**引入全新的主机体验 Amazon WAF** 现在,您可以使用更新的体验访问控制台中任意位置的 Amazon WAF 功能。有关更多详细信息,请参阅[使用控制台](https://docs.amazonaws.cn/waf/latest/developerguide/working-with-console.html)。 本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # Amazon WAF 规则组 Amazon WAF 规则组 本节介绍了什么是规则组及其工作方式。 规则组是您添加到保护包(web ACL)的一组可重复使用的规则。有关保护包 (Web ACLs) 的更多信息,请参阅[在中配置保护 Amazon WAF](web-acl.md)。 规则组主要分为以下类别: + 您自己的规则组,由您自己创建和维护 + 托 Amazon 管规则团队为您创建和维护的托管规则组。 + Amazon Web Services Marketplace 卖家为您创建和维护的托管规则组。 + 由其他服务(例如 Amazon Firewall Manager 和 Shield Advanced)拥有和管理的规则组。 **规则组和保护包之间的区别 (Web ACLs)** 规则组和保护包 (Web ACLs) 都包含规则,这两个地方的定义方式相同。规则组与保护包 (Web ACLs) 的不同之处在于: + 规则组不能包含规则组引用语句。 + 通过向每个保护包 (Web ACL ACLs) 添加规则组参考语句,可以在多个保护包 (Web ACL) 中重复使用单个规则组。不得重复使用保护包(web ACL)。 + 规则组没有默认操作。在保护包(web ACL)中,您可以为包含的每个规则或规则组设置默认操作。规则组或保护包(web ACL)中的每个规则都定义了一个操作。 + 您不能直接将规则组与 Amazon 资源相关联。要使用规则组保护资源,请在保护包(web ACL)中使用规则组。 + 系统为每个保护包 (Web ACL) 定义的最大容量为 5,000 个保护包 (WCUsWeb ACL) 容量单位 ()。每个规则组的 WCU 设置必须在创建时设置。您可以使用此设置来计算使用规则组会给保护包(web ACL)增加多少额外容量需求。有关的更多信息 WCUs,请参阅[Web ACL 容量单位 (WCUs) Amazon WAF](aws-waf-capacity-units.md)。 有关规则的信息,请参阅 [Amazon WAF 规则](waf-rules.md)。 本部分提供有关创建和管理规则组的指导,介绍可供您使用的托管规则组,并提供托管规则组的使用指导。 **Topics** + [ # 在中使用托管规则组 Amazon WAF ](waf-managed-rule-groups.md) + [ # 管理您自己的规则组 ](waf-user-created-rule-groups.md) + [ # Amazon Web Services Marketplace 规则组 ](marketplace-rule-groups.md) + [ # 识别其他服务提供的规则组 ](waf-service-owned-rule-groups.md) # 在中使用托管规则组 Amazon WAF 使用托管规则组为托管规则组添加版本控制 托管规则组提供程序现在可以对其规则组进行版本控制。为托管规则组添加了当前默认版本设置的指示器 托管规则组版本列表现在会显示当前的默认版本。 本节介绍了什么是托管规则组及其工作方式。 托管规则组是 Amazon Web Services Marketplace 卖家为您编写 Amazon 和维护的预定义 ready-to-use规则的集合。基本 Amazon WAF 定价适用于您对任何托管规则组的使用。有关 Amazon WAF 定价信息,请参阅[Amazon WAF 定价](https://www.amazonaws.cn/waf/pricing/)。 + 除基本 Amazon WAF 费用外,* Amazon WAF 机器人控制、 Amazon WAF 欺诈控制账户接 Amazon 管预防 (ATP) 和 Amazon WAF 欺诈控制账户创建防作弊 (ACFP) 的托管规则组*需支付额外费用。有关定价的详细信息,请参阅 [Amazon WAF 定价](https://www.amazonaws.cn/waf/pricing/)。 + *所有其他 Amazon 托管规则组*均可供 Amazon WAF 客户使用,无需支付额外费用。 + *Amazon Web Services Marketplace 规则组*可通过订阅获得 Amazon Web Services Marketplace。这些规则组中的每一个都由 Amazon Web Services Marketplace 卖家拥有和管理。有关使用 Amazon Web Services Marketplace 规则组的定价信息,请联系 Amazon Web Services Marketplace 卖家。 一些托管规则组旨在帮助保护特定类型的 Web 应用程序WordPress,例如 Joomla 或 PHP。其他托管规则组可提供广泛的保护功能以应对已知威胁或常见的 web 应用程序漏洞,包括 [OWASP 十大漏洞](https://owasp.org/www-project-top-ten/)中列出的一些漏洞。如果您需要符合监管合规性(如 PCI 或 HIPAA),您可以使用托管规则组来满足 web 应用程序防火墙要求。 **自动更新** 随时了解不断变化的威胁情形会非常耗时且成本高昂。当您实施并使用 Amazon WAF时,托管规则组可以帮助您节省时间。当出现新的漏洞 Amazon 和威胁时,许多 Amazon Web Services Marketplace 卖家会自动更新托管规则组并提供新版本的规则组。 在某些情况下, Amazon 由于它参与了许多私人披露社区,因此会在公开披露之前收到有关新漏洞的通知。在这种情况下,即使在新威胁广为人知之前, Amazon 也可以更新 Amazon 托管规则组并为您部署这些规则组。 **限制访问托管规则组中的规则** 每个托管规则组都提供了旨在防护的攻击和漏洞类型的全面描述。为了保护规则组提供程序的知识产权,您将无法查看规则组中的单个规则的所有详细信息。此限制还有助于避免恶意用户设计专门避开已发布规则的威胁。 **Topics** + [ # 在中使用版本化托管规则组 Amazon WAF ](waf-managed-rule-groups-versioning.md) + [ # 使用托管规则组 ](waf-using-managed-rule-groups.md) + [ # Amazon 的托管规则 Amazon WAF ](aws-managed-rule-groups.md) # 在中使用版本化托管规则组 Amazon WAF 使用受版本控制的托管规则组 本节介绍了如何处理托管规则组的版本控制。 许多托管规则组提供程序使用版本控制来更新规则组的选项和功能。通常,托管规则组的特定版本是静态的。有时,提供程序可能需要更新其托管规则组的部分或全部静态版本,以应对新出现的安全威胁。 在保护包(web ACL)中使用受版本控制的托管规则组时,可以选择默认版本,让提供程序来管理所使用的静态版本,也可以选择特定的静态版本。 **找不到您想要的版本?** 如果您在规则组的版本列表中看不到任何版本,则该版本可能已计划到期或已经过期。在某个版本计划到期后, Amazon WAF 不再允许您为规则组选择该版本。 **Amazon 托管规则规则组的 SNS 通知** 除 IP 信誉规则组外, Amazon 托管规则组都提供版本控制和 SNS 更新通知。提供通知的 Amazon 托管规则组都使用相同的 SNS 主题 Amazon 资源名称 (ARN)。要注册 SNS 通知,请参阅 [收到有关新版本和更新的通知](waf-using-managed-rule-groups-sns-topic.md)。 **Topics** + [ # 托管规则组的版本生命周期 ](waf-managed-rule-groups-versioning-lifecycle.md) + [ # 托管规则组的版本过期 ](waf-managed-rule-groups-versioning-expiration.md) + [ # 处理托管规则组版本的最佳实践 ](waf-managed-rule-groups-best-practice.md) # 托管规则组的版本生命周期 版本生命周期 提供程序会处理托管规则组静态版本的以下生命周期阶段: + **发布和更新**:托管规则组提供程序通过向 Amazon Simple Notification Service (Amazon SNS)主题发出通知,宣布其托管规则组即将推出以及其托管规则组的新静态版本。提供程序还可以使用该主题来传达有关其规则组的其他重要信息,例如紧急更新。 您可以订阅规则组的主题并配置接收通知的方式。有关更多信息,请参阅 [收到有关新版本和更新的通知](waf-using-managed-rule-groups-sns-topic.md)。 + **过期计划**:托管规则组提供程序制定旧版本规则组的过期计划。已计划过期的版本将无法添加到您的保护包(web ACL)规则中。在某个版本计划到期后,在 Amazon 中使用倒计时指标 Amazon WAF 跟踪到期时间 CloudWatch。 + **版本过期**-如果您的保护包 (Web ACL) 配置为使用托管规则组的过期版本,则在保护包 (Web ACL) 评估期间,将 Amazon WAF 使用规则组的默认版本。此外,还会 Amazon WAF 阻止对保护包 (Web ACL) 的任何更新,这些更新既不会移除规则组,也不会将其版本更改为未过期的规则。 如果您使用 Amazon Web Services Marketplace 托管规则组,请向提供商询问有关版本生命周期的任何其他信息。 # 托管规则组的版本过期 版本过期 本节介绍了版本过期如何适用于受版本控制的托管规则组。 如果您使用规则组的特定版本,请确保不要继续使用已过期的版本。您可以通过规则组的 SNS 通知和 Amazon CloudWatch 指标来监控版本过期。 如果您在保护包(Web ACL)中使用的版本已过期,则会 Amazon WAF 阻止对保护包(Web ACL)的任何更新,其中不包括将规则组移至未过期的版本。您可以将规则组更新到可用版本或将其从保护包(web ACL)中移除。 托管规则组的过期处理取决于规则组提供程序。对于 Amazon 托管规则的规则组,过期版本会自动更改为规则组的默认版本。对于 Amazon Web Services Marketplace 规则组,请向提供者询问他们如何处理过期。 当提供程序创建新版本的规则组时,它会设置该版本的预测生命周期。虽然该版本未计划到期,但 Amazon CloudWatch 指标值将设置为预测的生命周期设置,在中 CloudWatch,您将看到该指标的固定值。在提供程序计划指标到期后,指标值每天都会递减,直到到期当天达到 0。有关监控到期的信息,请参阅 [追踪版本过期](waf-using-managed-rule-groups-expiration.md)。 # 处理托管规则组版本的最佳实践 适用于托管规则组版本的最佳实践 使用版本控制托管规则组时,请遵循这项处理版本控制的最佳实践指南。 在保护包(web ACL)中使用托管规则组时,可以选择该规则组的特定静态版本,也可以选择默认版本: + **默认版本**- Amazon WAF 始终将默认版本设置为提供商当前推荐的静态版本。当提供程序更新其推荐的静态版本时, Amazon WAF 会自动更新保护包(web ACL)中规则组的默认版本设置。 当您使用托管规则组的默认版本时,最佳做法是执行以下操作: + **订阅通知**:订阅规则组变更通知并密切关注这些变更。大多数提供程序会发送有关新静态版本和默认版本变更的高级通知。它们允许您在将默认版本 Amazon 切换到新静态版本之前检查其效果。有关更多信息,请参阅 [收到有关新版本和更新的通知](waf-using-managed-rule-groups-sns-topic.md)。 + **查看静态版本设置的影响,并在将默认版本设置为静态版本之前根据需要进行调整**:在将默认版本设置为新的静态版本之前,请查看静态版本对监控和管理 web 请求的影响。新的静态版本可能有新的规则需要审查。如果您需要修改规则组的使用方式,请查找误报或其他意外行为。例如,您可以将规则设置为计数,以明确如何处理新行为,同时阻止它们阻塞流量。有关更多信息,请参阅 [测试和调整您的 Amazon WAF 保护措施](web-acl-testing.md)。 + **静态版本**:如果您选择使用静态版本,则在准备采用新版本的规则组时,必须手动更新版本设置。 当您使用托管规则组的静态版本时,最佳做法是执行以下操作: + **始终保持最新版本**:您的托管规则组应尽可能接近最新版本。发布新版本时,请对其进行测试,根据需要调整设置,并及时实施新版本。有关测试的信息,请参阅 [测试和调整您的 Amazon WAF 保护措施](web-acl-testing.md)。 + **订阅通知**:订阅规则组变更通知,以了解提供程序何时发布新的静态版本。大多数提供程序会提前通知版本更改。此外,为了修复安全漏洞或出于其他紧急原因,提供程序有时可能需要更新您正在使用的静态版本。如果您订阅了提供程序通知,您便能够及时获知最新情况。有关更多信息,请参阅 [收到有关新版本和更新的通知](waf-using-managed-rule-groups-sns-topic.md)。 + **避免版本过期**:避免让静态版本在您使用期间过期。提供程序对过期版本的处理可能有所不同,可能包括强制升级到可用版本或其他可能产生意想不到的后果的更改。跟踪到 Amazon WAF 期指标并设置警报,让您在足够的时间内成功升级到支持的版本。有关更多信息,请参阅 [追踪版本过期](waf-using-managed-rule-groups-expiration.md)。 # 使用托管规则组 本节提供有关访问和管理托管规则组的指导。 将托管规则组添加到保护包(web ACL)时,您可以根据您自己的规则组选择相同的配置选项,也可以选择其他设置。 在保护包 (Web ACLs) 中添加和编辑规则的过程中,您可以通过控制台访问托管规则组信息。通过 APIs 和命令行界面 (CLI),您可以直接请求托管规则组信息。 在保护包(web ACL)中使用托管规则组时,可以编辑以下设置: + **版本**:仅当规则组已进行版本控制时才可用。有关更多信息,请参阅 [在中使用版本化托管规则组 Amazon WAF](waf-managed-rule-groups-versioning.md)。 + **覆盖规则操作**:您可以将规则组中规则的操作覆盖为任何操作。将其设置为 Count 有助于在使用规则组管理 web 请求之前对其进行测试。有关更多信息,请参阅 [规则组规则操作的覆盖](web-acl-rule-group-override-options.md#web-acl-rule-group-override-options-rules)。 + **缩小范围语句**:您可以添加范围缩小语句,以筛选出您不想使用规则组进行评估的 web 请求。有关更多信息,请参阅 [在中使用范围缩小语句 Amazon WAF](waf-rule-scope-down-statements.md)。 + **覆盖规则组操作**:您可以覆盖规则组评估所产生的操作,并将其设置为“仅限 Count”。该选项不是常用选项。它不会改变 Amazon WAF 评估规则组中规则的方式。有关更多信息,请参阅 [规则组返回操作覆盖为 Count](web-acl-rule-group-override-options.md#web-acl-rule-group-override-options-rule-group)。 **编辑保护包(web ACL)中的托管规则组设置** + **控制台** + (可选)将托管规则组添加到保护包(web ACL)时,可以选择**编辑**来查看和编辑设置。 + (选项)将托管规则组添加到保护包(Web ACL)后,从**保护包(网页 ACLs)**页面中选择您刚刚创建的保护包(Web ACL)。这会使您转至保护包(web ACL)编辑页面。 + 选择 **规则**。 + 选择规则组,然后选择**编辑**以查看和编辑设置。 + **APIs 和 CLI**-在控制台之外,您可以在创建和更新保护包(Web ACL)时管理托管规则组设置。 # 检索托管规则组列表 检索托管规则组列表 您可以检索可在保护包 (Web ACLs) 中使用的托管规则组列表。列表包含以下内容: + 所有 Amazon 托管规则规则组。 + 您已订阅的 Amazon Web Services Marketplace 规则组。 **注意** 有关订阅 Amazon Web Services Marketplace 规则组的信息,请参阅[Amazon Web Services Marketplace 规则组](marketplace-rule-groups.md)。 检索托管规则组列表时,返回的列表取决于您使用的接口: + **控制台**-通过控制台,您可以查看所有托管规则组,包括您尚未订阅的 Amazon Web Services Marketplace 规则组。对于您尚未订阅的内容,该界面提供了可供您订阅的链接。 + **APIs 和 CLI** — 在控制台之外,您的请求仅返回可供您使用的规则组。 **检索托管规则组列表** + **控制台**:在创建 web ACL 的过程中,在**添加规则和规则组**页面上,选择**添加托管规则组**。此时将在顶层列出提供程序名称。展开每个提供程序列表以查看托管规则组的列表。对于受版本控制规则组,此级别显示的信息是默认版本的信息。当您将托管规则组添加到保护包(web ACL)时,控制台会根据命名方案 `-` 列出规则组。 + **API**: + `ListAvailableManagedRuleGroups` + **CLI**: + `aws wafv2 list-available-managed-rule-groups --scope=` # 检索托管规则组中的规则 检索托管规则组的规则 您可以检索托管规则组中的规则列表。API 和 CLI 调用会返回规则规范,您可以在 JSON 模型中或通过这些规则进行引用 Amazon CloudFormation。 **检索托管规则组中的规则列表** + **控制台** + (可选)将托管规则组添加到保护包(web ACL)时,可以选择**编辑**来查看规则。 + (选项)将托管规则组添加到保护包(Web ACL)后,从**保护包(网页 ACLs)**页面中选择您刚刚创建的保护包(Web ACL)。这会使您转至保护包(web ACL)编辑页面。 + 选择 **规则**。 + 选择要查看其规则列表的规则组,然后选择**编辑**。 Amazon WAF 显示了规则组中的规则列表。 + **API**:`DescribeManagedRuleGroup` + **CLI**:`aws wafv2 describe-managed-rule-group --scope= --vendor-name --name ` # 检索托管规则组的可用版本 检索托管规则组的版本 托管规则组的可用版本是尚未计划到期的版本。该列表显示哪个版本是规则组的当前默认版本。 **检索托管规则组的可用版本列表** + **控制台** + (可选)将托管规则组添加到保护包(web ACL)时,选择**编辑**以查看该规则组的信息。展开**版本**下拉列表以查看可用版本列表。 + (可选)将托管规则组添加到保护包(web ACL)后,在保护包(web ACL)上选择**编辑**,然后选择并编辑该规则组规则。展开**版本**下拉列表以查看可用版本列表。 + **API**: + `ListAvailableManagedRuleGroupVersions` + **CLI**: + `aws wafv2 list-available-managed-rule-group-versions --scope= --vendor-name --name ` # 通过控制台向保护包(web ACL)添加托管规则组 本节介绍如何通过控制台向保护包(web ACL)添加托管规则组。本指南适用于所有 Amazon 托管规则规则组以及您订阅的 Amazon Web Services Marketplace 规则组。 **生产流量风险** 在保护包(web ACL)中为生产流量部署更改之前,请在暂存或测试环境中对其进行测试和调整,直到您对流量可能产生的影响感到满意。然后,在启用之前,在计数模式下使用生产流量对更新后的规则进行测试和调整。有关指南,请参阅[测试和调整您的 Amazon WAF 保护措施](web-acl-testing.md)。 **注意** 在保护包 (Web ACL) WCUs 中使用超过 1,500 的保护包会产生超出基本保护包 (Web ACL) 价格的成本。有关更多信息,请参阅 [Web ACL 容量单位 (WCUs) Amazon WAF](aws-waf-capacity-units.md) 和 [Amazon WAF 定价](https://www.amazonaws.cn/waf/pricing/)。 **通过控制台向保护包(web ACL)添加托管规则组** **通过控制台向 web ACL 添加托管规则组** 1. 登录 Amazon Web Services 管理控制台 并在 [https://console.aws.amazon.com/wafv2/homev](https://console.amazonaws.cn/wafv2/homev2) 2 上打开主 Amazon WAF 机。 1. 在导航窗格中选择**保护包 (Web ACLs)**。 1. 在**保护包 (Web ACLs)** 页面的保护包 (Web ACLs) 列表中,选择要向其添加规则组的保护包。然后,您将进入单个保护包(web ACL)的页面。 1. 在保护包(web ACL)页面中,选择**规则**选项卡。 1. 在**规则**窗格中,选择**添加规则**,然后选择**添加托管规则组**。 1. 在**添加托管规则组**页面中,展开规则组供应商的选择范围,以查看可用规则组列表。 1. 对于每个要添加的规则组,请选择**添加到保护包(web ACL)**。如果要更改规则组的保护包(web ACL)配置,请选择**编辑**,进行更改,然后选择**保存规则**。有关这些选项的信息,请在 [在中使用版本化托管规则组 Amazon WAF](waf-managed-rule-groups-versioning.md) 中参阅版本控制指南,并在 [在中使用托管规则组语句 Amazon WAF](waf-rule-statement-type-managed-rule-group.md) 中参阅在保护包(web ACL)中使用托管规则组的指南。 1. 在**添加托管规则组**页面的底部,选择**添加规则**。 1. 在**设置规则优先级**页面中,根据需要调整规则的运行顺序,然后选择**保存**。有关更多信息,请参阅 [设置规则优先级](web-acl-processing-order.md)。 在保护包(web ACL)页面中,您添加的托管规则组列在**规则**选项卡下。 在将 Amazon WAF 保护措施用于生产流量之前,请先对其进行测试和调整。有关信息,请参阅[测试和调整您的 Amazon WAF 保护措施](web-acl-testing.md)。 **更新期间暂时出现不一致** 创建或更改保护包 (Web ACL) 或其他 Amazon WAF 资源时,更改需要很少的时间才能传播到存储资源的所有区域。传播时间可以从几秒钟到几分钟不等。 以下示例是更改传播过程中可能暂时出现的不一致: + 创建保护包(web ACL)后,如果您尝试将其与资源关联,则可能会出现异常,指示保护包(web ACL)不可用。 + 将规则组添加到保护包(web ACL)后,新的规则组规则可能在某个使用保护包(web ACL)的区域生效,而在另一个区域不生效。 + 更改规则操作设置后,可能会在某些位置显示旧操作而在另一些位置显示新操作。 + 将 IP 地址添加到阻止规则中使用的 IP 集后,新地址可能会在一个区域中被阻止,而在另一个区域中仍然允许。 # 收到有关托管规则组新版本和更新的通知 收到有关新版本和更新的通知 本节介绍了如何接收有关新版本和更新的 Amazon SNS 通知。 托管规则组提供程序使用 SNS 通知来宣布规则组的更改,例如即将推出的新版本和紧急安全更新。 **如何订阅 SNS 通知** 要订阅规则组的通知,您需要在美国东部(弗吉尼亚州北部)区域 us-east-1 为规则组的 Amazon SNS 主题 ARN 创建 Amazon SNS 订阅。 有关如何订阅的信息,请参阅 [Amazon Simple Notification Service 开发人员指南](https://docs.amazonaws.cn/sns/latest/dg/)。 **注意** 仅在 us-east-1 区域创建 SNS 主题订阅。 版本控制的 Amazon 托管规则组都使用相同的 SNS 主题 Amazon 资源名称 (ARN)。有关 Amazon 托管规则组通知的更多信息,请参阅[部署通知](waf-managed-rule-groups-deployments-notifications.md)。 **从哪里找到托管规则组的 Amazon SNS 主题 ARN** Amazon 托管规则组使用单个 SNS 主题 ARN,因此您可以从其中一个规则组中检索主题 ARN 并订阅该主题以获取所有提供 SNS 通知的 Amazon 托管规则组的通知。 + **控制台** + (可选)将托管规则组添加到保护包(web ACL)时,选择**编辑**以查看规则组的信息,其中包括规则组的 Amazon SNS 主题 ARN。 + (可选)将托管规则组添加到保护包(web ACL)后,在保护包(web ACL)上选择**编辑**,然后选择并编辑规则组规则,以查看规则组的 Amazon SNS 主题 ARN。 + **API**:`DescribeManagedRuleGroup` + **CLI**:`aws wafv2 describe-managed-rule-group --scope= --vendor-name --name ` 有关 Amazon SNS 通知格式以及如何筛选收到的通知的一般信息,请参阅《Amazon Simple Notification Service 开发人员指南》中的[解析消息格式](https://docs.amazonaws.cn/sns/latest/dg/sns-message-and-json-formats.html)和 [Amazon SNS 订阅筛选策略](https://docs.amazonaws.cn/sns/latest/dg/sns-subscription-filter-policies.html)。 # 追踪规则组的版本过期时间 追踪版本过期 本节介绍如何通过 Amazon 监控托管规则组的到期日程安排 CloudWatch。 如果您使用规则组的特定版本,请确保不要继续使用已过期的版本。 **提示** 注册接收托管规则组的 Amazon SNS 通知,并及时了解托管规则组的最新版本。您将受益于规则组 up-to-date提供的最多保护,并在到期之前保持领先地位。有关信息,请参阅[收到有关新版本和更新的通知](waf-using-managed-rule-groups-sns-topic.md)。 **通过 Amazon 监控托管规则组的到期日程安排 CloudWatch** 1. 在中 CloudWatch,找到您的托管规则组 Amazon WAF 的到期指标。这些指标具有以下指标名称和维度: + 指标名称:DaysToExpiry + 指标维度:Region、ManagedRuleGroup、Vendor 和 Version 如果保护包(web ACL)中有一个用于评估流量的托管规则组,则您将获得相应的指标。该指标不适用于未使用的规则组。 1. 对您感兴趣的指标设置警报,以便及时获得切换到新版规则组的通知。 有关使用亚马逊 CloudWatch 指标和配置警报的信息,请参阅[亚马逊 CloudWatch 用户指南](https://docs.amazonaws.cn/AmazonCloudWatch/latest/monitoring/)。 # JSON 和 YAML 中的托管规则组配置示例 JSON 和 YAML 中的配置示例 本节提供了托管规则组配置示例。 API 和 CLI 调用会返回托管规则组中所有规则的列表,您可以在 JSON 模型中或通过这些规则进行引用 Amazon CloudFormation。 **JSON** 您可以使用 JSON 在规则语句中引用和修改托管规则组。下表显示了 JSON 格式的 Amazon 托管规则组。`AWSManagedRulesCommonRuleSet`在 RuleActionOverrides 规范列出的规则中,其操作已被覆盖为 Count。 ``` { "Name": "AWS-AWSManagedRulesCommonRuleSet", "Priority": 0, "Statement": { "ManagedRuleGroupStatement": { "VendorName": "AWS", "Name": "AWSManagedRulesCommonRuleSet", "RuleActionOverrides": [ { "ActionToUse": { "Count": {} }, "Name": "NoUserAgent_HEADER" } ], "ExcludedRules": [] } }, "OverrideAction": { "None": {} }, "VisibilityConfig": { "SampledRequestsEnabled": true, "CloudWatchMetricsEnabled": true, "MetricName": "AWS-AWSManagedRulesCommonRuleSet" } } ``` **YAML** 您可以使用 Amazon CloudFormation YAML 模板在规则语句中引用和修改托管规则组。下表显示了 Amazon CloudFormation 模板中的 “ Amazon 托管规则” 规则组。`AWSManagedRulesCommonRuleSet`在 RuleActionOverrides 规范列出的规则中,其操作已被覆盖为 Count。 ``` Name: AWS-AWSManagedRulesCommonRuleSet Priority: 0 Statement: ManagedRuleGroupStatement: VendorName: AWS Name: AWSManagedRulesCommonRuleSet RuleActionOverrides: - ActionToUse: Count: {} Name: NoUserAgent_HEADER ExcludedRules: [] OverrideAction: None: {} VisibilityConfig: SampledRequestsEnabled: true CloudWatchMetricsEnabled: true MetricName: AWS-AWSManagedRulesCommonRuleSet ``` # Amazon 的托管规则 Amazon WAF Amazon 的托管规则 Amazon WAF 本节说明了 Amazon 托管规则的 Amazon WAF 用途。 Amazon 的托管规则 Amazon WAF 是一项托管服务,可针对应用程序漏洞或其他有害流量提供保护。您可以选择从 Amazon 托管规则中为每个 Web ACL 选择一个或多个规则组,最高不超过最大保护包 (Web ACL) 容量单位 (WCU) 限制。 **减少误报并测试规则组的更改** 在生产环境中使用任何托管规则组之前,请根据 [测试和调整您的 Amazon WAF 保护措施](web-acl-testing.md) 中的指导在非生产环境中对其进行测试。在向保护包(web ACL)添加规则组以测试规则组的新版本时,以及在规则组无法按需要处理 web 流量时,请遵循测试和调整指南。 **共同分担安全责任** Amazon 托管规则旨在保护您免受常见 Web 威胁的侵害。根据文档使用 Amazon 托管规则组时,可以为您的应用程序增加另一层安全保护。但是, Amazon 托管规则规则组并不是用来取代您的安全职责,后者由您选择的 Amazon 资源决定。请参阅[分担责任模型](https://www.amazonaws.cn/compliance/shared-responsibility-model/),确保您的资源 Amazon 得到适当保护。 **重要** Amazon 托管规则旨在保护您免受常见 Web 威胁的侵害。根据文档使用 Amazon 托管规则组时,可以为您的应用程序增加另一层安全保护。但是, Amazon 托管规则规则组并不是用来取代您的安全职责,后者由您选择的 Amazon 资源决定。请参阅[分担责任模型](https://www.amazonaws.cn/compliance/shared-responsibility-model/),确保您的资源 Amazon 得到适当保护。 # Amazon 托管规则规则组列表 更新了 Amazon WAF 机器人控制的阈值 更新了 `TGT_TokenReuseIpLow` 和 `TGT_TokenReuseIpMedium` 的阈值。更新了的 Amazon 托管规则 Amazon WAF 在的 Amazon 托管规则中为每条规则添加了文档 Amazon WAF。更新了的 Amazon 托管规则 Amazon WAF 所有 Amazon 托管规则规则组现在都支持标记。规则描述包括标签规范。 本节提供了可用的 Amazon 托管规则规则组列表。 本节介绍 Amazon 托管规则组的最新版本。当您将托管规则组添加到保护包(web ACL)时,您可以在控制台上查看这些规则组。通过 API,您可以通过调`ListAvailableManagedRuleGroups`用来检索此列表以及您订阅的 Amazon Web Services Marketplace 规则组。 **注意** 有关检索 Amazon 托管规则组版本的信息,请参阅[检索托管规则组的可用版本](waf-using-managed-rule-groups-versions.md)。 所有 Amazon 托管规则组都支持标签,本节中的规则列表包括标签规范。您可以通过调用 `DescribeManagedRuleGroup` 从 API 检索托管规则组的标签。标签列在响应的 AvailableLabels 属性中。有关标签的信息,请参阅 [在 Web 请求中添加标签 Amazon WAF](waf-labels.md)。 在将 Amazon WAF 保护措施用于生产流量之前,请先对其进行测试和调整。有关信息,请参阅[测试和调整您的 Amazon WAF 保护措施](web-acl-testing.md)。 **Contents** + [ # 基准规则组 ](aws-managed-rule-groups-baseline.md) + [ ## 核心规则集(CRS)托管规则组 ](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) + [ ## 管理员保护托管规则组 ](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-admin) + [ ## 已知错误输入托管规则组 ](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs) + [ # 使用案例特定规则组 ](aws-managed-rule-groups-use-case.md) + [ ## SQL 数据库托管规则组 ](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-sql-db) + [ ## Linux 操作系统托管规则组 ](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-linux-os) + [ ## POSIX 操作系统托管规则组 ](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-posix-os) + [ ## Windows 操作系统托管规则组 ](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-windows-os) + [ ## PHP 应用程序托管规则组 ](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-php-app) + [ ## WordPress 应用程序托管规则组 ](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-wordpress-app) + [ # IP 声誉规则组 ](aws-managed-rule-groups-ip-rep.md) + [ ## Amazon IP 声誉列表托管规则组 ](aws-managed-rule-groups-ip-rep.md#aws-managed-rule-groups-ip-rep-amazon) + [ ## 匿名 IP 列表托管规则组 ](aws-managed-rule-groups-ip-rep.md#aws-managed-rule-groups-ip-rep-anonymous) + [ # Amazon WAF 欺诈控制账户创建防作弊 (ACFP) 规则组 ](aws-managed-rule-groups-acfp.md) + [ ## 使用此规则组的注意事项 ](aws-managed-rule-groups-acfp.md#aws-managed-rule-groups-acfp-using) + [ ## 此规则组添加的标签 ](aws-managed-rule-groups-acfp.md#aws-managed-rule-groups-acfp-labels) + [ ### 令牌标签 ](aws-managed-rule-groups-acfp.md#aws-managed-rule-groups-acfp-labels-token) + [ ### ACFP 标签 ](aws-managed-rule-groups-acfp.md#aws-managed-rule-groups-acfp-labels-rg) + [ ## 账户创建欺诈预防规则列表 ](aws-managed-rule-groups-acfp.md#aws-managed-rule-groups-acfp-rules) + [ # Amazon WAF 防欺诈控制账户盗用 (ATP) 规则组 ](aws-managed-rule-groups-atp.md) + [ ## 使用此规则组的注意事项 ](aws-managed-rule-groups-atp.md#aws-managed-rule-groups-atp-using) + [ ## 此规则组添加的标签 ](aws-managed-rule-groups-atp.md#aws-managed-rule-groups-atp-labels) + [ ### 令牌标签 ](aws-managed-rule-groups-atp.md#aws-managed-rule-groups-atp-labels-token) + [ ### ATP 标签 ](aws-managed-rule-groups-atp.md#aws-managed-rule-groups-atp-labels-rg) + [ ## 账户盗用防护规则列表 ](aws-managed-rule-groups-atp.md#aws-managed-rule-groups-atp-rules) + [ # Amazon WAF 机器人控制规则组 ](aws-managed-rule-groups-bot.md) + [ ## 保护级别 ](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-prot-levels) + [ ## 使用此规则组的注意事项 ](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-using) + [ ## 此规则组添加的标签 ](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-labels) + [ ### 令牌标签 ](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-labels-token) + [ ### 机器人控制功能标签 ](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-labels-rg) + [ ## 机器人控制功能规则列表 ](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-rules) + [ # Amazon WAF 分布式拒绝服务 (DDoS) 防护规则组 ](aws-managed-rule-groups-anti-ddos.md) + [ ## 使用此规则组的注意事项 ](aws-managed-rule-groups-anti-ddos.md#aws-managed-rule-groups-anti-ddos-using) + [ ## 此规则组添加的标签 ](aws-managed-rule-groups-anti-ddos.md#aws-managed-rule-groups-anti-ddos-labels) + [ ### 令牌标签 ](aws-managed-rule-groups-anti-ddos.md#aws-managed-rule-groups-anti-ddos-labels-token) + [ ### 反 DDo S 标签 ](aws-managed-rule-groups-anti-ddos.md#aws-managed-rule-groups-anti-ddos-labels-rg) + [ ## 反 DDo S 规则清单 ](aws-managed-rule-groups-anti-ddos.md#aws-managed-rule-groups-anti-ddos-rules) # 基准规则组 基准托管规则组可针对多种常见威胁提供一般保护。