使用托管规则组进行版本管理 - Amazon WAF、Amazon Firewall Manager 和 Amazon Shield Advanced
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用托管规则组进行版本管理

许多托管规则组提供商在新版本的规则组中更新了规则组的选项和功能。通常,托管规则组的特定版本是静态的。有时,提供商可能需要更新托管规则组的部分或全部现有版本,例如,以应对新出现的安全威胁。

将托管规则组添加到 Web ACL 时,如果规则组支持版本控制,则可以选择让提供商管理您使用的版本,也可以自己管理版本设置。

找不到你想要的版本?

如果您在规则组的版本列表中看不到某个版本,则该版本可能已计划到期或已经过期。在预定版本到期后,Amazon WAF不再允许您为规则组选择该版本。

Amazon托管规则组的版本控制和 SNS 通知

Amazon托管规则组均提供版本控制和 SNS 更新通知,IP 信誉、机器人控制和防止账户接管的规则组除外。

提供通知的Amazon托管规则组都使用相同的 SNS 主题 Amazon 资源名称 (ARN)。

托管规则组的版本生命周期

提供商处理托管规则组静态版本的以下生命周期阶段:

  • 发布和更新-托管规则组提供商通过发送到 Amazon Simple Notification Service (Amazon SNS) 主题的通知,宣布其托管规则组的即将推出和新的静态版本。提供商还可能使用该主题来传达有关其规则组的其他重要信息,例如所需的紧急更新。

    您可以订阅规则组的主题并配置接收通知的方式。有关更多信息,请参阅 获取有关新版本和更新的通知

  • 过期安排-托管规则组提供商将规则组的旧版本安排为过期。计划过期的版本无法添加到 Web ACL 规则中。在某个版本预定到期后,使用亚马逊的倒计时指标Amazon WAF跟踪到期时间 CloudWatch。

    您可以对中的指标设置警报 CloudWatch ,以跟踪您正在使用的版本的到期时间。这使你有时间测试新版本,并在倒计时完成之前离开即将过期的版本。有关更多信息,请参阅追踪版本到期

  • 版本过期 — 当版本过期时,规则组提供者决定如何管理仍在使用过期版本的 Web ACL 的过期时间:

    • 对于Amazon托管规则组,Amazon WAF将使用过期版本的任何 Web ACL 移至规则组的默认版本。

    • 对于Amazon Web Services Marketplace规则组,提供商决定如何处理过期问题。向您的托管规则组提供商询问信息。

处理托管规则组版本的最佳实践

使用托管规则组时,请遵循此版本控制最佳实践指南。

在 Web ACL 中使用托管规则组时,可以选择使用该规则组的特定静态版本,也可以选择使用默认版本:

  • 默认版本 —Amazon WAF 始终将默认版本设置为提供者当前推荐的静态版本。当提供商更新其推荐的静态版本时,Amazon WAF会自动更新 Web ACL 中规则组的默认版本设置。

    使用托管规则组的默认版本时,最佳做法是执行以下操作:

    • 订阅通知 — 订阅有关规则组更改的通知,并密切关注这些更改。大多数提供商会发送有关新静态版本和默认版本变更的高级通知。它们允许您在将默认版本Amazon切换到新的静态版本之前检查该版本的效果。有关更多信息,请参阅 获取有关新版本和更新的通知

    • 在@@ 将默认版本设置设置为静态版本设置之前,查看静态版本设置的效果并根据需要进行调整 — 在将默认设置为新的静态版本之前,请查看静态版本对监视和管理您的 Web 请求的影响。新的静态版本可能有新的规则需要审查。如果您需要修改规则组的使用方式,请注意误报或其他意外行为。例如,您可以将规则设置为计数,以阻止它们在弄清楚如何处理新行为的同时阻止流量。有关更多信息,请参阅测试和调整您的Amazon WAF保护措施

  • 静态版本-如果您选择使用静态版本,则在准备采用新版本的规则组时,必须手动更新版本设置。

    当您使用托管规则组的静态版本时,最佳做法是执行以下操作:

    • 使您的版本保持最新状态-使您的托管规则组尽可能接近最新版本。发布新版本时,对其进行测试,根据需要调整设置,并及时实施。有关测试的信息,请参阅测试和调整您的Amazon WAF保护措施

    • 订阅通知-订阅有关规则组更改的通知,这样您就可以知道您的提供商何时发布新的静态版本。大多数提供商会提前通知版本变更。此外,您的提供商可能需要更新您正在使用的静态版本来填补安全漏洞或其他紧急原因。如果你订阅了提供商的通知,你就会知道发生了什么。有关更多信息,请参阅获取有关新版本和更新的通知

    • 避免版本过期-不要让静态版本在使用时过期。提供商对过期版本的处理可能有所不同,可能包括强制升级到可用版本或其他可能产生意外后果的更改。跟踪到Amazon WAF期指标并设置警报,让您有足够的天数成功升级到支持的版本。有关更多信息,请参阅追踪版本到期