**引入全新的主机体验 AWS WAF**
现在,您可以使用更新的体验访问控制台中任意位置的 AWS WAF 功能。有关更多详细信息,请参阅[使用控制台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# AWS 的托管规则 AWS WAF
本节说明了 AWS 托管规则的 AWS WAF 用途。
AWS 的托管规则 AWS WAF 是一项托管服务,可针对应用程序漏洞或其他有害流量提供保护。您可以选择从 AWS 托管规则中为每个 Web ACL 选择一个或多个规则组,最高不超过最大保护包 (Web ACL) 容量单位 (WCU) 限制。
**减少误报并测试规则组的更改**
在生产环境中使用任何托管规则组之前,请根据 [测试和调整您的 AWS WAF 保护措施](web-acl-testing.md) 中的指导在非生产环境中对其进行测试。在向保护包(web ACL)添加规则组以测试规则组的新版本时,以及在规则组无法按需要处理 web 流量时,请遵循测试和调整指南。
**共同分担安全责任**
AWS 托管规则旨在保护您免受常见 Web 威胁的侵害。根据文档使用 AWS 托管规则组时,可以为您的应用程序增加另一层安全保护。但是, AWS 托管规则规则组并不是用来取代您的安全职责,后者由您选择的 AWS 资源决定。请参阅[分担责任模型](https://aws.amazon.com/compliance/shared-responsibility-model/),确保您的资源 AWS 得到适当保护。
**重要**
AWS 托管规则旨在保护您免受常见 Web 威胁的侵害。根据文档使用 AWS 托管规则组时,可以为您的应用程序增加另一层安全保护。但是, AWS 托管规则规则组并不是用来取代您的安全职责,后者由您选择的 AWS 资源决定。请参阅[分担责任模型](https://aws.amazon.com/compliance/shared-responsibility-model/),确保您的资源 AWS 得到适当保护。
# AWS 托管规则规则组列表
本节提供了可用的 AWS 托管规则规则组列表。
本节介绍 AWS 托管规则组的最新版本。当您将托管规则组添加到保护包(web ACL)时,您可以在控制台上查看这些规则组。通过 API,您可以通过调`ListAvailableManagedRuleGroups`用来检索此列表以及您订阅的 AWS Marketplace 规则组。
**注意**
有关检索 AWS 托管规则组版本的信息,请参阅[检索托管规则组的可用版本](waf-using-managed-rule-groups-versions.md)。
所有 AWS 托管规则组都支持标签,本节中的规则列表包括标签规范。您可以通过调用 `DescribeManagedRuleGroup` 从 API 检索托管规则组的标签。标签列在响应的 AvailableLabels 属性中。有关标签的信息,请参阅 [在 Web 请求中添加标签 AWS WAF](waf-labels.md)。
在将 AWS WAF 保护措施用于生产流量之前,请先对其进行测试和调整。有关信息,请参阅[测试和调整您的 AWS WAF 保护措施](web-acl-testing.md)。
**Contents**
+ [基准规则组](aws-managed-rule-groups-baseline.md)
+ [核心规则集(CRS)托管规则组](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs)
+ [管理员保护托管规则组](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-admin)
+ [已知错误输入托管规则组](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs)
+ [使用案例特定规则组](aws-managed-rule-groups-use-case.md)
+ [SQL 数据库托管规则组](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-sql-db)
+ [Linux 操作系统托管规则组](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-linux-os)
+ [POSIX 操作系统托管规则组](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-posix-os)
+ [Windows 操作系统托管规则组](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-windows-os)
+ [PHP 应用程序托管规则组](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-php-app)
+ [WordPress 应用程序托管规则组](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-wordpress-app)
+ [IP 声誉规则组](aws-managed-rule-groups-ip-rep.md)
+ [Amazon IP 声誉列表托管规则组](aws-managed-rule-groups-ip-rep.md#aws-managed-rule-groups-ip-rep-amazon)
+ [匿名 IP 列表托管规则组](aws-managed-rule-groups-ip-rep.md#aws-managed-rule-groups-ip-rep-anonymous)
+ [AWS WAF 欺诈控制账户创建防作弊 (ACFP) 规则组](aws-managed-rule-groups-acfp.md)
+ [使用此规则组的注意事项](aws-managed-rule-groups-acfp.md#aws-managed-rule-groups-acfp-using)
+ [此规则组添加的标签](aws-managed-rule-groups-acfp.md#aws-managed-rule-groups-acfp-labels)
+ [令牌标签](aws-managed-rule-groups-acfp.md#aws-managed-rule-groups-acfp-labels-token)
+ [ACFP 标签](aws-managed-rule-groups-acfp.md#aws-managed-rule-groups-acfp-labels-rg)
+ [账户创建欺诈预防规则列表](aws-managed-rule-groups-acfp.md#aws-managed-rule-groups-acfp-rules)
+ [AWS WAF 防欺诈控制账户盗用 (ATP) 规则组](aws-managed-rule-groups-atp.md)
+ [使用此规则组的注意事项](aws-managed-rule-groups-atp.md#aws-managed-rule-groups-atp-using)
+ [此规则组添加的标签](aws-managed-rule-groups-atp.md#aws-managed-rule-groups-atp-labels)
+ [令牌标签](aws-managed-rule-groups-atp.md#aws-managed-rule-groups-atp-labels-token)
+ [ATP 标签](aws-managed-rule-groups-atp.md#aws-managed-rule-groups-atp-labels-rg)
+ [账户盗用防护规则列表](aws-managed-rule-groups-atp.md#aws-managed-rule-groups-atp-rules)
+ [AWS WAF 机器人控制规则组](aws-managed-rule-groups-bot.md)
+ [保护级别](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-prot-levels)
+ [使用此规则组的注意事项](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-using)
+ [此规则组添加的标签](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-labels)
+ [令牌标签](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-labels-token)
+ [机器人控制功能标签](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-labels-rg)
+ [机器人控制功能规则列表](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-rules)
+ [AWS WAF 分布式拒绝服务 (DDoS) 防护规则组](aws-managed-rule-groups-anti-ddos.md)
+ [使用此规则组的注意事项](aws-managed-rule-groups-anti-ddos.md#aws-managed-rule-groups-anti-ddos-using)
+ [此规则组添加的标签](aws-managed-rule-groups-anti-ddos.md#aws-managed-rule-groups-anti-ddos-labels)
+ [令牌标签](aws-managed-rule-groups-anti-ddos.md#aws-managed-rule-groups-anti-ddos-labels-token)
+ [反 DDo S 标签](aws-managed-rule-groups-anti-ddos.md#aws-managed-rule-groups-anti-ddos-labels-rg)
+ [反 DDo S 规则清单](aws-managed-rule-groups-anti-ddos.md#aws-managed-rule-groups-anti-ddos-rules)
# 基准规则组
基准托管规则组可针对多种常见威胁提供一般保护。请选择以下一个或多个规则组以便为您的资源建立基准保护。
## 核心规则集(CRS)托管规则组
VendorName:`AWS`,名称:`AWSManagedRulesCommonRuleSet`,WCU:700
**注意**
本文档包含此托管规则组的最新静态版本。我们在 [AWS 托管规则变更日志](aws-managed-rule-groups-changelog.md) 的更改日志中报告版本变更。有关其他版本的信息,请使用 API 命令[DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)。
我们在 AWS 托管规则组中发布的规则信息旨在为您提供使用规则所需的信息,而不会向不良行为者提供他们规避规则所需的信息。
如果您需要更多信息,请联系 [AWS 支持 中心](https://console.aws.amazon.com/support/home#/)。
核心规则集 (CRS) 规则组包含通常适用于 Web 应用程序的规则。该规则组有助于防止利用各种漏洞,包括 OWASP 出版物(如 [OWASP Top 10](https://owasp.org/www-project-top-ten/))中描述的一些高风险和经常发生的漏洞。考虑将此规则组用于任何 AWS WAF 用例。
此托管规则组会为其评估的 Web 请求添加标签,这些标签可用于在保护包 (Web ACL) 中在此规则组之后运行的规则。 AWS WAF 还会记录亚马逊 CloudWatch 指标的标签。有关标签和标签指标的一般信息,请参阅 [Web 请求标签](waf-labels.md) 和 [标签指标和维度](waf-metrics.md#waf-metrics-label)。
| 规则名称 | 描述和标签 |
| --- | --- |
| NoUserAgent\$1HEADER | 检查是否存在缺少 HTTP `User-Agent` 标头的请求。 规则操作:Block 标签:`awswaf:managed:aws:core-rule-set:NoUserAgent_Header` |