请选择以下一个或多个规则组以便为您的资源建立基准保护。 ## 核心规则集(CRS)托管规则组 核心规则集(CRS) VendorName:`AWS`,名称:`AWSManagedRulesCommonRuleSet`,WCU:700 **注意** 本文档包含此托管规则组的最新静态版本。我们在 [Amazon 托管规则变更日志](aws-managed-rule-groups-changelog.md) 的更改日志中报告版本变更。有关其他版本的信息,请使用 API 命令[DescribeManagedRuleGroup](https://docs.amazonaws.cn/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)。 我们在 Amazon 托管规则组中发布的规则信息旨在为您提供使用规则所需的信息,而不会向不良行为者提供他们规避规则所需的信息。 如果您需要更多信息,请联系 [Amazon Web Services 支持 中心](https://console.amazonaws.cn/support/home#/)。 核心规则集 (CRS) 规则组包含通常适用于 Web 应用程序的规则。该规则组有助于防止利用各种漏洞,包括 OWASP 出版物(如 [OWASP Top 10](https://owasp.org/www-project-top-ten/))中描述的一些高风险和经常发生的漏洞。考虑将此规则组用于任何 Amazon WAF 用例。 此托管规则组会为其评估的 Web 请求添加标签,这些标签可用于在保护包 (Web ACL) 中在此规则组之后运行的规则。 Amazon WAF 还会记录亚马逊 CloudWatch 指标的标签。有关标签和标签指标的一般信息,请参阅 [Web 请求标签](waf-labels.md) 和 [标签指标和维度](waf-metrics.md#waf-metrics-label)。 | 规则名称 | 描述和标签 | | --- | --- | | NoUserAgent\$1HEADER | 检查是否存在缺少 HTTP `User-Agent` 标头的请求。 规则操作:Block 标签:`awswaf:managed:aws:core-rule-set:NoUserAgent_Header` | | UserAgent\$1BadBots\$1HEADER | 检查是否存在表明请求是恶意机器人的常见 `User-Agent` 标头值。示例模式包括 `nessus` 和 `nmap`。有关机器人管理的信息,另请参阅 [Amazon WAF 机器人控制规则组](aws-managed-rule-groups-bot.md)。 规则操作:Block 标签:`awswaf:managed:aws:core-rule-set:BadBots_Header` | | SizeRestrictions\$1QUERYSTRING | 检查是否存在超过 2048 字节的 URI 查询字符串。 规则操作:Block 标签:`awswaf:managed:aws:core-rule-set:SizeRestrictions_QueryString` | | SizeRestrictions\$1Cookie\$1HEADER | 检查是否存在超过 10,240 字节的 Cookie 标头。 规则操作:Block 标签:`awswaf:managed:aws:core-rule-set:SizeRestrictions_Cookie_Header` | | SizeRestrictions\$1BODY | 检查是否存在超过 8 KB(8192 字节)的请求正文。 规则操作:Block 标签:`awswaf:managed:aws:core-rule-set:SizeRestrictions_Body` | | SizeRestrictions\$1URIPATH | 检查 URI 路径是否超过 1024 字节。 规则操作:Block 标签:`awswaf:managed:aws:core-rule-set:SizeRestrictions_URIPath` | | EC2MetaDataSSRF\$1BODY | 检查是否存在恶意方试图从请求正文中泄漏 Amazon EC2 元数据。 此规则仅检查请求正文,但不得超过保护包(web ACL)和资源类型的正文大小限制。对于 Application Load Balancer 和 Amazon AppSync,限制固定为 8 KB。对于 CloudFront API Gateway、Amazon Cognito、App Runner 和 Verified Access,默认限制为 16 KB,您可以在保护包 (Web ACL) 配置中将限制提高到 64 KB。此规则使用 `Continue` 选项来处理超大内容。有关更多信息,请参阅 [中的 Web 请求组件过大 Amazon WAF](waf-oversize-request-components.md)。 规则操作:Block 标签:`awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_Body` | | EC2MetaDataSSRF\$1COOKIE | 检查是否存在恶意方试图从请求 Cookie 中泄漏 Amazon EC2 元数据。 规则操作:Block 标签:`awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_Cookie` | | EC2MetaDataSSRF\$1URIPATH | 检查是否存在恶意方试图从请求 URI 路径中泄漏 Amazon EC2 元数据。 规则操作:Block 标签:`awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_URIPath` | | EC2MetaDataSSRF\$1QUERYARGUMENTS | 检查是否存在恶意方试图从请求查询参数中泄漏 Amazon EC2 元数据。 规则操作:Block 标签:`awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_QueryArguments` | | GenericLFI\$1QUERYARGUMENTS | 检查查询参数中是否存在本地文件包含(LFI)攻击。示例包括使用类似于 `../../` 的技术尝试遍历路径。 规则操作:Block 标签:`awswaf:managed:aws:core-rule-set:GenericLFI_QueryArguments` | | GenericLFI\$1URIPATH | 检查 URI 路径中是否存在本地文件包含(LFI)攻击。示例包括使用类似于 `../../` 的技术尝试遍历路径。 规则操作:Block 标签:`awswaf:managed:aws:core-rule-set:GenericLFI_URIPath` | | GenericLFI\$1BODY | 检查请求正文中是否存在本地文件包含(LFI)攻击。示例包括使用类似于 `../../` 的技术尝试遍历路径。 此规则仅检查请求正文,但不得超过保护包(web ACL)和资源类型的正文大小限制。对于 Application Load Balancer 和 Amazon AppSync,限制固定为 8 KB。对于 CloudFront API Gateway、Amazon Cognito、App Runner 和 Verified Access,默认限制为 16 KB,您可以在保护包 (Web ACL) 配置中将限制提高到 64 KB。此规则使用 `Continue` 选项来处理超大内容。有关更多信息,请参阅 [中的 Web 请求组件过大 Amazon WAF](waf-oversize-request-components.md)。 规则操作:Block 标签:`awswaf:managed:aws:core-rule-set:GenericLFI_Body` | | RestrictedExtensions\$1URIPATH | 检查是否存在 URI 路径中包含无法安全读取或运行的系统文件扩展名的请求。示例模式包括类似于 `.log` 和 `.ini` 的扩展名。 规则操作:Block 标签:`awswaf:managed:aws:core-rule-set:RestrictedExtensions_URIPath` | | RestrictedExtensions\$1QUERYARGUMENTS | 检查是否存在查询参数中包含无法安全读取或运行的系统文件扩展名的请求。示例模式包括类似于 `.log` 和 `.ini` 的扩展名。 规则操作:Block 标签:`awswaf:managed:aws:core-rule-set:RestrictedExtensions_QueryArguments` | | GenericRFI\$1QUERYARGUMENTS | 检查所有查询参数的值,以防有人试图通过嵌入包含地址的 Web 应用程序中利用 RFI(远程文件包 URLs 含 IPv4)。示例包括漏洞利用尝试中带有 IPv4 主机标头的`http://``file://`、、、、和。`https://` `ftp://` `ftps://` 规则操作:Block 标签:`awswaf:managed:aws:core-rule-set:GenericRFI_QueryArguments` | | GenericRFI\$1BODY | 检查请求正文中是否有人试图通过嵌入包含地址来利用 Web 应用程序中的 RFI(远程文件包 URLs 含 IPv4 )。示例包括漏洞利用尝试中带有 IPv4 主机标头的`http://``file://`、、、、和。`https://` `ftp://` `ftps://` 此规则仅检查请求正文,但不得超过保护包(web ACL)和资源类型的正文大小限制。对于 Application Load Balancer 和 Amazon AppSync,限制固定为 8 KB。对于 CloudFront API Gateway、Amazon Cognito、App Runner 和 Verified Access,默认限制为 16 KB,您可以在保护包 (Web ACL) 配置中将限制提高到 64 KB。此规则使用 `Continue` 选项来处理超大内容。有关更多信息,请参阅 [中的 Web 请求组件过大 Amazon WAF](waf-oversize-request-components.md)。 规则操作:Block 标签:`awswaf:managed:aws:core-rule-set:GenericRFI_Body` | | GenericRFI\$1URIPATH | 检查 URI 路径中是否有人试图通过嵌入包含地址来利用 Web 应用程序中的 RFI(远程文件包 URLs 含 IPv4 )。示例包括漏洞利用尝试中带有 IPv4 主机标头的`http://``file://`、、、、和。`https://` `ftp://` `ftps://` 规则操作:Block 标签:`awswaf:managed:aws:core-rule-set:GenericRFI_URIPath` | | CrossSiteScripting\$1COOKIE | 使用内置功能检查 Cookie 标头的值以了解常见的跨站脚本 (XSS) 模式。 Amazon WAF [跨站点脚本攻击规则语句](waf-rule-statement-type-xss-match.md)示例模式包括类似于 `` 的脚本。 该规则组的 2.0 版本未填充 Amazon WAF 日志中的规则匹配详细信息。 规则操作:Block 标签:`awswaf:managed:aws:core-rule-set:CrossSiteScripting_Cookie` | | CrossSiteScripting\$1QUERYARGUMENTS | 使用内置检查查询参数的值,了解常见的跨站点脚本 (XSS) 模式。 Amazon WAF [跨站点脚本攻击规则语句](waf-rule-statement-type-xss-match.md)示例模式包括类似于 `` 的脚本。 该规则组的 2.0 版本未填充 Amazon WAF 日志中的规则匹配详细信息。 规则操作:Block 标签:`awswaf:managed:aws:core-rule-set:CrossSiteScripting_QueryArguments` | | CrossSiteScripting\$1BODY | 使用内置检查请求正文中常见的跨站脚本 (XSS) 模式。 Amazon WAF [跨站点脚本攻击规则语句](waf-rule-statement-type-xss-match.md)示例模式包括类似于 `` 的脚本。 该规则组的 2.0 版本未填充 Amazon WAF 日志中的规则匹配详细信息。 此规则仅检查请求正文,但不得超过保护包(web ACL)和资源类型的正文大小限制。对于 Application Load Balancer 和 Amazon AppSync,限制固定为 8 KB。对于 CloudFront API Gateway、Amazon Cognito、App Runner 和 Verified Access,默认限制为 16 KB,您可以在保护包 (Web ACL) 配置中将限制提高到 64 KB。此规则使用 `Continue` 选项来处理超大内容。有关更多信息,请参阅 [中的 Web 请求组件过大 Amazon WAF](waf-oversize-request-components.md)。 规则操作:Block 标签:`awswaf:managed:aws:core-rule-set:CrossSiteScripting_Body` | | CrossSiteScripting\$1URIPATH | 使用内置检查常见跨站脚本 (XSS) 模式的 URI 路径值。 Amazon WAF [跨站点脚本攻击规则语句](waf-rule-statement-type-xss-match.md)示例模式包括类似于 `` 的脚本。 该规则组的 2.0 版本未填充 Amazon WAF 日志中的规则匹配详细信息。 规则操作:Block 标签:`awswaf:managed:aws:core-rule-set:CrossSiteScripting_URIPath` | ## 管理员保护托管规则组 管理保护 VendorName:`AWS`,名称:`AWSManagedRulesAdminProtectionRuleSet`,WCU:100 **注意** 本文档包含此托管规则组的最新静态版本。我们在 [Amazon 托管规则变更日志](aws-managed-rule-groups-changelog.md) 的更改日志中报告版本变更。有关其他版本的信息,请使用 API 命令[DescribeManagedRuleGroup](https://docs.amazonaws.cn/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)。 我们在 Amazon 托管规则组中发布的规则信息旨在为您提供使用规则所需的信息,而不会向不良行为者提供他们规避规则所需的信息。 如果您需要更多信息,请联系 [Amazon Web Services 支持 中心](https://console.amazonaws.cn/support/home#/)。 管理保护规则组包含允许您阻止对公开的管理页面进行外部访问的规则。如果您运行第三方软件,或者希望降低恶意人员获取您的应用程序的管理访问权限的风险,该规则组可能非常有用。 此托管规则组会为其评估的 Web 请求添加标签,这些标签可用于在保护包 (Web ACL) 中在此规则组之后运行的规则。 Amazon WAF 还会记录亚马逊 CloudWatch 指标的标签。有关标签和标签指标的一般信息,请参阅 [Web 请求标签](waf-labels.md) 和 [标签指标和维度](waf-metrics.md#waf-metrics-label)。 | 规则名称 | 描述和标签 | | --- | --- | | AdminProtection\$1URIPATH | 检查针对通常为管理 Web 服务器或应用程序而保留的 URI 路径。示例模式包括 `sqlmanager`。 规则操作:Block 标签:`awswaf:managed:aws:admin-protection:AdminProtection_URIPath` | ## 已知错误输入托管规则组 已知错误输入 VendorName:`AWS`,名称:`AWSManagedRulesKnownBadInputsRuleSet`,WCU:200 **注意** 本文档包含此托管规则组的最新静态版本。我们在 [Amazon 托管规则变更日志](aws-managed-rule-groups-changelog.md) 的更改日志中报告版本变更。有关其他版本的信息,请使用 API 命令[DescribeManagedRuleGroup](https://docs.amazonaws.cn/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)。 我们在 Amazon 托管规则组中发布的规则信息旨在为您提供使用规则所需的信息,而不会向不良行为者提供他们规避规则所需的信息。 如果您需要更多信息,请联系 [Amazon Web Services 支持 中心](https://console.amazonaws.cn/support/home#/)。 已知错误输入规则组包含用于阻止请求模式的规则,这些模式确认无效且与漏洞攻击或发现相关联。这有助于降低恶意人员发现易受攻击的应用程序的风险。 此托管规则组会为其评估的 Web 请求添加标签,这些标签可用于在保护包 (Web ACL) 中在此规则组之后运行的规则。 Amazon WAF 还会记录亚马逊 CloudWatch 指标的标签。有关标签和标签指标的一般信息,请参阅 [Web 请求标签](waf-labels.md) 和 [标签指标和维度](waf-metrics.md#waf-metrics-label)。 | 规则名称 | 描述和标签 | | --- | --- | | JavaDeserializationRCE\$1HEADER | 检查 HTTP 请求标头的键和值,寻找指示 Java 反序列化远程命令执行(RCE)尝试的模式,例如 Spring Core 和 Cloud Function RCE 漏洞(CVE-2022-22963、CVE-2022-22965)。示例模式包括 `(java.lang.Runtime).getRuntime().exec("whoami")`。 此规则仅检查请求标头的前 8 KB 或前 200 个标头(以先达到的限制为准),并且它使用 `Continue` 选项来处理超大内容。有关更多信息,请参阅 [中的 Web 请求组件过大 Amazon WAF](waf-oversize-request-components.md)。 规则操作:Block 标签:`awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_Header` | | JavaDeserializationRCE\$1BODY | 检查请求正文中是否存在指示 Java 反序列化远程命令执行(RCE)尝试的模式,例如 Spring Core 和 Cloud Function RCE 漏洞(CVE-2022-22963、CVE-2022-22965)。示例模式包括 `(java.lang.Runtime).getRuntime().exec("whoami")`。 此规则仅检查请求正文,但不得超过保护包(web ACL)和资源类型的正文大小限制。对于 Application Load Balancer 和 Amazon AppSync,限制固定为 8 KB。对于 CloudFront API Gateway、Amazon Cognito、App Runner 和 Verified Access,默认限制为 16 KB,您可以在保护包 (Web ACL) 配置中将限制提高到 64 KB。此规则使用 `Continue` 选项来处理超大内容。有关更多信息,请参阅 [中的 Web 请求组件过大 Amazon WAF](waf-oversize-request-components.md)。 规则操作:Block 标签:`awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_Body` | | JavaDeserializationRCE\$1URIPATH | 检查请求 URI 中是否存在指示 Java 反序列化远程命令执行(RCE)尝试的模式,例如 Spring Core 和 Cloud Function RCE 漏洞(CVE-2022-22963、CVE-2022-22965)。示例模式包括 `(java.lang.Runtime).getRuntime().exec("whoami")`。 规则操作:Block 标签:`awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_URIPath` | | JavaDeserializationRCE\$1QUERYSTRING | 检查请求查询字符串中是否存在指示 Java 反序列化远程命令执行(RCE)尝试的模式,例如 Spring Core 和 Cloud Function RCE 漏洞(CVE-2022-22963、CVE-2022-22965)。示例模式包括 `(java.lang.Runtime).getRuntime().exec("whoami")`。 规则操作:Block 标签:`awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_QueryString` | | Host\$1localhost\$1HEADER | 检查请求中的主机标头是否有指示本地主机的模式。示例模式包括 `localhost`。 规则操作:Block 标签:`awswaf:managed:aws:known-bad-inputs:Host_Localhost_Header` | | PROPFIND\$1METHOD | 检查请求中用于 `PROPFIND` 的 HTTP 方法,这是一种类似于 `HEAD` 的方法,但具有泄漏 XML 对象的额外意图。 规则操作:Block 标签:`awswaf:managed:aws:known-bad-inputs:Propfind_Method` | | ExploitablePaths\$1URIPATH | 检查 URI 路径中是否有恶意方试图访问可利用的 Web 应用程序路径。示例模式包括类似于 `web-inf` 的路径。 规则操作:Block 标签:`awswaf:managed:aws:known-bad-inputs:ExploitablePaths_URIPath` | | Log4JRCE\$1HEADER | 检查请求标头的键和值是否存在 Log4j 漏洞([CVE-2021-44228](https://www.cve.org/CVERecord?id=CVE-2021-44228)、[CVE-2021-45046](https://www.cve.org/CVERecord?id=CVE-2021-45046)、[CVE-2021-45105](https://www.cve.org/CVERecord?id=CVE-2021-45105)),并防止远程代码执行(RCE)尝试。示例模式包括 `${jndi:ldap://example.com/}`。 此规则仅检查请求标头的前 8 KB 或前 200 个标头(以先达到的限制为准),并且它使用 `Continue` 选项来处理超大内容。有关更多信息,请参阅 [中的 Web 请求组件过大 Amazon WAF](waf-oversize-request-components.md)。 规则操作:Block 标签:`awswaf:managed:aws:known-bad-inputs:Log4JRCE_Header` | | Log4JRCE\$1QUERYSTRING | 检查查询字符串中是否存在 Log4j 漏洞([CVE-2021-44228](https://www.cve.org/CVERecord?id=CVE-2021-44228)、[CVE-2021-45046](https://www.cve.org/CVERecord?id=CVE-2021-45046)、[CVE-2021-45105](https://www.cve.org/CVERecord?id=CVE-2021-45105)),并防止远程代码执行(RCE)尝试。示例模式包括 `${jndi:ldap://example.com/}`。 规则操作:Block 标签:`awswaf:managed:aws:known-bad-inputs:Log4JRCE_QueryString` | | Log4JRCE\$1BODY | 检查正文中是否存在 Log4j 漏洞([CVE-2021-44228](https://www.cve.org/CVERecord?id=CVE-2021-44228)、[CVE-2021-45046](https://www.cve.org/CVERecord?id=CVE-2021-45046)、[CVE-2021-45105](https://www.cve.org/CVERecord?id=CVE-2021-45105)),并防止远程代码执行(RCE)尝试。示例模式包括 `${jndi:ldap://example.com/}`。 此规则仅检查请求正文,但不得超过保护包(web ACL)和资源类型的正文大小限制。对于 Application Load Balancer 和 Amazon AppSync,限制固定为 8 KB。对于 CloudFront API Gateway、Amazon Cognito、App Runner 和 Verified Access,默认限制为 16 KB,您可以在保护包 (Web ACL) 配置中将限制提高到 64 KB。此规则使用 `Continue` 选项来处理超大内容。有关更多信息,请参阅 [中的 Web 请求组件过大 Amazon WAF](waf-oversize-request-components.md)。 规则操作:Block 标签:`awswaf:managed:aws:known-bad-inputs:Log4JRCE_Body` | | Log4JRCE\$1URIPATH | 检查 URI 路径中是否存在 Log4j 漏洞([CVE-2021-44228](https://www.cve.org/CVERecord?id=CVE-2021-44228)、[CVE-2021-45046](https://www.cve.org/CVERecord?id=CVE-2021-45046)、[CVE-2021-45105](https://www.cve.org/CVERecord?id=CVE-2021-45105)),并防止远程代码执行(RCE)尝试。示例模式包括 `${jndi:ldap://example.com/}`。 规则操作:Block 标签:`awswaf:managed:aws:known-bad-inputs:Log4JRCE_URIPath` | | ReactJSRCE\$1BODY | 检查请求正文中是否存在表示存在 CVE-2025-55182 的模式。 此规则仅检查请求正文,但不得超过保护包(web ACL)和资源类型的正文大小限制。对于应用程序负载均衡器和 Amazon AppSync,固定限制为 8 KB。对于 CloudFront API Gateway、Amazon Cognito、App Runner 和 Amazon Verified Access,默认限制为 16 KB,您可以在保护包 (Web ACL) 配置中将限制提高到 64 KB。此规则使用 `CONTINUE` 选项来处理超大内容。有关更多信息,请参阅 [中的 Web 请求组件过大 Amazon WAF](waf-oversize-request-components.md)。 规则操作:Block 标签:`awswaf:managed:aws:known-bad-inputs:ReactJSRCE_Body` | # 使用案例特定规则组 特定于用例的规则组为许多不同的 Amazon WAF 用例提供增量保护。选择适用于您的应用程序的规则组。 ## SQL 数据库托管规则组 SQL 数据库 VendorName:`AWS`,名称:`AWSManagedRulesSQLiRuleSet`,WCU:200 **注意** 本文档包含此托管规则组的最新静态版本。我们在 [Amazon 托管规则变更日志](aws-managed-rule-groups-changelog.md) 的更改日志中报告版本变更。有关其他版本的信息,请使用 API 命令[DescribeManagedRuleGroup](https://docs.amazonaws.cn/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)。 我们在 Amazon 托管规则组中发布的规则信息旨在为您提供使用规则所需的信息,而不会向不良行为者提供他们规避规则所需的信息。 如果您需要更多信息,请联系 [Amazon Web Services 支持 中心](https://console.amazonaws.cn/support/home#/)。 SQL 数据库规则组包含阻止与 SQL 数据库攻击(如 SQL 注入攻击)相关的请求模式的规则。该规则组有助于防止远程注入未经授权的查询。如果应用程序与 SQL 数据库相连,请评估此规则组以便使用。 此托管规则组会为其评估的 Web 请求添加标签,这些标签可用于在保护包 (Web ACL) 中在此规则组之后运行的规则。 Amazon WAF 还会记录亚马逊 CloudWatch 指标的标签。有关标签和标签指标的一般信息,请参阅 [Web 请求标签](waf-labels.md) 和 [标签指标和维度](waf-metrics.md#waf-metrics-label)。 | 规则名称 | 描述和标签 | | --- | --- | | SQLi\$1QUERYARGUMENTS | 使用内置 Amazon WAF [SQL 注入攻击规则语句](waf-rule-statement-type-sqli-match.md)的(敏感度级别设置为Low)检查所有查询参数的值中是否存在与恶意 SQL 代码匹配的模式。 规则操作:Block 标签:`awswaf:managed:aws:sql-database:SQLi_QueryArguments` | | SQLiExtendedPatterns\$1QUERYARGUMENTS | 检查所有查询参数的值,以查找与恶意 SQL 代码匹配的模式。该规则检查的模式不在规则 `SQLi_QUERYARGUMENTS` 的范围内。 规则操作:Block 标签:`awswaf:managed:aws:sql-database:SQLiExtendedPatterns_QueryArguments` | | SQLi\$1BODY | 使用内置 Amazon WAF [SQL 注入攻击规则语句](waf-rule-statement-type-sqli-match.md)的(敏感度级别设置为Low)检查请求正文中是否存在与恶意 SQL 代码匹配的模式。 此规则仅检查请求正文,但不得超过保护包(web ACL)和资源类型的正文大小限制。对于 Application Load Balancer 和 Amazon AppSync,限制固定为 8 KB。对于 CloudFront API Gateway、Amazon Cognito、App Runner 和 Verified Access,默认限制为 16 KB,您可以在保护包 (Web ACL) 配置中将限制提高到 64 KB。此规则使用 `Continue` 选项来处理超大内容。有关更多信息,请参阅 [中的 Web 请求组件过大 Amazon WAF](waf-oversize-request-components.md)。 规则操作:Block 标签:`awswaf:managed:aws:sql-database:SQLi_Body` | | SQLiExtendedPatterns\$1BODY | 检查请求正文中是否存在与恶意 SQL 代码匹配的模式。该规则检查的模式不在规则 `SQLi_BODY` 的范围内。 此规则仅检查请求正文,但不得超过保护包(web ACL)和资源类型的正文大小限制。对于 Application Load Balancer 和 Amazon AppSync,限制固定为 8 KB。对于 CloudFront API Gateway、Amazon Cognito、App Runner 和 Verified Access,默认限制为 16 KB,您可以在保护包 (Web ACL) 配置中将限制提高到 64 KB。此规则使用 `Continue` 选项来处理超大内容。有关更多信息,请参阅 [中的 Web 请求组件过大 Amazon WAF](waf-oversize-request-components.md)。 规则操作:Block 标签:`awswaf:managed:aws:sql-database:SQLiExtendedPatterns_Body` | | SQLi\$1COOKIE | 使用内置 Amazon WAF [SQL 注入攻击规则语句](waf-rule-statement-type-sqli-match.md)的(敏感度级别设置为)检查请求 Cookie 标头中是否存在与恶意 SQL 代码匹配的模式。Low 规则操作:Block 标签:`awswaf:managed:aws:sql-database:SQLi_Cookie` | | SQLi\$1URIPATH | 使用内置 Amazon WAF [SQL 注入攻击规则语句](waf-rule-statement-type-sqli-match.md)的(敏感度级别设置为)检查请求 Cookie 标头中是否存在与恶意 SQL 代码匹配的模式。Low 规则操作:Block 标签:`awswaf:managed:aws:sql-database:SQLi_URIPath` | ## Linux 操作系统托管规则组 Linux 操作系统 VendorName:`AWS`,名称:`AWSManagedRulesLinuxRuleSet`,WCU:200 **注意** 本文档包含此托管规则组的最新静态版本。我们在 [Amazon 托管规则变更日志](aws-managed-rule-groups-changelog.md) 的更改日志中报告版本变更。有关其他版本的信息,请使用 API 命令[DescribeManagedRuleGroup](https://docs.amazonaws.cn/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)。 