会为其评估的 Web 请求添加标签,这些标签可用于在 Web ACL 中在此规则组之后运行的规则。 Amazon WAF 还会记录亚马逊 CloudWatch 指标的标签。有关标签和标签指标的一般信息,请参阅 Web 请求上的标签标签指标和维度

注意

下表描述了该规则组的最新静态版本。对于其他版本,请使用 API 命令DescribeManagedRuleGroup

Rule name(规则名称) 描述和标签
SQLi_QUERYARGUMENTS

使用内置 Amazon WAF SQL 注入攻击规则语句的(敏感度级别设置为Low)检查所有查询参数的值中是否存在与恶意 SQL 代码匹配的模式。

规则操作:Block

标签:awswaf:managed:aws:sql-database:SQLi_QueryArguments
SQLiExtendedPatterns_QUERYARGUMENTS

检查所有查询参数的值,以查找与恶意 SQL 代码匹配的模式。该规则检查的模式不在规则 SQLi_QUERYARGUMENTS 的范围内。

规则操作:Block

标签:awswaf:managed:aws:sql-database:SQLiExtendedPatterns_QueryArguments
SQLi_BODY

使用内置 Amazon WAF SQL 注入攻击规则语句的(敏感度级别设置为Low)检查请求正文中是否存在与恶意 SQL 代码匹配的模式。

警告

此规则仅检查请求正文,但不得超过 Web ACL 和资源类型的正文大小限制。对于 Application Load Balancer 和 Amazon AppSync,限制固定为 8 KB。对于 CloudFront API Gateway、Amazon Cognito、App Runner 和 Verified Access,默认限制为 16 KB,您可以在网页 ACL 配置中将限制提高到 64 KB。此规则使用 Continue 选项来处理超大内容。有关更多信息,请参阅 在中处理超大请求组件 Amazon WAF

规则操作:Block

标签:awswaf:managed:aws:sql-database:SQLi_Body
SQLiExtendedPatterns_BODY

检查请求正文中是否存在与恶意 SQL 代码匹配的模式。该规则检查的模式不在规则 SQLi_BODY 的范围内。

警告

此规则仅检查请求正文,但不得超过 Web ACL 和资源类型的正文大小限制。对于 Application Load Balancer 和 Amazon AppSync,限制固定为 8 KB。对于 CloudFront API Gateway、Amazon Cognito、App Runner 和 Verified Access,默认限制为 16 KB,您可以在网页 ACL 配置中将限制提高到 64 KB。此规则使用 Continue 选项来处理超大内容。有关更多信息,请参阅 在中处理超大请求组件 Amazon WAF

规则操作:Block

标签:awswaf:managed:aws:sql-database:SQLiExtendedPatterns_Body
SQLi_COOKIE

使用内置 Amazon WAF SQL 注入攻击规则语句的(敏感度级别设置为)检查请求 Cookie 标头中是否存在与恶意 SQL 代码匹配的模式。Low

规则操作:Block

标签:awswaf:managed:aws:sql-database:SQLi_Cookie

Linux 操作系统托管规则组

VendorName:AWS,名称:AWSManagedRulesLinuxRuleSet,WCU:200

Linux 操作系统规则组包含阻止请求模式的规则,这些请求模式与利用 Linux 特定漏洞(包括 Linux 特定的本地文件包含 (LFI) 攻击)相关。该规则组有助于防止暴露攻击者不应当访问的文件内容或执行代码的攻击。如果应用程序的任何部分在 Linux 上运行,则应评估此规则组。您应将此规则组与 POSIX 操作系统 规则组结合使用。

此托管规则组会为其评估的 Web 请求添加标签,这些标签可用于在 Web ACL 中在此规则组之后运行的规则。 Amazon WAF 还会记录亚马逊 CloudWatch 指标的标签。有关标签和标签指标的一般信息,请参阅 Web 请求上的标签标签指标和维度