| UserAgent\$1BadBots\$1HEADER | 检查是否存在表明请求是恶意机器人的常见 `User-Agent` 标头值。示例模式包括 `nessus` 和 `nmap`。有关机器人管理的信息,另请参阅 [AWS WAF 机器人控制规则组](aws-managed-rule-groups-bot.md)。 规则操作:Block 标签:`awswaf:managed:aws:core-rule-set:BadBots_Header` |
| SizeRestrictions\$1QUERYSTRING | 检查是否存在超过 2048 字节的 URI 查询字符串。 规则操作:Block 标签:`awswaf:managed:aws:core-rule-set:SizeRestrictions_QueryString` |
| SizeRestrictions\$1Cookie\$1HEADER | 检查是否存在超过 10,240 字节的 Cookie 标头。 规则操作:Block 标签:`awswaf:managed:aws:core-rule-set:SizeRestrictions_Cookie_Header` |
| SizeRestrictions\$1BODY | 检查是否存在超过 8 KB(8192 字节)的请求正文。 规则操作:Block 标签:`awswaf:managed:aws:core-rule-set:SizeRestrictions_Body` |
| SizeRestrictions\$1URIPATH | 检查 URI 路径是否超过 1024 字节。 规则操作:Block 标签:`awswaf:managed:aws:core-rule-set:SizeRestrictions_URIPath` |
| EC2MetaDataSSRF\$1BODY | 检查是否存在恶意方试图从请求正文中泄漏 Amazon EC2 元数据。 此规则仅检查请求正文,但不得超过保护包(web ACL)和资源类型的正文大小限制。对于 Application Load Balancer 和 AWS AppSync,限制固定为 8 KB。对于 CloudFront API Gateway、Amazon Cognito、App Runner 和 Verified Access,默认限制为 16 KB,您可以在保护包 (Web ACL) 配置中将限制提高到 64 KB。此规则使用 `Continue` 选项来处理超大内容。有关更多信息,请参阅 [中的 Web 请求组件过大 AWS WAF](waf-oversize-request-components.md)。 规则操作:Block 标签:`awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_Body` |
| EC2MetaDataSSRF\$1COOKIE | 检查是否存在恶意方试图从请求 Cookie 中泄漏 Amazon EC2 元数据。 规则操作:Block 标签:`awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_Cookie` |
| EC2MetaDataSSRF\$1URIPATH | 检查是否存在恶意方试图从请求 URI 路径中泄漏 Amazon EC2 元数据。 规则操作:Block 标签:`awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_URIPath` |
| EC2MetaDataSSRF\$1QUERYARGUMENTS | 检查是否存在恶意方试图从请求查询参数中泄漏 Amazon EC2 元数据。 规则操作:Block 标签:`awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_QueryArguments` |
| GenericLFI\$1QUERYARGUMENTS | 检查查询参数中是否存在本地文件包含(LFI)攻击。示例包括使用类似于 `../../` 的技术尝试遍历路径。 规则操作:Block 标签:`awswaf:managed:aws:core-rule-set:GenericLFI_QueryArguments` |
| GenericLFI\$1URIPATH | 检查 URI 路径中是否存在本地文件包含(LFI)攻击。示例包括使用类似于 `../../` 的技术尝试遍历路径。 规则操作:Block 标签:`awswaf:managed:aws:core-rule-set:GenericLFI_URIPath` |
| GenericLFI\$1BODY | 检查请求正文中是否存在本地文件包含(LFI)攻击。示例包括使用类似于 `../../` 的技术尝试遍历路径。 此规则仅检查请求正文,但不得超过保护包(web ACL)和资源类型的正文大小限制。对于 Application Load Balancer 和 AWS AppSync,限制固定为 8 KB。对于 CloudFront API Gateway、Amazon Cognito、App Runner 和 Verified Access,默认限制为 16 KB,您可以在保护包 (Web ACL) 配置中将限制提高到 64 KB。此规则使用 `Continue` 选项来处理超大内容。有关更多信息,请参阅 [中的 Web 请求组件过大 AWS WAF](waf-oversize-request-components.md)。 规则操作:Block 标签:`awswaf:managed:aws:core-rule-set:GenericLFI_Body` |
| RestrictedExtensions\$1URIPATH | 检查是否存在 URI 路径中包含无法安全读取或运行的系统文件扩展名的请求。示例模式包括类似于 `.log` 和 `.ini` 的扩展名。 规则操作:Block 标签:`awswaf:managed:aws:core-rule-set:RestrictedExtensions_URIPath` |
| RestrictedExtensions\$1QUERYARGUMENTS | 检查是否存在查询参数中包含无法安全读取或运行的系统文件扩展名的请求。示例模式包括类似于 `.log` 和 `.ini` 的扩展名。 规则操作:Block 标签:`awswaf:managed:aws:core-rule-set:RestrictedExtensions_QueryArguments` |
| GenericRFI\$1QUERYARGUMENTS | 检查所有查询参数的值,以防有人试图通过嵌入包含地址的 Web 应用程序中利用 RFI(远程文件包 URLs 含 IPv4)。示例包括漏洞利用尝试中带有 IPv4 主机标头的`http://``file://`、、、、和。`https://` `ftp://` `ftps://` 规则操作:Block 标签:`awswaf:managed:aws:core-rule-set:GenericRFI_QueryArguments` |
| GenericRFI\$1BODY | 检查请求正文中是否有人试图通过嵌入包含地址来利用 Web 应用程序中的 RFI(远程文件包 URLs 含 IPv4 )。示例包括漏洞利用尝试中带有 IPv4 主机标头的`http://``file://`、、、、和。`https://` `ftp://` `ftps://` 此规则仅检查请求正文,但不得超过保护包(web ACL)和资源类型的正文大小限制。对于 Application Load Balancer 和 AWS AppSync,限制固定为 8 KB。对于 CloudFront API Gateway、Amazon Cognito、App Runner 和 Verified Access,默认限制为 16 KB,您可以在保护包 (Web ACL) 配置中将限制提高到 64 KB。此规则使用 `Continue` 选项来处理超大内容。有关更多信息,请参阅 [中的 Web 请求组件过大 AWS WAF](waf-oversize-request-components.md)。 规则操作:Block 标签:`awswaf:managed:aws:core-rule-set:GenericRFI_Body` |
| GenericRFI\$1URIPATH | 检查 URI 路径中是否有人试图通过嵌入包含地址来利用 Web 应用程序中的 RFI(远程文件包 URLs 含 IPv4 )。示例包括漏洞利用尝试中带有 IPv4 主机标头的`http://``file://`、、、、和。`https://` `ftp://` `ftps://` 规则操作:Block 标签:`awswaf:managed:aws:core-rule-set:GenericRFI_URIPath` |
| CrossSiteScripting\$1COOKIE | 使用内置功能检查 Cookie 标头的值以了解常见的跨站脚本 (XSS) 模式。 AWS WAF [跨站点脚本攻击规则语句](waf-rule-statement-type-xss-match.md)示例模式包括类似于 `` 的脚本。 该规则组的 2.0 版本未填充 AWS WAF 日志中的规则匹配详细信息。 规则操作:Block 标签:`awswaf:managed:aws:core-rule-set:CrossSiteScripting_Cookie` |
| CrossSiteScripting\$1QUERYARGUMENTS | 使用内置检查查询参数的值,了解常见的跨站点脚本 (XSS) 模式。 AWS WAF [跨站点脚本攻击规则语句](waf-rule-statement-type-xss-match.md)示例模式包括类似于 `` 的脚本。 该规则组的 2.0 版本未填充 AWS WAF 日志中的规则匹配详细信息。 规则操作:Block 标签:`awswaf:managed:aws:core-rule-set:CrossSiteScripting_QueryArguments` |
| CrossSiteScripting\$1BODY | 使用内置检查请求正文中常见的跨站脚本 (XSS) 模式。 AWS WAF [跨站点脚本攻击规则语句](waf-rule-statement-type-xss-match.md)示例模式包括类似于 `` 的脚本。 该规则组的 2.0 版本未填充 AWS WAF 日志中的规则匹配详细信息。 此规则仅检查请求正文,但不得超过保护包(web ACL)和资源类型的正文大小限制。对于 Application Load Balancer 和 AWS AppSync,限制固定为 8 KB。对于 CloudFront API Gateway、Amazon Cognito、App Runner 和 Verified Access,默认限制为 16 KB,您可以在保护包 (Web ACL) 配置中将限制提高到 64 KB。此规则使用 `Continue` 选项来处理超大内容。有关更多信息,请参阅 [中的 Web 请求组件过大 AWS WAF](waf-oversize-request-components.md)。 规则操作:Block 标签:`awswaf:managed:aws:core-rule-set:CrossSiteScripting_Body` |
| CrossSiteScripting\$1URIPATH | 使用内置检查常见跨站脚本 (XSS) 模式的 URI 路径值。 AWS WAF [跨站点脚本攻击规则语句](waf-rule-statement-type-xss-match.md)示例模式包括类似于 `` 的脚本。 该规则组的 2.0 版本未填充 AWS WAF 日志中的规则匹配详细信息。 规则操作:Block 标签:`awswaf:managed:aws:core-rule-set:CrossSiteScripting_URIPath` |
## 管理员保护托管规则组
VendorName:`AWS`,名称:`AWSManagedRulesAdminProtectionRuleSet`,WCU:100
**注意**
本文档包含此托管规则组的最新静态版本。我们在 [AWS 托管规则变更日志](aws-managed-rule-groups-changelog.md) 的更改日志中报告版本变更。有关其他版本的信息,请使用 API 命令[DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)。