我们在 Amazon 托管规则组中发布的规则信息旨在为您提供使用规则所需的信息,而不会向不良行为者提供他们规避规则所需的信息。 如果您需要更多信息,请联系 [Amazon Web Services 支持 中心](https://console.amazonaws.cn/support/home#/)。 Linux 操作系统规则组包含阻止请求模式的规则,这些请求模式与利用 Linux 特定漏洞(包括 Linux 特定的本地文件包含(LFI)攻击)相关。该规则组有助于防止暴露攻击者不应当访问的文件内容或执行代码的攻击。如果应用程序的任何部分在 Linux 上运行,则应评估此规则组。您应将此规则组与 [POSIX 操作系统](#aws-managed-rule-groups-use-case-posix-os) 规则组结合使用。 此托管规则组会为其评估的 Web 请求添加标签,这些标签可用于在保护包 (Web ACL) 中在此规则组之后运行的规则。 Amazon WAF 还会记录亚马逊 CloudWatch 指标的标签。有关标签和标签指标的一般信息,请参阅 [Web 请求标签](waf-labels.md) 和 [标签指标和维度](waf-metrics.md#waf-metrics-label)。 | 规则名称 | 描述和标签 | | --- | --- | | LFI\$1URIPATH | 检查请求路径,以查找是否有恶意方试图利用 Web 应用程序中的本地文件包含 (LFI) 漏洞。示例模式包括类似于 `/proc/version` 的文件,它们可能向攻击者提供操作系统信息。 规则操作:Block 标签:`awswaf:managed:aws:linux-os:LFI_URIPath` | | LFI\$1QUERYSTRING | 检查查询字符串的值,以查找是否有恶意方试图利用 Web 应用程序中的本地文件包含 (LFI) 漏洞。示例模式包括类似于 `/proc/version` 的文件,它们可能向攻击者提供操作系统信息。 规则操作:Block 标签:`awswaf:managed:aws:linux-os:LFI_QueryString` | | LFI\$1HEADER | 检查请求标头,以查找是否有恶意方试图利用 Web 应用程序中的本地文件包含 (LFI) 漏洞。示例模式包括类似于 `/proc/version` 的文件,它们可能向攻击者提供操作系统信息。 此规则仅检查请求标头的前 8 KB 或前 200 个标头(以先达到的限制为准),并且它使用 `Continue` 选项来处理超大内容。有关更多信息,请参阅 [中的 Web 请求组件过大 Amazon WAF](waf-oversize-request-components.md)。 规则操作:Block 标签:`awswaf:managed:aws:linux-os:LFI_Header` | ## POSIX 操作系统托管规则组 POSIX 操作系统 VendorName:`AWS`,名称:`AWSManagedRulesUnixRuleSet`,WCU:100 **注意** 本文档包含此托管规则组的最新静态版本。我们在 [Amazon 托管规则变更日志](aws-managed-rule-groups-changelog.md) 的更改日志中报告版本变更。有关其他版本的信息,请使用 API 命令[DescribeManagedRuleGroup](https://docs.amazonaws.cn/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)。 我们在 Amazon 托管规则组中发布的规则信息旨在为您提供使用规则所需的信息,而不会向不良行为者提供他们规避规则所需的信息。 如果您需要更多信息,请联系 [Amazon Web Services 支持 中心](https://console.amazonaws.cn/support/home#/)。 POSIX 操作系统规则组包含的规则可阻止与利用 POSIX 和类似 POSIX 的操作系统特定漏洞(包括 Linux 特定的本地文件包含(LFI)攻击)相关的请求模式。该规则组有助于防止暴露攻击者不应当访问的文件内容或执行代码的攻击。如果应用程序的任何部分在 POSIX 或类似 POSIX 的操作系统(包括 Linux、AIX、HP-UX、macOS、Solaris、FreeBSD 和 OpenBSD)上运行,则应评估此规则组。 此托管规则组会为其评估的 Web 请求添加标签,这些标签可用于在保护包 (Web ACL) 中在此规则组之后运行的规则。 Amazon WAF 还会记录亚马逊 CloudWatch 指标的标签。有关标签和标签指标的一般信息,请参阅 [Web 请求标签](waf-labels.md) 和 [标签指标和维度](waf-metrics.md#waf-metrics-label)。 | 规则名称 | 描述和标签 | | --- | --- | | UNIXShellCommandsVariables\$1QUERYSTRING | 检查查询字符串的值,以查找是否有恶意方试图利用在 Unix 系统上运行的 Web 应用程序中的命令注入、LFI 和路径遍历漏洞。示例包括类似于 `echo $HOME` 和 `echo $PATH` 的模式。 规则操作:Block 标签:`awswaf:managed:aws:posix-os:UNIXShellCommandsVariables_QueryString` | | UNIXShellCommandsVariables\$1BODY | 检查请求正文,以查找是否有恶意方试图利用在 Unix 系统上运行的 Web 应用程序中的命令注入、LFI 和路径遍历漏洞。示例包括类似于 `echo $HOME` 和 `echo $PATH` 的模式。 此规则仅检查请求正文,但不得超过保护包(web ACL)和资源类型的正文大小限制。对于 Application Load Balancer 和 Amazon AppSync,限制固定为 8 KB。对于 CloudFront API Gateway、Amazon Cognito、App Runner 和 Verified Access,默认限制为 16 KB,您可以在保护包 (Web ACL) 配置中将限制提高到 64 KB。此规则使用 `Continue` 选项来处理超大内容。有关更多信息,请参阅 [中的 Web 请求组件过大 Amazon WAF](waf-oversize-request-components.md)。 规则操作:Block 标签:`awswaf:managed:aws:posix-os:UNIXShellCommandsVariables_Body` | | UNIXShellCommandsVariables\$1HEADER | 检查所有请求标头,以查找是否有恶意方试图利用在 Unix 系统上运行的 Web 应用程序中的命令注入、LFI 和路径遍历漏洞。示例包括类似于 `echo $HOME` 和 `echo $PATH` 的模式。 此规则仅检查请求标头的前 8 KB 或前 200 个标头(以先达到的限制为准),并且它使用 `Continue` 选项来处理超大内容。有关更多信息,请参阅 [中的 Web 请求组件过大 Amazon WAF](waf-oversize-request-components.md)。 规则操作:Block 标签:`awswaf:managed:aws:posix-os:UNIXShellCommandsVariables_Header` | ## Windows 操作系统托管规则组 Windows 操作系统 VendorName:`AWS`,名称:`AWSManagedRulesWindowsRuleSet`,WCU:200 **注意** 本文档包含此托管规则组的最新静态版本。我们在 [Amazon 托管规则变更日志](aws-managed-rule-groups-changelog.md) 的更改日志中报告版本变更。有关其他版本的信息,请使用 API 命令[DescribeManagedRuleGroup](https://docs.amazonaws.cn/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)。 我们在 Amazon 托管规则组中发布的规则信息旨在为您提供使用规则所需的信息,而不会向不良行为者提供他们规避规则所需的信息。 如果您需要更多信息,请联系 [Amazon Web Services 支持 中心](https://console.amazonaws.cn/support/home#/)。 Windows 操作系统规则组包含的规则用于阻止与利用 Windows 特有的漏洞(例如远程执行 PowerShell 命令)相关的请求模式。该规则组有助于防止利用允许攻击者运行未经授权的命令或执行恶意代码的漏洞。如果应用程序的任何部分在 Windows 操作系统上运行,则应评估此规则组。 此托管规则组会为其评估的 Web 请求添加标签,这些标签可用于在保护包 (Web ACL) 中在此规则组之后运行的规则。 Amazon WAF 还会记录亚马逊 CloudWatch 指标的标签。有关标签和标签指标的一般信息,请参阅 [Web 请求标签](waf-labels.md) 和 [标签指标和维度](waf-metrics.md#waf-metrics-label)。 | 规则名称 | 描述和标签 | | --- | --- | | WindowsShellCommands\$1COOKIE | 检查 Web 应用程序中是否有 WindowsShell 命令注入尝试的请求 cookie 标头。匹配模式代表WindowsShell 命令。示例模式包括 `\|\|nslookup` 和 `;cmd`。 规则操作:Block 标签:`awswaf:managed:aws:windows-os:WindowsShellCommands_Cookie` | | WindowsShellCommands\$1QUERYARGUMENTS | 检查 Web 应用程序中WindowsShell 命令注入尝试的所有查询参数的值。匹配模式代表WindowsShell 命令。示例模式包括 `\|\|nslookup` 和 `;cmd`。 规则操作:Block 标签:`awswaf:managed:aws:windows-os:WindowsShellCommands_QueryArguments` | | WindowsShellCommands\$1BODY | 检查请求正文中是否有 Web 应用程序中的 WindowsShell 命令注入尝试。匹配模式代表 WindowsShell 命令。示例模式包括 `\|\|nslookup` 和 `;cmd`。 此规则仅检查请求正文,但不得超过保护包(web ACL)和资源类型的正文大小限制。对于 Application Load Balancer 和 Amazon AppSync,限制固定为 8 KB。对于 CloudFront API Gateway、Amazon Cognito、App Runner 和 Verified Access,默认限制为 16 KB,您可以在保护包 (Web ACL) 配置中将限制提高到 64 KB。此规则使用 `Continue` 选项来处理超大内容。有关更多信息,请参阅 [中的 Web 请求组件过大 Amazon WAF](waf-oversize-request-components.md)。 规则操作:Block 标签:`awswaf:managed:aws:windows-os:WindowsShellCommands_Body` | | PowerShellCommands\$1COOKIE | 检查 Web 应用程序中是否有 PowerShell 命令注入尝试的请求 cookie 标头。匹配模式代表PowerShell 命令。例如 `Invoke-Expression`。 规则操作:Block 标签:`awswaf:managed:aws:windows-os:PowerShellCommands_Cookie` | | PowerShellCommands\$1QUERYARGUMENTS | 检查 Web 应用程序中PowerShell 命令注入尝试的所有查询参数的值。匹配模式代表PowerShell 命令。例如 `Invoke-Expression`。 规则操作:Block 标签:`awswaf:managed:aws:windows-os:PowerShellCommands_QueryArguments` | | PowerShellCommands\$1BODY | 检查请求正文中是否有 Web 应用程序中的 PowerShell 命令注入尝试。匹配模式代表 PowerShell 命令。例如 `Invoke-Expression`。 此规则仅检查请求正文,但不得超过保护包(web ACL)和资源类型的正文大小限制。对于 Application Load Balancer 和 Amazon AppSync,限制固定为 8 KB。对于 CloudFront API Gateway、Amazon Cognito、App Runner 和 Verified Access,默认限制为 16 KB,您可以在保护包 (Web ACL) 配置中将限制提高到 64 KB。此规则使用 `Continue` 选项来处理超大内容。有关更多信息,请参阅 [中的 Web 请求组件过大 Amazon WAF](waf-oversize-request-components.md)。 规则操作:Block 标签:`awswaf:managed:aws:windows-os:PowerShellCommands_Body` | ## PHP 应用程序托管规则组 PHP 应用程序 VendorName:`AWS`,名称:`AWSManagedRulesPHPRuleSet`,WCU:100 **注意** 本文档包含此托管规则组的最新静态版本。我们在 [Amazon 托管规则变更日志](aws-managed-rule-groups-changelog.md) 的更改日志中报告版本变更。有关其他版本的信息,请使用 API 命令[DescribeManagedRuleGroup](https://docs.amazonaws.cn/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)。 我们在 Amazon 托管规则组中发布的规则信息旨在为您提供使用规则所需的信息,而不会向不良行为者提供他们规避规则所需的信息。 如果您需要更多信息,请联系 [Amazon Web Services 支持 中心](https://console.amazonaws.cn/support/home#/)。 PHP 应用程序规则组包含阻止请求模式的规则,这些请求模式与利用特定于 PHP 编程语言使用的漏洞相关,包括注入不安全的 PHP 函数。该规则组有助于防止利用允许攻击者远程执行未经授权的代码或命令的漏洞。如果 PHP 安装在与应用程序相连的任何服务器上,则评估此规则组。 此托管规则组会为其评估的 Web 请求添加标签,这些标签可用于在保护包 (Web ACL) 中在此规则组之后运行的规则。 Amazon WAF 还会记录亚马逊 CloudWatch 指标的标签。有关标签和标签指标的一般信息,请参阅 [Web 请求标签](waf-labels.md) 和 [标签指标和维度](waf-metrics.md#waf-metrics-label)。 | 规则名称 | 描述和标签 | | --- | --- | | PHPHighRiskMethodsVariables\$1HEADER | 检查所有标头,以发现 PHP 脚本代码注入尝试。示例模式包括类似 `fsockopen` 和 `$_GET` 超全局变量的函数。 此规则仅检查请求标头的前 8 KB 或前 200 个标头(以先达到的限制为准),并且它使用 `Continue` 选项来处理超大内容。有关更多信息,请参阅 [中的 Web 请求组件过大 Amazon WAF](waf-oversize-request-components.md)。 规则操作:Block 标签:`awswaf:managed:aws:php-app:PHPHighRiskMethodsVariables_Header` | | PHPHighRiskMethodsVariables\$1QUERYSTRING | 检查请求 URL 中第一个 `?` 之后的所有内容,查找 PHP 脚本代码注入尝试。示例模式包括类似 `fsockopen` 和 `$_GET` 超全局变量的函数。 规则操作:Block 标签:`awswaf:managed:aws:php-app:PHPHighRiskMethodsVariables_QueryString` | | PHPHighRiskMethodsVariables\$1BODY | 检查请求主体的值以查找 PHP 脚本代码注入尝试。示例模式包括类似 `fsockopen` 和 `$_GET` 超全局变量的函数。 此规则仅检查请求正文,但不得超过保护包(web ACL)和资源类型的正文大小限制。对于 Application Load Balancer 和 Amazon AppSync,限制固定为 8 KB。对于 CloudFront API Gateway、Amazon Cognito、App Runner 和 Verified Access,默认限制为 16 KB,您可以在保护包 (Web ACL) 配置中将限制提高到 64 KB。此规则使用 `Continue` 选项来处理超大内容。有关更多信息,请参阅 [中的 Web 请求组件过大 Amazon WAF](waf-oversize-request-components.md)。 规则操作:Block 标签:`awswaf:managed:aws:php-app:PHPHighRiskMethodsVariables_Body` | | PHPHighRiskMethodsVariables\$1URIPATH | 检查 PHP 脚本代码注入尝试的请求路径。示例模式包括类似 `fsockopen` 和 `$_GET` 超全局变量的函数。 规则操作:Block 标签:`awswaf:managed:aws:php-app:PHPHighRiskMethodsVariables_URIPath` | ## WordPress 应用程序托管规则组 WordPress 应用程序 VendorName:`AWS`,名称:`AWSManagedRulesWordPressRuleSet`,WCU:100 **注意** 本文档包含此托管规则组的最新静态版本。我们在 [Amazon 托管规则变更日志](aws-managed-rule-groups-changelog.md) 的更改日志中报告版本变更。有关其他版本的信息,请使用 API 命令[DescribeManagedRuleGroup](https://docs.amazonaws.cn/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)。 我们在 Amazon 托管规则组中发布的规则信息旨在为您提供使用规则所需的信息,而不会向不良行为者提供他们规避规则所需的信息。 如果您需要更多信息,请联系 [Amazon Web Services 支持 中心](https://console.amazonaws.cn/support/home#/)。 WordPress 应用程序规则组包含的规则用于阻止与利用特定于WordPress 网站的漏洞相关的请求模式。如果您正在运行,则应评估此规则组WordPress。此规则组应与 [SQL 数据库](#aws-managed-rule-groups-use-case-sql-db) 和 [PHP 应用程序](#aws-managed-rule-groups-use-case-php-app) 规则组一起使用。 此托管规则组会为其评估的 Web 请求添加标签,这些标签可用于在保护包 (Web ACL) 中在此规则组之后运行的规则。 Amazon WAF 还会记录亚马逊 CloudWatch 指标的标签。有关标签和标签指标的一般信息,请参阅 [Web 请求标签](waf-labels.md) 和 [标签指标和维度](waf-metrics.md#waf-metrics-label)。 | 规则名称 | 描述和标签 | | --- | --- | | WordPressExploitableCommands\$1QUERYSTRING | 检查请求查询字符串中是否存在可能在易受攻击的安装或插件中被利用的高风险WordPress 命令。示例模式包括类似于 `do-reset-wordpress` 的命令。 规则操作:Block 标签:`awswaf:managed:aws:wordpress-app:WordPressExploitableCommands_QUERYSTRING` | | WordPressExploitablePaths\$1URIPATH | 检查请求 URI 路径中是否有已知存在容易被利用的漏洞的 WordPress 文件。`xmlrpc.php` 规则操作:Block 标签:`awswaf:managed:aws:wordpress-app:WordPressExploitablePaths_URIPATH` | # IP 声誉规则组 IP 声誉规则组请求源 IP 地址阻止请求。 **注意** 这些规则使用 Web 请求源中的源 IP 地址。如果您的流量通过了一个或多个代理或负载均衡器,则 Web 请求源将包含最后一个代理的地址,而不是客户端的源地址。 如果您希望减少自动程序流量、尝试攻击的风险,或者如果您要对内容强制地理限制,请选择其中一个或多个规则组。有关机器人管理的信息,另请参阅 [Amazon WAF 机器人控制规则组](aws-managed-rule-groups-bot.md)。 此类别中的规则组不提供版本控制或 SNS 更新通知。 ## Amazon IP 声誉列表托管规则组 Amazon IP 声誉列表 VendorName:`AWS`,名称:`AWSManagedRulesAmazonIpReputationList`,WCU:25 **注意** 我们在 Amazon 托管规则组中发布的规则信息旨在为您提供使用规则所需的信息,而不会向不良行为者提供他们规避规则所需的信息。 如果您需要更多信息,请联系 [Amazon Web Services 支持 中心](https://console.amazonaws.cn/support/home#/)。 Amazon IP 声誉列表规则组包含基于 Amazon 内部威胁情报的规则。如果您想阻止通常与自动程序或其他威胁相关联的 IP 地址,此规则组非常有用。阻止这些 IP 地址有助于规避自动程序,并降低恶意人员发现易受攻击的应用程序的风险。 此托管规则组会为其评估的 Web 请求添加标签,这些标签可用于在保护包 (Web ACL) 中在此规则组之后运行的规则。 Amazon WAF 还会记录亚马逊 CloudWatch 指标的标签。有关标签和标签指标的一般信息,请参阅 [Web 请求标签](waf-labels.md) 和 [标签指标和维度](waf-metrics.md#waf-metrics-label)。 | 规则名称 | 描述和标签 | | --- | --- | | AWSManagedIPReputationList | 检查是否存在被确定为积极参与恶意活动的 IP 地址。 Amazon WAF 从各种来源收集 IP 地址列表 MadPot,包括 Amazon 用来保护客户免受网络犯罪侵害的威胁情报工具。有关的更多信息 MadPot,请参阅[https://www.aboutamazon.com/news/aws/amazon-madpot-stops-cybersecurity-crime](https://www.aboutamazon.com/news/aws/amazon-madpot-stops-cybersecurity-crime)。 规则操作:Block 标签:`awswaf:managed:aws:amazon-ip-list:AWSManagedIPReputationList` | | AWSManagedReconnaissanceList | 检查来自正在对 Amazon 资源进行侦察的 IP 地址的连接。 规则操作:Block 标签:`awswaf:managed:aws:amazon-ip-list:AWSManagedReconnaissanceList` | | AWSManagedIPDDoSList | 检查是否有被确定为积极参与 DDo S 活动的 IP 地址。 规则操作:Count 标签:`awswaf:managed:aws:amazon-ip-list:AWSManagedIPDDoSList` | ## 匿名 IP 列表托管规则组 匿名 IP 列表 VendorName:`AWS`,名称:`AWSManagedRulesAnonymousIpList`,WCU:50 **注意** 我们在 Amazon 托管规则组中发布的规则信息旨在为您提供使用规则所需的信息,而不会向不良行为者提供他们规避规则所需的信息。 如果您需要更多信息,请联系 [Amazon Web Services 支持 中心](https://console.amazonaws.cn/support/home#/)。 此匿名 IP 列表包含用于阻止来自以下服务的请求的规则:这些服务允许对查看者身份进行模糊处理。其中包括来自代理VPNs、Tor 节点和虚拟主机提供商的请求。如果要筛选出可能试图从应用程序中隐藏其身份的查看者,则此规则组非常有用。阻止这些服务的 IP 地址有助于减少机器人和规避地域限制。 此托管规则组会为其评估的 Web 请求添加标签,这些标签可用于在保护包 (Web ACL) 中在此规则组之后运行的规则。 Amazon WAF 还会记录亚马逊 CloudWatch 指标的标签。有关标签和标签指标的一般信息,请参阅 [Web 请求标签](waf-labels.md) 和 [标签指标和维度](waf-metrics.md#waf-metrics-label)。 | 规则名称 | 描述和标签 | | --- | --- | | AnonymousIPList | 检查已知用于匿名处理客户端信息的源的 IP 地址列表,例如 TOR 节点、临时代理和其他遮蔽服务。 规则操作:Block 标签:`awswaf:managed:aws:anonymous-ip-list:AnonymousIPList` | | HostingProviderIPList | 检查来自 Web 托管和云提供程序的 IP 地址列表,这些提供程序不太可能产生最终用户流量。IP 列表不包括 Amazon IP 地址。 规则操作:Block 标签:`awswaf:managed:aws:anonymous-ip-list:HostingProviderIPList` | # Amazon WAF 欺诈控制账户创建防作弊 (ACFP) 规则组 账户创建欺诈预防规则组更新了 ACFP 托管规则组 更正了规则 `VolumetricIPSuccessfulResponse` 和 `VolumetricSessionSuccessfulResponse` 的标签信息。新 ACFP 托管规则组 使用新规则组 `AWSManagedRulesACFPRuleSet` 来检测和阻止欺诈账户创建尝试。 本节说明了 Amazon WAF 欺诈控制账户创建防作弊 (ACFP) 托管规则组的作用。 VendorName:`AWS`,名称:`AWSManagedRulesACFPRuleSet`,WCU:50 **注意** 本文档包含此托管规则组的最新静态版本。我们在 [Amazon 托管规则变更日志](aws-managed-rule-groups-changelog.md) 的更改日志中报告版本变更。有关其他版本的信息,请使用 API 命令[DescribeManagedRuleGroup](https://docs.amazonaws.cn/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)。 我们在 Amazon 托管规则组中发布的规则信息旨在为您提供使用规则所需的信息,而不会向不良行为者提供他们规避规则所需的信息。 如果您需要更多信息,请联系 [Amazon Web Services 支持 中心](https://console.amazonaws.cn/support/home#/)。 F Amazon WAF raud Control 账户创建防欺诈 (ACFP) 管理的规则组可以标记和管理可能属于欺诈性账户创建尝试的请求。规则组通过检查客户端发送到应用程序的注册和账户创建端点的账户创建请求来实现此目的。 ACFP 规则组以各种方式检查账户创建尝试,让您可以查看和控制潜在的恶意交互。规则组使用请求令牌来收集有关客户端浏览器的信息以及有关创建账户创建请求时的人机交互级别的信息。该规则组按 IP 地址和客户端会话汇总请求,并按提供的账户信息(例如实际地址和电话号码)进行聚合,以检测和管理批量创建账户的尝试。此外,该规则组会检测并阻止使用已泄露的凭证创建新账户,从而保护应用程序和新用户的安全状况。 ## 使用此规则组的注意事项 使用此规则组 此规则组需要自定义配置,其中包括应用程序的账户注册和账户创建路径的规范。除非另有说明,否则此规则组中的规则会检查您的客户端发送到这两个端点的所有请求。如需配置和实施此规则组,请参阅 [Amazon WAF 欺诈控制账户创建欺诈预防 (ACFP)](waf-acfp.md) 中的指导。 **注意** 使用此托管规则组时,您需要额外付费。有关更多信息,请参阅[Amazon WAF 定价](https://www.amazonaws.cn/waf/pricing/)。 此规则组是 Amazon WAF中智能威胁缓解保护的一部分。有关信息,请参阅[中的智能威胁缓解 Amazon WAF](waf-managed-protections.md)。 为了降低成本并确保您可以根据需要管理 Web 流量,请按照 [中智能缓解威胁的最佳实践 Amazon WAF](waf-managed-protections-best-practices.md) 中的指导使用此规则组。 此规则组不可与 Amazon Cognito 用户群体一起使用。您无法将使用此规则组的保护包(web ACL)与用户池相关联,也无法将此规则组添加到已与用户池关联的保护包(web ACL)中。 ## 此规则组添加的标签 此规则组添加的标签 此托管规则组会为其评估的 Web 请求添加标签,这些标签可用于在保护包 (Web ACL) 中在此规则组之后运行的规则。 Amazon WAF 还会记录亚马逊 CloudWatch 指标的标签。有关标签和标签指标的一般信息,请参阅 [Web 请求标签](waf-labels.md) 和 [标签指标和维度](waf-metrics.md#waf-metrics-label)。 ### 令牌标签 令牌标签 该规则组使用 Amazon WAF 令牌管理根据令牌的状态检查和标 Amazon WAF 记 Web 请求。 Amazon WAF 使用令牌进行客户端会话跟踪和验证。 有关令牌和令牌管理的信息,请参阅 [代币在 Amazon WAF 智能威胁缓解中的使用](waf-tokens.md)。 有关此处描述的标签组件的信息,请参阅 [中的标签语法和命名要求 Amazon WAF](waf-rule-label-requirements.md)。 **客户端会话标签** 该标签`awswaf:managed:token:id:identifier`包含一个唯一标识符, Amazon WAF 令牌管理使用该标识符来标识客户端会话。如果客户端获取了新令牌,例如在丢弃其正在使用的令牌之后,标识符可能会更改。 **注意** Amazon WAF 不报告该标签的 Amazon CloudWatch 指标。 **浏览器指纹标签** 该标签`awswaf:managed:token:fingerprint:fingerprint-identifier`包含一个强大的浏览器指纹标识符, Amazon WAF 令牌管理根据各种客户端浏览器信号计算该标识符。多次尝试获取令牌时,此标识符保持不变。指纹标识符并非仅属于单个客户端。 **注意** Amazon WAF 不报告该标签的 Amazon CloudWatch 指标。 **令牌状态标签:标签命名空间前缀** 令牌状态标签报告令牌的状态、质询以及其中包含的 CAPTCHA 信息。 每个令牌状态标签都以下列命名空间前缀之一开头: + `awswaf:managed:token:`:用于报告令牌的一般状态以及令牌的质询信息的状态。 + `awswaf:managed:captcha:`:用于报告令牌的 CAPTCHA 信息的状态。 **令牌状态标签:标签名称** 在前缀之后,标签的其余部分提供详细的令牌状态信息: + `accepted`:请求令牌存在且包含以下内容: + 有效的质询或 CAPTCHA 解决方案。 + 未过期的质询或 CAPTCHA 时间戳。 + 对保护包(web ACL)有效的域规范。 示例:标签 `awswaf:managed:token:accepted` 表明 web 请求的令牌具有有效的质询解决方案、未过期的质询时间戳以及有效的域。 + `rejected`:请求令牌存在但不符合接受标准。 除了被拒绝的标签外,令牌管理还添加了一个自定义标签命名空间和名称来指示原因。 + `rejected:not_solved`:令牌缺少质询或 CAPTCHA 解决方案。 + `rejected:expired`:根据保护包(web ACL)配置的令牌免疫时间,令牌的质询或 CAPTCHA 时间戳已过期。 + `rejected:domain_mismatch`:令牌的域与保护包(web ACL)的令牌域配置不匹配。 + `rejected:invalid`— Amazon WAF 无法读取指示的标记。 示例:标签 `awswaf:managed:captcha:rejected` 和 `awswaf:managed:captcha:rejected:expired` 共同表示请求未提供有效的 CAPTCHA 解决方案,因为令牌中的 CAPTCHA 时间戳已超过保护包(web ACL)中配置的 CAPTCHA 令牌免疫时间。 + `absent`:请求没有令牌,或者令牌管理器无法读取它。 示例:标签 `awswaf:managed:captcha:absent` 表示请求没有令牌。 ### ACFP 标签 ACFP 标签 该规则组生成带有命名空间前缀 `awswaf:managed:aws:acfp:` 的标签,后接自定义命名空间和标签名称。规则组可能会向一个请求添加多个标签。 您可以通过调用 `DescribeManagedRuleGroup` 从 API 检索一个规则组的所有标签。标签列在响应的 `AvailableLabels` 属性中。 ## 账户创建欺诈预防规则列表 规则列表 此部分列出了 `AWSManagedRulesACFPRuleSet` 中的 ACFP 规则以及规则组的规则添加到 Web 请求的标签。 该规则组中的所有规则都需要 Web 请求令牌,但前两个 `UnsupportedCognitoIDP` 和 `AllRequests` 除外。有关令牌提供的信息的描述,请参阅 [Amazon WAF 代币特征](waf-tokens-details.md)。 除非另有说明,否则此规则组中的规则会检查您的客户端发送到您在规则组配置中提供的账户注册和账户创建页面路径的所有请求。有关配置此规则组的信息,请参阅 [Amazon WAF 欺诈控制账户创建欺诈预防 (ACFP)](waf-acfp.md)。 **注意** 本文档包含此托管规则组的最新静态版本。我们在 [Amazon 托管规则变更日志](aws-managed-rule-groups-changelog.md) 的更改日志中报告版本变更。有关其他版本的信息,请使用 API 命令[DescribeManagedRuleGroup](https://docs.amazonaws.cn/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)。 我们在 Amazon 托管规则组中发布的规则信息旨在为您提供使用规则所需的信息,而不会向不良行为者提供他们规避规则所需的信息。 如果您需要更多信息,请联系 [Amazon Web Services 支持 中心](https://console.amazonaws.cn/support/home#/)。 | 规则名称 | 描述和标签 | | --- | --- | | UnsupportedCognitoIDP | 检查流向 Amazon Cognito 用户群体的 Web 流量。ACFP 不可用于 Amazon Cognito 用户群体,此规则有助于确保不使用其他 ACFP 规则组规则来评估用户群体流量。 规则操作:Block 标签:`awswaf:managed:aws:acfp:unsupported:cognito_idp` 和 `awswaf:managed:aws:acfp:UnsupportedCognitoIDP` | | AllRequests | 将规则操作应用于访问注册页面路径的请求。在配置规则组时可以配置注册页面路径。 默认情况下,此规则会将 Challenge 应用于请求。通过应用此操作,该规则可确保在规则组中的其余规则评估任何请求之前,客户端获得质询令牌。 确保您的最终用户在提交账户创建请求之前加载注册页面路径。 令牌通过客户端应用程序集成 SDKs 以及规则操作CAPTCHA和添加到请求中Challenge。为了获得最高效的代币,我们强烈建议您使用应用程序集成 SDKs。有关更多信息,请参阅 [中的客户端应用程序集成 Amazon WAF](waf-application-integration.md)。 规则操作:Challenge 标签:无 | | RiskScoreHigh | 检查是否存在 IP 地址或其他被认为高度可疑因素的账户创建请求。这种评估通常基于多个影响因素,您可以在规则组添加到请求的 `risk_score` 标签中看到这些因素。 规则操作:Block 标签:`awswaf:managed:aws:acfp:risk_score:high` 和 `awswaf:managed:aws:acfp:RiskScoreHigh` 该规则也可能适用于该请求 `medium` 或 `low` 风险评分标签。 如果 Amazon WAF 无法成功评估 Web 请求的风险评分,则该规则会添加标签 `awswaf:managed:aws:acfp:risk_score:evaluation_failed ` 此外,该规则还添加了带有命名空间的标签 `awswaf:managed:aws:acfp:risk_score:contributor:`,其中包括风险评分评估状态和特定风险评分贡献者的结果,例如 IP 声誉和被盗凭证评估。 | | SignalCredentialCompromised | 在被盗凭证数据库中搜索在账户创建请求中提交的凭证。 此规则可确保新客户以积极的安全态势初始化其账户。 您可以添加自定义阻止响应,向最终用户描述问题并告诉他们如何继续操作。有关信息,请参阅[ACFP 示例:针对被泄漏凭证的自定义响应](waf-acfp-control-example-compromised-credentials.md)。 规则操作:Block 标签:`awswaf:managed:aws:acfp:signal:credential_compromised` 和 `awswaf:managed:aws:acfp:SignalCredentialCompromised` 规则组应用以下相关标签,但不对其采取任何操作,因为并非所有账户创建中的请求都具有凭证:`awswaf:managed:aws:acfp:signal:missing_credential` | | SignalClientHumanInteractivityAbsentLow | 检查账户创建请求的令牌中是否有数据表明人机应用程序交互出现异常。人机交互通过鼠标移动、按键等交互来检测。如果页面有 HTML 表单,则人机交互包括与表单的交互。 此规则仅检查对账户创建路径的请求,并且仅在您实现了应用程序集成 SDKs后才会进行评估。软件开发工具包实施以被动方式捕获人机交互并将信息存储在请求令牌中。有关更多信息,请参阅 [Amazon WAF 代币特征](waf-tokens-details.md) 和 [中的客户端应用程序集成 Amazon WAF](waf-application-integration.md)。 规则操作:CAPTCHA 标签:无。该规则根据不同的因素确定匹配项,因此没有适用于所有可能的匹配场景的单独标签。 规则组可以将下列一个或多个标签应用于请求: `awswaf:managed:aws:acfp:signal:client:human_interactivity:low\|medium\|high` `awswaf:managed:aws:acfp:SignalClientHumanInteractivityAbsentLow\|Medium\|High` `awswaf:managed:aws:acfp:signal:client:human_interactivity:insufficient_data` `awswaf:managed:aws:acfp:signal:form_detected`. | | AutomatedBrowser | 检查是否显示客户端浏览器可能已自动运行。 规则操作:Block 标签:`awswaf:managed:aws:acfp:signal:automated_browser` 和 `awswaf:managed:aws:acfp:AutomatedBrowser` | | BrowserInconsistency | 检查请求的令牌是否存在不一致的浏览器询问数据。有关更多信息,请参阅 [Amazon WAF 代币特征](waf-tokens-details.md)。 规则操作:CAPTCHA 标签:`awswaf:managed:aws:acfp:signal:browser_inconsistency` 和 `awswaf:managed:aws:acfp:BrowserInconsistency` | | VolumetricIpHigh | 检查从各个 IP 地址发送的高流量账户创建请求。高流量是指在 10 分钟的窗口内超过 20 个请求。 由于延迟,此规则适用的阈值可能略有不同。对于高流量,在应用规则操作之前,一些请求可能会超出限制。 规则操作:CAPTCHA 标签:`awswaf:managed:aws:acfp:aggregate:volumetric:ip:creation:high` 和 `awswaf:managed:aws:acfp:VolumetricIpHigh` 该规则将以下标签应用于中流量(每 10 分钟窗口内超过 15 个请求)和低流量(每 10 分钟窗口内超过 10 个请求)的请求,但不对它们采取任何操作:`awswaf:managed:aws:acfp:aggregate:volumetric:ip:creation:medium` 和 `awswaf:managed:aws:acfp:aggregate:volumetric:ip:creation:low`。 | | VolumetricSessionHigh | 检查来自各个客户端会话的高流量账户创建请求。高流量是指在 30 分钟的窗口内超过 10 个请求。 由于延迟,此规则适用的阈值可能略有不同。在应用规则操作之前,一些请求可能会超出限制。 规则操作:Block 标签:`awswaf:managed:aws:acfp:aggregate:volumetric:session:creation:high` 和 `awswaf:managed:aws:acfp:VolumetricSessionHigh` 该规则组将以下标签应用于中流量(每 30 分钟窗口内超过 5 个请求)和低流量(每 30 分钟窗口内超过 1 个请求)的请求,但不对它们采取任何操作:`awswaf:managed:aws:acfp:aggregate:volumetric:session:creation:medium` 和 `awswaf:managed:aws:acfp:aggregate:volumetric:session:creation:low`。 | | AttributeUsernameTraversalHigh | 检查单个客户端会话中是否存在使用不同用户名的高流量账户创建请求。高流量的阈值为 30 分钟内超过 10 个请求。 由于延迟,此规则适用的阈值可能略有不同。在应用规则操作之前,一些请求可能会超出限制。 规则操作:Block 标签:`awswaf:managed:aws:acfp:aggregate:attribute:username_traversal:creation:high` 和 `awswaf:managed:aws:acfp:AttributeUsernameTraversalHigh` 该规则将以下标签应用于中流量(每 30 分钟窗口内超过 5 个请求)和低流量(每 30 分钟窗口内超过 1 个请求)的用户名遍历请求,但不对它们采取任何操作:`awswaf:managed:aws:acfp:aggregate:attribute:username_traversal:creation:medium` 和 `awswaf:managed:aws:acfp:aggregate:attribute:username_traversal:creation:low`。 | | VolumetricPhoneNumberHigh | 检查是否存在使用相同电话号码的高流量账户创建请求。高流量的阈值为 30 分钟内超过 10 个请求。 由于延迟,此规则适用的阈值可能略有不同。在应用规则操作之前,一些请求可能会超出限制。 规则操作:Block 标签:`awswaf:managed:aws:acfp:aggregate:volumetric:phone_number:high` 和 `awswaf:managed:aws:acfp:VolumetricPhoneNumberHigh` 该规则组将以下标签应用于中流量(每 30 分钟窗口内超过 5 个请求)和低流量(每 30 分钟窗口内超过 1 个请求)的请求,但不对它们采取任何操作:`awswaf:managed:aws:acfp:aggregate:volumetric:phone_number:medium` 和 `awswaf:managed:aws:acfp:aggregate:volumetric:phone_number:low`。 | | VolumetricAddressHigh | 检查是否存在使用相同物理地址的高流量账户创建请求。高流量的阈值为每 30 分钟窗口内超过 100 个请求。 由于延迟,此规则适用的阈值可能略有不同。在应用规则操作之前,一些请求可能会超出限制。 规则操作:Block 标签:`awswaf:managed:aws:acfp:aggregate:volumetric:address:high` 和 `awswaf:managed:aws:acfp:VolumetricAddressHigh` | | VolumetricAddressLow | 检查是否存在使用相同物理地址的中流量和低流量账户创建请求。中流量的阈值为每 30 分钟窗口超过 50 个请求,而低流量的阈值为每 30 分钟窗口超过 10 个请求。 该规则适用于中流量或低流量。 由于延迟,此规则适用的阈值可能略有不同。在应用规则操作之前,一些请求可能会超出限制。 规则操作:CAPTCHA 标签:`awswaf:managed:aws:acfp:aggregate:volumetric:address:low\|medium` 和 `awswaf:managed:aws:acfp:VolumetricAddressLow\|Medium` | | VolumetricIPSuccessfulResponse | 检查是否存在针对单个 IP 地址的高流量创建账户成功请求。此规则汇总了受保护资源对账户创建请求的成功响应。高流量的阈值为每 10 分钟窗口内超过 10 个请求。 此规则有助于防止批量创建账户的尝试。它的阈值低于仅计算请求的规则 `VolumetricIpHigh`。 如果您已将规则组配置为检查响应正文或 JSON 组件,则 Amazon WAF 可以检查这些组件类型的前 65,536 字节 (64 KB) 以查看成功或失败指示器。 此规则根据受保护资源对最近来自相同 IP 地址的登录尝试的成功和失败响应,将规则操作和标签应用于来自某个 IP 地址的新 Web 请求。在配置规则组时,您可以定义如何计算成功和失败。 Amazon WAF 仅在保护 Amazon CloudFront 分销的保护包 (Web ACLs) 中评估此规则。 由于延迟,此规则适用的阈值可能略有不同。在规则开始匹配后续尝试之前,客户端发送账户创建成功尝试的次数可能会超过允许的次数。 规则操作:Block 标签:`awswaf:managed:aws:acfp:aggregate:volumetric:ip:successful_creation_response:high` 和 `awswaf:managed:aws:acfp:VolumetricIPSuccessfulResponse` 该规则组还将以下相关标签应用于请求,但没有任何关联操作。所有计数均适用 10 分钟窗口。`awswaf:managed:aws:acfp:aggregate:volumetric:ip:successful_creation_response:medium` 对应超过 5 个成功请求,`awswaf:managed:aws:acfp:aggregate:volumetric:ip:successful_creation_response:low` 对应超过 1 个成功请求,`awswaf:managed:aws:acfp:aggregate:volumetric:ip:failed_creation_response:high` 对应超过 10 个失败请求,`awswaf:managed:aws:acfp:aggregate:volumetric:ip:failed_creation_response:medium` 对应超过 5 个失败请求,`awswaf:managed:aws:acfp:aggregate:volumetric:ip:failed_creation_response:low` 对应超过 1 个失败请求。 | | VolumetricSessionSuccessfulResponse | 检查受保护资源对从单个客户端会话发送的账户创建请求是否有低流量成功响应。这有助于防止批量创建账户的尝试。低流量的阈值为每 30 分钟窗口内超过 1 个请求。 这有助于防止批量创建账户的尝试。此规则使用的阈值低于仅跟踪请求的规则 `VolumetricSessionHigh`。 如果您已将规则组配置为检查响应正文或 JSON 组件,则 Amazon WAF 可以检查这些组件类型的前 65,536 字节 (64 KB) 以查看成功或失败指示器。 此规则根据受保护资源对最近来自相同客户端会话的登录尝试的成功和失败响应,将规则操作和标签应用于来自某个客户端会话的新 Web 请求。在配置规则组时,您可以定义如何计算成功和失败。 Amazon WAF 仅在保护 Amazon CloudFront 分销的保护包 (Web ACLs) 中评估此规则。 由于延迟,此规则适用的阈值可能略有不同。在规则开始匹配后续尝试之前,客户端发送账户创建失败尝试的次数可能会超过允许的次数。 规则操作:Block 标签:`awswaf:managed:aws:acfp:aggregate:volumetric:session:successful_creation_response:low` 和 `awswaf:managed:aws:acfp:VolumetricSessionSuccessfulResponse` 该规则组还将以下相关标签应用于请求。所有计数均适用 30 分钟窗口。`awswaf:managed:aws:acfp:aggregate:volumetric:session:successful_creation_response:high` 对应超过 10 个成功请求,`awswaf:managed:aws:acfp:aggregate:volumetric:session:successful_creation_response:medium` 对应超过 5个成功请求,`awswaf:managed:aws:acfp:aggregate:volumetric:session:failed_creation_response:high` 对应超过 10 个失败请求,`awswaf:managed:aws:acfp:aggregate:volumetric:session:failed_creation_response:medium` 对应超过 5 个失败请求,`awswaf:managed:aws:acfp:aggregate:volumetric:session:failed_creation_response:low` 对应超过 1 个失败请求。 | | VolumetricSessionTokenReuseIp | 检查是否存在账户创建请求在 5 个以上不同 IP 地址中使用同一令牌。 由于延迟,此规则适用的阈值可能略有不同。在应用规则操作之前,一些请求可能会超出限制。 规则操作:Block 标签:`awswaf:managed:aws:acfp:aggregate:volumetric:session:creation:token_reuse:ip` 和 `awswaf:managed:aws:acfp:VolumetricSessionTokenReuseIp` | # Amazon WAF 防欺诈控制账户盗用 (ATP) 规则组 账户盗用防护规则组更新了 ATP 托管规则组 更正了规则 `VolumetricIpFailedLoginResponseHigh` 和 `VolumetricSessionFailedLoginResponseHigh` 的标签信息。 本节介绍 Amazon WAF 欺诈控制账户接管预防 (ATP) 托管规则组的作用。 VendorName:`AWS`,名称:`AWSManagedRulesATPRuleSet`,WCU:50 **注意** 本文档包含此托管规则组的最新静态版本。我们在 [Amazon 托管规则变更日志](aws-managed-rule-groups-changelog.md) 的更改日志中报告版本变更。有关其他版本的信息,请使用 API 命令[DescribeManagedRuleGroup](https://docs.amazonaws.cn/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)。 我们在 Amazon 托管规则组中发布的规则信息旨在为您提供使用规则所需的信息,而不会向不良行为者提供他们规避规则所需的信息。 如果您需要更多信息,请联系 [Amazon Web Services 支持 中心](https://console.amazonaws.cn/support/home#/)。 F Amazon WAF raud Control 账户盗用预防 (ATP) 管理的规则组标记并管理可能属于恶意账户接管尝试的请求。规则组通过检查客户端发送到应用程序登录端点的登录尝试来实现此目的。 + **请求检查** – ATP 允许您查看和控制异常登录尝试和使用被盗凭证的登录尝试,以防止可能导致欺诈活动的账户盗用。ATP 根据被盗凭证数据库检查电子邮件和密码组合,当在暗网上发现新的泄露凭证时,会定期更新。ATP 按 IP 地址和客户端会话汇总数据,以检测和阻止发送过多可疑请求的客户端。 + **响应检查**-对于 CloudFront 分配,除了检查传入的登录请求外,ATP 规则组还会检查您的应用程序对登录尝试的响应,以跟踪成功率和失败率。利用这些信息,ATP 可以暂时阻止登录失败次数过多的客户端会话或 IP 地址。 Amazon WAF 会异步执行响应检查,因此不会增加 Web流量的延迟。 ## 使用此规则组的注意事项 使用此规则组 此规则组需要特定配置。如需配置和实施此规则组,请参阅 [Amazon WAF 防欺诈控制账户接管 (ATP)](waf-atp.md) 中的指导。 此规则组是 Amazon WAF中智能威胁缓解保护的一部分。有关信息,请参阅[中的智能威胁缓解 Amazon WAF](waf-managed-protections.md)。 **注意** 使用此托管规则组时,您需要额外付费。有关更多信息,请参阅[Amazon WAF 定价](https://www.amazonaws.cn/waf/pricing/)。 为了降低成本并确保您可以根据需要管理 Web 流量,请按照 [中智能缓解威胁的最佳实践 Amazon WAF](waf-managed-protections-best-practices.md) 中的指导使用此规则组。 此规则组不可与 Amazon Cognito 用户群体一起使用。您无法将使用此规则组的保护包(web ACL)与用户池相关联,也无法将此规则组添加到已与用户池关联的保护包(web ACL)中。 ## 此规则组添加的标签 此规则组添加的标签 此托管规则组会为其评估的 Web 请求添加标签,这些标签可用于在保护包 (Web ACL) 中在此规则组之后运行的规则。 Amazon WAF 还会记录亚马逊 CloudWatch 指标的标签。有关标签和标签指标的一般信息,请参阅 [Web 请求标签](waf-labels.md) 和 [标签指标和维度](waf-metrics.md#waf-metrics-label)。 ### 令牌标签 令牌标签 该规则组使用 Amazon WAF 令牌管理根据令牌的状态检查和标 Amazon WAF 记 Web 请求。 Amazon WAF 使用令牌进行客户端会话跟踪和验证。 有关令牌和令牌管理的信息,请参阅 [代币在 Amazon WAF 智能威胁缓解中的使用](waf-tokens.md)。 有关此处描述的标签组件的信息,请参阅 [中的标签语法和命名要求 Amazon WAF](waf-rule-label-requirements.md)。 **客户端会话标签** 该标签`awswaf:managed:token:id:identifier`包含一个唯一标识符, Amazon WAF 令牌管理使用该标识符来标识客户端会话。如果客户端获取了新令牌,例如在丢弃其正在使用的令牌之后,标识符可能会更改。 **注意** Amazon WAF 不报告该标签的 Amazon CloudWatch 指标。 **浏览器指纹标签** 该标签`awswaf:managed:token:fingerprint:fingerprint-identifier`包含一个强大的浏览器指纹标识符, Amazon WAF 令牌管理根据各种客户端浏览器信号计算该标识符。多次尝试获取令牌时,此标识符保持不变。指纹标识符并非仅属于单个客户端。 **注意** Amazon WAF 不报告该标签的 Amazon CloudWatch 指标。 **令牌状态标签:标签命名空间前缀** 令牌状态标签报告令牌的状态、质询以及其中包含的 CAPTCHA 信息。 每个令牌状态标签都以下列命名空间前缀之一开头: + `awswaf:managed:token:`:用于报告令牌的一般状态以及令牌的质询信息的状态。 + `awswaf:managed:captcha:`:用于报告令牌的 CAPTCHA 信息的状态。 **令牌状态标签:标签名称** 在前缀之后,标签的其余部分提供详细的令牌状态信息: + `accepted`:请求令牌存在且包含以下内容: + 有效的质询或 CAPTCHA 解决方案。 + 未过期的质询或 CAPTCHA 时间戳。 + 对保护包(web ACL)有效的域规范。 示例:标签 `awswaf:managed:token:accepted` 表明 web 请求的令牌具有有效的质询解决方案、未过期的质询时间戳以及有效的域。 + `rejected`:请求令牌存在但不符合接受标准。 除了被拒绝的标签外,令牌管理还添加了一个自定义标签命名空间和名称来指示原因。 + `rejected:not_solved`:令牌缺少质询或 CAPTCHA 解决方案。 + `rejected:expired`:根据保护包(web ACL)配置的令牌免疫时间,令牌的质询或 CAPTCHA 时间戳已过期。 + `rejected:domain_mismatch`:令牌的域与保护包(web ACL)的令牌域配置不匹配。 + `rejected:invalid`— Amazon WAF 无法读取指示的标记。 示例:标签 `awswaf:managed:captcha:rejected` 和 `awswaf:managed:captcha:rejected:expired` 共同表示请求未提供有效的 CAPTCHA 解决方案,因为令牌中的 CAPTCHA 时间戳已超过保护包(web ACL)中配置的 CAPTCHA 令牌免疫时间。 + `absent`:请求没有令牌,或者令牌管理器无法读取它。 示例:标签 `awswaf:managed:captcha:absent` 表示请求没有令牌。 ### ATP 标签 ATP 标签 ATP 托管规则组生成带有命名空间前缀 `awswaf:managed:aws:atp:` 的标签,后接自定义命名空间和标签名称。 除了规则列表中注明的标签外,规则组还可以添加以下任何标签: + `awswaf:managed:aws:atp:signal:credential_compromised`:表示在请求中提交的凭证位于被盗凭证数据库中。 + `awswaf:managed:aws:atp:aggregate:attribute:suspicious_tls_fingerprint`— 仅适用于受保护的 Amazon CloudFront 分配。表示客户端会话发送了多个使用可疑 TLS 指纹的请求。 + `awswaf:managed:aws:atp:aggregate:volumetric:session:token_reuse:ip`:表示有 5 个以上不同的 IP 地址使用同一令牌。由于延迟,此规则适用的阈值可能略有不同。在应用标签之前,一些请求可能会超出限制。 您可以通过调用 `DescribeManagedRuleGroup` 从 API 检索一个规则组的所有标签。标签列在响应的 `AvailableLabels` 属性中。 ## 账户盗用防护规则列表 规则列表 此部分列出了 `AWSManagedRulesATPRuleSet` 中的 ATP 规则以及规则组的规则添加到 Web 请求的标签。 **注意** 本文档包含此托管规则组的最新静态版本。我们在 [Amazon 托管规则变更日志](aws-managed-rule-groups-changelog.md) 的更改日志中报告版本变更。有关其他版本的信息,请使用 API 命令[DescribeManagedRuleGroup](https://docs.amazonaws.cn/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)。 我们在 Amazon 托管规则组中发布的规则信息旨在为您提供使用规则所需的信息,而不会向不良行为者提供他们规避规则所需的信息。 如果您需要更多信息,请联系 [Amazon Web Services 支持 中心](https://console.amazonaws.cn/support/home#/)。 | 规则名称 | 描述和标签 | | --- | --- | | UnsupportedCognitoIDP | 检查流向 Amazon Cognito 用户群体的 Web 流量。ATP 不可用于 Amazon Cognito 用户群体,此规则有助于确保不使用其他 ATP 规则组规则来评估用户群体流量。 规则操作:Block 标签:`awswaf:managed:aws:atp:unsupported:cognito_idp` 和 `awswaf:managed:aws:atp:UnsupportedCognitoIDP` | | VolumetricIpHigh | 检查从各个 IP 地址发送的高流量请求。高流量是指在 10 分钟的窗口内超过 20 个请求。 由于延迟,此规则适用的阈值可能略有不同。对于高流量,在应用规则操作之前,一些请求可能会超出限制。 规则操作:Block 标签:`awswaf:managed:aws:atp:aggregate:volumetric:ip:high` 和 `awswaf:managed:aws:atp:VolumetricIpHigh` 该规则组将以下标签应用于中流量(每 10 分钟窗口内超过 15 个请求)和低流量(每 10 分钟窗口内超过 10 个请求)的请求,但不对它们采取任何操作:`awswaf:managed:aws:atp:aggregate:volumetric:ip:medium` 和 `awswaf:managed:aws:atp:aggregate:volumetric:ip:low`。 | | VolumetricSession | 检查来自各个客户端会话的高流量请求。其阈值为每 30 分钟窗口内超过 20 个请求。 仅当 Web 请求具有令牌时,此检查才适用。通过应用程序集成 SDKs 和规则操作将令牌添加到请求中,CAPTCHA以及Challenge。有关更多信息,请参阅 [代币在 Amazon WAF 智能威胁缓解中的使用](waf-tokens.md)。 由于延迟,此规则适用的阈值可能略有不同。在应用规则操作之前,一些请求可能会超出限制。 规则操作:Block 标签:`awswaf:managed:aws:atp:aggregate:volumetric:session` 和 `awswaf:managed:aws:atp:VolumetricSession` | | AttributeCompromisedCredentials | 检查来自同一个客户端会话的多个使用被盗凭证的请求。 规则操作:Block 标签:`awswaf:managed:aws:atp:aggregate:attribute:compromised_credentials` 和 `awswaf:managed:aws:atp:AttributeCompromisedCredentials` | | AttributeUsernameTraversal | 检查来自同一个客户端会话的多个使用用户名遍历的请求。 规则操作:Block 标签:`awswaf:managed:aws:atp:aggregate:attribute:username_traversal` 和 `awswaf:managed:aws:atp:AttributeUsernameTraversal` | | AttributePasswordTraversal | 检查采用相同用户名并使用密码遍历的多个请求。 规则操作:Block 标签:`awswaf:managed:aws:atp:aggregate:attribute:password_traversal` 和 `awswaf:managed:aws:atp:AttributePasswordTraversal` | | AttributeLongSession | 检查来自同一个客户端会话的多个使用长时间对话的请求。阈值流量超过为 6 小时,而且每 30 分钟至少有一次登录请求。 仅当 Web 请求具有令牌时,此检查才适用。通过应用程序集成 SDKs 和规则操作将令牌添加到请求中,CAPTCHA以及Challenge。有关更多信息,请参阅 [代币在 Amazon WAF 智能威胁缓解中的使用](waf-tokens.md)。 规则操作:Block 标签:`awswaf:managed:aws:atp:aggregate:attribute:long_session` 和 `awswaf:managed:aws:atp:AttributeLongSession` | | TokenRejected | 检查是否有令牌管理部门拒绝的带有令 Amazon WAF 牌的请求。 仅当 Web 请求具有令牌时,此检查才适用。通过应用程序集成 SDKs 和规则操作将令牌添加到请求中,CAPTCHA以及Challenge。有关更多信息,请参阅 [代币在 Amazon WAF 智能威胁缓解中的使用](waf-tokens.md)。 规则操作:Block 标签:无。要检查令牌是否被拒绝,请使用标签匹配规则在标签上进行匹配:`awswaf:managed:token:rejected`。 | | SignalMissingCredential | 检查是否存在缺少用户名或密码的凭证的请求。 规则操作:Block 标签:`awswaf:managed:aws:atp:signal:missing_credential` 和 `awswaf:managed:aws:atp:SignalMissingCredential` | | VolumetricIpFailedLoginResponseHigh | 检查最近是否存在导致登录尝试失败率过高的 IP 地址。高流量是指在 10 分钟窗口内来自某个 IP 地址的登录请求失败超过 10 个。 如果您已将规则组配置为检查响应正文或 JSON 组件,则 Amazon WAF 可以检查这些组件类型的前 65,536 字节 (64 KB) 以查看成功或失败指示器。 此规则根据受保护资源对最近来自相同 IP 地址的登录尝试的成功和失败响应,将规则操作和标签应用于来自某个 IP 地址的新 Web 请求。在配置规则组时,您可以定义如何计算成功和失败。 Amazon WAF 仅在保护 Amazon CloudFront 分销的保护包 (Web ACLs) 中评估此规则。 由于延迟,此规则适用的阈值可能略有不同。在规则开始匹配后续尝试之前,客户端发送登录失败尝试的次数可能会超过允许的次数。 规则操作:Block 标签:`awswaf:managed:aws:atp:aggregate:volumetric:ip:failed_login_response:high` 和 `awswaf:managed:aws:atp:VolumetricIpFailedLoginResponseHigh` 该规则组还将以下相关标签应用于请求,但没有任何关联操作。所有计数均适用 10 分钟窗口。`awswaf:managed:aws:atp:aggregate:volumetric:ip:failed_login_response:medium` 对应超过 5 个失败请求,`awswaf:managed:aws:atp:aggregate:volumetric:ip:failed_login_response:low` 对应超过 1 个失败请求,`awswaf:managed:aws:atp:aggregate:volumetric:ip:successful_login_response:high` 对应超过 10 个成功请求,`awswaf:managed:aws:atp:aggregate:volumetric:ip:successful_login_response:medium` 对应超过 5 个成功请求,`awswaf:managed:aws:atp:aggregate:volumetric:ip:successful_login_response:low` 对应超过 1 个成功请求。 | | VolumetricSessionFailedLoginResponseHigh | 检查最近是否存在导致登录尝试失败率过高的客户端会话。高流量是指在 30 分钟窗口内来自某个客户端会话的登录请求失败超过 10 个。 如果您已将规则组配置为检查响应正文或 JSON 组件,则 Amazon WAF 可以检查这些组件类型的前 65,536 字节 (64 KB) 以查看成功或失败指示器。 此规则根据受保护资源对最近来自相同客户端会话的登录尝试的成功和失败响应,将规则操作和标签应用于来自某个客户端会话的新 Web 请求。在配置规则组时,您可以定义如何计算成功和失败。 Amazon WAF 仅在保护 Amazon CloudFront 分销的保护包 (Web ACLs) 中评估此规则。 由于延迟,此规则适用的阈值可能略有不同。在规则开始匹配后续尝试之前,客户端发送登录失败尝试的次数可能会超过允许的次数。 仅当 Web 请求具有令牌时,此检查才适用。通过应用程序集成 SDKs 和规则操作将令牌添加到请求中,CAPTCHA以及Challenge。有关更多信息,请参阅 [代币在 Amazon WAF 智能威胁缓解中的使用](waf-tokens.md)。 规则操作:Block 标签:`awswaf:managed:aws:atp:aggregate:volumetric:session:failed_login_response:high` 和 `awswaf:managed:aws:atp:VolumetricSessionFailedLoginResponseHigh` 该规则组还将以下相关标签应用于请求,但没有任何关联操作。所有计数均适用 30 分钟窗口。`awswaf:managed:aws:atp:aggregate:volumetric:session:failed_login_response:medium` 对应超过 5 个失败请求,`awswaf:managed:aws:atp:aggregate:volumetric:session:failed_login_response:low` 对应超过 1 个失败请求,`awswaf:managed:aws:atp:aggregate:volumetric:session:successful_login_response:high` 对应超过 10 个成功请求,`awswaf:managed:aws:atp:aggregate:volumetric:session:successful_login_response:medium` 对应超过 5 个成功请求,`awswaf:managed:aws:atp:aggregate:volumetric:session:successful_login_response:low` 对应超过 1 个成功请求。 | # Amazon WAF 机器人控制规则组 机器人控制功能规则组AI 代理 Bot Control 托管规则组的新 Web 身份验证标签。 Bot Control 托管规则组现在支持 Web Bot 身份验证 (WBA) 作为机器人和 AI 代理访问您的 CloudFront 分配的加密验证方法。此功能使合法的 AI 爬虫和代理无需传统的质询响应机制即可证明其身份。机器人控制功能规则组移除了请求 CSP 的信号标签 机器人控制功能规则组删除了表示云服务提供商(CSP)的信号标签。用于请求 CSP 的机器人控制功能规则组信号标签 机器人控制功能托管规则组信号标签包括一个表示云服务提供商(CSP)的标签。机器人控制功能托管规则组中的新目标保护级别 机器人控制功能托管规则组现在额外提供定向规则,用于检测和缓解复杂机器人。此保护级别需额外付费。 本节介绍了机器人控制功能托管规则组的用途。 VendorName:`AWS`,名称:`AWSManagedRulesBotControlRuleSet`,WCU:50 **注意** 本文档包含此托管规则组的最新静态版本。我们在 [Amazon 托管规则变更日志](aws-managed-rule-groups-changelog.md) 的更改日志中报告版本变更。有关其他版本的信息,请使用 API 命令[DescribeManagedRuleGroup](https://docs.amazonaws.cn/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)。 我们在 Amazon 托管规则组中发布的规则信息旨在为您提供使用规则所需的信息,而不会向不良行为者提供他们规避规则所需的信息。 如果您需要为机器人控制功能请求新的机器人分类或需要此处未涵盖的其他信息,请联系 [Amazon Web Services 支持 中心](https://console.amazonaws.cn/support/home#/)。 机器人控制功能托管规则组提供管理来自机器人的请求的规则。机器人可能会消耗过多的资源,歪曲业务指标,导致停机以及执行恶意活动。 ## 保护级别 保护级别 机器人控制功能托管规则组提供两种保护级别供您选择: + **常见**:检测各种自我识别的机器人,例如 web 抓取框架、搜索引擎和自动浏览器。此级别的机器人控制功能保护使用传统的机器人检测技术(例如静态请求数据分析)来识别常见的机器人。这些规则会标记来自这些机器人的流量,并阻止他们无法验证的流量。 + **定向**:包括通用级保护,并针对无法自我识别的复杂机器人添加定向检测。目标保护结合了速率限制和验证码以及后台浏览器质询,缓解了机器人活动。 + **`TGT_`**:提供目标保护的规则的名称以 `TGT_` 开头。所有目标保护都使用浏览器查询、指纹识别和行为启发式等检测技术来识别恶意机器人流量。 + **`TGT_ML_`**:使用机器学习的目标保护规则的名称以 `TGT_ML_` 开头。这些规则使用对网站流量统计数据的自动机器学习分析来检测表明分布式、协调的机器人活动的异常行为。 Amazon WAF 分析有关您的网站流量的统计信息,例如时间戳、浏览器特征和之前访问的 URL,以改进 Bot Control 机器学习模型。默认情况下,机器学习功能处于启用状态,但您可以在规则组配置中将其禁用。禁用机器学习时, Amazon WAF 不评估这些规则。 目标保护级别和 Amazon WAF 基于速率的规则声明均提供速率限制。有关两个选项的对比,请参阅 [基于速率的规则和定向机器人控制功能规则中的速率限制选项](waf-rate-limiting-options.md)。 ## 使用此规则组的注意事项 使用此规则组 此规则组是 Amazon WAF中智能威胁缓解保护的一部分。有关信息,请参阅[中的智能威胁缓解 Amazon WAF](waf-managed-protections.md)。 **注意** 使用此托管规则组时,您需要额外付费。有关更多信息,请参阅[Amazon WAF 定价](https://www.amazonaws.cn/waf/pricing/)。 为了降低成本并确保您可以根据需要管理 Web 流量,请按照 [中智能缓解威胁的最佳实践 Amazon WAF](waf-managed-protections-best-practices.md) 中的指导使用此规则组。 我们定期更新基于机器学习的目标保护级规则的机器学习(ML)模型,从而改进机器人预测。基于机器学习的规则采用以 `TGT_ML_` 开头的名称。如果发现这些规则进行的机器人预测突然发生重大变化,请通过您的客户经理联系我们,或在 [Amazon Web Services 支持 Center](https://console.amazonaws.cn/support/home#/) 开启一个案例。 ## 此规则组添加的标签 此规则组添加的标签 此托管规则组会为其评估的 Web 请求添加标签,这些标签可用于在保护包 (Web ACL) 中在此规则组之后运行的规则。 Amazon WAF 还会记录亚马逊 CloudWatch 指标的标签。有关标签和标签指标的一般信息,请参阅 [Web 请求标签](waf-labels.md) 和 [标签指标和维度](waf-metrics.md#waf-metrics-label)。 ### 令牌标签 令牌标签 该规则组使用 Amazon WAF 令牌管理根据令牌的状态检查和标 Amazon WAF 记 Web 请求。 Amazon WAF 使用令牌进行客户端会话跟踪和验证。 有关令牌和令牌管理的信息,请参阅 [代币在 Amazon WAF 智能威胁缓解中的使用](waf-tokens.md)。 有关此处描述的标签组件的信息,请参阅 [中的标签语法和命名要求 Amazon WAF](waf-rule-label-requirements.md)。 **客户端会话标签** 该标签`awswaf:managed:token:id:identifier`包含一个唯一标识符, Amazon WAF 令牌管理使用该标识符来标识客户端会话。如果客户端获取了新令牌,例如在丢弃其正在使用的令牌之后,标识符可能会更改。 **注意** Amazon WAF 不报告该标签的 Amazon CloudWatch 指标。 **浏览器指纹标签** 该标签`awswaf:managed:token:fingerprint:fingerprint-identifier`包含一个强大的浏览器指纹标识符, Amazon WAF 令牌管理根据各种客户端浏览器信号计算该标识符。多次尝试获取令牌时,此标识符保持不变。指纹标识符并非仅属于单个客户端。 **注意** Amazon WAF 不报告该标签的 Amazon CloudWatch 指标。 **令牌状态标签:标签命名空间前缀** 令牌状态标签报告令牌的状态、质询以及其中包含的 CAPTCHA 信息。 每个令牌状态标签都以下列命名空间前缀之一开头: + `awswaf:managed:token:`:用于报告令牌的一般状态以及令牌的质询信息的状态。 + `awswaf:managed:captcha:`:用于报告令牌的 CAPTCHA 信息的状态。 **令牌状态标签:标签名称** 在前缀之后,标签的其余部分提供详细的令牌状态信息: + `accepted`:请求令牌存在且包含以下内容: + 有效的质询或 CAPTCHA 解决方案。 + 未过期的质询或 CAPTCHA 时间戳。 + 对保护包(web ACL)有效的域规范。 示例:标签 `awswaf:managed:token:accepted` 表明 web 请求的令牌具有有效的质询解决方案、未过期的质询时间戳以及有效的域。 + `rejected`:请求令牌存在但不符合接受标准。 除了被拒绝的标签外,令牌管理还添加了一个自定义标签命名空间和名称来指示原因。 + `rejected:not_solved`:令牌缺少质询或 CAPTCHA 解决方案。 + `rejected:expired`:根据保护包(web ACL)配置的令牌免疫时间,令牌的质询或 CAPTCHA 时间戳已过期。 + `rejected:domain_mismatch`:令牌的域与保护包(web ACL)的令牌域配置不匹配。 + `rejected:invalid`— Amazon WAF 无法读取指示的标记。 示例:标签 `awswaf:managed:captcha:rejected` 和 `awswaf:managed:captcha:rejected:expired` 共同表示请求未提供有效的 CAPTCHA 解决方案,因为令牌中的 CAPTCHA 时间戳已超过保护包(web ACL)中配置的 CAPTCHA 令牌免疫时间。 + `absent`:请求没有令牌,或者令牌管理器无法读取它。 示例:标签 `awswaf:managed:captcha:absent` 表示请求没有令牌。 ### 机器人控制功能标签 机器人控制功能标签 机器人控制功能托管规则组生成带有命名空间前缀的标签,`awswaf:managed:aws:bot-control:`后面是自定义命名空间和标签名称。规则组可能会向一个请求添加多个标签。 每个标签都反映了机器人控制功能规则的调查发现: + `awswaf:managed:aws:bot-control:bot:`:有关与请求关联的机器人的信息。 + `awswaf:managed:aws:bot-control:bot:name:`:机器人名称(如有),如自定义命名空间 `bot:name:slurp`、`bot:name:googlebot` 和 `bot:name:pocket_parser`。 + `awswaf:managed:aws:bot-control:bot:name:`— 使用 WBA 签名中的 RFC 产品令牌识别特定的机器人。这用于为特定的机器人创建精细的自定义规则。例如,允许`GoogleBot`但限制其他爬虫的速率。 + `awswaf:managed:aws:bot-control:bot:category:`— 机器人的类别,例如 Amazon WAF,由`bot:category:search_engine`和定义`bot:category:content_fetcher`。 + `awswaf:managed:aws:bot-control:bot:account:`—仅适用于使用 Amazon Bedrock Agent Core 的机器人。此标签包含一个不透明的哈希值,用于唯一标识拥有代理的 Amazon 账户。使用此标签创建自定义规则,允许、屏蔽或限制来自特定 Amazon 账户的机器人,而无需在日志中暴露账户 IDs 。 + `awswaf:managed:aws:bot-control:bot:web_bot_auth:`— 在对请求执行 Web 机器人身份验证 (WBA) 验证时适用。状态后缀表示验证结果: + `web_bot_auth:verified`— 根据公钥目录成功验证签名 + `web_bot_auth:invalid`— 签名存在,但密码验证失败 + `web_bot_auth:expired`— 签名使用了过期的加密密钥 + `web_bot_auth:unknown_bot`— 在密钥目录中找不到密钥 ID **注意** 如果`web_bot_auth:verified`标签存在,`TGT_TokenAbsent`则`CategoryAI`和规则不匹配,允许经过验证的 WBA 主机继续操作。 + `awswaf:managed:aws:bot-control:bot:organization:`:机器人的发布者,如 `bot:organization:google`。 + `awswaf:managed:aws:bot-control:bot:verified`:用于表示可以识别自己并且机器人控制功能已经能够验证的机器人。这用于常见的理想机器人,与类别标签(例如 `bot:category:search_engine` 或 `bot:name:googlebot` 等名称标签)结合使用时可能很有效。 **注意** 机器人控制功能使用来自 Web 请求源的 IP 地址来帮助确定机器人是否经过验证。您无法将其配置为使用 Amazon WAF 转发的 IP 配置来检查其他 IP 地址源。如果您已验证通过代理或负载均衡器进行路由的机器人,则可以添加一条在机器人控制功能规则组之前运行的规则来帮助解决此问题。将您的新规则配置为使用转发 IP 地址,并明确允许来自已验证机器人的请求。有关使用转发 IP 地址的信息,请参阅 [在中使用转发的 IP 地址 Amazon WAF](waf-rule-statement-forwarded-ip-address.md)。 + `awswaf:managed:aws:bot-control:bot:vendor:`— 标识经过验证的机器人的供应商或运营商。目前仅适用于 Agentcore。用于创建自定义规则,允许或屏蔽特定的机器人供应商,而不考虑各个机器人名称。 + `awswaf:managed:aws:bot-control:bot:user_triggered:verified`:用于表示类似于已验证机器人,但最终用户可以直接调用的机器人。机器人控制功能规则将此类机器人视为未经验证的机器人。 + `awswaf:managed:aws:bot-control:bot:developer_platform:verified`:用于表示类似于已验证机器人,但开发者平台使用它来编写脚本的机器人,例如 Google Apps 脚本。机器人控制功能规则将此类机器人视为未经验证的机器人。 + `awswaf:managed:aws:bot-control:bot:unverified`:用于表示可以识别自己的机器人,因此可以对其进行命名和分类,但它不会发布可用于独立验证其身份的信息。这些类型的机器人签名可能会被伪造,因此被视为未经验证。 + `awswaf:managed:aws:bot-control:targeted: `:用于机器人控制功能目标保护的特定标签。 + `awswaf:managed:aws:bot-control:signal:` 和 `awswaf:managed:aws:bot-control:targeted:signal: `:用于在某些情况下提供有关请求的更多信息。 以下是信号标签的示例。该列表并不完整: + `awswaf:managed:aws:bot-control:signal:cloud_service_provider:`:表示该请求的云服务提供商(CSP)。示例 CSPs 包括`aws`亚马逊 Web Services 基础架构、`gcp`谷歌云平台 (GCP) 基础架构、`azure`微软 Azure 云服务和 `oracle` Oracle 云服务。 + `awswaf:managed:aws:bot-control:targeted:signal:browser_automation_extension`:表示检测到有助于自动化的浏览器扩展,如 SeleniumIDE。 只要用户安装了这种类型的扩展,即使他们没有积极使用它,也会添加此标签。如果为此实施标签匹配规则,请注意规则逻辑和操作设置中存在误报的可能性。例如,您可以使用 CAPTCHA 操作代替 Block,或者可以将此标签匹配与其他标签匹配相结合,以增强您对正在使用自动化的信心。 + `awswaf:managed:aws:bot-control:signal:automated_browser`:表示请求包含表明客户端浏览器可能已自动运行的指标。 + `awswaf:managed:aws:bot-control:targeted:signal:automated_browser`— 表示请求的 Amazon WAF 令牌包含表明客户端浏览器可能已自动运行的指标。 您可以通过调用 `DescribeManagedRuleGroup` 从 API 检索一个规则组的所有标签。标签列在响应的 `AvailableLabels` 属性中。 机器人控制功能托管规则组将标签应用于一组通常允许的可验证机器人。规则组不会阻止这些已验证机器人。如果需要,您可以编写使用机器人控制功能托管规则组所应用的标签的自定义规则,以阻止这些机器人或其中的一部分。有关此项与示例的更多信息,请参阅 [Amazon WAF 机器人控制](waf-bot-control.md)。 ## 机器人控制功能规则列表 规则列表 此部分列出了机器人控制功能规则。 **注意** 本文档包含此托管规则组的最新静态版本。我们在 [Amazon 托管规则变更日志](aws-managed-rule-groups-changelog.md) 的更改日志中报告版本变更。有关其他版本的信息,请使用 API 命令[DescribeManagedRuleGroup](https://docs.amazonaws.cn/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)。 我们在 Amazon 托管规则组中发布的规则信息旨在为您提供使用规则所需的信息,而不会向不良行为者提供他们规避规则所需的信息。 如果您需要为机器人控制功能请求新的机器人分类或需要此处未涵盖的其他信息,请联系 [Amazon Web Services 支持 中心](https://console.amazonaws.cn/support/home#/)。 | 规则名称 | 说明 | | --- | --- | | CategoryAdvertising | 检查是否存在用于广告目的的机器人。例如,您可能会使用第三方广告服务,这些服务需要以编程方式访问您的网站。 规则操作,仅适用于未经验证的机器人:Block 标签:`awswaf:managed:aws:bot-control:bot:category:advertising` 和 `awswaf:managed:aws:bot-control:CategoryAdvertising` 对于已验证机器人,规则组不匹配此规则,不采取任何行动,但会添加机器人名称以及规则标签和标签 `awswaf:managed:aws:bot-control:bot:verified`。 | | CategoryArchiver | 检查是否存在用于存档目的的机器人。这些机器人会爬网并捕获内容以创建档案。 规则操作,仅适用于未经验证的机器人:Block 标签:`awswaf:managed:aws:bot-control:bot:category:archiver` 和 `awswaf:managed:aws:bot-control:CategoryArchiver` 对于已验证机器人,规则组不匹配此规则,不采取任何行动,但会添加机器人名称以及规则标签和标签 `awswaf:managed:aws:bot-control:bot:verified`。 | | CategoryContentFetcher | 检查是否存在代表用户访问应用程序网站、获取 RSS feed 等内容或验证您的内容的机器人。 规则操作,仅适用于未经验证的机器人:Block 标签:`awswaf:managed:aws:bot-control:bot:category:content_fetcher` 和 `awswaf:managed:aws:bot-control:CategoryContentFetcher` 对于已验证机器人,规则组不匹配此规则,不采取任何行动,但会添加机器人名称以及规则标签和标签 `awswaf:managed:aws:bot-control:bot:verified`。 | | CategoryEmailClient | 检查是否存在检查电子邮件中指向应用程序网站的链接的机器人。这可能包括企业和电子邮件提供程序运行的机器人,用于验证电子邮件中的链接并举报可疑电子邮件。 规则操作,仅适用于未经验证的机器人:Block 标签:`awswaf:managed:aws:bot-control:bot:category:email_client` 和 `awswaf:managed:aws:bot-control:CategoryEmailClient` 对于已验证机器人,规则组不匹配此规则,不采取任何行动,但会添加机器人名称以及规则标签和标签 `awswaf:managed:aws:bot-control:bot:verified`。 | | CategoryHttpLibrary | 检查机器人从各种编程语言的 HTTP 库中生成的请求。其中可能包括您选择允许或监控的 API 请求。 规则操作,仅适用于未经验证的机器人:Block 标签:`awswaf:managed:aws:bot-control:bot:category:http_library` 和 `awswaf:managed:aws:bot-control:CategoryHttpLibrary` 对于已验证机器人,规则组不匹配此规则,不采取任何行动,但会添加机器人名称以及规则标签和标签 `awswaf:managed:aws:bot-control:bot:verified`。 | | CategoryLinkChecker | 检查是否存在检查断开链接的机器人。 规则操作,仅适用于未经验证的机器人:Block 标签:`awswaf:managed:aws:bot-control:bot:category:link_checker` 和 `awswaf:managed:aws:bot-control:CategoryLinkChecker` 对于已验证机器人,规则组不匹配此规则,不采取任何行动,但会添加机器人名称以及规则标签和标签 `awswaf:managed:aws:bot-control:bot:verified`。 | | CategoryMiscellaneous | 检查是否存在与其他类别不匹配的其他机器人。 规则操作,仅适用于未经验证的机器人:Block 标签:`awswaf:managed:aws:bot-control:bot:category:miscellaneous` 和 `awswaf:managed:aws:bot-control:CategoryMiscellaneous` 对于已验证机器人,规则组不匹配此规则,不采取任何行动,但会添加机器人名称以及规则标签和标签 `awswaf:managed:aws:bot-control:bot:verified`。 | | CategoryMonitoring | 检查是否存在用于监控目的的机器人。例如,您可以使用机器人监控服务,这些服务会定期对应用程序网站执行 Ping 操作,以监控性能和正常运行时间等信息。 规则操作,仅适用于未经验证的机器人:Block 标签:`awswaf:managed:aws:bot-control:bot:category:monitoring` 和 `awswaf:managed:aws:bot-control:CategoryMonitoring` 对于已验证机器人,规则组不匹配此规则,不采取任何行动,但会添加机器人名称以及规则标签和标签 `awswaf:managed:aws:bot-control:bot:verified`。 | | CategoryPagePreview | 检查在消息平台、社交媒体或协作工具上共享内容时生成页面预览和链接预览的机器人。 规则操作,仅适用于未经验证的机器人:Block 标签:`awswaf:managed:aws:bot-control:bot:category:page_preview` 和 `awswaf:managed:aws:bot-control:CategoryPagePreview` 对于已验证机器人,规则组不匹配此规则,不采取任何行动,但会添加机器人名称以及规则标签和标签 `awswaf:managed:aws:bot-control:bot:verified`。 | | CategoryScrapingFramework | 检查来自网页抓取框架的机器人,这些框架用于自动爬取和从网站提取内容。 规则操作,仅适用于未经验证的机器人:Block 标签:`awswaf:managed:aws:bot-control:bot:category:scraping_framework` 和 `awswaf:managed:aws:bot-control:CategoryScrapingFramework` 对于已验证机器人,规则组不匹配此规则,不采取任何行动,但会添加机器人名称以及规则标签和标签 `awswaf:managed:aws:bot-control:bot:verified`。 | | CategorySearchEngine | 检查是否存在搜索引擎机器人,这些机器人会抓取网站以进行内容索引并提供信息以生成搜索引擎结果。 规则操作,仅适用于未经验证的机器人:Block 标签:`awswaf:managed:aws:bot-control:bot:category:search_engine` 和 `awswaf:managed:aws:bot-control:CategorySearchEngine` 对于已验证机器人,规则组不匹配此规则,不采取任何行动,但会添加机器人名称以及规则标签和标签 `awswaf:managed:aws:bot-control:bot:verified`。 | | CategorySecurity | 检查是否存在扫描 Web 应用程序漏洞或执行安全审核的机器人。例如,您可以使用第三方安全供应商来扫描、监控或审核 Web 应用程序的安全性。 规则操作,仅适用于未经验证的机器人:Block 标签:`awswaf:managed:aws:bot-control:bot:category:security` 和 `awswaf:managed:aws:bot-control:CategorySecurity` 对于已验证机器人,规则组不匹配此规则,不采取任何行动,但会添加机器人名称以及规则标签和标签 `awswaf:managed:aws:bot-control:bot:verified`。 | | CategorySeo | 检查用于搜索引擎优化的机器人。例如,您可以使用搜索引擎工具来抓取您的网站,以帮助您提高搜索引擎排名。 规则操作,仅适用于未经验证的机器人:Block 标签:`awswaf:managed:aws:bot-control:bot:category:seo` 和 `awswaf:managed:aws:bot-control:CategorySeo` 对于已验证机器人,规则组不匹配此规则,不采取任何行动,但会添加机器人名称以及规则标签和标签 `awswaf:managed:aws:bot-control:bot:verified`。 | | CategorySocialMedia | 检查社交媒体平台是否使用机器人,以便在用户共享您的内容时提供内容摘要。 规则操作,仅适用于未经验证的机器人:Block 标签:`awswaf:managed:aws:bot-control:bot:category:social_media` 和 `awswaf:managed:aws:bot-control:CategorySocialMedia` 对于已验证机器人,规则组不匹配此规则,不采取任何行动,但会添加机器人名称以及规则标签和标签 `awswaf:managed:aws:bot-control:bot:verified`。 | | CategoryWebhooks | 检查是否有通过 HTTP 回调将自动通知和数据更新从一个应用程序发送到另一个应用程序的机器人。 规则操作,仅适用于未经验证的机器人:Block 标签:`awswaf:managed:aws:bot-control:bot:category:webhooks` 和 `awswaf:managed:aws:bot-control:CategoryWebhooks` 对于已验证机器人,规则组不匹配此规则,不采取任何行动,但会添加机器人名称以及规则标签和标签 `awswaf:managed:aws:bot-control:bot:verified`。 | | CategoryAI | 检查是否存在人工智能(AI)机器人。 无论机器人是否经过验证,此规则都将该操作应用于所有匹配项。 规则操作:Block 标签:`awswaf:managed:aws:bot-control:bot:category:ai` 和 `awswaf:managed:aws:bot-control:CategoryAI` 对于经过验证的机器人,此规则组与该规则匹配并采取行动。此外还添加了机器人名称和类别标签、规则标签以及标签 `awswaf:managed:aws:bot-control:bot:verified`。 | | SignalAutomatedBrowser | 检查并非来自已验证机器人的请求中是否显示客户端浏览器可能已自动运行。自动浏览器可用于测试或抓取。例如,您可以使用这些类型的浏览器来监控或验证您的应用程序网站。 规则操作:Block 标签:`awswaf:managed:aws:bot-control:signal:automated_browser` 和 `awswaf:managed:aws:bot-control:SignalAutomatedBrowser` 对于经过验证的机器人,此规则组与该规则不匹配,且不应用任何信号或规则标签。 | | SignalKnownBotDataCenter | 检查并非来自已验证机器人的请求中是否显示有机器人通常使用的数据中心。 规则操作:Block 标签:`awswaf:managed:aws:bot-control:signal:known_bot_data_center` 和 `awswaf:managed:aws:bot-control:SignalKnownBotDataCenter` 对于经过验证的机器人,此规则组与该规则不匹配,且不应用任何信号或规则标签。 | | SignalNonBrowserUserAgent | 检查并非来自已验证机器人的请求,了解是否存在似乎并非来自 Web 浏览器的用户代理字符串。此类别可以包括 API 请求。 规则操作:Block 标签:`awswaf:managed:aws:bot-control:signal:non_browser_user_agent` 和 `awswaf:managed:aws:bot-control:SignalNonBrowserUserAgent` 对于经过验证的机器人,此规则组与该规则不匹配,且不应用任何信号或规则标签。 | | TGT\$1VolumetricIpTokenAbsent | 检查并非来自已验证机器人的请求,了解在过去 5 分钟内是否有 5 个或更多来自一个客户端的不含有效质询令牌的请求。有关 [代币在 Amazon WAF 智能威胁缓解中的使用](waf-tokens.md) 令牌的更多信息,请参阅。 如果来自同一客户端的请求最近缺少令牌,则此规则可能会与具有令牌的请求相匹配。 由于延迟,此规则适用的阈值可能略有不同。 此规则对缺失令牌的处理方式与令牌标签不同:`awswaf:managed:token:absent`。令牌标签会标记没有令牌的单个请求。此规则会为每个客户端 IP 保留缺少令牌的请求计数,并与超过限制的客户端进行匹配。 规则操作:Challenge 标签:`awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:ip:token_absent` 和 `awswaf:managed:aws:bot-control:TGT_VolumetricIpTokenAbsent` | | TGT\$1TokenAbsent | 检查并非来自已验证机器人的请求是否不含有效质询令牌。有关 [代币在 Amazon WAF 智能威胁缓解中的使用](waf-tokens.md) 令牌的更多信息,请参阅。 规则操作:Count 标签:`awswaf:managed:aws:bot-control:TGT_TokenAbsent` | | TGT\$1VolumetricSession | 检查客户端会话在任意 5 分钟窗口内是否出现并非来自已验证机器人的异常大量请求。该评估基于与使用历史交通模式 Amazon WAF 保持的标准体积基线的比较。 仅当 Web 请求具有令牌时,此检查才适用。通过应用程序集成 SDKs 和规则操作将令牌添加到请求中,CAPTCHA以及Challenge。有关更多信息,请参阅 [代币在 Amazon WAF 智能威胁缓解中的使用](waf-tokens.md)。 启用后,此规则可能需要 5 分钟才能生效。Bot Control 通过将当前流量与计算的流量基线进行比较来识别网络流量中的异常行为。 Amazon WAF 规则操作:CAPTCHA 标签:`awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:session:high` 和 `awswaf:managed:aws:bot-control:TGT_VolumetricSession` 规则组将以下标签应用于高于最低阈值的中流量和较低流量的请求。对于这些级别,无论客户端是否经过验证,该规则都不采取任何行动:`awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:session:medium` 和 `awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:session:low`。 | | TGT\$1VolumetricSessionMaximum | 检查客户端会话在任意 5 分钟窗口内是否出现并非来自已验证机器人的异常大量请求。该评估基于与使用历史交通模式 Amazon WAF 保持的标准体积基线的比较。 此规则表示评估的最大可信度。 仅当 Web 请求具有令牌时,此检查才适用。通过应用程序集成 SDKs 和规则操作将令牌添加到请求中,CAPTCHA以及Challenge。有关更多信息,请参阅 [代币在 Amazon WAF 智能威胁缓解中的使用](waf-tokens.md)。 启用后,此规则可能需要 5 分钟才能生效。Bot Control 通过将当前流量与计算的流量基线进行比较来识别网络流量中的异常行为。 Amazon WAF 规则操作:Block 标签:`awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:session:maximum` 和 `awswaf:managed:aws:bot-control:TGT_VolumetricSessionMaximum` | | TGT\$1SignalAutomatedBrowser | 检查并非来自已验证机器人的请求的令牌,以了解是否有迹象表明客户端浏览器可能已自动运行。有关更多信息,请参阅 [Amazon WAF 代币特征](waf-tokens-details.md)。 仅当 Web 请求具有令牌时,此检查才适用。通过应用程序集成 SDKs 和规则操作将令牌添加到请求中,CAPTCHA以及Challenge。有关更多信息,请参阅 [代币在 Amazon WAF 智能威胁缓解中的使用](waf-tokens.md)。 规则操作:CAPTCHA 标签:`awswaf:managed:aws:bot-control:targeted:signal:automated_browser` 和 `awswaf:managed:aws:bot-control:TGT_SignalAutomatedBrowser` | | TGT\$1SignalBrowserAutomationExtension | 检查并非来自已验证机器人的请求是否显示存在有助于自动化的浏览器扩展,比如 Selenium IDE。只要用户安装了这种类型的扩展,即使他们没有积极使用它,此规则都匹配。 仅当 Web 请求具有令牌时,此检查才适用。通过应用程序集成 SDKs 和规则操作将令牌添加到请求中,CAPTCHA以及Challenge。有关更多信息,请参阅 [代币在 Amazon WAF 智能威胁缓解中的使用](waf-tokens.md)。 规则操作:CAPTCHA 标签:`awswaf:managed:aws:bot-control:targeted:signal:browser_automation_extension` 和 `awswaf:managed:aws:bot-control:TGT_SignalBrowserAutomationExtension` | | TGT\$1SignalBrowserInconsistency | 检查并非来自已验证机器人的请求是否存在不一致的浏览器询问数据。有关更多信息,请参阅 [Amazon WAF 代币特征](waf-tokens-details.md)。 仅当 Web 请求具有令牌时,此检查才适用。通过应用程序集成 SDKs 和规则操作将令牌添加到请求中,CAPTCHA以及Challenge。有关更多信息,请参阅 [代币在 Amazon WAF 智能威胁缓解中的使用](waf-tokens.md)。 规则操作:CAPTCHA 标签:`awswaf:managed:aws:bot-control:targeted:signal:browser_inconsistency` 和 `awswaf:managed:aws:bot-control:TGT_SignalBrowserInconsistency` | | TGT\$1ML\$1CoordinatedActivityLow, TGT\$1ML\$1CoordinatedActivityMedium, TGT\$1ML\$1CoordinatedActivityHigh | 检查并非来自已验证机器人的请求是否存在与分布式、协调的机器人活动一致的异常行为。规则级别表示一组请求参与协调攻击的可信度。 仅当规则组配置为使用机器学习(ML)时,这些规则才会运行。有关配置此选择的信息,请参阅 [将 Amazon WAF Bot Control 托管规则组添加到 Web ACL](waf-bot-control-rg-using.md)。 由于延迟,这些规则适用的阈值可能略有不同。在应用规则操作之前,一些请求可能会超出限制。 Amazon WAF 通过机器学习分析网站流量统计数据来执行此检查。 Amazon WAF 每隔几分钟分析一次网络流量,并优化分析以检测分布在许多 IP 地址上的低强度、持续时间长的机器人。 在确定未进行协调攻击之前,这些规则可能与极少数请求相匹配。因此,如果您只看到一两个匹配项,则结果可能是误报。但是,如果您看到很多符合这些规则的匹配项,那么您可能正在经历协调攻击。 使用 ML 选项启用机器人控制功能定向规则后,这些规则可能需要长达 24 小时才能生效。Bot Control 通过将当前流量与计算出的流量基线进行比较来识别网络流量中的异常行为。 Amazon WAF Amazon WAF 仅在您使用带有 ML 选项的 Bot Control 目标规则时才计算基线,并且最多可能需要 24 小时才能建立有意义的基准。 我们定期更新这些规则的机器学习模型,从而改进机器人预测。如果发现这些规则进行的机器人预测突然发生重大变化,请联系您的客户经理,或在 [Amazon Web Services 支持 Center](https://console.amazonaws.cn/support/home#/) 开启一个案例。 规则操作: [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/waf/latest/developerguide/aws-managed-rule-groups-bot.html) 标签:`awswaf:managed:aws:bot-control:targeted:aggregate:coordinated_activity:low\|medium\|high` 和 `awswaf:managed:aws:bot-control:TGT_ML_CoordinatedActivityLow\|Medium\|High` | | TGT\$1TokenReuseIpLow, TGT\$1TokenReuseIpMedium, TGT\$1TokenReuseIpHigh | 检查不是来自经过验证的机器人的请求,以便在过去 5 分钟内使用多个令牌 IPs 中的单个令牌。每个级别对不同级别的数量都有限制 IPs: [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/waf/latest/developerguide/aws-managed-rule-groups-bot.html) 由于延迟,这些规则适用的阈值可能略有不同。在应用规则操作之前,一些请求可能会超出限制。 规则操作: [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/waf/latest/developerguide/aws-managed-rule-groups-bot.html) 标签:`awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:session:token_reuse:ip:low\|medium\|high` 和 `awswaf:managed:aws:bot-control:TGT_TokenReuseIpLow\|Medium\|High` | | TGT\$1TokenReuseCountryLow, TGT\$1TokenReuseCountryMedium, TGT\$1TokenReuseCountryHigh | 检查并非来自已验证机器人的请求在过去 5 分钟内是否有多个国家/地区共用一个令牌。每个级别对不同国家/地区的数量都有一个限制。 [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/waf/latest/developerguide/aws-managed-rule-groups-bot.html) 由于延迟,这些规则适用的阈值可能略有不同。在应用规则操作之前,一些请求可能会超出限制。 规则操作: [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/waf/latest/developerguide/aws-managed-rule-groups-bot.html) 标签:`awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:session:token_reuse:country:low\|medium\|high` 和 `awswaf:managed:aws:bot-control:TGT_TokenReuseCountryLow\|Medium\|High` | | TGT\$1TokenReuseAsnLow, TGT\$1TokenReuseAsnMedium, TGT\$1TokenReuseAsnHigh | 在过去 5 分钟内,检查不是来自经过验证的机器人在多个网络自治系统编号 (ASNs) 上使用单个令牌的请求。