注意

下表描述了该规则组的最新静态版本。对于其他版本,请使用 API 命令DescribeManagedRuleGroup

Rule name(规则名称) 描述和标签
LFI_URIPATH

检查请求路径,以查找是否有恶意方试图利用 Web 应用程序中的本地文件包含 (LFI) 漏洞。示例模式包括类似于 /proc/version 的文件,它们可能向攻击者提供操作系统信息。

规则操作:Block

标签:awswaf:managed:aws:linux-os:LFI_URIPath
LFI_QUERYSTRING

检查查询字符串的值,以查找是否有恶意方试图利用 Web 应用程序中的本地文件包含 (LFI) 漏洞。示例模式包括类似于 /proc/version 的文件,它们可能向攻击者提供操作系统信息。

规则操作:Block

标签:awswaf:managed:aws:linux-os:LFI_QueryString
LFI_HEADER

检查请求标头,以查找是否有恶意方试图利用 Web 应用程序中的本地文件包含 (LFI) 漏洞。示例模式包括类似于 /proc/version 的文件,它们可能向攻击者提供操作系统信息。

警告

此规则仅检查请求标头的前 8 KB 或前 200 个标头(以先达到的限制为准),并且它使用 Continue 选项来处理超大内容。有关更多信息,请参阅 在中处理超大请求组件 Amazon WAF

规则操作:Block

标签:awswaf:managed:aws:linux-os:LFI_Header

POSIX 操作系统托管规则组

VendorName:AWS,名称:AWSManagedRulesUnixRuleSet,WCU:100

POSIX 操作系统规则组包含的规则可阻止与利用 POSIX 和类似 POSIX 的操作系统特定漏洞(包括 Linux 特定的本地文件包含 (LFI) 攻击)相关的请求模式。该规则组有助于防止暴露攻击者不应当访问的文件内容或执行代码的攻击。如果应用程序的任何部分在 POSIX 或类似 POSIX 的操作系统(包括 Linux、AIX、HP-UX、macOS、Solaris、FreeBSD 和 OpenBSD)上运行,则应评估此规则组。

此托管规则组会为其评估的 Web 请求添加标签,这些标签可用于在 Web ACL 中在此规则组之后运行的规则。 Amazon WAF 还会记录亚马逊 CloudWatch 指标的标签。有关标签和标签指标的一般信息,请参阅 Web 请求上的标签标签指标和维度

注意

下表描述了该规则组的最新静态版本。对于其他版本,请使用 API 命令DescribeManagedRuleGroup

Rule name(规则名称) 描述和标签
UNIXShellCommandsVariables_QUERYSTRING

检查查询字符串的值是否有人企图利用在 Unix 系统上运行的 Web 应用程序中的命令注入、LFI 和路径遍历漏洞。示例包括类似于 echo $HOMEecho $PATH 的模式。

规则操作:Block

标签:awswaf:managed:aws:posix-os:UNIXShellCommandsVariables_QueryString
UNIXShellCommandsVariables_BODY

检查请求正文,以查找是否有恶意方试图利用在 Unix 系统上运行的 Web 应用程序中的命令注入、LFI 和路径遍历漏洞。示例包括类似于 echo $HOMEecho $PATH 的模式。

警告

此规则仅检查请求正文,但不得超过 Web ACL 和资源类型的正文大小限制。对于 Application Load Balancer 和 Amazon AppSync,限制固定为 8 KB。对于 CloudFront API Gateway、Amazon Cognito、App Runner 和 Verified Access,默认限制为 16 KB,您可以在网页 ACL 配置中将限制提高到 64 KB。此规则使用 Continue 选项来处理超大内容。有关更多信息,请参阅 在中处理超大请求组件 Amazon WAF

规则操作:Block

标签:awswaf:managed:aws:posix-os:UNIXShellCommandsVariables_Body
UNIXShellCommandsVariables_HEADER

检查所有请求标头是否有人企图利用在 Unix 系统上运行的 Web 应用程序中的命令注入、LFI 和路径遍历漏洞。示例包括类似于 echo $HOMEecho $PATH 的模式。

警告

此规则仅检查请求标头的前 8 KB 或前 200 个标头(以先达到的限制为准),并且它使用 Continue 选项来处理超大内容。有关更多信息,请参阅 在中处理超大请求组件 Amazon WAF