我们在 AWS 托管规则组中发布的规则信息旨在为您提供使用规则所需的信息,而不会向不良行为者提供他们规避规则所需的信息。
如果您需要更多信息,请联系 [AWS 支持 中心](https://console.aws.amazon.com/support/home#/)。
管理保护规则组包含允许您阻止对公开的管理页面进行外部访问的规则。如果您运行第三方软件,或者希望降低恶意人员获取您的应用程序的管理访问权限的风险,该规则组可能非常有用。
此托管规则组会为其评估的 Web 请求添加标签,这些标签可用于在保护包 (Web ACL) 中在此规则组之后运行的规则。 AWS WAF 还会记录亚马逊 CloudWatch 指标的标签。有关标签和标签指标的一般信息,请参阅 [Web 请求标签](waf-labels.md) 和 [标签指标和维度](waf-metrics.md#waf-metrics-label)。
| 规则名称 | 描述和标签 |
| --- | --- |
| AdminProtection\$1URIPATH | 检查针对通常为管理 Web 服务器或应用程序而保留的 URI 路径。示例模式包括 `sqlmanager`。 规则操作:Block 标签:`awswaf:managed:aws:admin-protection:AdminProtection_URIPath` |
## 已知错误输入托管规则组
VendorName:`AWS`,名称:`AWSManagedRulesKnownBadInputsRuleSet`,WCU:200
**注意**
本文档包含此托管规则组的最新静态版本。我们在 [AWS 托管规则变更日志](aws-managed-rule-groups-changelog.md) 的更改日志中报告版本变更。有关其他版本的信息,请使用 API 命令[DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)。
我们在 AWS 托管规则组中发布的规则信息旨在为您提供使用规则所需的信息,而不会向不良行为者提供他们规避规则所需的信息。
如果您需要更多信息,请联系 [AWS 支持 中心](https://console.aws.amazon.com/support/home#/)。
已知错误输入规则组包含用于阻止请求模式的规则,这些模式确认无效且与漏洞攻击或发现相关联。这有助于降低恶意人员发现易受攻击的应用程序的风险。
此托管规则组会为其评估的 Web 请求添加标签,这些标签可用于在保护包 (Web ACL) 中在此规则组之后运行的规则。 AWS WAF 还会记录亚马逊 CloudWatch 指标的标签。有关标签和标签指标的一般信息,请参阅 [Web 请求标签](waf-labels.md) 和 [标签指标和维度](waf-metrics.md#waf-metrics-label)。
| 规则名称 | 描述和标签 |
| --- | --- |
| JavaDeserializationRCE\$1HEADER | 检查 HTTP 请求标头的键和值,寻找指示 Java 反序列化远程命令执行(RCE)尝试的模式,例如 Spring Core 和 Cloud Function RCE 漏洞(CVE-2022-22963、CVE-2022-22965)。示例模式包括 `(java.lang.Runtime).getRuntime().exec("whoami")`。 此规则仅检查请求标头的前 8 KB 或前 200 个标头(以先达到的限制为准),并且它使用 `Continue` 选项来处理超大内容。有关更多信息,请参阅 [中的 Web 请求组件过大 AWS WAF](waf-oversize-request-components.md)。 规则操作:Block 标签:`awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_Header` |
| JavaDeserializationRCE\$1BODY | 检查请求正文中是否存在指示 Java 反序列化远程命令执行(RCE)尝试的模式,例如 Spring Core 和 Cloud Function RCE 漏洞(CVE-2022-22963、CVE-2022-22965)。示例模式包括 `(java.lang.Runtime).getRuntime().exec("whoami")`。 此规则仅检查请求正文,但不得超过保护包(web ACL)和资源类型的正文大小限制。对于 Application Load Balancer 和 AWS AppSync,限制固定为 8 KB。对于 CloudFront API Gateway、Amazon Cognito、App Runner 和 Verified Access,默认限制为 16 KB,您可以在保护包 (Web ACL) 配置中将限制提高到 64 KB。此规则使用 `Continue` 选项来处理超大内容。有关更多信息,请参阅 [中的 Web 请求组件过大 AWS WAF](waf-oversize-request-components.md)。 规则操作:Block 标签:`awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_Body` |
| JavaDeserializationRCE\$1URIPATH | 检查请求 URI 中是否存在指示 Java 反序列化远程命令执行(RCE)尝试的模式,例如 Spring Core 和 Cloud Function RCE 漏洞(CVE-2022-22963、CVE-2022-22965)。示例模式包括 `(java.lang.Runtime).getRuntime().exec("whoami")`。 规则操作:Block 标签:`awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_URIPath` |
| JavaDeserializationRCE\$1QUERYSTRING | 检查请求查询字符串中是否存在指示 Java 反序列化远程命令执行(RCE)尝试的模式,例如 Spring Core 和 Cloud Function RCE 漏洞(CVE-2022-22963、CVE-2022-22965)。示例模式包括 `(java.lang.Runtime).getRuntime().exec("whoami")`。 规则操作:Block 标签:`awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_QueryString` |
| Host\$1localhost\$1HEADER | 检查请求中的主机标头是否有指示本地主机的模式。示例模式包括 `localhost`。 规则操作:Block 标签:`awswaf:managed:aws:known-bad-inputs:Host_Localhost_Header` |
| PROPFIND\$1METHOD | 检查请求中用于 `PROPFIND` 的 HTTP 方法,这是一种类似于 `HEAD` 的方法,但具有泄漏 XML 对象的额外意图。 规则操作:Block 标签:`awswaf:managed:aws:known-bad-inputs:Propfind_Method` |
| ExploitablePaths\$1URIPATH | 检查 URI 路径中是否有恶意方试图访问可利用的 Web 应用程序路径。示例模式包括类似于 `web-inf` 的路径。 规则操作:Block 标签:`awswaf:managed:aws:known-bad-inputs:ExploitablePaths_URIPath` |
| Log4JRCE\$1HEADER | 检查请求标头的键和值是否存在 Log4j 漏洞([CVE-2021-44228](https://www.cve.org/CVERecord?id=CVE-2021-44228)、[CVE-2021-45046](https://www.cve.org/CVERecord?id=CVE-2021-45046)、[CVE-2021-45105](https://www.cve.org/CVERecord?id=CVE-2021-45105)),并防止远程代码执行(RCE)尝试。示例模式包括 `${jndi:ldap://example.com/}`。 此规则仅检查请求标头的前 8 KB 或前 200 个标头(以先达到的限制为准),并且它使用 `Continue` 选项来处理超大内容。有关更多信息,请参阅 [中的 Web 请求组件过大 AWS WAF](waf-oversize-request-components.md)。 规则操作:Block 标签:`awswaf:managed:aws:known-bad-inputs:Log4JRCE_Header` |
| Log4JRCE\$1QUERYSTRING | 检查查询字符串中是否存在 Log4j 漏洞([CVE-2021-44228](https://www.cve.org/CVERecord?id=CVE-2021-44228)、[CVE-2021-45046](https://www.cve.org/CVERecord?id=CVE-2021-45046)、[CVE-2021-45105](https://www.cve.org/CVERecord?id=CVE-2021-45105)),并防止远程代码执行(RCE)尝试。示例模式包括 `${jndi:ldap://example.com/}`。 规则操作:Block 标签:`awswaf:managed:aws:known-bad-inputs:Log4JRCE_QueryString` |
| Log4JRCE\$1BODY | 检查正文中是否存在 Log4j 漏洞([CVE-2021-44228](https://www.cve.org/CVERecord?id=CVE-2021-44228)、[CVE-2021-45046](https://www.cve.org/CVERecord?id=CVE-2021-45046)、[CVE-2021-45105](https://www.cve.org/CVERecord?id=CVE-2021-45105)),并防止远程代码执行(RCE)尝试。示例模式包括 `${jndi:ldap://example.com/}`。 此规则仅检查请求正文,但不得超过保护包(web ACL)和资源类型的正文大小限制。对于 Application Load Balancer 和 AWS AppSync,限制固定为 8 KB。对于 CloudFront API Gateway、Amazon Cognito、App Runner 和 Verified Access,默认限制为 16 KB,您可以在保护包 (Web ACL) 配置中将限制提高到 64 KB。此规则使用 `Continue` 选项来处理超大内容。有关更多信息,请参阅 [中的 Web 请求组件过大 AWS WAF](waf-oversize-request-components.md)。 规则操作:Block 标签:`awswaf:managed:aws:known-bad-inputs:Log4JRCE_Body` |
| Log4JRCE\$1URIPATH | 检查 URI 路径中是否存在 Log4j 漏洞([CVE-2021-44228](https://www.cve.org/CVERecord?id=CVE-2021-44228)、[CVE-2021-45046](https://www.cve.org/CVERecord?id=CVE-2021-45046)、[CVE-2021-45105](https://www.cve.org/CVERecord?id=CVE-2021-45105)),并防止远程代码执行(RCE)尝试。示例模式包括 `${jndi:ldap://example.com/}`。 规则操作:Block 标签:`awswaf:managed:aws:known-bad-inputs:Log4JRCE_URIPath` |