每个级别对不同级别的数量都有限制 ASNs: [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/waf/latest/developerguide/aws-managed-rule-groups-bot.html) 由于延迟,这些规则适用的阈值可能略有不同。在应用规则操作之前,一些请求可能会超出限制。 规则操作: [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/waf/latest/developerguide/aws-managed-rule-groups-bot.html) 标签:`awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:session:token_reuse:asn:low\|medium\|high` 和 `awswaf:managed:aws:bot-control:TGT_TokenReuseAsnLow\|Medium\|High` | # Amazon WAF 分布式拒绝服务 (DDoS) 防护规则组 反 DDo S 规则组新的 Ant DDo i-S 托管规则组 Amazon WAF `AWSManagedRulesAntiDDoSRuleSet`通过检测、标记和质疑涉嫌参与 DDo S 攻击的请求来保护您的资源。 本节介绍用于防范分布式拒绝服务 (DDoS) 攻击的 Amazon WAF 托管规则组。 VendorName:`AWS`,名称:`AWSManagedRulesAntiDDoSRuleSet`,WCU:50 **注意** 本文档包含此托管规则组的最新静态版本。我们在 [Amazon 托管规则变更日志](aws-managed-rule-groups-changelog.md) 的更改日志中报告版本变更。有关其他版本的信息,请使用 API 命令[DescribeManagedRuleGroup](https://docs.amazonaws.cn/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)。 我们在 Amazon 托管规则组中发布的规则信息旨在为您提供使用规则所需的信息,而不会向不良行为者提供他们规避规则所需的信息。 如果您需要更多信息,请联系 [Amazon Web Services 支持 中心](https://console.amazonaws.cn/support/home#/)。 Ant DDo i-S 托管规则组提供用于检测和管理参与或可能参与 DDo S 攻击的请求的规则。此外,该规则组会标记其在可能事件期间评估的所有请求。 ## 使用此规则组的注意事项 使用此规则组 此规则组为进入受到 DDo S 攻击的资源的 Web 请求提供软缓解和硬缓解措施。要检测不同的威胁级别,可将两种缓解措施的敏感度分别调整为高、中或低可疑级别。 + **软缓解措施**:规则组可发送静默浏览器质询,以响应能够处理质询插页式广告的请求。有关运行质询的要求的信息,请参阅 [CAPTCHA 和 Challenge 操作行为](waf-captcha-and-challenge-actions.md)。 + **硬缓解措施**:规则组可以完全阻止请求。 有关规则组如何工作以及如何配置规则组的更多信息,请参阅 [使用 Ant DDo i-S 托管规则组进行高级 Amazon WAF 反 DDo S 保护](waf-anti-ddos-advanced.md)。 **注意** 使用此托管规则组时,您需要额外付费。有关更多信息,请参阅[Amazon WAF 定价](https://www.amazonaws.cn/waf/pricing/)。 此规则组是 Amazon WAF中智能威胁缓解保护的一部分。有关信息,请参阅[中的智能威胁缓解 Amazon WAF](waf-managed-protections.md)。 为大幅降低成本并优化流量管理,请根据最佳实践指南使用此规则组。请参阅 [中智能缓解威胁的最佳实践 Amazon WAF](waf-managed-protections-best-practices.md)。 ## 此规则组添加的标签 此规则组添加的标签 此托管规则组会为其评估的 Web 请求添加标签,这些标签可用于在保护包 (Web ACL) 中在此规则组之后运行的规则。 Amazon WAF 还会记录亚马逊 CloudWatch 指标的标签。有关标签和标签指标的一般信息,请参阅 [Web 请求标签](waf-labels.md) 和 [标签指标和维度](waf-metrics.md#waf-metrics-label)。 ### 令牌标签 令牌标签 该规则组使用 Amazon WAF 令牌管理根据令牌的状态检查和标 Amazon WAF 记 Web 请求。 Amazon WAF 使用令牌进行客户端会话跟踪和验证。 有关令牌和令牌管理的信息,请参阅 [代币在 Amazon WAF 智能威胁缓解中的使用](waf-tokens.md)。 有关此处描述的标签组件的信息,请参阅 [中的标签语法和命名要求 Amazon WAF](waf-rule-label-requirements.md)。 **客户端会话标签** 该标签`awswaf:managed:token:id:identifier`包含一个唯一标识符, Amazon WAF 令牌管理使用该标识符来标识客户端会话。如果客户端获取了新令牌,例如在丢弃其正在使用的令牌之后,标识符可能会更改。 **注意** Amazon WAF 不报告该标签的 Amazon CloudWatch 指标。 **浏览器指纹标签** 该标签`awswaf:managed:token:fingerprint:fingerprint-identifier`包含一个强大的浏览器指纹标识符, Amazon WAF 令牌管理根据各种客户端浏览器信号计算该标识符。多次尝试获取令牌时,此标识符保持不变。指纹标识符并非仅属于单个客户端。 **注意** Amazon WAF 不报告该标签的 Amazon CloudWatch 指标。 **令牌状态标签:标签命名空间前缀** 令牌状态标签报告令牌的状态、质询以及其中包含的 CAPTCHA 信息。 每个令牌状态标签都以下列命名空间前缀之一开头: + `awswaf:managed:token:`:用于报告令牌的一般状态以及令牌的质询信息的状态。 + `awswaf:managed:captcha:`:用于报告令牌的 CAPTCHA 信息的状态。 **令牌状态标签:标签名称** 在前缀之后,标签的其余部分提供详细的令牌状态信息: + `accepted`:请求令牌存在且包含以下内容: + 有效的质询或 CAPTCHA 解决方案。 + 未过期的质询或 CAPTCHA 时间戳。 + 对保护包(web ACL)有效的域规范。 示例:标签 `awswaf:managed:token:accepted` 表明 web 请求的令牌具有有效的质询解决方案、未过期的质询时间戳以及有效的域。 + `rejected`:请求令牌存在但不符合接受标准。 除了被拒绝的标签外,令牌管理还添加了一个自定义标签命名空间和名称来指示原因。 + `rejected:not_solved`:令牌缺少质询或 CAPTCHA 解决方案。 + `rejected:expired`:根据保护包(web ACL)配置的令牌免疫时间,令牌的质询或 CAPTCHA 时间戳已过期。 + `rejected:domain_mismatch`:令牌的域与保护包(web ACL)的令牌域配置不匹配。 + `rejected:invalid`— Amazon WAF 无法读取指示的标记。 示例:标签 `awswaf:managed:captcha:rejected` 和 `awswaf:managed:captcha:rejected:expired` 共同表示请求未提供有效的 CAPTCHA 解决方案,因为令牌中的 CAPTCHA 时间戳已超过保护包(web ACL)中配置的 CAPTCHA 令牌免疫时间。 + `absent`:请求没有令牌,或者令牌管理器无法读取它。 示例:标签 `awswaf:managed:captcha:absent` 表示请求没有令牌。 ### 反 DDo S 标签 反 DDo S 标签 Anti-DDo S 托管规则组生成带有命名空间前缀的标签,`awswaf:managed:aws:anti-ddos:`后跟任何自定义命名空间和标签名称。每个标签都反映了Anti-DDo S发现的某些方面。 除单个规则添加的标签以外,规则组还可向请求添加以下多个标签。 + `awswaf:managed:aws:anti-ddos:event-detected`— 表示请求将发送到受保护的资源,托管规则组检测到该资源的 DDo S 事件。当流向资源的流量与资源的流量基准存在明显偏差时,托管规则组会检测事件。 规则组会在资源处于此状态期间,将此标签添加到发往该资源的所有请求中,因此合法流量和攻击流量都会获得此标签。 + `awswaf:managed:aws:anti-ddos:ddos-request`:表示请求来自涉嫌参与某事件的来源。 除常规标签以外,规则组还可添加以下表示置信度级别的标签。 `awswaf:managed:aws:anti-ddos:low-suspicion-ddos-request`— 表示可能有 DDo S 攻击请求。 `awswaf:managed:aws:anti-ddos:medium-suspicion-ddos-request`— 表示很可能 DDo是 S 攻击请求。 `awswaf:managed:aws:anti-ddos:high-suspicion-ddos-request`— 表示极有可能 DDo的 S 攻击请求。 + `awswaf:managed:aws:anti-ddos:challengeable-request`:表示请求 URI 能够处理 Challenge 操作。托管规则组将其应用于任何 URI 未获得豁免的请求。 URIs 如果它们与规则组的豁免 URI 正则表达式相匹配,则免除。 有关可执行静默浏览器质询请求的要求信息。请参阅 [CAPTCHA 和 Challenge 操作行为](waf-captcha-and-challenge-actions.md)。 您可以通过调用 `DescribeManagedRuleGroup` 从 API 检索一个规则组的所有标签。标签列在响应的 `AvailableLabels` 属性中。 Anti-DDo S 托管规则组将标签应用于请求,但并不总是对它们采取行动。请求管理取决于规则组确定参与攻击的置信度。如有需要,可添加在规则组之后运行的标签匹配规则,以管理规则组标记的请求。有关此项与示例的更多信息,请参阅 [Amazon WAF 分布式拒绝服务防护 DDo](waf-anti-ddos.md)。 ## 反 DDo S 规则清单 规则列表 本节列出了反 DDo S 规则。 **注意** 本文档包含此托管规则组的最新静态版本。我们在 [Amazon 托管规则变更日志](aws-managed-rule-groups-changelog.md) 的更改日志中报告版本变更。有关其他版本的信息,请使用 API 命令[DescribeManagedRuleGroup](https://docs.amazonaws.cn/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)。 我们在 Amazon 托管规则组中发布的规则信息旨在为您提供使用规则所需的信息,而不会向不良行为者提供他们规避规则所需的信息。 如果您需要更多信息,请联系 [Amazon Web Services 支持 中心](https://console.amazonaws.cn/support/home#/)。 | 规则名称 | 说明 | | --- | --- | | ChallengeAllDuringEvent | 匹配当前遭受攻击的,任何受保护资源上带有标签 `awswaf:managed:aws:anti-ddos:challengeable-request` 的请求。 规则操作:Challenge 仅可将此规则操作覆盖为 Allow 或 Count。不建议使用 Allow。对于任何规则操作设置,该规则仅匹配带有 `challengeable-request` 标签的请求。 此规则的配置会影响下一条规则的评估`ChallengeDDoSRequests`。 Amazon WAF 只有在托管规则组的 Web ACL 配置中Count,此规则的操作将覆盖设置为时,才会评估该规则。 如果您的工作负载容易受到意外请求量变化的影响,我们建议对所有可质询的请求进行质询,方法是保持默认操作设置为 Challenge。对于敏感度较低的应用程序,可将此规则的操作设置为 Count,然后通过规则 `ChallengeDDoSRequests` 调整 Challenge 响应的敏感度。 标签:`awswaf:managed:aws:anti-ddos:ChallengeAllDuringEvent` | | ChallengeDDoSRequests | 在资源遭受攻击期间,匹配受保护资源的请求,该资源满足或超过规则组已配置的质询敏感度设置。 规则操作:Challenge 仅可将此规则操作覆盖为 Allow 或 Count。不建议使用 Allow。任何情况下,该规则仅匹配带有 `challengeable-request` 标签的请求。 Amazon WAF 只有当你将之前的规则Count中的操作改写为时,`ChallengeAllDuringEvent`才会评估此规则。 标签:`awswaf:managed:aws:anti-ddos:ChallengeDDoSRequests` | | DDoSRequests | 在资源遭受攻击期间,匹配受保护资源的请求,该资源满足或超过规则组已配置的阻断敏感度设置。 规则操作:Block 标签:`awswaf:managed:aws:anti-ddos:DDoSRequests` | # 版本化 Amazon 托管规则规则组的部署 版本化 Amazon 托管规则规则组的部署添加了有关版本化 Amazon 托管规则规则组部署的部分 添加了一个新章节,记录版本化 Amazon 托管规则规则组的部署。本节包含有关在候选发布版本部署期间如何命名默认版本的信息。 本节介绍如何将更新 Amazon 部署到 Amazon 托管规则规则组。 Amazon 在三个标准部署中部署对其版本化 Amazon 托管规则组的更改:候选版本、静态版本和默认版本。此外,有时 Amazon 可能需要发布异常部署或回滚默认版本部署。 **注意** 本节仅适用于版本化的 Amazon 托管规则规则组。唯一不受版本控制的规则组是 IP 信誉规则组。 **Topics** + [ # Amazon 托管规则规则组部署通知 ](waf-managed-rule-groups-deployments-notifications.md) + [ # Amazon 托管规则的标准部署概述 ](waf-managed-rule-groups-deployments-standard.md) + [ # Amazon 托管规则的典型版本状态 ](waf-managed-rule-groups-typical-version-states.md) + [ # Amazon 托管规则的发布候选部署 ](waf-managed-rule-groups-deployments-release-candidate.md) + [ # Amazon 托管规则的静态版本部署 ](waf-managed-rule-groups-deployments-static-version.md) + [ # Amazon 托管规则的默认版本部署 ](waf-managed-rule-groups-deployments-default-version.md) + [ # Amazon 托管规则的异常部署 ](waf-managed-rule-groups-deployments-exceptions.md) + [ # Amazon 托管规则的默认部署回滚 ](waf-managed-rule-groups-deployments-default-rollbacks.md) # Amazon 托管规则规则组部署通知 部署通知 本节介绍了 Amazon SNS 通知如何与 Amazon 托管规则规则组配合使用。 Amazon 受版本控制的托管规则组都为部署提供 SNS 更新通知,并且都使用相同的 SNS 主题 Amazon 资源名称 (ARN)。唯一不受版本控制的规则组是 IP 信誉规则组。 对于影响保护的部署(例如对默认版本的更改), Amazon 提供 SNS 通知,以通知您计划中的部署并告知您何时开始部署。对于不影响保护的部署,例如候选版本和静态版本部署, Amazon 可能会在部署开始后甚至在部署完成后通知您。部署完新静态版本后,将在变更日志[Amazon 托管规则变更日志](aws-managed-rule-groups-changelog.md)和文档历史记录页面中 Amazon 更新本指南。[文档历史记录](doc-history.md) 要接收有关 Amazon 托管规则组的所有更新, Amazon 请订阅本指南任何 HTML 页面上的 RSS 提要,并订阅 Amazon 托管规则规则组的 SNS 主题。有关订阅 SNS 通知的信息,请参阅 [收到有关托管规则组新版本和更新的通知](waf-using-managed-rule-groups-sns-topic.md)。 **SNS 通知内容** Amazon SNS 通知中的字段始终包含主题、消息和。 MessageAttributes其他字段取决于消息的类型以及通知所针对的托管规则组。下面是 `AWSManagedRulesCommonRuleSet` 的一个通知列表示例。 ``` { "Type": "Notification", "MessageId": "4286b830-a463-5e61-bd15-e1ae72303868", "TopicArn": "arn:aws:sns:us-west-2:123456789012:MyTopic", "Subject": "New version available for rule group AWSManagedRulesCommonRuleSet", "Message": "Welcome to AWSManagedRulesCommonRuleSet version 1.5! We've updated the regex specification in this version to improve protection coverage, adding protections against insecure deserialization. For details about this change, see http://updatedPublicDocs.html. Look for more exciting updates in the future! ", "Timestamp": "2021-08-24T11:12:19.810Z", "SignatureVersion": "1", "Signature": "EXAMPLEHXgJm...", "SigningCertURL": "https://sns.us-west-2.amazonaws.com/SimpleNotificationService-f3ecfb7224c7233fe7bb5f59f96de52f.pem", "SubscribeURL": "https://sns.us-west-2.amazonaws.com/?Action=ConfirmSubscription&TopicArn=arn:aws:sns:us-west-2:123456789012:MyTopic&Token=2336412f37...", "MessageAttributes": { "major_version": { "Type": "String", "Value": "v1" }, "managed_rule_group": { "Type": "String", "Value": "AWSManagedRulesCommonRuleSet" } } } ``` # Amazon 托管规则的标准部署概述 标准部署概述 Amazon 使用三个标准部署阶段推出新的 Amazon 托管规则功能:候选版本、静态版本和默认版本。 下图描述了这些标准部署。以下各节详述了其中的各个部分。 ![\[四条垂直泳道显示了不同的标准部署阶段。最左边的泳道显示默认版本设置为推荐的静态版本 1.4。第二条泳道显示默认设置为候选发布 (RC) 版本,用于测试和调整。RC 版本包含 1.4 规则和 RC 规则。注释表明,测试后,默认值将返回到推荐的静态版本。第三条泳道显示根据候选发布版本中的规则创建静态版本 1.5。第四条泳道显示默认版本设置为新的推荐静态版本 1.5。\]](http://docs.amazonaws.cn/waf/latest/developerguide/images/amr-rg-versions-flowchart-diagram.png) # Amazon 托管规则的典型版本状态 典型版本状态 通常,版本化托管规则组有许多未过期的静态版本,默认版本指向推荐的静态版本。 Amazon 下图显示了一组典型的静态版本和默认版本设置的示例。 ![\[三个静态版本 Version_1.2、Version_1.3 和 Version_1.4 堆叠在一起,其中 Version_1.4 位于顶部。Version_1.4 有两个规则,分别为规则 A 和 规则 B,两者都有生产操作。默认版本指示器指向 Version_1.4。\]](http://docs.amazonaws.cn/waf/latest/developerguide/images/amr-rg-versions-diagram.png) 静态版本中大多数规则的生产操作是Block,但可能设置为不同的值。有关规则操作设置的详细信息,请在 [Amazon 托管规则规则组列表](aws-managed-rule-groups-list.md) 参阅每个规则组的规则列表。 # Amazon 托管规则的发布候选部署 候选发布版本部署 本节介绍了临时候选版本部署的工作方式。 当托管规则组 Amazon 有一组候选规则变更时,它会在临时候选版本部署中对其进行测试。 Amazon 根据生产流量在计数模式下评估候选规则,并执行最终调整活动,包括减少误报。 Amazon 测试以这种方式为所有使用规则组默认版本的客户发布候选规则。候选发布版本部署不适用于使用静态版本规则组的客户。 如果您使用默认版本,则候选发布版本部署不会改变规则组管理 Web 流量的方式。在测试候选规则时,您可能会注意到以下几点: + 默认版本名称从 `Default (using Version_X.Y)` 更改为 `Default (using Version_X.Y_PLUS_RC_COUNT)`。 + Amazon 中的其他计数指标 CloudWatch 名称`RC_COUNT`中包含其名称。它们由候选发布规则生成。 Amazon 测试候选版本大约一周,然后将其删除并将默认版本重置为当前推荐的静态版本。 Amazon 对候选版本部署执行以下步骤: 1. **创建候选版本** — 根据当前推荐的静态版本(即默认版本所指向的版本) Amazon 添加候选版本。 候选发布版本的名称是附加了 `_PLUS_RC_COUNT` 的静态版本名称。例如,如果当前推荐的静态版本是 `Version_2.1`,则候选发布版本将命名为 `Version_2.1_PLUS_RC_COUNT`。 候选发布版本包含以下规则: + 规则完全从当前推荐的静态版本中复制,规则配置未做任何更改。 + 候选新规则,规则操作设置为 Count,名称以 `_RC_COUNT` 结尾。 大多数候选规则都对规则组中已存在的规则提供了改进建议。每条规则的名称都是在现有规则的名称后附上 `_RC_COUNT`。 1. **将默认版本设置为候选版本并进行测试** — Amazon 将默认版本设置为指向新的候选版本,以根据您的生产流量进行测试。测试通常需要大约一周的时间。 您将看到默认版本的名称从仅表示静态版本的名称(如 `Default (using Version_1.4)`)更改为表示静态版本加上候选发布规则(如 `Default (using Version_1.4_PLUS_RC_COUNT)`)。此命名方案使您能够识别管理 Web 流量的静态版本。 下图显示了此时示例规则组版本的状态。 ![\[图的顶部是三个堆叠的静态版本,位于顶层的是 Version_1.4。与静态版本堆栈分开的是版本 Version_1.4_PLUS_RC_COUNT。此版本包含 Version_1.4 中的规则,还包含两个候选发布规则,即 RuleB_RC_COUNT 和 RuleZ_RC_COUNT,两者都带有计数操作。默认版本指示器指向 Version_1.4_PLUS_RC_COUNT。\]](http://docs.amazonaws.cn/waf/latest/developerguide/images/amr-rg-versions-rc-diagram.png) 候选版本规则始终使用 Count 操作进行配置,因此它们不会改变规则组管理 Web 流量的方式。 候选发布规则生成 Amazon CloudWatch 计数指标, Amazon 用于验证行为和识别误报。 Amazon 根据需要进行调整,以调整候选发布版本计数规则的行为。 候选发布版本不是静态版本,也无法从静态规则组版本列表中进行选择。您只能在默认版本规范中看到候选发布版本的名称。 1. **将默认版本恢复为推荐的静态版本**-测试候选发布规则后, Amazon 将默认版本设置回当前推荐的静态版本。默认版本名称设置会删除结`_PLUS_RC_COUNT`尾,并且规则组停止为候选发布规则生成 CloudWatch 计数指标。这是一个静默更改,与部署默认版本回滚不同。 下图显示了候选发布版本测试完成后示例规则组版本的状态。 ![\[这又是典型的版本状态图。三个静态版本 Version_1.2、Version_1.3 和 Version_1.4 堆叠在一起,Version_1.4 位于顶部。Version_1.4 有两个规则,分别为规则 A 和 规则 B,两者都有生产操作。默认版本指示器指向 Version_1.4。\]](http://docs.amazonaws.cn/waf/latest/developerguide/images/amr-rg-versions-rc-complete-diagram.png) **定时和通知** Amazon 根据需要部署候选发布版本,以测试规则组的改进。 + **SNS** — 在部署开始时 Amazon 发送 SNS 通知。该通知指明了测试候选发布版本的预计时间。测试完成后, Amazon 默默返回静态版本设置的默认值,不另行通知。 + **更改日志**- Amazon 不更新此类部署的变更日志或本指南的其他部分。 # Amazon 托管规则的静态版本部署 静态版本部署 当 Amazon 确定候选版本对规则组进行了有价值的更改时,会根据候选版本为该规则组 Amazon 部署新的静态版本。此部署不会更改规则组的默认版本。 新的静态版本包含候选发布版本中的以下规则: + 来自先前静态版本的规则,其在候选发布规则中没有替换候选规则。 + 候选发布规则,包含以下更改: + Amazon 通过删除候选版本后缀`_RC_COUNT`来更改规则名称。 + Amazon 将规则操作从更改Count为其生产规则操作。 对于替换先前已有规则的候选发布规则,这将取代新静态版本中先前规则的功能。 下图描述了根据候选发布版本创建新的静态版本的过程。 ![\[图片顶部是候选发布版本 Version_1.4_PLUS_RC_COUNT,其规则与之前的候选发布版本部署图中的规则相同。此版本包含 Version_1.4 中的规则,还包含候选发布规则 RuleB_RC_COUNT 和 RuleZ_RC_COUNT,两者都带有计数操作。在此下方,图的底部是静态版本 Version_1.5,其中包含规则 RuleA、RuleB 和 RuleZ,所有这些规则都包含生产操作。箭头从 RC 版本指向 Version_1.5,表示从 Version_1.4 规则中复制了 RuleA,而 RuleB 和 RuleZ 是从候选发布版本规则中复制的。Version_1.5 中的所有规则都有生产操作。\]](http://docs.amazonaws.cn/waf/latest/developerguide/images/amr-rg-versions-create-static-diagram.png) 部署后,新的静态版本可供您测试,如果您愿意,也可以将其用于保护中。您可以访问 [Amazon 托管规则规则组列表](aws-managed-rule-groups-list.md),在规则组的规则列表中查看新的和更新的规则操作和描述。 静态版本在部署后是不可变的,并且只有在 Amazon 过期时才会更改。有关版本生命周期的信息,请参阅 [在中使用版本化托管规则组 Amazon WAF](waf-managed-rule-groups-versioning.md)。 **定时和通知** Amazon 根据需要部署新的静态版本,以部署对规则组功能的改进。部署静态版本不会影响默认版本设置。 + **SNS** — 部署完成后 Amazon 发送 SNS 通知。 + **更改日志**-部署完成所有可用区域后,根据需要 Amazon 更新本指南中的规则组定义,然后在 Managed Rules 规则组变更日志和文档历史记录页面中宣布发布。 Amazon WAF Amazon # Amazon 托管规则的默认版本部署 默认版本部署 当 Amazon 确定与当前默认版本相比,新的静态版本为规则组提供了更好的保护时,会将默认版本 Amazon 更新为新的静态版本。 Amazon 在将一个静态版本升级为规则组的默认版本之前,可能会发布多个静态版本。 下图显示了将默认版本设置 Amazon 移至新的静态版本后示例规则组版本的状态。 ![\[这与典型的版本状态图类似,但是 Version_1.5 位于堆栈顶部,且默认指示器指向它。\]](http://docs.amazonaws.cn/waf/latest/developerguide/images/amr-rg-versions-new-default-diagram.png) 在将此更改部署到默认版本之前,会 Amazon 提供通知,以便您可以测试即将到来的更改并为之做好准备。如果您使用默认版本,则无法执行任何操作,并且可以在更新期间继续使用该版本。相反,如果您想在默认版本部署的计划开始之前延迟切换到新版本,则可以明确配置规则组,使其使用作为默认设置的静态版本。 **定时和通知** Amazon 当它为规则组推荐的静态版本与当前使用的版本不同的静态版本时,会更新默认版本。 + **SNS** — 至少在目标部署日前一周 Amazon 发送 SNS 通知,然后在部署当天,即部署开始时再发送一次 SNS 通知。每份通知都包括规则组名称、默认版本更新到的静态版本、部署日期以及正在执行更新的每个 Amazon 区域的计划部署时间。 + **更改日志**- Amazon 不更新此类部署的变更日志或本指南的其他部分。 # Amazon 托管规则的异常部署 异常部署 Amazon 可能会绕过标准部署阶段,以便快速部署可解决关键安全风险的更新。异常部署可能涉及任何标准部署类型,并且可能会在各个 Amazon 地区快速推出。 Amazon 为异常部署提供尽可能多的提前通知。 **定时和通知** Amazon 仅在需要时才执行异常部署。 + **SNS** — 尽可能在目标部署日之前 Amazon 发送 SNS 通知,然后在部署开始时再发送一个 SNS 通知。每份通知都包括规则组名称、正在进行的更改和部署日期。 + **更改日志** — 如果部署是针对静态版本的,则在所有可用版本的部署完成后,根据需要 Amazon 更新本指南中的规则组定义,然后在 Managed Rules 规则组更改日志和文档历史记录页面中宣布该版本。 Amazon WAF Amazon # Amazon 托管规则的默认部署回滚 默认部署回滚 在某些条件下, Amazon 可能会将默认版本回滚到之前的设置。所有 Amazon 区域的回滚时间通常不到十分钟。 Amazon 执行回滚只是为了缓解静态版本中的重大问题,例如误报率高得令人无法接受。 回滚默认版本设置后,会 Amazon 加快出现问题的静态版本的到期时间,并加快发布新的静态版本以解决该问题。 **定时和通知** Amazon 仅在需要时才执行默认版本回滚。 + **SNS** — 在回滚时 Amazon 发送单个 SNS 通知。通知包括规则组名称、要对默认版本设置的版本和部署日期。这类部署非常快,因此通知不提供区域的时间信息。 + **更改日志**- Amazon 不更新此类部署的变更日志或本指南的其他部分。 # Amazon 托管规则变更日志 Amazon 托管规则变更日志更新了的 Amazon 托管规则 Amazon WAF 已发布 PHP 应用程序规则组的静态版本 2.2。更新了的 Amazon 托管规则 Amazon WAF 发布了 Bot Control 规则组的静态版本 5.0,具有扩展的机器人检测功能。更新了的 Amazon 托管规则 Amazon WAF 发布了 POSIX 操作系统规则组的 3.2 静态版本。更新了的 Amazon 托管规则 Amazon WAF 已发布已知错误输入规则组的静态版本 1.25。更新了的 Amazon 托管规则 Amazon WAF 已发布 POSIX 操作系统规则组的 3.1 静态版本。更新了的 Amazon 托管规则 Amazon WAF 已发布已知错误输入规则组的静态版本 1.24。更新了的 Amazon 托管规则 Amazon WAF 更新了 Bot Control 规则组,支持在广告、AI、Content Fetcher 和社交媒体等多个类别中扩展机器人检测。更新了的 Amazon 托管规则 Amazon WAF 向机器人控制规则组添加了对 AI 代理的 Web 机器人身份验证的支持。更新了的 Amazon 托管规则 Amazon WAF 更新了核心规则集(CRS)。更新了的 Amazon 托管规则 Amazon WAF 更新了核心规则集(CRS)。更新了的 Amazon 托管规则 Amazon WAF 更新了核心规则集(CRS)。更新了的 Amazon 托管规则 Amazon WAF 更新了 Amazon WAF 机器人控制规则集。更新了的 Amazon 托管规则 Amazon WAF 更新了核心规则集(CRS)。更新了的 Amazon 托管规则 Amazon WAF 更新了 SQLi 数据库规则组。更新了的 Amazon 托管规则 Amazon WAF 更新了 Linux 操作系统规则组。更新了的 Amazon 托管规则 Amazon WAF 更新了 机器人控制功能的规则组。更新了的 Amazon 托管规则 Amazon WAF 更新了 SQLi 数据库规则组。更新了的 Amazon 托管规则 Amazon WAF 更新了核心规则集(CRS)规则组。更新了的 Amazon 托管规则 Amazon WAF 更新了机器人控制功能、ATP 和 ACFP 托管规则组。更新了的 Amazon 托管规则 Amazon WAF 更新了 Linux 操作系统规则组。更新了的 Amazon 托管规则 Amazon WAF 更新了核心规则集(CRS)规则组。更新了的 Amazon 托管规则 Amazon WAF 更新了 Windows 操作系统规则组。更新了的 Amazon 托管规则 Amazon WAF 更新了 WordPress 应用程序规则组。更新了的 Amazon 托管规则 Amazon WAF 更新了 Linux 操作系统规则组。更新了的 Amazon 托管规则 Amazon WAF 更新了核心规则集(CRS)规则组。更新了的 Amazon 托管规则 Amazon WAF 更新了 PHP 应用程序和 Windows 操作系统的规则组。更新了的 Amazon 托管规则 Amazon WAF 更新了 Linux 操作系统规则组。更新了的 Amazon 托管规则 Amazon WAF Bot Control、ATP 和 ACFP 托管规则组现已版本化,将与其他版本化托管规则一样,提供版本更新的 SNS 通知。 Amazon 更新了的 Amazon 托管规则 Amazon WAF 更新了 POSIX 操作系统规则组 `AWSManagedRulesUnixRuleSet`。更新了的 Amazon 托管规则 Amazon WAF 更新了核心规则集(CRS)规则组。更新了的 Amazon 托管规则 Amazon WAF 更新了 SQLi 数据库规则组。更新了的 Amazon 托管规则 Amazon WAF 更新了已知错误输入和 POSIX 操作系统的规则组。更新了的 Amazon 托管规则 Amazon WAF 更新了 Windows 操作系统规则组。更新了的 Amazon 托管规则 Amazon WAF 更新了 IP 信誉规则组。更新了的 Amazon 托管规则 Amazon WAF 更新了已知错误输入规则组。更新了的 Amazon 托管规则 Amazon WAF 更新了已知错误输入规则组。更新了的 Amazon 托管规则 Amazon WAF 更新了核心规则集(CRS)规则组。更新了的 Amazon 托管规则 Amazon WAF 更新了以下规则组: Amazon WAF 机器人控制。更新了的 Amazon 托管规则 Amazon WAF 更新了 机器人控制功能的规则组。更新了的 Amazon 托管规则 Amazon WAF 更新了核心规则集(CRS)规则组。更新了的 Amazon 托管规则 Amazon WAF 更新了核心规则集(CRS)规则组。更新了的 Amazon 托管规则 Amazon WAF 更新了 POSIX 操作系统规则组 `AWSManagedRulesUnixRuleSet`。更新了的 Amazon 托管规则 Amazon WAF 更新了核心规则集(CRS)规则组。异常部署的 Amazon 托管规则 Amazon WAF 更新了已知错误输入规则组的两个静态版本,并更新了默认版本以指向最新的静态版本。更新了的 Amazon 托管规则 Amazon WAF 更新了以下规则组: Amazon WAF 机器人控制。更新了的 Amazon 托管规则 Amazon WAF 更新了 Amazon WAF 机器人控制规则组。更新了的 Amazon 托管规则 Amazon WAF 更新了核心规则集(CRS)规则组。更新了的 Amazon 托管规则 Amazon WAF 更新了规则组 `AWSManagedRulesACFPRuleSet`。更新了的 Amazon 托管规则 Amazon WAF 更新了 Linux 操作系统规则组。