规则操作:Block

标签:awswaf:managed:aws:posix-os:UNIXShellCommandsVariables_Header

Windows 操作系统托管规则组

VendorName:AWS,名称:AWSManagedRulesWindowsRuleSet,WCU:200

Windows 操作系统规则组包含的规则用于阻止与利用 Windows 特有的漏洞(例如远程执行 PowerShell 命令)相关的请求模式。该规则组有助于防止利用允许攻击者运行未经授权的命令或执行恶意代码的漏洞。如果应用程序的任何部分在 Windows 操作系统上运行,则应评估此规则组。

此托管规则组会为其评估的 Web 请求添加标签,这些标签可用于在 Web ACL 中在此规则组之后运行的规则。 Amazon WAF 还会记录亚马逊 CloudWatch 指标的标签。有关标签和标签指标的一般信息,请参阅 Web 请求上的标签标签指标和维度

注意

下表描述了该规则组的最新静态版本。对于其他版本,请使用 API 命令DescribeManagedRuleGroup

Rule name(规则名称) 描述和标签
WindowsShellCommands_COOKIE

检查 Web 应用程序中是否有 WindowsShell 命令注入尝试的请求 cookie 标头。匹配模式代表WindowsShell 命令。示例模式包括 ||nslookup;cmd

规则操作:Block

标签:awswaf:managed:aws:windows-os:WindowsShellCommands_Cookie
WindowsShellCommands_QUERYARGUMENTS

检查 Web 应用程序中WindowsShell 命令注入尝试的所有查询参数的值。匹配模式代表WindowsShell 命令。示例模式包括 ||nslookup;cmd

规则操作:Block

标签:awswaf:managed:aws:windows-os:WindowsShellCommands_QueryArguments
WindowsShellCommands_BODY

检查请求正文中是否有 Web 应用程序中的 WindowsShell 命令注入尝试。匹配模式代表 WindowsShell 命令。示例模式包括 ||nslookup;cmd

警告

此规则仅检查请求正文,但不得超过 Web ACL 和资源类型的正文大小限制。对于 Application Load Balancer 和 Amazon AppSync,限制固定为 8 KB。对于 CloudFront API Gateway、Amazon Cognito、App Runner 和 Verified Access,默认限制为 16 KB,您可以在网页 ACL 配置中将限制提高到 64 KB。此规则使用 Continue 选项来处理超大内容。有关更多信息,请参阅 在中处理超大请求组件 Amazon WAF

规则操作:Block

标签:awswaf:managed:aws:windows-os:WindowsShellCommands_Body
PowerShellCommands_COOKIE

检查 Web 应用程序中是否有 PowerShell 命令注入尝试的请求 cookie 标头。匹配模式代表PowerShell 命令。例如,Invoke-Expression

规则操作:Block

标签:awswaf:managed:aws:windows-os:PowerShellCommands_Cookie
PowerShellCommands_QUERYARGUMENTS

检查 Web 应用程序中PowerShell 命令注入尝试的所有查询参数的值。匹配模式代表PowerShell 命令。例如,Invoke-Expression

规则操作:Block

标签:awswaf:managed:aws:windows-os:PowerShellCommands_QueryArguments
PowerShellCommands_BODY

检查请求正文中是否有 Web 应用程序中的 PowerShell 命令注入尝试。匹配模式代表 PowerShell 命令。例如,Invoke-Expression

警告

此规则仅检查请求正文,但不得超过 Web ACL 和资源类型的正文大小限制。对于 Application Load Balancer 和 Amazon AppSync,限制固定为 8 KB。对于 CloudFront API Gateway、Amazon Cognito、App Runner 和 Verified Access,默认限制为 16 KB,您可以在网页 ACL 配置中将限制提高到 64 KB。此规则使用 Continue 选项来处理超大内容。有关更多信息,请参阅 在中处理超大请求组件 Amazon WAF