| ReactJSRCE\$1BODY | 检查请求正文中是否存在表示存在 CVE-2025-55182 的模式。 此规则仅检查请求正文,但不得超过保护包(web ACL)和资源类型的正文大小限制。对于应用程序负载均衡器和 AWS AppSync,固定限制为 8 KB。对于 CloudFront API Gateway、Amazon Cognito、App Runner 和 AWS Verified Access,默认限制为 16 KB,您可以在保护包 (Web ACL) 配置中将限制提高到 64 KB。此规则使用 `CONTINUE` 选项来处理超大内容。有关更多信息,请参阅 [中的 Web 请求组件过大 AWS WAF](waf-oversize-request-components.md)。 规则操作:Block 标签:`awswaf:managed:aws:known-bad-inputs:ReactJSRCE_Body` |
# 使用案例特定规则组
特定于用例的规则组为许多不同的 AWS WAF 用例提供增量保护。选择适用于您的应用程序的规则组。
## SQL 数据库托管规则组
VendorName:`AWS`,名称:`AWSManagedRulesSQLiRuleSet`,WCU:200
**注意**
本文档包含此托管规则组的最新静态版本。我们在 [AWS 托管规则变更日志](aws-managed-rule-groups-changelog.md) 的更改日志中报告版本变更。有关其他版本的信息,请使用 API 命令[DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)。
我们在 AWS 托管规则组中发布的规则信息旨在为您提供使用规则所需的信息,而不会向不良行为者提供他们规避规则所需的信息。
如果您需要更多信息,请联系 [AWS 支持 中心](https://console.aws.amazon.com/support/home#/)。
SQL 数据库规则组包含阻止与 SQL 数据库攻击(如 SQL 注入攻击)相关的请求模式的规则。该规则组有助于防止远程注入未经授权的查询。如果应用程序与 SQL 数据库相连,请评估此规则组以便使用。
此托管规则组会为其评估的 Web 请求添加标签,这些标签可用于在保护包 (Web ACL) 中在此规则组之后运行的规则。 AWS WAF 还会记录亚马逊 CloudWatch 指标的标签。有关标签和标签指标的一般信息,请参阅 [Web 请求标签](waf-labels.md) 和 [标签指标和维度](waf-metrics.md#waf-metrics-label)。
| 规则名称 | 描述和标签 |
| --- | --- |
| SQLi\$1QUERYARGUMENTS | 使用内置 AWS WAF [SQL 注入攻击规则语句](waf-rule-statement-type-sqli-match.md)的(敏感度级别设置为Low)检查所有查询参数的值中是否存在与恶意 SQL 代码匹配的模式。 规则操作:Block 标签:`awswaf:managed:aws:sql-database:SQLi_QueryArguments` |
| SQLiExtendedPatterns\$1QUERYARGUMENTS | 检查所有查询参数的值,以查找与恶意 SQL 代码匹配的模式。该规则检查的模式不在规则 `SQLi_QUERYARGUMENTS` 的范围内。 规则操作:Block 标签:`awswaf:managed:aws:sql-database:SQLiExtendedPatterns_QueryArguments` |
| SQLi\$1BODY | 使用内置 AWS WAF [SQL 注入攻击规则语句](waf-rule-statement-type-sqli-match.md)的(敏感度级别设置为Low)检查请求正文中是否存在与恶意 SQL 代码匹配的模式。 此规则仅检查请求正文,但不得超过保护包(web ACL)和资源类型的正文大小限制。对于 Application Load Balancer 和 AWS AppSync,限制固定为 8 KB。对于 CloudFront API Gateway、Amazon Cognito、App Runner 和 Verified Access,默认限制为 16 KB,您可以在保护包 (Web ACL) 配置中将限制提高到 64 KB。此规则使用 `Continue` 选项来处理超大内容。有关更多信息,请参阅 [中的 Web 请求组件过大 AWS WAF](waf-oversize-request-components.md)。 规则操作:Block 标签:`awswaf:managed:aws:sql-database:SQLi_Body` |
| SQLiExtendedPatterns\$1BODY | 检查请求正文中是否存在与恶意 SQL 代码匹配的模式。该规则检查的模式不在规则 `SQLi_BODY` 的范围内。 此规则仅检查请求正文,但不得超过保护包(web ACL)和资源类型的正文大小限制。对于 Application Load Balancer 和 AWS AppSync,限制固定为 8 KB。对于 CloudFront API Gateway、Amazon Cognito、App Runner 和 Verified Access,默认限制为 16 KB,您可以在保护包 (Web ACL) 配置中将限制提高到 64 KB。此规则使用 `Continue` 选项来处理超大内容。有关更多信息,请参阅 [中的 Web 请求组件过大 AWS WAF](waf-oversize-request-components.md)。 规则操作:Block 标签:`awswaf:managed:aws:sql-database:SQLiExtendedPatterns_Body` |
| SQLi\$1COOKIE | 使用内置 AWS WAF [SQL 注入攻击规则语句](waf-rule-statement-type-sqli-match.md)的(敏感度级别设置为)检查请求 Cookie 标头中是否存在与恶意 SQL 代码匹配的模式。Low 规则操作:Block 标签:`awswaf:managed:aws:sql-database:SQLi_Cookie` |
| SQLi\$1URIPATH | 使用内置 AWS WAF [SQL 注入攻击规则语句](waf-rule-statement-type-sqli-match.md)的(敏感度级别设置为)检查请求 Cookie 标头中是否存在与恶意 SQL 代码匹配的模式。Low 规则操作:Block 标签:`awswaf:managed:aws:sql-database:SQLi_URIPath` |
## Linux 操作系统托管规则组
VendorName:`AWS`,名称:`AWSManagedRulesLinuxRuleSet`,WCU:200
**注意**
本文档包含此托管规则组的最新静态版本。我们在 [AWS 托管规则变更日志](aws-managed-rule-groups-changelog.md) 的更改日志中报告版本变更。有关其他版本的信息,请使用 API 命令[DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)。
我们在 AWS 托管规则组中发布的规则信息旨在为您提供使用规则所需的信息,而不会向不良行为者提供他们规避规则所需的信息。
如果您需要更多信息,请联系 [AWS 支持 中心](https://console.aws.amazon.com/support/home#/)。
Linux 操作系统规则组包含阻止请求模式的规则,这些请求模式与利用 Linux 特定漏洞(包括 Linux 特定的本地文件包含(LFI)攻击)相关。该规则组有助于防止暴露攻击者不应当访问的文件内容或执行代码的攻击。如果应用程序的任何部分在 Linux 上运行,则应评估此规则组。您应将此规则组与 [POSIX 操作系统](#aws-managed-rule-groups-use-case-posix-os) 规则组结合使用。
此托管规则组会为其评估的 Web 请求添加标签,这些标签可用于在保护包 (Web ACL) 中在此规则组之后运行的规则。 AWS WAF 还会记录亚马逊 CloudWatch 指标的标签。有关标签和标签指标的一般信息,请参阅 [Web 请求标签](waf-labels.md) 和 [标签指标和维度](waf-metrics.md#waf-metrics-label)。
| 规则名称 | 描述和标签 |
| --- | --- |
| LFI\$1URIPATH | 检查请求路径,以查找是否有恶意方试图利用 Web 应用程序中的本地文件包含 (LFI) 漏洞。示例模式包括类似于 `/proc/version` 的文件,它们可能向攻击者提供操作系统信息。 规则操作:Block 标签:`awswaf:managed:aws:linux-os:LFI_URIPath` |
| LFI\$1QUERYSTRING | 检查查询字符串的值,以查找是否有恶意方试图利用 Web 应用程序中的本地文件包含 (LFI) 漏洞。示例模式包括类似于 `/proc/version` 的文件,它们可能向攻击者提供操作系统信息。 规则操作:Block 标签:`awswaf:managed:aws:linux-os:LFI_QueryString` |
| LFI\$1HEADER | 检查请求标头,以查找是否有恶意方试图利用 Web 应用程序中的本地文件包含 (LFI) 漏洞。示例模式包括类似于 `/proc/version` 的文件,它们可能向攻击者提供操作系统信息。 此规则仅检查请求标头的前 8 KB 或前 200 个标头(以先达到的限制为准),并且它使用 `Continue` 选项来处理超大内容。有关更多信息,请参阅 [中的 Web 请求组件过大 AWS WAF](waf-oversize-request-components.md)。 规则操作:Block 标签:`awswaf:managed:aws:linux-os:LFI_Header` |
## POSIX 操作系统托管规则组
VendorName:`AWS`,名称:`AWSManagedRulesUnixRuleSet`,WCU:100
**注意**
本文档包含此托管规则组的最新静态版本。我们在 [AWS 托管规则变更日志](aws-managed-rule-groups-changelog.md) 的更改日志中报告版本变更。有关其他版本的信息,请使用 API 命令[DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)。
我们在 AWS 托管规则组中发布的规则信息旨在为您提供使用规则所需的信息,而不会向不良行为者提供他们规避规则所需的信息。
如果您需要更多信息,请联系 [AWS 支持 中心](https://console.aws.amazon.com/support/home#/)。
POSIX 操作系统规则组包含的规则可阻止与利用 POSIX 和类似 POSIX 的操作系统特定漏洞(包括 Linux 特定的本地文件包含(LFI)攻击)相关的请求模式。该规则组有助于防止暴露攻击者不应当访问的文件内容或执行代码的攻击。如果应用程序的任何部分在 POSIX 或类似 POSIX 的操作系统(包括 Linux、AIX、HP-UX、macOS、Solaris、FreeBSD 和 OpenBSD)上运行,则应评估此规则组。
此托管规则组会为其评估的 Web 请求添加标签,这些标签可用于在保护包 (Web ACL) 中在此规则组之后运行的规则。 AWS WAF 还会记录亚马逊 CloudWatch 指标的标签。有关标签和标签指标的一般信息,请参阅 [Web 请求标签](waf-labels.md) 和 [标签指标和维度](waf-metrics.md#waf-metrics-label)。
| 规则名称 | 描述和标签 |
| --- | --- |
| UNIXShellCommandsVariables\$1QUERYSTRING | 检查查询字符串的值,以查找是否有恶意方试图利用在 Unix 系统上运行的 Web 应用程序中的命令注入、LFI 和路径遍历漏洞。示例包括类似于 `echo $HOME` 和 `echo $PATH` 的模式。 规则操作:Block 标签:`awswaf:managed:aws:posix-os:UNIXShellCommandsVariables_QueryString` |