更新了的 Amazon 托管规则 Amazon WAF 更新了核心规则集(CRS)规则组。更新了的 Amazon 托管规则 Amazon WAF 更新了 PHP 应用程序规则组。更新了的 Amazon 托管规则 Amazon WAF 更新了规则组,`AWSManagedRulesATPRuleSet`以在 Web 中添加登录响应检查 ACLs ,以保护 Amazon CloudFront 分配。更新了的 Amazon 托管规则 Amazon WAF 更新了核心规则集。更新了的 Amazon 托管规则 Amazon WAF 更新了 Linux 操作系统规则组。更新了的 Amazon 托管规则 Amazon WAF 更新了核心规则集。更新了的 Amazon 托管规则 Amazon WAF 更新了已知错误输入规则组。更新了的 Amazon 托管规则 Amazon WAF 更新了已知错误输入规则组。更新了的 Amazon 托管规则 Amazon WAF 更正了本文档中为以下规则组提供的标签名称:POSIX 操作系统、PHP 应用程序、 WordPress 应用程序。更新了的 Amazon 托管规则 Amazon WAF 更新了以下规则组:IP 信誉。更新了的 Amazon 托管规则 Amazon WAF 更新了以下规则组:已知错误输入。更新了的 Amazon 托管规则 Amazon WAF 更新了以下规则组:`AWSManagedRulesATPRuleSet`。更新了的 Amazon 托管规则 Amazon WAF 更新了以下规则组:核心规则集(CRS)。更新了的 Amazon 托管规则 Amazon WAF 更新了以下规则组:核心规则集(CRS)。更新了的 Amazon 托管规则 Amazon WAF 更新了以下规则组: Amazon WAF 机器人控制。更新了的 Amazon 托管规则 Amazon WAF 更新了以下规则组:已知错误输入。更新了的 Amazon 托管规则 Amazon WAF 更新了以下规则组:已知错误输入。更新了的 Amazon 托管规则 Amazon WAF 更新了以下规则组:IP 声誉列表。更新了的 Amazon 托管规则 Amazon WAF 更新了防 Amazon WAF 欺诈控制账户接管 (ATP) 规则组`AWSManagedRulesATPRuleSet`。更新了的 Amazon 托管规则 Amazon WAF 更新了以下规则组:已知错误输入。更新了的 Amazon 托管规则 Amazon WAF 更新了以下规则组:核心规则集 (CRS)、SQLi 数据库。更新了的 Amazon 托管规则 Amazon WAF 更新了以下规则组:已知错误输入。更新了的 Amazon 托管规则 Amazon WAF 更新了以下规则组:已知错误输入。更新了的 Amazon 托管规则 Amazon WAF 更新了以下规则组:已知错误输入。更新了的 Amazon 托管规则 Amazon WAF 更新了以下规则组:核心规则集(CRS)、Windows 操作系统、Linux 操作系统和 IP 声誉列表。更新了的 Amazon 托管规则 Amazon WAF 更新了核心规则集(CRS)规则组。更新了的 Amazon 托管规则 Amazon WAF 更新了 Amazon WAF 机器人控制规则组。更新了的 Amazon 托管规则 Amazon WAF 更新了对标记到 IP 声誉列表的支持,并删除了 Amazon IP 声誉列表规则名称上的后缀。更新了的 Amazon 托管规则 Amazon WAF 更新了以下规则组:核心规则集(CRS)、管理员保护、已知错误输入和 Linux 操作系统。更新了的 Amazon 托管规则 Amazon WAF 更新了 Windows 操作系统规则集。更新了的 Amazon 托管规则 Amazon WAF 更新了 PHP 应用程序和 POSIX 操作系统规则集。更新了的 Amazon 托管规则 Amazon WAF 更新了核心规则集。更新了的 Amazon 托管规则 Amazon WAF 更新了 Linux 操作系统规则组。 本节列出了自 2019 年 11 月发布 Amazon WAF 以来对 Amazon 托管规则的更改。 **注意** 此变更日志报告了对的 Amazon 托管规则中的规则和规则组的 Amazon WAF更改。 对于 [IP 声誉规则组](aws-managed-rule-groups-ip-rep.md),此更改日志报告规则和规则组进行了更改,并报告规则使用的 IP 地址列表的来源产生了重大更改。但未报告 IP 地址列表本身的更改,这是因为 IP 地址列表是动态的。如果对 IP 地址列表有疑问,请联系您的客户经理或在 [Amazon Web Services 支持 Center](https://console.amazonaws.cn/support/home#/) 开启一个案例。 | 规则组和规则 | 说明 | 日期 | | --- | --- | --- | | [PHP 应用程序托管规则组](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-php-app) [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 发布了此规则组的静态版本 2.2。 改进了检测功能并添加了`PHPHighRiskMethodsVariables_URIPATH`规则。 | 2026-03-24 | | [Amazon WAF 机器人控制规则组](aws-managed-rule-groups-bot.md) 新规则: [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 已发布此规则组的静态版本 5.0。 在多个类别中添加了 400 多个新机器人,其中包括两个新的机器人类别及其各自的规则:页面预览和 Webhooks。 **主要改进** 提高了机器人检测信号和通用机器人模式匹配的准确性,从而实现了更精确的流量分类。 此更新更改了托管规则组优先考虑机器人检测的方式。现在,先评估特定的未经验证的机器人模式,然后再评估通用模式和检测信号。这意味着更有可能根据请求的最具体特征而不是一般指标对请求进行分类。 **这对您的流量意味着什么:** 现在,通用机器人模式的匹配频率将降低。只有当没有更具体的机器人规则已经识别出流量时,这些模式才适用。这样可以减少过度分类,并确保使用最准确的机器人识别来标记请求。 现在,按照机器人识别规则应用检测信号,例如请求来自云服务提供商、已知机器人数据中心或使用非浏览器用户代理的指标。这样可以确保特定的机器人分类优先于普通流量信号。 **影响:** 您可能会在流量日志中看到更少的通用机器人模式标签,因为现在可以更准确地按特定的机器人规则对请求进行分类。这样可以更清楚地了解自动流量的实际性质,并减少因过于宽泛的模式匹配而产生的噪音。未经验证的机器人分类将更加突出和准确,从而帮助您更好地了解和管理对应用程序的自动请求。 **注意:**此版本包含 Version\$14.0 中的`awswaf:managed:aws:bot-control:bot:web_bot_auth`标签和规则更新,但该`Web Bot Auth`功能仍仅在中可用。CloudFront | 2026-02-25 | | [POSIX 操作系统托管规则组](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-posix-os) | 已发布该规则组的静态版本 3.2。 改进了所有规则的检测签名。 | 2026-01-15 | | [已知错误输入托管规则组](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs) [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 已发布此规则组的静态版本 1.25。 更新了`ReactJSRCE_BODY`以改进检测。 | 2025-12-08 | | [POSIX 操作系统托管规则组](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-posix-os) | 已发布此规则组的静态版本 3.1。 改进了所有规则的检测签名。 | 2025-12-08 | | [已知错误输入托管规则组](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs) [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 已发布此规则组的静态版本 1.24。 更新了`ReactJSRCE_BODY`以改进检测。 | 2025-12-04 | | [Amazon WAF 机器人控制规则组](aws-managed-rule-groups-bot.md) 新标签:[\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) 范围: CloudFront | 部署了新的静态`AWSManagedRulesBotControlRuleSet`版本\$14.0,支持 Web 机器人身份验证 (WBA),用于加密机器人验证。必须明确选择此版本,并且不会使用默认版本自动更新现有部署。 新功能: [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) 规则更新: [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) Version\$14.0 仅是静态版本,它不会更改默认版本行为。要使用 WBA 功能,请在配置 Web ACL 时明确选择版本 \$14.0。 | 2025-11-20 | | [Amazon WAF 机器人控制规则组](aws-managed-rule-groups-bot.md) 新的经过验证的机器人标签:广告:[\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)AI:[\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)内容提取器:[\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)社交媒体:[\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 主要改进: [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) Bot Control 中的机器人类别规则仅在未经验证的机器人上触发,CategoryAI 除外,它也会在经过验证的机器人上触发。Version\$13.3 仅是静态版本——它不会更改默认版本行为。 | 2025-11-17 | | [核心规则集(CRS)托管规则组](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 发布了此规则组的静态版本 1.20。 改进了服务器端请求伪造(SSRF)规则的检测签名。 | 2025-10-02 | | [核心规则集(CRS)托管规则组](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 已发布此规则组的静态版本 1.19。 改进了跨站点脚本规则的检测签名。 | 2025-08-14 | | [核心规则集(CRS)托管规则组](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 已发布此规则组的静态版本 1.18。 改进了跨站点脚本规则的检测签名。 | 2025-06-18 | | [Amazon WAF 机器人控制规则组](aws-managed-rule-groups-bot.md) 新标签: [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 已发布该规则组的静态版本 3.2。 添加了列出的新标签。 | 2025-05-29 | | [核心规则集(CRS)托管规则组](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 发布了此规则组的静态版本 1.17。 改进了跨站点脚本规则的检测签名。 | 2025-03-03 | | [SQL 数据库托管规则组](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-sql-db) [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 发布了此规则组的静态版本 1.3。 向列出的规则添加了双 `URL_DECODE_UNI` 文本转换。 | 2025-01-24 | | [Linux 操作系统托管规则组](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-linux-os) [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 已发布此规则组的静态版本 2.6。 添加了签名,以改进检测。 | 2025-01-24 | | [Amazon WAF 机器人控制规则组](aws-managed-rule-groups-bot.md) 机器人控制功能标签中的新机器人名称标签:`awswaf:managed:aws:bot-control:bot::name:nytimes` | 已发布此规则组的静态版本 3.1。 向机器人名称标签的列表添加了《纽约时报》标签。 | 2024-11-07 | | [核心规则集(CRS)托管规则组](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 发布了此规则组的静态版本 1.16。 改进了跨站点脚本规则的检测签名。 | 2024-10-16 | | [Amazon WAF 机器人控制规则组](aws-managed-rule-groups-bot.md) 新规则: [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) 已删除规则: [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) 新标签: [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) 现有规则中的附加标签。 | 发布了此规则组的静态版本 2.0 和 3.0。版本 2.0 与版本 3.0 相同,但所有新规则的规则操作都设为 Count。本指南列明了每个规则组的最新版本。 添加了列出的新规则。 更新了标签,以便所有规则都能应用带 `awswaf:managed:aws:bot-control:` 模式的标签。 在机器人控制功能信号标签中添加了云服务提供商标签。 添加了新的机器人名称标签,可通过机器人类别规则进行检查。 | 2024-09-13 | | [Amazon WAF 防欺诈控制账户盗用 (ATP) 规则组](aws-managed-rule-groups-atp.md) 所有规则 | 发布了此规则组的静态版本 1.1。 更新了标签,以便所有规则都能应用带 `awswaf:managed:aws:atp:` 模式的标签。 | 2024-09-13 | | [Amazon WAF 欺诈控制账户创建防作弊 (ACFP) 规则组](aws-managed-rule-groups-acfp.md) 所有规则 | 发布了此规则组的静态版本 1.1。 更新了标签,以便所有规则都能应用带 `awswaf:managed:aws:acfp:` 模式的标签。 | 2024-09-13 | | [Linux 操作系统托管规则组](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-linux-os) 所有规则 | 发布了此规则组的静态版本 2.5。 添加了签名,以改进检测。 | 2024-09-02 | | [核心规则集(CRS)托管规则组](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 发布了此规则组的静态版本 1.15。 改进了通用 LFI 规则的检测签名。 | 2024-08-30 | | [Windows 操作系统托管规则组](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-windows-os) [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 发布了此规则组的静态版本 2.3。 调整了列示规则的检测签名,以减少误报。 | 2024-08-28 | | [WordPress 应用程序托管规则组](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-wordpress-app) [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 发布了此规则组的静态版本 1.3。 向列示规则添加了 JS\$1DECODE 文本转换。 | 2024-07-15 | | [Linux 操作系统托管规则组](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-linux-os) [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 发布了此规则组的静态版本 2.4。 向列示规则添加了 JS\$1DECODE 文本转换。 | 2024-07-12 | | [核心规则集(CRS)托管规则组](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 发布了此规则组的静态版本 1.14。 向列示规则添加了 JS\$1DECODE 文本转换。 | 2024-07-09 | | [PHP 应用程序托管规则组](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-php-app) [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 发布了此规则组的静态版本 2.1。 向列示规则添加了 JS\$1DECODE 文本转换。 | 2024-07-03 | | [Windows 操作系统托管规则组](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-windows-os) [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 发布了此规则组的静态版本 2.2。 向列示规则添加了 JS\$1DECODE 文本转换。 | 2024-07-03 | | [Linux 操作系统托管规则组](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-linux-os) 所有规则 | 发布了此规则组的静态版本 2.3。 添加了签名,以改进检测。 | 2024-06-06 | | [Amazon WAF 机器人控制规则组](aws-managed-rule-groups-bot.md) [Amazon WAF 防欺诈控制账户盗用 (ATP) 规则组](aws-managed-rule-groups-atp.md) [Amazon WAF 欺诈控制账户创建防作弊 (ACFP) 规则组](aws-managed-rule-groups-acfp.md) | 机器人和欺诈规则组现已采用版本控制。如果您使用其中任何一个规则组,则此更新不会改变规则组处理 Web 流量的方式。 此更新将当前规则组版本设为静态 1.0 版,并将默认版本设为指向此版本。 有关版本管控规则的更多信息,请参阅以下内容: [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 2024-05-29 | | [POSIX 操作系统托管规则组](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-posix-os) [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 发布了此规则组的静态版本 3.0。 已删除 `UNIXShellCommandsVariables_QUERYARGUMENTS` 并替换为 `UNIXShellCommandsVariables_QUERYSTRING`。如果您的规则匹配 `UNIXShellCommandsVariables_QUERYARGUMENTS` 的标签,则在使用此版本时,请将其切换为匹配 `UNIXShellCommandsVariables_QUERYSTRING` 上的标签。新标签为 `awswaf:managed:aws:posix-os:UNIXShellCommandsVariables_QueryString`。 添加了匹配所有标题的规则 `UNIXShellCommandsVariables_HEADER`。 使用改进的检测逻辑,更新了托管规则组中的所有规则。 更正了所记录的 `UNIXShellCommandsVariables_BODY` 标签的大小写。 | 2024-05-28 | | [核心规则集(CRS)托管规则组](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 发布了此规则组的静态版本 1.12。 将签名添加到所有跨站点脚本规则中,以改进检测并减少误报。 | 2024-05-21 | | [SQL 数据库托管规则组](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-sql-db) [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 发布了此规则组的静态版本 1.2。 向列示规则添加了 `JS_DECODE` 文本转换。 | 2024-05-14 | | [已知错误输入托管规则组](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs) [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 发布了此规则组的静态版本 1.22。 向列示规则添加了 `JS_DECODE` 文本转换。 | 2024-05-08 | | [POSIX 操作系统托管规则组](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-posix-os) | 发布了此规则组的静态版本 2.2。 为两条规则新增了 `JS_DECODE` 文本转换。 | 2024-05-08 | | [Windows 操作系统托管规则组](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-windows-os) [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 发布了此规则组的静态版本 2.1。 向 `PowerShellCommands_BODY` 添加了签名,以改进检测。 | 2024-05-03 | | [Amazon IP 声誉列表托管规则组](aws-managed-rule-groups-ip-rep.md#aws-managed-rule-groups-ip-rep-amazon) [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 更新了 IP 声誉列表的来源,以加强对主动参与恶意活动的地址的识别并减少误报。 此次更新不涉及新版本,因为此规则组未采用版本控制。 | 2024-03-13 | | [已知错误输入托管规则组](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs) | 发布了此规则组的静态版本 1.21。 添加了签名以改进检测并减少误报。 | 2023-12-16 | | [已知错误输入托管规则组](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs) [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 发布了此规则组的静态版本 1.20。 更新了 `ExploitablePaths_URIPATH` 规则,以增加对与“Atlassian Confluence CVE-2023-22518 授权不当”漏洞相匹配的请求的检测。此漏洞会影响所有版本的 Confluence 数据中心和服务器。有关更多信息,请参阅 [NIST:国家漏洞数据库:CVE-2023-22518 详细信息](https://nvd.nist.gov/vuln/detail/CVE-2023-22518)。 | 2023-12-14 | | [核心规则集(CRS)托管规则组](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 发布了此规则组的静态版本 1.11。 将签名添加到所有跨站点脚本规则中,以改进检测并减少误报。 | 2023-12-06 | | [Amazon WAF 机器人控制规则组](aws-managed-rule-groups-bot.md) [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 将协调活动低标签添加到规则组的目标保护级别标签中。此标签未与任何规则关联。此标签是对中高级规则和标签的补充。 | 2023-12-05 | | [机器人控制功能标签](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-labels-rg) [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 向规则组添加了一个信号标签,指示检测到有助于自动化的浏览器扩展。此标签并非特定于单个规则。 | 2023-11-14 | | [核心规则集(CRS)托管规则组](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 发布了此规则组的静态版本 1.10。 更新了一条规则,以改进检测并减少误报。 | 2023-11-02 | | [核心规则集(CRS)托管规则组](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 发布了此规则组的静态版本 1.9。 更新了规则,以改进检测并减少误报。 | 2023-10-30 | | [POSIX 操作系统托管规则组](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-posix-os) [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 发布了此规则组的静态版本 2.1。 更新了查询参数规则,以改进检测。 | 2023-10-12 | | [核心规则集(CRS)托管规则组](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 发布了此规则组的静态版本 1.8。 更新了规则,以改进检测。 | 2023-10-11 | | [已知错误输入托管规则组](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs) [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 异常部署:发布了此规则组的静态版本 1.19。更新了默认版本,以使用 1.19。 更新了 `ExploitablePaths_URIPATH` 规则,以增加对与 Atlassian Confluence CVE-2023-22515 权限升级漏洞相匹配的请求的检测。此漏洞会影响某些版本的 Atlassian Confluence。有关更多信息,请参阅 [NIST:国家漏洞数据库:CVE-2023-22515 详细信息](https://nvd.nist.gov/vuln/detail/CVE-2023-22515)和 [Atlassian Support:CVE-2023-22515 常见问题解答](https://confluence.atlassian.com/kb/faq-for-cve-2023-22515-1295682188.html)。 有关部署类型的信息,请参阅 [Amazon 托管规则的异常部署](waf-managed-rule-groups-deployments-exceptions.md)。 | 2023-10-04 | | [已知错误输入托管规则组](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs) [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 异常部署:发布了此规则组的静态版本 1.18。这是此静态版本的快速推出,以适应版本 1.19 的创建和推出。 更新了 `Host_localhost_HEADER` 规则以及所有 Log4J 和 Java 反序列化规则,以改进检测。 有关部署类型的信息,请参阅 [Amazon 托管规则的异常部署](waf-managed-rule-groups-deployments-exceptions.md)。 | 2023-10-04 | | [Amazon WAF 机器人控制规则组](aws-managed-rule-groups-bot.md) [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 向规则组添加了带有 Count 操作的规则。 令牌重用 IP 规则可检测并计算通过 IP 地址共享的令牌。 协调活动规则使用对网站流量的自动机器学习 (ML) 分析来检测与机器人相关的活动。在规则组配置中,您可以选择退出使用 ML。在此版本中,当前使用目标保护级别的客户可以选择使用机器学习。选择退出将禁用协调活动规则。 | 2023-09-06 | | [Amazon WAF 机器人控制规则组](aws-managed-rule-groups-bot.md) [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 已将规则 `CategoryAI` 添加到规则组中。 | 2023-08-30 | | [核心规则集(CRS)托管规则组](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 发布了此规则组的静态版本 1.7。 更新了受限扩展和 EC2 元数据 SSRF 规则,以改进检测并减少误报。 | 2023-07-26 | | [Amazon WAF 欺诈控制账户创建防作弊 (ACFP) 规则组](aws-managed-rule-groups-acfp.md) 新规则组中的所有规则 | 添加了规则组 AWSManagedRulesACFPRuleSet。 | 2023-06-13 | | [Linux 操作系统托管规则组](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-linux-os) [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 发布了此规则组的静态版本 2.2。 添加了签名,以改进检测。 | 2023-05-22 | | [核心规则集(CRS)托管规则组](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 发布了此规则组的静态版本 1.6。 更新了跨站脚本攻击(XSS)和受限扩展规则,以改进检测并减少误报。 | 2023-04-28 | | [PHP 应用程序托管规则组](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-php-app) [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 发布了此规则组的静态版本 2.0。 添加了签名,以改进所有规则中的检测。 已将规则 `PHPHighRiskMethodsVariables_QUERYARGUMENTS` 替换为 `PHPHighRiskMethodsVariables_QUERYSTRING`,它会检查整个查询字符串,而不仅仅是查询参数。 添加了规则 `PHPHighRiskMethodsVariables_HEADER`,以扩大覆盖范围,纳入所有标头。 更新了以下标签,使其与标准 Amazon 托管规则标签保持一致: [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 2023-02-27 | | [Amazon WAF 防欺诈控制账户盗用 (ATP) 规则组](aws-managed-rule-groups-atp.md)[\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 添加了登录响应检查规则,用于受保护的 Amazon CloudFront 分配。这些规则可以阻止来自 IP 地址和客户端会话的新登录尝试,这些地址和客户端会话最近导致的登录尝试失败次数过多。 | 2023-02-15 | | [核心规则集(CRS)托管规则组](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 发布了此规则组的静态版本 1.5。 更新了跨站脚本攻击(XSS)筛选器,以改进检测。 | 2023-01-25 | | [Linux 操作系统托管规则组](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-linux-os) [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 发布了此规则组的静态版本 2.1。 删除了规则 `LFI_COOKIE` 及其标签 `awswaf:managed:aws:linux-os:LFI_Cookie`,并替换为新规则 `LFI_HEADER` 及其标签 `awswaf:managed:aws:linux-os:LFI_Header`。此更改将检查范围扩展到多个标头。 已为所有规则添加文本转换和签名,以改进检测。 | 2022-12-15 | | [核心规则集(CRS)托管规则组](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 发布了此规则组的静态版本 1.4。 已在 `NoUserAgent_HEADER` 中添加文本转换,以删除所有空字节。更新了跨站点脚本规则中的筛选器,以改进检测。 | 2022-12-05 | | [已知错误输入托管规则组](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs) [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 发布了此规则组的静态版本 1.17。 更新了 Java 反序列化规则,并增加了对与 Apache CVE-2022-42889 匹配的请求的检测,它是 1.10.0 之前的 Apache Commons Text 版本中的远程代码执行 (RCE) 漏洞。有关更多信息,请参阅 [NIST:国家漏洞数据库:CVE-2022-42889 详细信息](https://nvd.nist.gov/vuln/detail/CVE-2022-42889)和 [CVE-2022-42889:由于不安全的插值默认设置,1.10.0 之前的 Apache Commons Text 在应用于不受信任的输入时允许 RCE](https://lists.apache.org/thread/n2bd4vdsgkqh2tm14l1wyc3jyol7s1om)。 改进了 `Host_localhost_HEADER` 中的检测。 | 2022-10-20 | | [已知错误输入托管规则组](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs)[\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 发布了此规则组的静态版本 1.16。 删除了 1.15 版本中 Amazon 识别的误报。 | 2022-10-05 | | [POSIX 操作系统托管规则组](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-posix-os) [PHP 应用程序托管规则组](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-php-app) [WordPress 应用程序托管规则组](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-wordpress-app) | 更正了记录在案的标签名称。 | 2022-09-19 | | [IP 声誉规则组](aws-managed-rule-groups-ip-rep.md) [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 此更改不会改变规则组处理 Web 流量的方式。 根据Amazon威胁情报,添加了一项新规则,其中包含检查积极参与 DDo S活动的 IP 地址的Count操作。 | 2022-08-30 | | [已知错误输入托管规则组](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs)[\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 发布了此规则组的静态版本 1.15。 删除了 `Log4JRCE`,并将其替换为 `Log4JRCE_HEADER`、`Log4JRCE_QUERYSTRING`、`Log4JRCE_URI` 和 `Log4JRCE_BODY`,以便对误报进行更精细的监控和管理。 添加了签名,以改进对 `PROPFIND_METHOD` 和所有 `JavaDeserializationRCE*` 和 `Log4JRCE*` 规则的检测和阻止。 更新了标签,以更正 `Host_localhost_HEADER` 和所有 `JavaDeserializationRCE*` 规则中的大小写。 