规则操作:Block

标签:awswaf:managed:aws:windows-os:PowerShellCommands_Body

PHP 应用程序托管规则组

VendorName:AWS,名称:AWSManagedRulesPHPRuleSet,WCU:100

PHP 应用程序规则组包含阻止请求模式的规则,这些请求模式与利用特定于 PHP 编程语言使用的漏洞相关,包括注入不安全的 PHP 函数。该规则组有助于防止利用允许攻击者远程执行未经授权的代码或命令的漏洞。如果 PHP 安装在与应用程序相连的任何服务器上,则评估此规则组。

此托管规则组会为其评估的 Web 请求添加标签,这些标签可用于在 Web ACL 中在此规则组之后运行的规则。 Amazon WAF 还会记录亚马逊 CloudWatch 指标的标签。有关标签和标签指标的一般信息,请参阅 Web 请求上的标签标签指标和维度

注意

下表描述了该规则组的最新静态版本。对于其他版本,请使用 API 命令DescribeManagedRuleGroup

Rule name(规则名称) 描述和标签
PHPHighRiskMethodsVariables_HEADER

检查所有标头,以发现 PHP 脚本代码注入尝试。示例模式包括类似 fsockopen$_GET 超全局变量的函数。

警告

此规则仅检查请求标头的前 8 KB 或前 200 个标头(以先达到的限制为准),并且它使用 Continue 选项来处理超大内容。有关更多信息,请参阅 在中处理超大请求组件 Amazon WAF

规则操作:Block

标签:awswaf:managed:aws:php-app:PHPHighRiskMethodsVariables_Header
PHPHighRiskMethodsVariables_QUERYSTRING

检查请求 URL 中第一个 ? 之后的所有内容,查找 PHP 脚本代码注入尝试。示例模式包括类似 fsockopen$_GET 超全局变量的函数。

规则操作:Block

标签:awswaf:managed:aws:php-app:PHPHighRiskMethodsVariables_QueryString
PHPHighRiskMethodsVariables_BODY

检查请求主体的值以查找 PHP 脚本代码注入尝试。示例模式包括类似 fsockopen$_GET 超全局变量的函数。

警告

此规则仅检查请求正文,但不得超过 Web ACL 和资源类型的正文大小限制。对于 Application Load Balancer 和 Amazon AppSync,限制固定为 8 KB。对于 CloudFront API Gateway、Amazon Cognito、App Runner 和 Verified Access,默认限制为 16 KB,您可以在网页 ACL 配置中将限制提高到 64 KB。此规则使用 Continue 选项来处理超大内容。有关更多信息,请参阅 在中处理超大请求组件 Amazon WAF

规则操作:Block

标签:awswaf:managed:aws:php-app:PHPHighRiskMethodsVariables_Body

WordPress 应用程序托管规则组

VendorName:AWS,名称:AWSManagedRulesWordPressRuleSet,WCU:100

WordPress 应用程序规则组包含的规则用于阻止与利用特定于WordPress 网站的漏洞相关的请求模式。如果您正在运行,则应评估此规则组WordPress。此规则组应与 SQL 数据库PHP 应用程序 规则组一起使用。

此托管规则组会为其评估的 Web 请求添加标签,这些标签可用于在 Web ACL 中在此规则组之后运行的规则。 Amazon WAF 还会记录亚马逊 CloudWatch 指标的标签。有关标签和标签指标的一般信息,请参阅 Web 请求上的标签标签指标和维度

注意

下表描述了该规则组的最新静态版本。对于其他版本,请使用 API 命令DescribeManagedRuleGroup

Rule name(规则名称) 描述和标签
WordPressExploitableCommands_QUERYSTRING

检查请求查询字符串中是否存在可能在易受攻击的安装或插件中被利用的高风险WordPress 命令。示例模式包括类似于 do-reset-wordpress 的命令。

规则操作:Block

标签:awswaf:managed:aws:wordpress-app:WordPressExploitableCommands_QUERYSTRING
WordPressExploitablePaths_URIPATH

检查请求 URI 路径中是否有已知存在容易被利用的漏洞的 WordPress 文件。xmlrpc.php

规则操作:Block

标签:awswaf:managed:aws:wordpress-app:WordPressExploitablePaths_URIPATH