| UNIXShellCommandsVariables\$1BODY | 检查请求正文,以查找是否有恶意方试图利用在 Unix 系统上运行的 Web 应用程序中的命令注入、LFI 和路径遍历漏洞。示例包括类似于 `echo $HOME` 和 `echo $PATH` 的模式。 此规则仅检查请求正文,但不得超过保护包(web ACL)和资源类型的正文大小限制。对于 Application Load Balancer 和 AWS AppSync,限制固定为 8 KB。对于 CloudFront API Gateway、Amazon Cognito、App Runner 和 Verified Access,默认限制为 16 KB,您可以在保护包 (Web ACL) 配置中将限制提高到 64 KB。此规则使用 `Continue` 选项来处理超大内容。有关更多信息,请参阅 [中的 Web 请求组件过大 AWS WAF](waf-oversize-request-components.md)。 规则操作:Block 标签:`awswaf:managed:aws:posix-os:UNIXShellCommandsVariables_Body` |
| UNIXShellCommandsVariables\$1HEADER | 检查所有请求标头,以查找是否有恶意方试图利用在 Unix 系统上运行的 Web 应用程序中的命令注入、LFI 和路径遍历漏洞。示例包括类似于 `echo $HOME` 和 `echo $PATH` 的模式。 此规则仅检查请求标头的前 8 KB 或前 200 个标头(以先达到的限制为准),并且它使用 `Continue` 选项来处理超大内容。有关更多信息,请参阅 [中的 Web 请求组件过大 AWS WAF](waf-oversize-request-components.md)。 规则操作:Block 标签:`awswaf:managed:aws:posix-os:UNIXShellCommandsVariables_Header` |
## Windows 操作系统托管规则组
VendorName:`AWS`,名称:`AWSManagedRulesWindowsRuleSet`,WCU:200
**注意**
本文档包含此托管规则组的最新静态版本。我们在 [AWS 托管规则变更日志](aws-managed-rule-groups-changelog.md) 的更改日志中报告版本变更。有关其他版本的信息,请使用 API 命令[DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)。
我们在 AWS 托管规则组中发布的规则信息旨在为您提供使用规则所需的信息,而不会向不良行为者提供他们规避规则所需的信息。
如果您需要更多信息,请联系 [AWS 支持 中心](https://console.aws.amazon.com/support/home#/)。
Windows 操作系统规则组包含的规则用于阻止与利用 Windows 特有的漏洞(例如远程执行 PowerShell 命令)相关的请求模式。该规则组有助于防止利用允许攻击者运行未经授权的命令或执行恶意代码的漏洞。如果应用程序的任何部分在 Windows 操作系统上运行,则应评估此规则组。
此托管规则组会为其评估的 Web 请求添加标签,这些标签可用于在保护包 (Web ACL) 中在此规则组之后运行的规则。 AWS WAF 还会记录亚马逊 CloudWatch 指标的标签。有关标签和标签指标的一般信息,请参阅 [Web 请求标签](waf-labels.md) 和 [标签指标和维度](waf-metrics.md#waf-metrics-label)。
| 规则名称 | 描述和标签 |
| --- | --- |
| WindowsShellCommands\$1COOKIE | 检查 Web 应用程序中是否有 WindowsShell 命令注入尝试的请求 cookie 标头。匹配模式代表WindowsShell 命令。示例模式包括 `\|\|nslookup` 和 `;cmd`。 规则操作:Block 标签:`awswaf:managed:aws:windows-os:WindowsShellCommands_Cookie` |
| WindowsShellCommands\$1QUERYARGUMENTS | 检查 Web 应用程序中WindowsShell 命令注入尝试的所有查询参数的值。匹配模式代表WindowsShell 命令。示例模式包括 `\|\|nslookup` 和 `;cmd`。 规则操作:Block 标签:`awswaf:managed:aws:windows-os:WindowsShellCommands_QueryArguments` |
| WindowsShellCommands\$1BODY | 检查请求正文中是否有 Web 应用程序中的 WindowsShell 命令注入尝试。匹配模式代表 WindowsShell 命令。示例模式包括 `\|\|nslookup` 和 `;cmd`。 此规则仅检查请求正文,但不得超过保护包(web ACL)和资源类型的正文大小限制。对于 Application Load Balancer 和 AWS AppSync,限制固定为 8 KB。对于 CloudFront API Gateway、Amazon Cognito、App Runner 和 Verified Access,默认限制为 16 KB,您可以在保护包 (Web ACL) 配置中将限制提高到 64 KB。此规则使用 `Continue` 选项来处理超大内容。有关更多信息,请参阅 [中的 Web 请求组件过大 AWS WAF](waf-oversize-request-components.md)。 规则操作:Block 标签:`awswaf:managed:aws:windows-os:WindowsShellCommands_Body` |
| PowerShellCommands\$1COOKIE | 检查 Web 应用程序中是否有 PowerShell 命令注入尝试的请求 cookie 标头。匹配模式代表PowerShell 命令。例如 `Invoke-Expression`。 规则操作:Block 标签:`awswaf:managed:aws:windows-os:PowerShellCommands_Cookie` |
| PowerShellCommands\$1QUERYARGUMENTS | 检查 Web 应用程序中PowerShell 命令注入尝试的所有查询参数的值。匹配模式代表PowerShell 命令。例如 `Invoke-Expression`。 规则操作:Block 标签:`awswaf:managed:aws:windows-os:PowerShellCommands_QueryArguments` |
| PowerShellCommands\$1BODY | 检查请求正文中是否有 Web 应用程序中的 PowerShell 命令注入尝试。匹配模式代表 PowerShell 命令。例如 `Invoke-Expression`。 此规则仅检查请求正文,但不得超过保护包(web ACL)和资源类型的正文大小限制。对于 Application Load Balancer 和 AWS AppSync,限制固定为 8 KB。对于 CloudFront API Gateway、Amazon Cognito、App Runner 和 Verified Access,默认限制为 16 KB,您可以在保护包 (Web ACL) 配置中将限制提高到 64 KB。此规则使用 `Continue` 选项来处理超大内容。有关更多信息,请参阅 [中的 Web 请求组件过大 AWS WAF](waf-oversize-request-components.md)。 规则操作:Block 标签:`awswaf:managed:aws:windows-os:PowerShellCommands_Body` |
## PHP 应用程序托管规则组
VendorName:`AWS`,名称:`AWSManagedRulesPHPRuleSet`,WCU:100
**注意**
本文档包含此托管规则组的最新静态版本。我们在 [AWS 托管规则变更日志](aws-managed-rule-groups-changelog.md) 的更改日志中报告版本变更。有关其他版本的信息,请使用 API 命令[DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)。
我们在 AWS 托管规则组中发布的规则信息旨在为您提供使用规则所需的信息,而不会向不良行为者提供他们规避规则所需的信息。
如果您需要更多信息,请联系 [AWS 支持 中心](https://console.aws.amazon.com/support/home#/)。
PHP 应用程序规则组包含阻止请求模式的规则,这些请求模式与利用特定于 PHP 编程语言使用的漏洞相关,包括注入不安全的 PHP 函数。该规则组有助于防止利用允许攻击者远程执行未经授权的代码或命令的漏洞。如果 PHP 安装在与应用程序相连的任何服务器上,则评估此规则组。
此托管规则组会为其评估的 Web 请求添加标签,这些标签可用于在保护包 (Web ACL) 中在此规则组之后运行的规则。 AWS WAF 还会记录亚马逊 CloudWatch 指标的标签。有关标签和标签指标的一般信息,请参阅 [Web 请求标签](waf-labels.md) 和 [标签指标和维度](waf-metrics.md#waf-metrics-label)。
| 规则名称 | 描述和标签 |
| --- | --- |
| PHPHighRiskMethodsVariables\$1HEADER | 检查所有标头,以发现 PHP 脚本代码注入尝试。示例模式包括类似 `fsockopen` 和 `$_GET` 超全局变量的函数。 此规则仅检查请求标头的前 8 KB 或前 200 个标头(以先达到的限制为准),并且它使用 `Continue` 选项来处理超大内容。有关更多信息,请参阅 [中的 Web 请求组件过大 AWS WAF](waf-oversize-request-components.md)。 规则操作:Block 标签:`awswaf:managed:aws:php-app:PHPHighRiskMethodsVariables_Header` |
| PHPHighRiskMethodsVariables\$1QUERYSTRING | 检查请求 URL 中第一个 `?` 之后的所有内容,查找 PHP 脚本代码注入尝试。示例模式包括类似 `fsockopen` 和 `$_GET` 超全局变量的函数。 规则操作:Block 标签:`awswaf:managed:aws:php-app:PHPHighRiskMethodsVariables_QueryString` |
| PHPHighRiskMethodsVariables\$1BODY | 检查请求主体的值以查找 PHP 脚本代码注入尝试。示例模式包括类似 `fsockopen` 和 `$_GET` 超全局变量的函数。 此规则仅检查请求正文,但不得超过保护包(web ACL)和资源类型的正文大小限制。对于 Application Load Balancer 和 AWS AppSync,限制固定为 8 KB。对于 CloudFront API Gateway、Amazon Cognito、App Runner 和 Verified Access,默认限制为 16 KB,您可以在保护包 (Web ACL) 配置中将限制提高到 64 KB。此规则使用 `Continue` 选项来处理超大内容。有关更多信息,请参阅 [中的 Web 请求组件过大 AWS WAF](waf-oversize-request-components.md)。 规则操作:Block 标签:`awswaf:managed:aws:php-app:PHPHighRiskMethodsVariables_Body` |
| PHPHighRiskMethodsVariables\$1URIPATH | 检查 PHP 脚本代码注入尝试的请求路径。示例模式包括类似 `fsockopen` 和 `$_GET` 超全局变量的函数。 规则操作:Block 标签:`awswaf:managed:aws:php-app:PHPHighRiskMethodsVariables_URIPath` |
## WordPress 应用程序托管规则组
VendorName:`AWS`,名称:`AWSManagedRulesWordPressRuleSet`,WCU:100
