使用托管规则组进行版本管理 - Amazon WAFAmazon Firewall Manager、和 Amazon Shield Advanced
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用托管规则组进行版本管理

许多托管规则组提供程序在新版本的规则组中更新规则组的选项和功能。通常,托管规则组的特定版本是静态的。有时,提供程序可能需要更新其托管规则组的部分或全部现有版本,以应对新出现的安全威胁。

将托管规则组添加到 Web ACL 时,如果该规则组支持版本控制,则可以选择由提供程序管理您使用的版本,也可以自己管理版本设置。

找不到您想要的版本?

如果您在规则组的版本列表中看不到任何版本,则该版本可能已计划到期或已经过期。在某个版本计划到期后, Amazon WAF 不再允许您为规则组选择该版本。

Amazon 托管规则规则组的版本控制和 SNS 通知

Amazon 托管规则组都提供版本控制和 SNS 更新通知,IP 信誉、机器人控制和账户盗用防护规则组除外。

提供通知的 Amazon 托管规则组都使用相同的 SNS 主题 Amazon 资源名称 (ARN)。

托管规则组的版本生命周期

提供程序会处理托管规则组静态版本的以下生命周期阶段:

  • 发布和更新 – 托管规则组提供程序通过向 Amazon Simple Notification Service (Amazon SNS)主题发出通知,宣布其托管规则组即将推出以及其托管规则组的新静态版本。提供程序还可以使用该主题来传达有关其规则组的其他重要信息,例如紧急更新。

    您可以订阅规则组的主题并配置接收通知的方式。有关更多信息,请参阅 收到有关新版本和更新的通知

  • 过期计划 – 托管规则组提供程序制定旧版本规则组的过期计划。已计划过期的版本将无法添加到您的 Web ACL 规则中。在某个版本计划到期后,在 Amazon 中使用倒计时指标 Amazon WAF 跟踪到期时间 CloudWatch。

    您可以对中的指标设置警报 CloudWatch ,以跟踪您正在使用的版本的到期时间。这样,您可以安排时间测试新版本,并在倒计时结束之前退出即将到期的版本。有关更多信息,请参阅追踪版本过期

  • 版本过期-如果您将 Web ACL 配置为使用托管规则组的过期版本,则在 Web ACL 评估期间,将 Amazon WAF 使用该规则组的默认版本。此外,还会 Amazon WAF 阻止对 Web ACL 的任何更新,这些更新既不会移除规则组,也不会将其版本更改为未过期的规则。

如果您使用 Amazon Web Services Marketplace 托管规则组,请向提供商询问有关版本生命周期的任何其他信息。

处理托管规则组版本的最佳实践

使用版本控制托管规则组时,请遵循这项处理版本控制的最佳实践指南。

在 Web ACL 中使用托管规则组时,可以选择该规则组的特定静态版本,也可以选择默认版本:

  • 默认版本- Amazon WAF 始终将默认版本设置为提供商当前推荐的静态版本。当提供程序更新其推荐的静态版本时, Amazon WAF 会自动更新 Web ACL 中规则组的默认版本设置。

    当您使用托管规则组的默认版本时,最佳做法是执行以下操作:

    • 订阅通知 – 订阅规则组变更通知并密切关注这些变更。大多数提供程序会发送有关新静态版本和默认版本变更的高级通知。它们允许您在将默认版本 Amazon 切换到新静态版本之前检查其效果。有关更多信息,请参阅 收到有关新版本和更新的通知

    • 查看静态版本设置的影响,并在将默认版本设置为静态版本之前根据需要进行调整 – 在将默认版本设置为新的静态版本之前,请查看静态版本对监控和管理 Web 请求的影响。新的静态版本可能有新的规则需要审查。如果您需要修改规则组的使用方式,请查找误报或其他意外行为。例如,您可以将规则设置为计数,以明确如何处理新行为,同时阻止它们阻塞流量。有关更多信息,请参阅测试和调整您的 Amazon WAF 保护措施

  • 静态版本 – 如果您选择使用静态版本,则在准备采用新版本的规则组时,必须手动更新版本设置。

    当您使用托管规则组的静态版本时,最佳做法是执行以下操作:

    • 始终保持最新版本 – 您的托管规则组应尽可能接近最新版本。发布新版本时,请对其进行测试,根据需要调整设置,并及时实施新版本。有关测试的信息,请参阅 测试和调整您的 Amazon WAF 保护措施

    • 订阅通知 – 订阅规则组变更通知,以了解提供程序何时发布新的静态版本。大多数提供程序会提前通知版本更改。此外,为了修复安全漏洞或出于其他紧急原因,提供程序有时可能需要更新您正在使用的静态版本。如果您订阅了提供程序通知,您便能够及时获知最新情况。有关更多信息,请参阅收到有关新版本和更新的通知

    • 避免版本过期 – 避免让静态版本在您使用期间过期。提供程序对过期版本的处理可能有所不同,可能包括强制升级到可用版本或其他可能产生意想不到的后果的更改。跟踪到 Amazon WAF 期指标并设置警报,让您在足够的时间内成功升级到支持的版本。有关更多信息,请参阅追踪版本过期