更正了的 `JavaDeserializationRCE_HEADER` 描述。 | 2022-08-22 | | [Amazon WAF 防欺诈控制账户盗用 (ATP) 规则组](aws-managed-rule-groups-atp.md)[\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 添加了一条规则,禁止对 Amazon Cognito 用户群体 Web 流量使用账户防盗托管规则组。 | 2022-08-11 | | [核心规则集(CRS)托管规则组](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) | Amazon 已为版本`Version_1.2`和规则组`Version_2.0`的计划过期。这些版本将于 2022 年 9 月 9 日到期。有关版本到期的信息,请参阅 [在中使用版本化托管规则组 Amazon WAF](waf-managed-rule-groups-versioning.md)。 | 2022-06-09 | | [核心规则集(CRS)托管规则组](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs)[\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 发布了此规则组的版本 1.3。此版本更新了规则 `GenericLFI_URIPATH` 和 `GenericRFI_URIPATH` 中的匹配签名,以改进检测。 | 2022-05-24 | | [Amazon WAF 机器人控制规则组](aws-managed-rule-groups-bot.md)[\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 已将规则 `CategoryEmailClient` 添加到规则组中。 | 2022-04-06 | | [已知错误输入托管规则组](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs)[\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 发布了此规则组的版本 1.14。四条 `JavaDeserializtionRCE` 规则已移至 Block 模式。 | 2022-03-31 | | [已知错误输入托管规则组](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs)[\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 发布了此规则组的版本 1.13。更新了 Spring Core 和云函数 RCE 漏洞的文本转换。这些规则处于计数模式,用于收集指标并评估匹配的模式。该标签可用于阻止自定义规则中的请求。后续版本将在区块模式下使用这些规则进行部署。 | 2022-03-31 | | [已知错误输入托管规则组](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs)[\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 发布了此规则组的版本 1.12。已为 Spring Core 和云函数 RCE 漏洞添加签名。这些规则处于计数模式,用于收集指标并评估匹配的模式。该标签可用于阻止自定义规则中的请求。后续版本将在区块模式下使用这些规则进行部署。 删除了规则`Log4JRCE_HEADER`、`Log4JRCE_QUERYSTRING`、`Log4JRCE_URI` 和 `Log4JRCE_BODY`,并将其替换为规则 `Log4JRCE`。 | 2022-03-30 | | [IP 声誉规则组](aws-managed-rule-groups-ip-rep.md) [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 更新了 AWSManagedReconnaissanceList 规则,将操作从计数改为阻止。 | 2022-02-15 | | [Amazon WAF 防欺诈控制账户盗用 (ATP) 规则组](aws-managed-rule-groups-atp.md) 新规则组中的所有规则 | 添加了规则组 AWSManagedRulesATPRuleSet。 | 2022-02-11 | | [已知错误输入托管规则组](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs)[\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 发布了此规则组的版本 1.9。为了灵活使用此功能,删除了规则 `Log4JRCE`,并将其替换为规则 `Log4JRCE_HEADER`、`Log4JRCE_QUERYSTRING`、`Log4JRCE_URI` 和 `Log4JRCE_BODY`。添加了签名,以改进检测和阻止。 | 2022-01-28 | | 核心规则集(CRS) [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 发布了此规则组的版本 2.0。对于这些规则,调整了检测签名,以减少误报。将 `URL_DECODE` 文本转换替换为双 `URL_DECODE_UNI` 文本转换。新增了 `HTML_ENTITY_DECODE` 文本转换。 | 2022-01-10 | | 核心规则集(CRS) [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 作为该规则组版本 2.0 的一部分,新增了 `URL_DECODE_UNI` 文本转换。已从 `URL_DECODE` 文本转换中移除 `RestrictedExtensions_URIPATH`。 | 2022-01-10 | | SQL 数据库 [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 发布了此规则组的版本 2.0。将 `URL_DECODE` 文本转换替换为双 `URL_DECODE_UNI` 文本转换,并新增了 `COMPRESS_WHITE_SPACE` 文本转换。 向 `SQLiExtendedPatterns_QUERYARGUMENTS` 中添加了更多检测签名。 向 `SQLi_BODY` 中添加了 JSON 检查。 添加了规则 `SQLiExtendedPatterns_BODY`。 删除了规则 `SQLi_URIPATH`。 | 2022-01-10 | | 已知错误输入 [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 发布了规则 `Log4JRCE` 的 1.8 版,以改进标头检查和匹配条件。 | 2021-12-17 | | 已知错误输入 [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 发布了规则 `Log4JRCE` 的 1.4 版,用于调整匹配条件并检查其他标头。发布了版本 1.5,以调整匹配条件。 | 2021-12-11 | | 已知错误输入 [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 为回应 Log4j 中最近披露的安全问题,添加了规则 `Log4JRCE` 版本 1.2。有关信息,请参阅 [CVE-2021-44228](https://www.cve.org/CVERecord?id=CVE-2021-44228) 此规则用于检查常用 URI 路径、查询字符串、请求正文的前 8KB 和常用标头。该规则使用双 `URL_DECODE_UNI` 文本转换。发布了 `Log4JRCE` 的 1.3 版,以调整匹配条件并检查其他标头。 删除了规则 `BadAuthToken_COOKIE_AUTHORIZATION`。 | 2021-12-10 | 下表列出了 2021 年 12 月之前的变更。 | 规则组和规则 | 说明 | 日期 | | --- | --- | --- | | Amazon IP 声誉列表 | `AWSManagedReconnaissanceList` | 在监控/计数模式下添加了 AWSManagedReconnaissanceList 规则。此规则包含正在对 Amazon 资源执行侦测的 IP 地址。 | 2021-11-23 | | Windows 操作系统 | `WindowsShellCommands` `PowerShellCommands` | 为 WindowsShell 命令添加了三条新规则:`WindowsShellCommands_COOKIE``WindowsShellCommands_QUERYARGUMENTS`、和`WindowsShellCommands_BODY`。 添加了新 PowerShell 规则:`PowerShellCommands_COOKIE`. 通过删除字符串 \$1Set1 和 \$1Set2 重构了 `PowerShellComands` 规则命名。 向 `PowerShellRules` 中添加了更全面的检测签名。 为所有 Windows 操作系统规则添加了 `URL_DECODE_UNI` 文本转换。 | 2021-11-23 | | Linux 操作系统 | `LFI_URIPATH` `LFI_QUERYSTRING` `LFI_BODY` `LFI_COOKIE` | 将双 `URL_DECODE` 文本转换替换为双 `URL_DECODE_UNI`。 添加了 `NORMALIZE_PATH_WIN` 作为第二个文本转换。 将 `LFI_BODY` 规则替换为 `LFI_COOKIE` 规则。 为所有 `LFI` 规则添加了更全面的检测签名。 | 2021-11-23 | | 核心规则集(CRS) | `SizeRestrictions_BODY` | 降低了大小限制,以阻止正文有效负载大于 8 KB 的 Web 请求。以前,该限制为 10 KB。 | 2021-10-27 | | 核心规则集(CRS) | `EC2MetaDataSSRF_BODY` `EC2MetaDataSSRF_COOKIE` `EC2MetaDataSSRF_URIPATH` `EC2MetaDataSSRF_QUERYARGUMENTS` | 添加了更多检测签名。添加了双 Unicode 网址解码,以改善阻止效果。 | 2021-10-27 | | 核心规则集(CRS) | `GenericLFI_QUERYARGUMENTS` `GenericLFI_URIPATH` `RestrictedExtensions_URIPATH` `RestrictedExtensions_QUERYARGUMENTS` | 添加了双 Unicode 网址解码,以改善阻止效果。 | 2021-10-27 | | 核心规则集(CRS) | `GenericRFI_QUERYARGUMENTS` `GenericRFI_BODY` `GenericRFI_URIPATH` | 根据客户反馈更新了规则签名以减少误报。添加了双 Unicode 网址解码,以改善阻止效果。 | 2021-10-27 | | 全部 | 所有规则 | 为所有尚不支持 Amazon WAF 标签的规则添加了对标签的支持。 | 2021-10-25 | | Amazon IP 声誉列表 | `AWSManagedIPReputationList_xxxx` | 重组了 IP 信誉列表,删除了规则名称中的后缀,并增加了对标签的支持。 Amazon WAF | 2021-05-04 | | 匿名 IP 列表 | `AnonymousIPList` `HostingProviderList` | 增加了对 Amazon WAF 标签的支持。 | 2021-05-04 | | 机器人控制功能 | 全部 | 添加了机器人控制功能规则集。 | 2021-04-01 | | 核心规则集(CRS) | `GenericRFI_QUERYARGUMENTS` | 添加了双重 URL 解码。 | 2021-03-03 | | 核心规则集(CRS) | `RestrictedExtensions_URIPATH` | 改进了规则的配置并添加了额外的 URL 解码。 | 2021-03-03 | | 管理保护 | `AdminProtection_URIPATH` | 添加了双重 URL 解码。 | 2021-03-03 | | 已知错误输入 | `ExploitablePaths_URIPATH` | 改进了规则的配置并添加了额外的 URL 解码。 | 2021-03-03 | | Linux 操作系统 | `LFI_QUERYARGUMENTS` | 改进了规则的配置并添加了额外的 URL 解码。 | 2021-03-03 | | Windows 操作系统 | 全部 | 改进了规则的配置。 | 2020-09-23 | | PHP 应用程序 | `PHPHighRiskMethodsVariables_QUERYARGUMENTS` `PHPHighRiskMethodsVariables_BODY` | 将文本转换从 HTML 解码更改为 URL 解码,以改善阻止。 | 2020-09-16 | | POSIX 操作系统 | `UNIXShellCommandsVariables_QUERYARGUMENTS` `UNIXShellCommandsVariables_BODY` | 将文本转换从 HTML 解码更改为 URL 解码,以改善阻止。 | 2020-09-16 | | 核心规则集 | `GenericLFI_QUERYARGUMENTS` `GenericLFI_URIPATH` GenericLFI 正文 | 将文本转换从 HTML 解码更改为 URL 解码,以改善阻止。 | 2020-08-07 | | Linux 操作系统 | `LFI_URIPATH` `LFI_QUERYARGUMENTS` `LFI_BODY` | 将文本转换从 HTML 实体解码更改为 URL 解码,以改善检测和阻止。 | 2020-05-19 | | 匿名 IP 列表 | 全部 | [IP 声誉规则组](aws-managed-rule-groups-ip-rep.md) 中新的规则组可阻止来自以下这些服务的请求:这些服务允许对查看者身份进行模糊处理,以帮助缓解自动程序和规避地理限制的情况。 | 2020-03-06 | | WordPress 应用程序 | `WordPressExploitableCommands_QUERYSTRING` | 用于检查查询字符串中是否存在可利用的命令的新规则。 | 2020-03-03 | | 核心规则集(CRS) | `SizeRestrictions_QUERYSTRING` `SizeRestrictions_Cookie_HEADER` `SizeRestrictions_BODY` `SizeRestrictions_URIPATH` | 调整了大小值约束以提高准确性。 | 2020-03-03 | | SQL 数据库 | `SQLi_URIPATH` | 这些规则现在会检查消息 URI。 | 2020-01-23 | | SQL 数据库 | `SQLi_BODY` `SQLi_QUERYARGUMENTS` `SQLi_COOKIE` | 更新了文本转换。 | 2019-12-20 | | 核心规则集(CRS) | `CrossSiteScripting_URIPATH` `CrossSiteScripting_BODY` `CrossSiteScripting_QUERYARGUMENTS` `CrossSiteScripting_COOKIE` | 更新了文本转换。 | 2019-12-20 | # 管理您自己的规则组 您可以创建您自己的规则组,以重复使用托管规则组产品中不包含或您希望自行处理的规则集合。 您创建的规则组保存规则的方式与保护包(web ACL)保存规则的方式类似,向规则组添加规则的方式与向保护包(web ACL)添加规则的方式相同。当您创建自己的规则组时,必须为其设置不可变的最大容量。 **Topics** + [ # 创建规则组 ](waf-rule-group-creating.md) + [ # 编辑规则组 ](waf-rule-group-editing.md) + [ # 在保护包(web ACL)中使用规则组 ](waf-rule-group-using.md) + [ # 删除规则组 ](waf-rule-group-deleting.md) + [ # 共享规则组 ](waf-rule-group-sharing.md) # 创建规则组 要创建新规则组,请按照本页中的步骤操作。 **创建规则组** 1. 登录 Amazon Web Services 管理控制台 并在 [https://console.aws.amazon.com/wafv2/homev](https://console.amazonaws.cn/wafv2/homev2) 2 上打开主 Amazon WAF 机。 1. 在导航窗格中,选择 **规则组**,然后选择 **创建规则组**。 1. 为规则输入名称和描述。您将使用名称和描述来标识该规则集以便管理和使用它。 不要使用以 `AWS`、`Shield`、`PreFM` 或 `PostFM` 开头的名称。这些字符串要么是保留字符串,要么可能与其他服务所管理的规则组混淆。请参阅[识别其他服务提供的规则组](waf-service-owned-rule-groups.md)。 **注意** 规则组在创建之后无法更改名称。 1. 对于 **区域**,选择要存储规则组的区域。要在保护包 (Web ACLs) 中使用规则组来保护 Amazon CloudFront 分配,您必须使用全局设置。您也可以对区域应用程序使用全局设置。 1. 选择**下一步**。 1. 使用**规则生成器**向导将规则添加到规则组,这与保护包(web ACL)管理中的操作相同。唯一区别在于您无法将规则组添加到另一个规则组。 1. 对于**容量**,设置规则组使用保护包 (Web ACL) 容量单位的最大值 (WCUs)。这是一个不可变的设置。有关的信息 WCUs,请参见[Web ACL 容量单位 (WCUs) Amazon WAF](aws-waf-capacity-units.md)。 向规则组添加规则时,**添加规则和设置容量** 窗格会显示所需的最小容量,该容量基于已添加的规则。您可以根据此容量和规则组的未来计划来帮助估算规则组将需要的容量。 1. 检查规则组的设置,然后选择**创建**。 # 编辑规则组 要在规则组中添加或删除规则或更改配置设置,请使用本页面上的步骤访问规则组。 **生产流量风险** 如果您更改当前在保护包(web ACL)中使用的规则组,则无论在何处使用保护包(web ACL),这些更改都将影响您的保护包(web ACL)行为。请务必在暂存或测试环境中对所有更改进行测试和调整,直到您可以接受可能对流量产生的影响。然后,在启用之前,在计数模式下使用生产流量对更新后的规则进行测试和调整。有关指南,请参阅[测试和调整您的 Amazon WAF 保护措施](web-acl-testing.md)。 **编辑规则组** 1. 登录 Amazon Web Services 管理控制台 并在 [https://console.aws.amazon.com/wafv2/homev](https://console.amazonaws.cn/wafv2/homev2) 2 上打开主 Amazon WAF 机。 1. 在导航窗格中,选择 **规则组**。 1. 选择要编辑的规则组的名称。控制台会将您引入规则组的页面。 **注意** 如果看不到要编辑的规则组,请查看**规则组**部分中的区域选择。对于用于保护 Amazon CloudFront 分配的规则组,请使用 **Global (CloudFront)** 设置。 1. 根据需要编辑规则组。您可以编辑规则组的可变属性,与创建时的操作类似。控制台会随时保存您的更改。 **注意** 如果您更改了规则的名称,并且希望该规则的指标名称反映更改,则还必须更新该指标名称。 Amazon WAF 当您更改规则名称时,不会自动更新规则的指标名称。在控制台中编辑规则时,您可以使用规则 JSON 编辑器更改指标名称。您还可以通过 APIs 和更改用于定义保护包 (Web ACL) 或规则组的任何 JSON 列表中的名称。 **更新期间暂时出现不一致** 创建或更改保护包 (Web ACL) 或其他 Amazon WAF 资源时,更改需要很少的时间才能传播到存储资源的所有区域。传播时间可以从几秒钟到几分钟不等。 以下示例是更改传播过程中可能暂时出现的不一致: + 创建保护包(web ACL)后,如果您尝试将其与资源关联,则可能会出现异常,指示保护包(web ACL)不可用。 + 将规则组添加到保护包(web ACL)后,新的规则组规则可能在某个使用保护包(web ACL)的区域生效,而在另一个区域不生效。 + 更改规则操作设置后,可能会在某些位置显示旧操作而在另一些位置显示新操作。 + 将 IP 地址添加到阻止规则中使用的 IP 集后,新地址可能会在一个区域中被阻止,而在另一个区域中仍然允许。 # 在保护包(web ACL)中使用规则组 要在保护包(web ACL)中使用规则组,请在规则组参考语句中将其添加到保护包(web ACL)中。 **生产流量风险** 在保护包(web ACL)中为生产流量部署更改之前,请在暂存或测试环境中对其进行测试和调整,直到您对流量可能产生的影响感到满意。然后,在启用之前,在计数模式下使用生产流量对更新后的规则进行测试和调整。有关指南,请参阅[测试和调整您的 Amazon WAF 保护措施](web-acl-testing.md)。 **注意** 在保护包 (Web ACL) WCUs 中使用超过 1,500 的保护包会产生超出基本保护包 (Web ACL) 价格的成本。有关更多信息,请参阅 [Web ACL 容量单位 (WCUs) Amazon WAF](aws-waf-capacity-units.md) 和 [Amazon WAF 定价](https://www.amazonaws.cn/waf/pricing/)。 **使用规则组** 1. 登录 Amazon Web Services 管理控制台 并在 [https://console.aws.amazon.com/wafv2/homev](https://console.amazonaws.cn/wafv2/homev2) 2 上打开主 Amazon WAF 机。 1. 在导航窗格中,选择 **规则组**。 1. 选择要使用的规则组的名称。 1. 选择**添加规则**,然后选择**添加自己的规则和规则组**。 1. 选择**规则组**,并从列表中选择规则组。 在保护包(web ACL)中,您可以通过将单个规则操作设置为 Count 或通过任何其他操作,更改规则组及其规则的行为。这可以帮助您执行测试规则组、识别规则组中规则的误报,以及自定义托管规则组处理请求的方式等操作。有关更多信息,请参阅 [覆盖中的规则组操作 Amazon WAF](web-acl-rule-group-override-options.md)。 如果您的规则组包含基于速率的语句,则您使用该规则组的每个保护包(web ACL)都会对基于速率的规则分别进行费率跟踪和管理,与您使用规则组的任何其他保护包(web ACL)无关。有关更多信息,请参阅 [在中使用基于费率的规则语句 Amazon WAF](waf-rule-statement-type-rate-based.md)。 **更新期间暂时出现不一致** 创建或更改保护包 (Web ACL) 或其他 Amazon WAF 资源时,更改需要很少的时间才能传播到存储资源的所有区域。传播时间可以从几秒钟到几分钟不等。 以下示例是更改传播过程中可能暂时出现的不一致: + 创建保护包(web ACL)后,如果您尝试将其与资源关联,则可能会出现异常,指示保护包(web ACL)不可用。 + 将规则组添加到保护包(web ACL)后,新的规则组规则可能在某个使用保护包(web ACL)的区域生效,而在另一个区域不生效。 + 更改规则操作设置后,可能会在某些位置显示旧操作而在另一些位置显示新操作。 + 将 IP 地址添加到阻止规则中使用的 IP 集后,新地址可能会在一个区域中被阻止,而在另一个区域中仍然允许。 # 删除规则组 按照本部分中的指导删除规则组。 **删除引用的集合和规则组** 删除可在保护包 (Web ACL) 中使用的实体(例如 IP 集、正则表达式模式集或规则组)时, Amazon WAF 会检查该实体当前是否正在保护包 (Web ACL) 中使用。如果它发现它正在使用中,则 Amazon WAF 会警告你。 Amazon WAF 几乎总是能够确定保护包(Web ACL)是否引用了实体。但是在极少数情况下,它可能无法确定。如果您需要确保当前没有任何实体在使用该实体,请在将其删除之前在保护包 (Web ACLs) 中进行检查。如果实体是引用的集合,请确保没有规则组正在使用它。 **删除规则组** 1. 登录 Amazon Web Services 管理控制台 并在 [https://console.aws.amazon.com/wafv2/homev](https://console.amazonaws.cn/wafv2/homev2) 2 上打开主 Amazon WAF 机。 1. 在导航窗格中,选择 **规则组**。 1. 选择要删除的规则组,然后选择**删除**。 **注意** 如果看不到要删除的规则组,请查看**规则组**部分中的区域选择。对于用于保护 Amazon CloudFront 分配的规则组,请使用 **Global (CloudFront)** 设置。 # 共享规则组 您可以与其他账户共享规则组以供该账户使用。 **共享规则组** 您可以与一个或多个特定账户共享,也可以与组织中的所有账户共享。 要共享规则组,您可以使用 Amazon WAF API 为所需的规则组共享创建策略。有关更多信息,请参阅《Amazon WAF API Reference》**中的 [PutPermissionPolicy](https://docs.amazonaws.cn/waf/latest/APIReference/API_PutPermissionPolicy.html)。 **使用已与您共享的规则组** 如果已与您的账户共享规则组,则可以通过 API 访问该规则组,也可以在通过 API 创建或更新保护包(网页 ACLs)时引用该规则组。[有关更多信息 [GetRuleGroup](https://docs.amazonaws.cn/waf/latest/APIReference/API_GetRuleGroup.html),CreateWeb请参阅 *Amazon WAF API 参考UpdateWeb*[中的 ACL 和 ACL](https://docs.amazonaws.cn/waf/latest/APIReference/API_UpdateWebACL.html)。](https://docs.amazonaws.cn/waf/latest/APIReference/API_CreateWebACL.html)与您共享的规则组不会出现在您的 Amazon WAF 控制台规则组列表中。 # Amazon Web Services Marketplace 规则组 本节介绍如何使用 Amazon Web Services Marketplace 规则组。 Amazon Web Services Marketplace 规则组可通过 Amazon Web Services Marketplace 控制台订阅获得,网址为[Amazon Web Services Marketplace](https://www.amazonaws.cn/marketplace)。订阅 Amazon Web Services Marketplace 规则组后,可以在中使用它 Amazon WAF。要在 Amazon Firewall Manager Amazon WAF 策略中使用 Amazon Web Services Marketplace 规则组,组织中的每个账户都必须订阅该规则组。 **您可以通过以下方式订阅不同类型的规则组 Amazon Web Services Marketplace:** + Amazon WAF 合作伙伴管理的规则组 + 客户端保护 在将 Amazon WAF 保护措施用于生产流量之前,请先对其进行测试和调整。有关信息,请参阅[测试和调整您的 Amazon WAF 保护措施](web-acl-testing.md)。 **Amazon Web Services Marketplace 规则组定价** Amazon Web Services Marketplace 规则组没有长期合同,也没有最低承诺。当您订阅规则组时,您需要支付月费(按小时按比例分配),并根据交易量向您收取持续的请求费用。但是,只有当您将订阅的规则组添加到 Web ACL 并开始使用它时,才需要支付订阅费。有关更多信息,请参阅[Amazon WAF 定价](https://www.amazonaws.cn/waf/pricing/)和每个 Amazon Web Services Marketplace 规则组的描述,网址为[Amazon Web Services Marketplace](https://www.amazonaws.cn/marketplace)。 **对 Amazon Web Services Marketplace 规则组有疑问吗?** 如果对 Amazon Web Services Marketplace 卖家管理的规则组有疑问或请求更改功能,请联系提供商的客户支持团队。要查找联系信息,请访问 [Amazon Web Services Marketplace](https://www.amazonaws.cn/marketplace),参阅提供程序的列表。 Amazon Web Services Marketplace 规则组提供者决定如何管理规则组,例如如何更新规则组以及规则组是否已版本控制。提供程序还会确定规则组的详细信息,包括规则、规则操作以及规则添加到匹配的 Web 请求中的任何标签。 ## 订阅 Amazon Web Services Marketplace 规则组 添加了客户端保护 Amazon WAF 的客户端保护现已 Amazon Web Services Marketplace 可用。您可以通过控制台订阅和取消订阅客户端保护。 Amazon Web Services Marketplace 您可以在 Amazon WAF 控制台上订阅和取消订阅 Amazon Web Services Marketplace 规则组。 **重要** 要在 Amazon Firewall Manager 策略中使用 Amazon Web Services Marketplace 规则组,组织中的每个账户都必须先订阅该规则组。 **订阅 Amazon Web Services Marketplace 规则组** 1. 登录 Amazon Web Services 管理控制台 并在 [https://console.aws.amazon.com/wafv2/homev](https://console.amazonaws.cn/wafv2/homev2) 2 上打开主 Amazon WAF 机。 1. 在导航窗格中,选择**附加组件保护**。 1. 在 **Amazon Web Services Marketplace** 部分中,选择规则组的名称,以查看详细信息和定价信息。 **提示** 使用筛选条件,快速排序您最感兴趣的规则。例如,您可以使用**类别**筛选条件,仅查看客户端保护。 1. 要订阅 Amazon Web Services Marketplace 规则组,请执行以下操作: 1. 导航到规则组,然后选择**通过 Marketplace 订阅**。 1. 在打开的 Marketplace 页面中,选择**查看购买选项**,然后选择**订阅**。 **注意** 如果您决定不订阅规则组,关闭弹出窗口即可。 订阅 Amazon Web Services Marketplace 规则组后,可以在保护包 (Web ACLs) 中使用该规则组,就像在其他托管规则组中使用一样。有关信息,请参阅[在中创建保护包 (Web ACL) Amazon WAF](web-acl-creating.md)。 将规则组添加到保护包(web ACL)时,可以覆盖规则组中规则的操作和规则组结果的操作。有关更多信息,请参阅 [覆盖中的规则组操作 Amazon WAF](web-acl-rule-group-override-options.md)。 ## 取消订阅规则组 Amazon Web Services Marketplace 您可以在 Amazon Web Services Marketplace 控制台上取消订阅 Amazon Web Services Marketplace 规则组。 **重要** 要停止对某个 Amazon Web Services Marketplace 规则组收取订阅费用,除了取消订阅该规则组外,还必须将其从所有 Firewall Manager Amazon WAF 策略中 Amazon WAF 和其中的所有保护包(网页 ACLs)中删除。如果您取消订阅某个 Amazon Web Services Marketplace 规则组,但未将其从保护包(网页 ACLs)中删除,则将继续向您收取订阅费用。 **取消订阅 Amazon Web Services Marketplace 规则组** 1. 从所有保护包 (Web ACLs) 中移除规则组。有关更多信息,请参阅 [在中编辑保护包 (Web ACL) Amazon WAF](web-acl-editing.md)。 1. 在 [https://console.aws.amazon.com/marketplac Amazon](https://console.amazonaws.cn/marketplace) e 上打开控制台。 此时将显示**管理订阅**页面。 1. 打开**交付方式**列表并选择 **SaaS**。 1. 在**协议**下,打开**操作列表**,然后选择想要取消订阅的规则组名称旁边的**取消订阅**。 1. 在**取消订阅**对话框中,输入 **confirm**,然后选择**是,取消订阅**。 ## 对 Amazon Web Services Marketplace 规则组进行故障排除 如果您发现某个 Amazon Web Services Marketplace 规则组阻止了合法流量,则可以通过执行以下步骤来解决问题。 **对 Amazon Web Services Marketplace 规则组进行故障排除** 1. 覆盖操作,以计入阻止合法流量的规则。您可以使用 Amazon WAF 抽样请求或 Amazon WAF 日志来确定哪些规则阻止了特定的请求。您可以通过查看日志中的 `ruleGroupId` 字段或采样请求中的 `RuleWithinRuleGroup` 来标识规则。您可以采用模式 `##` 标识规则。 1. 如果将特定规则设置为仅计算请求数并不能解决问题,则可以覆盖所有规则操作,或者将 Amazon Web Services Marketplace 规则组本身的操作从 “**不覆盖” 更改为 “覆盖****” 以计数**。这会允许 web 请求通过,而不管规则组中的各个规则操作是什么。 1. 覆盖单个规则操作或整个 Amazon Web Services Marketplace 规则组操作后,请联系规则组提供商的客户支持团队以进一步解决问题。有关联系信息,请参阅 Amazon Web Services Marketplace产品列表页面上的规则组列表。 ### 联系 Amazon 支持人员 有关问题 Amazon WAF 或由其管理的规则组 Amazon,请联系 Amazon Web Services 支持。如果 Amazon Web Services Marketplace 卖家管理的规则组存在问题,请联系提供商的客户支持团队。要查找联系信息,请参阅提供商的列表 Amazon Web Services Marketplace。 # 识别其他服务提供的规则组 识别来自其他服务的规则组 如果您或您组织中的管理员使用 Amazon Firewall Manager 或 Amazon Shield Advanced 使用管理资源保护 Amazon WAF,则可能会在您的账户中看到添加到保护包 (Web ACLs) 中的规则组参考声明。 这些规则组的名称以以下字符串开头: + **`ShieldMitigationRuleGroup`**— 这些规则组由受保护的应用程序层(第 7 层 DDo)资源管理, Amazon Shield Advanced 并用于为受保护的应用程序层(第 7 层)资源提供自动缓解。 当您为受保护的资源启用自动应用层 DDo S 缓解时,Shield Advanced 会将其中一个规则组添加到您与该资源关联的保护包(Web ACL)中。Shield Advanced 为规则组参考语句分配了 100 万的优先级设置,以便其能够在保护包(web ACL)配置的规则之后运行。有关这些规则组的更多信息,请参阅 [使用 Shield Advanced 自动缓解应用层 DDo S](ddos-automatic-app-layer-response.md)。 **警告** 不要尝试在保护包(web ACL)中手动管理此规则组。特别是,不要手动从保护包(web ACL)中删除 `ShieldMitigationRuleGroup` 规则组参考语句。这样可能会对与保护包(web ACL)关联的所有资源造成意外后果。应使用 Shield Advanced 来禁用与保护包(web ACL)相关联资源的自动缓解功能。当不需要自动缓解时,Shield Advanced 会为您移除规则组。 + **`PREFMManaged`和 `POSTFMManaged`** — 这些规则组由 Amazon Firewall Manager 根据 Firewall Manager Amazon WAF 策略配置进行管理。Firewall Manager 在防火墙管理器管理的保护包 (Web ACLs) 中提供这些规则组。 Firewall Manager 会为您创建名称以开头的保护包(网络 ACLs)`FMManagedWebACLV2`。您也可以将 Firewall Manager 配置为改造现有保护包(网络 ACLs)。对于这些列表,保护包(web ACL)名称就是创建保护包(web ACL)时指定的名称。无论哪种情况,Firewall Manager 都会将这些规则组添加至保护包(web ACL)。有关更多信息,请参阅 [在 Firewall Manager 中使用 Amazon WAF 策略](waf-policies.md)。