**注意**
本文档包含此托管规则组的最新静态版本。我们在 [AWS 托管规则变更日志](aws-managed-rule-groups-changelog.md) 的更改日志中报告版本变更。有关其他版本的信息,请使用 API 命令[DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)。
我们在 AWS 托管规则组中发布的规则信息旨在为您提供使用规则所需的信息,而不会向不良行为者提供他们规避规则所需的信息。
如果您需要更多信息,请联系 [AWS 支持 中心](https://console.aws.amazon.com/support/home#/)。
WordPress 应用程序规则组包含的规则用于阻止与利用特定于WordPress 网站的漏洞相关的请求模式。如果您正在运行,则应评估此规则组WordPress。此规则组应与 [SQL 数据库](#aws-managed-rule-groups-use-case-sql-db) 和 [PHP 应用程序](#aws-managed-rule-groups-use-case-php-app) 规则组一起使用。
此托管规则组会为其评估的 Web 请求添加标签,这些标签可用于在保护包 (Web ACL) 中在此规则组之后运行的规则。 AWS WAF 还会记录亚马逊 CloudWatch 指标的标签。有关标签和标签指标的一般信息,请参阅 [Web 请求标签](waf-labels.md) 和 [标签指标和维度](waf-metrics.md#waf-metrics-label)。
| 规则名称 | 描述和标签 |
| --- | --- |
| WordPressExploitableCommands\$1QUERYSTRING | 检查请求查询字符串中是否存在可能在易受攻击的安装或插件中被利用的高风险WordPress 命令。示例模式包括类似于 `do-reset-wordpress` 的命令。 规则操作:Block 标签:`awswaf:managed:aws:wordpress-app:WordPressExploitableCommands_QUERYSTRING` |
| WordPressExploitablePaths\$1URIPATH | 检查请求 URI 路径中是否有已知存在容易被利用的漏洞的 WordPress 文件。`xmlrpc.php` 规则操作:Block 标签:`awswaf:managed:aws:wordpress-app:WordPressExploitablePaths_URIPATH` |
# IP 声誉规则组
IP 声誉规则组请求源 IP 地址阻止请求。
**注意**
这些规则使用 Web 请求源中的源 IP 地址。如果您的流量通过了一个或多个代理或负载均衡器,则 Web 请求源将包含最后一个代理的地址,而不是客户端的源地址。
如果您希望减少自动程序流量、尝试攻击的风险,或者如果您要对内容强制地理限制,请选择其中一个或多个规则组。有关机器人管理的信息,另请参阅 [AWS WAF 机器人控制规则组](aws-managed-rule-groups-bot.md)。
此类别中的规则组不提供版本控制或 SNS 更新通知。
## Amazon IP 声誉列表托管规则组
VendorName:`AWS`,名称:`AWSManagedRulesAmazonIpReputationList`,WCU:25
**注意**
我们在 AWS 托管规则组中发布的规则信息旨在为您提供使用规则所需的信息,而不会向不良行为者提供他们规避规则所需的信息。
如果您需要更多信息,请联系 [AWS 支持 中心](https://console.aws.amazon.com/support/home#/)。
Amazon IP 声誉列表规则组包含基于 Amazon 内部威胁情报的规则。如果您想阻止通常与自动程序或其他威胁相关联的 IP 地址,此规则组非常有用。阻止这些 IP 地址有助于规避自动程序,并降低恶意人员发现易受攻击的应用程序的风险。
此托管规则组会为其评估的 Web 请求添加标签,这些标签可用于在保护包 (Web ACL) 中在此规则组之后运行的规则。 AWS WAF 还会记录亚马逊 CloudWatch 指标的标签。有关标签和标签指标的一般信息,请参阅 [Web 请求标签](waf-labels.md) 和 [标签指标和维度](waf-metrics.md#waf-metrics-label)。
| 规则名称 | 描述和标签 |
| --- | --- |
| AWSManagedIPReputationList | 检查是否存在被确定为积极参与恶意活动的 IP 地址。 AWS WAF 从各种来源收集 IP 地址列表 MadPot,包括 Amazon 用来保护客户免受网络犯罪侵害的威胁情报工具。有关的更多信息 MadPot,请参阅[https://www.aboutamazon.com/news/aws/amazon-madpot-stops-cybersecurity-crime](https://www.aboutamazon.com/news/aws/amazon-madpot-stops-cybersecurity-crime)。 规则操作:Block 标签:`awswaf:managed:aws:amazon-ip-list:AWSManagedIPReputationList` |
| AWSManagedReconnaissanceList | 检查来自正在对 AWS 资源进行侦察的 IP 地址的连接。 规则操作:Block 标签:`awswaf:managed:aws:amazon-ip-list:AWSManagedReconnaissanceList` |
| AWSManagedIPDDoSList | 检查是否有被确定为积极参与 DDo S 活动的 IP 地址。 规则操作:Count 标签:`awswaf:managed:aws:amazon-ip-list:AWSManagedIPDDoSList` |
## 匿名 IP 列表托管规则组
VendorName:`AWS`,名称:`AWSManagedRulesAnonymousIpList`,WCU:50
**注意**
我们在 AWS 托管规则组中发布的规则信息旨在为您提供使用规则所需的信息,而不会向不良行为者提供他们规避规则所需的信息。
如果您需要更多信息,请联系 [AWS 支持 中心](https://console.aws.amazon.com/support/home#/)。
此匿名 IP 列表包含用于阻止来自以下服务的请求的规则:这些服务允许对查看者身份进行模糊处理。其中包括来自代理VPNs、Tor 节点和虚拟主机提供商的请求。如果要筛选出可能试图从应用程序中隐藏其身份的查看者,则此规则组非常有用。阻止这些服务的 IP 地址有助于减少机器人和规避地域限制。
此托管规则组会为其评估的 Web 请求添加标签,这些标签可用于在保护包 (Web ACL) 中在此规则组之后运行的规则。 AWS WAF 还会记录亚马逊 CloudWatch 指标的标签。有关标签和标签指标的一般信息,请参阅 [Web 请求标签](waf-labels.md) 和 [标签指标和维度](waf-metrics.md#waf-metrics-label)。
| 规则名称 | 描述和标签 |
| --- | --- |
| AnonymousIPList | 检查已知用于匿名处理客户端信息的源的 IP 地址列表,例如 TOR 节点、临时代理和其他遮蔽服务。 规则操作:Block 标签:`awswaf:managed:aws:anonymous-ip-list:AnonymousIPList` |
| HostingProviderIPList | 检查来自 Web 托管和云提供程序的 IP 地址列表,这些提供程序不太可能产生最终用户流量。IP 列表不包括 AWS IP 地址。 规则操作:Block 标签:`awswaf:managed:aws:anonymous-ip-list:HostingProviderIPList` |
# AWS WAF 欺诈控制账户创建防作弊 (ACFP) 规则组
本节说明了 AWS WAF 欺诈控制账户创建防作弊 (ACFP) 托管规则组的作用。
VendorName:`AWS`,名称:`AWSManagedRulesACFPRuleSet`,WCU:50
**注意**
本文档包含此托管规则组的最新静态版本。我们在 [AWS 托管规则变更日志](aws-managed-rule-groups-changelog.md) 的更改日志中报告版本变更。有关其他版本的信息,请使用 API 命令[DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)。
我们在 AWS 托管规则组中发布的规则信息旨在为您提供使用规则所需的信息,而不会向不良行为者提供他们规避规则所需的信息。
如果您需要更多信息,请联系 [AWS 支持 中心](https://console.aws.amazon.com/support/home#/)。
F AWS WAF raud Control 账户创建防欺诈 (ACFP) 管理的规则组可以标记和管理可能属于欺诈性账户创建尝试的请求。规则组通过检查客户端发送到应用程序的注册和账户创建端点的账户创建请求来实现此目的。
ACFP 规则组以各种方式检查账户创建尝试,让您可以查看和控制潜在的恶意交互。规则组使用请求令牌来收集有关客户端浏览器的信息以及有关创建账户创建请求时的人机交互级别的信息。该规则组按 IP 地址和客户端会话汇总请求,并按提供的账户信息(例如实际地址和电话号码)进行聚合,以检测和管理批量创建账户的尝试。此外,该规则组会检测并阻止使用已泄露的凭证创建新账户,从而保护应用程序和新用户的安全状况。
## 使用此规则组的注意事项
此规则组需要自定义配置,其中包括应用程序的账户注册和账户创建路径的规范。除非另有说明,否则此规则组中的规则会检查您的客户端发送到这两个端点的所有请求。如需配置和实施此规则组,请参阅 [AWS WAF 欺诈控制账户创建欺诈预防 (ACFP)](waf-acfp.md) 中的指导。
**注意**
使用此托管规则组时,您需要额外付费。有关更多信息,请参阅[AWS WAF 定价](https://aws.amazon.com/waf/pricing/)。
此规则组是 AWS WAF中智能威胁缓解保护的一部分。有关信息,请参阅[中的智能威胁缓解 AWS WAF](waf-managed-protections.md)。
为了降低成本并确保您可以根据需要管理 Web 流量,请按照 [中智能缓解威胁的最佳实践 AWS WAF](waf-managed-protections-best-practices.md) 中的指导使用此规则组。
此规则组不可与 Amazon Cognito 用户群体一起使用。您无法将使用此规则组的保护包(web ACL)与用户池相关联,也无法将此规则组添加到已与用户池关联的保护包(web ACL)中。
## 此规则组添加的标签
此托管规则组会为其评估的 Web 请求添加标签,这些标签可用于在保护包 (Web ACL) 中在此规则组之后运行的规则。 AWS WAF 还会记录亚马逊 CloudWatch 指标的标签。有关标签和标签指标的一般信息,请参阅 [Web 请求标签](waf-labels.md) 和 [标签指标和维度](waf-metrics.md#waf-metrics-label)。
### 令牌标签
该规则组使用 AWS WAF 令牌管理根据令牌的状态检查和标 AWS WAF 记 Web 请求。 AWS WAF 使用令牌进行客户端会话跟踪和验证。
有关令牌和令牌管理的信息,请参阅 [代币在 AWS WAF 智能威胁缓解中的使用](waf-tokens.md)。
有关此处描述的标签组件的信息,请参阅 [中的标签语法和命名要求 AWS WAF](waf-rule-label-requirements.md)。
**客户端会话标签**
该标签`awswaf:managed:token:id:identifier`包含一个唯一标识符, AWS WAF 令牌管理使用该标识符来标识客户端会话。如果客户端获取了新令牌,例如在丢弃其正在使用的令牌之后,标识符可能会更改。
**注意**
AWS WAF 不报告该标签的 Amazon CloudWatch 指标。
**浏览器指纹标签**
该标签`awswaf:managed:token:fingerprint:fingerprint-identifier`包含一个强大的浏览器指纹标识符, AWS WAF 令牌管理根据各种客户端浏览器信号计算该标识符。多次尝试获取令牌时,此标识符保持不变。指纹标识符并非仅属于单个客户端。
**注意**
AWS WAF 不报告该标签的 Amazon CloudWatch 指标。
**令牌状态标签:标签命名空间前缀**
令牌状态标签报告令牌的状态、质询以及其中包含的 CAPTCHA 信息。
每个令牌状态标签都以下列命名空间前缀之一开头:
+ `awswaf:managed:token:`:用于报告令牌的一般状态以及令牌的质询信息的状态。
+ `awswaf:managed:captcha:`:用于报告令牌的 CAPTCHA 信息的状态。
**令牌状态标签:标签名称**
在前缀之后,标签的其余部分提供详细的令牌状态信息:
+ `accepted`:请求令牌存在且包含以下内容:
+ 有效的质询或 CAPTCHA 解决方案。
+ 未过期的质询或 CAPTCHA 时间戳。
+ 对保护包(web ACL)有效的域规范。
示例:标签 `awswaf:managed:token:accepted` 表明 web 请求的令牌具有有效的质询解决方案、未过期的质询时间戳以及有效的域。
+ `rejected`:请求令牌存在但不符合接受标准。
除了被拒绝的标签外,令牌管理还添加了一个自定义标签命名空间和名称来指示原因。
+ `rejected:not_solved`:令牌缺少质询或 CAPTCHA 解决方案。
+ `rejected:expired`:根据保护包(web ACL)配置的令牌免疫时间,令牌的质询或 CAPTCHA 时间戳已过期。
+ `rejected:domain_mismatch`:令牌的域与保护包(web ACL)的令牌域配置不匹配。
+ `rejected:invalid`— AWS WAF 无法读取指示的标记。
示例:标签 `awswaf:managed:captcha:rejected` 和 `awswaf:managed:captcha:rejected:expired` 共同表示请求未提供有效的 CAPTCHA 解决方案,因为令牌中的 CAPTCHA 时间戳已超过保护包(web ACL)中配置的 CAPTCHA 令牌免疫时间。
+ `absent`:请求没有令牌,或者令牌管理器无法读取它。
示例:标签 `awswaf:managed:captcha:absent` 表示请求没有令牌。
### ACFP 标签
该规则组生成带有命名空间前缀 `awswaf:managed:aws:acfp:` 的标签,后接自定义命名空间和标签名称。规则组可能会向一个请求添加多个标签。
您可以通过调用 `DescribeManagedRuleGroup` 从 API 检索一个规则组的所有标签。标签列在响应的 `AvailableLabels` 属性中。
## 账户创建欺诈预防规则列表
此部分列出了 `AWSManagedRulesACFPRuleSet` 中的 ACFP 规则以及规则组的规则添加到 Web 请求的标签。
该规则组中的所有规则都需要 Web 请求令牌,但前两个 `UnsupportedCognitoIDP` 和 `AllRequests` 除外。有关令牌提供的信息的描述,请参阅 [AWS WAF 代币特征](waf-tokens-details.md)。
除非另有说明,否则此规则组中的规则会检查您的客户端发送到您在规则组配置中提供的账户注册和账户创建页面路径的所有请求。有关配置此规则组的信息,请参阅 [AWS WAF 欺诈控制账户创建欺诈预防 (ACFP)](waf-acfp.md)。
**注意**
本文档包含此托管规则组的最新静态版本。我们在 [AWS 托管规则变更日志](aws-managed-rule-groups-changelog.md) 的更改日志中报告版本变更。有关其他版本的信息,请使用 API 命令[DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)。
我们在 AWS 托管规则组中发布的规则信息旨在为您提供使用规则所需的信息,而不会向不良行为者提供他们规避规则所需的信息。
如果您需要更多信息,请联系 [AWS 支持 中心](https://console.aws.amazon.com/support/home#/)。
| 规则名称 | 描述和标签 |
| --- | --- |
| UnsupportedCognitoIDP | 检查流向 Amazon Cognito 用户群体的 Web 流量。ACFP 不可用于 Amazon Cognito 用户群体,此规则有助于确保不使用其他 ACFP 规则组规则来评估用户群体流量。 规则操作:Block 标签:`awswaf:managed:aws:acfp:unsupported:cognito_idp` 和 `awswaf:managed:aws:acfp:UnsupportedCognitoIDP` |
| AllRequests | 将规则操作应用于访问注册页面路径的请求。在配置规则组时可以配置注册页面路径。 默认情况下,此规则会将 Challenge 应用于请求。通过应用此操作,该规则可确保在规则组中的其余规则评估任何请求之前,客户端获得质询令牌。 确保您的最终用户在提交账户创建请求之前加载注册页面路径。 令牌通过客户端应用程序集成 SDKs 以及规则操作CAPTCHA和添加到请求中Challenge。为了获得最高效的代币,我们强烈建议您使用应用程序集成 SDKs。有关更多信息,请参阅 [中的客户端应用程序集成 AWS WAF](waf-application-integration.md)。 规则操作:Challenge 标签:无 |
| RiskScoreHigh | 检查是否存在 IP 地址或其他被认为高度可疑因素的账户创建请求。这种评估通常基于多个影响因素,您可以在规则组添加到请求的 `risk_score` 标签中看到这些因素。 规则操作:Block 标签:`awswaf:managed:aws:acfp:risk_score:high` 和 `awswaf:managed:aws:acfp:RiskScoreHigh` 该规则也可能适用于该请求 `medium` 或 `low` 风险评分标签。 如果 AWS WAF 无法成功评估 Web 请求的风险评分,则该规则会添加标签 `awswaf:managed:aws:acfp:risk_score:evaluation_failed ` 此外,该规则还添加了带有命名空间的标签 `awswaf:managed:aws:acfp:risk_score:contributor:`,其中包括风险评分评估状态和特定风险评分贡献者的结果,例如 IP 声誉和被盗凭证评估。 |
| SignalCredentialCompromised | 在被盗凭证数据库中搜索在账户创建请求中提交的凭证。 此规则可确保新客户以积极的安全态势初始化其账户。 您可以添加自定义阻止响应,向最终用户描述问题并告诉他们如何继续操作。有关信息,请参阅[ACFP 示例:针对被泄漏凭证的自定义响应](waf-acfp-control-example-compromised-credentials.md)。 规则操作:Block 标签:`awswaf:managed:aws:acfp:signal:credential_compromised` 和 `awswaf:managed:aws:acfp:SignalCredentialCompromised` 规则组应用以下相关标签,但不对其采取任何操作,因为并非所有账户创建中的请求都具有凭证:`awswaf:managed:aws:acfp:signal:missing_credential` |
| SignalClientHumanInteractivityAbsentLow | 检查账户创建请求的令牌中是否有数据表明人机应用程序交互出现异常。人机交互通过鼠标移动、按键等交互来检测。如果页面有 HTML 表单,则人机交互包括与表单的交互。 此规则仅检查对账户创建路径的请求,并且仅在您实现了应用程序集成 SDKs后才会进行评估。软件开发工具包实施以被动方式捕获人机交互并将信息存储在请求令牌中。有关更多信息,请参阅 [AWS WAF 代币特征](waf-tokens-details.md) 和 [中的客户端应用程序集成 AWS WAF](waf-application-integration.md)。 规则操作:CAPTCHA 标签:无。该规则根据不同的因素确定匹配项,因此没有适用于所有可能的匹配场景的单独标签。 规则组可以将下列一个或多个标签应用于请求: `awswaf:managed:aws:acfp:signal:client:human_interactivity:low\|medium\|high` `awswaf:managed:aws:acfp:SignalClientHumanInteractivityAbsentLow\|Medium\|High` `awswaf:managed:aws:acfp:signal:client:human_interactivity:insufficient_data` `awswaf:managed:aws:acfp:signal:form_detected`. |
| AutomatedBrowser | 检查是否显示客户端浏览器可能已自动运行。 规则操作:Block 标签:`awswaf:managed:aws:acfp:signal:automated_browser` 和 `awswaf:managed:aws:acfp:AutomatedBrowser` |
| BrowserInconsistency | 检查请求的令牌是否存在不一致的浏览器询问数据。有关更多信息,请参阅 [AWS WAF 代币特征](waf-tokens-details.md)。 规则操作:CAPTCHA 标签:`awswaf:managed:aws:acfp:signal:browser_inconsistency` 和 `awswaf:managed:aws:acfp:BrowserInconsistency` |
| VolumetricIpHigh | 检查从各个 IP 地址发送的高流量账户创建请求。高流量是指在 10 分钟的窗口内超过 20 个请求。 由于延迟,此规则适用的阈值可能略有不同。对于高流量,在应用规则操作之前,一些请求可能会超出限制。 规则操作:CAPTCHA 标签:`awswaf:managed:aws:acfp:aggregate:volumetric:ip:creation:high` 和 `awswaf:managed:aws:acfp:VolumetricIpHigh` 该规则将以下标签应用于中流量(每 10 分钟窗口内超过 15 个请求)和低流量(每 10 分钟窗口内超过 10 个请求)的请求,但不对它们采取任何操作:`awswaf:managed:aws:acfp:aggregate:volumetric:ip:creation:medium` 和 `awswaf:managed:aws:acfp:aggregate:volumetric:ip:creation:low`。 |
| VolumetricSessionHigh | 检查来自各个客户端会话的高流量账户创建请求。高流量是指在 30 分钟的窗口内超过 10 个请求。 由于延迟,此规则适用的阈值可能略有不同。在应用规则操作之前,一些请求可能会超出限制。 规则操作:Block 标签:`awswaf:managed:aws:acfp:aggregate:volumetric:session:creation:high` 和 `awswaf:managed:aws:acfp:VolumetricSessionHigh` 该规则组将以下标签应用于中流量(每 30 分钟窗口内超过 5 个请求)和低流量(每 30 分钟窗口内超过 1 个请求)的请求,但不对它们采取任何操作:`awswaf:managed:aws:acfp:aggregate:volumetric:session:creation:medium` 和 `awswaf:managed:aws:acfp:aggregate:volumetric:session:creation:low`。 |
| AttributeUsernameTraversalHigh | 检查单个客户端会话中是否存在使用不同用户名的高流量账户创建请求。高流量的阈值为 30 分钟内超过 10 个请求。 由于延迟,此规则适用的阈值可能略有不同。在应用规则操作之前,一些请求可能会超出限制。 规则操作:Block 标签:`awswaf:managed:aws:acfp:aggregate:attribute:username_traversal:creation:high` 和 `awswaf:managed:aws:acfp:AttributeUsernameTraversalHigh` 该规则将以下标签应用于中流量(每 30 分钟窗口内超过 5 个请求)和低流量(每 30 分钟窗口内超过 1 个请求)的用户名遍历请求,但不对它们采取任何操作:`awswaf:managed:aws:acfp:aggregate:attribute:username_traversal:creation:medium` 和 `awswaf:managed:aws:acfp:aggregate:attribute:username_traversal:creation:low`。 |
| VolumetricPhoneNumberHigh | 检查是否存在使用相同电话号码的高流量账户创建请求。高流量的阈值为 30 分钟内超过 10 个请求。 由于延迟,此规则适用的阈值可能略有不同。在应用规则操作之前,一些请求可能会超出限制。 规则操作:Block 标签:`awswaf:managed:aws:acfp:aggregate:volumetric:phone_number:high` 和 `awswaf:managed:aws:acfp:VolumetricPhoneNumberHigh` 该规则组将以下标签应用于中流量(每 30 分钟窗口内超过 5 个请求)和低流量(每 30 分钟窗口内超过 1 个请求)的请求,但不对它们采取任何操作:`awswaf:managed:aws:acfp:aggregate:volumetric:phone_number:medium` 和 `awswaf:managed:aws:acfp:aggregate:volumetric:phone_number:low`。 |
| VolumetricAddressHigh | 检查是否存在使用相同物理地址的高流量账户创建请求。高流量的阈值为每 30 分钟窗口内超过 100 个请求。 由于延迟,此规则适用的阈值可能略有不同。在应用规则操作之前,一些请求可能会超出限制。 规则操作:Block 标签:`awswaf:managed:aws:acfp:aggregate:volumetric:address:high` 和 `awswaf:managed:aws:acfp:VolumetricAddressHigh` |
| VolumetricAddressLow | 检查是否存在使用相同物理地址的中流量和低流量账户创建请求。中流量的阈值为每 30 分钟窗口超过 50 个请求,而低流量的阈值为每 30 分钟窗口超过 10 个请求。 该规则适用于中流量或低流量。 由于延迟,此规则适用的阈值可能略有不同。在应用规则操作之前,一些请求可能会超出限制。 规则操作:CAPTCHA 标签:`awswaf:managed:aws:acfp:aggregate:volumetric:address:low\|medium` 和 `awswaf:managed:aws:acfp:VolumetricAddressLow\|Medium` |
| VolumetricIPSuccessfulResponse | 检查是否存在针对单个 IP 地址的高流量创建账户成功请求。此规则汇总了受保护资源对账户创建请求的成功响应。高流量的阈值为每 10 分钟窗口内超过 10 个请求。 此规则有助于防止批量创建账户的尝试。它的阈值低于仅计算请求的规则 `VolumetricIpHigh`。 如果您已将规则组配置为检查响应正文或 JSON 组件,则 AWS WAF 可以检查这些组件类型的前 65,536 字节 (64 KB) 以查看成功或失败指示器。 此规则根据受保护资源对最近来自相同 IP 地址的登录尝试的成功和失败响应,将规则操作和标签应用于来自某个 IP 地址的新 Web 请求。在配置规则组时,您可以定义如何计算成功和失败。 AWS WAF 仅在保护 Amazon CloudFront 分销的保护包 (Web ACLs) 中评估此规则。 由于延迟,此规则适用的阈值可能略有不同。在规则开始匹配后续尝试之前,客户端发送账户创建成功尝试的次数可能会超过允许的次数。 规则操作:Block 标签:`awswaf:managed:aws:acfp:aggregate:volumetric:ip:successful_creation_response:high` 和 `awswaf:managed:aws:acfp:VolumetricIPSuccessfulResponse` 该规则组还将以下相关标签应用于请求,但没有任何关联操作。所有计数均适用 10 分钟窗口。`awswaf:managed:aws:acfp:aggregate:volumetric:ip:successful_creation_response:medium` 对应超过 5 个成功请求,`awswaf:managed:aws:acfp:aggregate:volumetric:ip:successful_creation_response:low` 对应超过 1 个成功请求,`awswaf:managed:aws:acfp:aggregate:volumetric:ip:failed_creation_response:high` 对应超过 10 个失败请求,`awswaf:managed:aws:acfp:aggregate:volumetric:ip:failed_creation_response:medium` 对应超过 5 个失败请求,`awswaf:managed:aws:acfp:aggregate:volumetric:ip:failed_creation_response:low` 对应超过 1 个失败请求。 |
| VolumetricSessionSuccessfulResponse | 检查受保护资源对从单个客户端会话发送的账户创建请求是否有低流量成功响应。这有助于防止批量创建账户的尝试。低流量的阈值为每 30 分钟窗口内超过 1 个请求。 这有助于防止批量创建账户的尝试。此规则使用的阈值低于仅跟踪请求的规则 `VolumetricSessionHigh`。 如果您已将规则组配置为检查响应正文或 JSON 组件,则 AWS WAF 可以检查这些组件类型的前 65,536 字节 (64 KB) 以查看成功或失败指示器。 此规则根据受保护资源对最近来自相同客户端会话的登录尝试的成功和失败响应,将规则操作和标签应用于来自某个客户端会话的新 Web 请求。在配置规则组时,您可以定义如何计算成功和失败。 AWS WAF 仅在保护 Amazon CloudFront 分销的保护包 (Web ACLs) 中评估此规则。 由于延迟,此规则适用的阈值可能略有不同。在规则开始匹配后续尝试之前,客户端发送账户创建失败尝试的次数可能会超过允许的次数。 规则操作:Block 标签:`awswaf:managed:aws:acfp:aggregate:volumetric:session:successful_creation_response:low` 和 `awswaf:managed:aws:acfp:VolumetricSessionSuccessfulResponse` 该规则组还将以下相关标签应用于请求。所有计数均适用 30 分钟窗口。`awswaf:managed:aws:acfp:aggregate:volumetric:session:successful_creation_response:high` 对应超过 10 个成功请求,`awswaf:managed:aws:acfp:aggregate:volumetric:session:successful_creation_response:medium` 对应超过 5个成功请求,`awswaf:managed:aws:acfp:aggregate:volumetric:session:failed_creation_response:high` 对应超过 10 个失败请求,`awswaf:managed:aws:acfp:aggregate:volumetric:session:failed_creation_response:medium` 对应超过 5 个失败请求,`awswaf:managed:aws:acfp:aggregate:volumetric:session:failed_creation_response:low` 对应超过 1 个失败请求。 |
| VolumetricSessionTokenReuseIp | 检查是否存在账户创建请求在 5 个以上不同 IP 地址中使用同一令牌。 由于延迟,此规则适用的阈值可能略有不同。在应用规则操作之前,一些请求可能会超出限制。 规则操作:Block 标签:`awswaf:managed:aws:acfp:aggregate:volumetric:session:creation:token_reuse:ip` 和 `awswaf:managed:aws:acfp:VolumetricSessionTokenReuseIp` |
# AWS WAF 防欺诈控制账户盗用 (ATP) 规则组
本节介绍 AWS WAF 欺诈控制账户接管预防 (ATP) 托管规则组的作用。
VendorName:`AWS`,名称:`AWSManagedRulesATPRuleSet`,WCU:50
**注意**
本文档包含此托管规则组的最新静态版本。我们在 [AWS 托管规则变更日志](aws-managed-rule-groups-changelog.md) 的更改日志中报告版本变更。有关其他版本的信息,请使用 API 命令[DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)。
我们在 AWS 托管规则组中发布的规则信息旨在为您提供使用规则所需的信息,而不会向不良行为者提供他们规避规则所需的信息。
如果您需要更多信息,请联系 [AWS 支持 中心](https://console.aws.amazon.com/support/home#/)。
F AWS WAF raud Control 账户盗用预防 (ATP) 管理的规则组标记并管理可能属于恶意账户接管尝试的请求。规则组通过检查客户端发送到应用程序登录端点的登录尝试来实现此目的。
+ **请求检查** – ATP 允许您查看和控制异常登录尝试和使用被盗凭证的登录尝试,以防止可能导致欺诈活动的账户盗用。ATP 根据被盗凭证数据库检查电子邮件和密码组合,当在暗网上发现新的泄露凭证时,会定期更新。ATP 按 IP 地址和客户端会话汇总数据,以检测和阻止发送过多可疑请求的客户端。
+ **响应检查**-对于 CloudFront 分配,除了检查传入的登录请求外,ATP 规则组还会检查您的应用程序对登录尝试的响应,以跟踪成功率和失败率。利用这些信息,ATP 可以暂时阻止登录失败次数过多的客户端会话或 IP 地址。 AWS WAF 会异步执行响应检查,因此不会增加 Web流量的延迟。
## 使用此规则组的注意事项
此规则组需要特定配置。如需配置和实施此规则组,请参阅 [AWS WAF 防欺诈控制账户接管 (ATP)](waf-atp.md) 中的指导。
此规则组是 AWS WAF中智能威胁缓解保护的一部分。有关信息,请参阅[中的智能威胁缓解 AWS WAF](waf-managed-protections.md)。
**注意**
使用此托管规则组时,您需要额外付费。有关更多信息,请参阅[AWS WAF 定价](https://aws.amazon.com/waf/pricing/)。
为了降低成本并确保您可以根据需要管理 Web 流量,请按照 [中智能缓解威胁的最佳实践 AWS WAF](waf-managed-protections-best-practices.md) 中的指导使用此规则组。
此规则组不可与 Amazon Cognito 用户群体一起使用。您无法将使用此规则组的保护包(web ACL)与用户池相关联,也无法将此规则组添加到已与用户池关联的保护包(web ACL)中。
## 此规则组添加的标签
此托管规则组会为其评估的 Web 请求添加标签,这些标签可用于在保护包 (Web ACL) 中在此规则组之后运行的规则。 AWS WAF 还会记录亚马逊 CloudWatch 指标的标签。有关标签和标签指标的一般信息,请参阅 [Web 请求标签](waf-labels.md) 和 [标签指标和维度](waf-metrics.md#waf-metrics-label)。
### 令牌标签
该规则组使用 AWS WAF 令牌管理根据令牌的状态检查和标 AWS WAF 记 Web 请求。 AWS WAF 使用令牌进行客户端会话跟踪和验证。
有关令牌和令牌管理的信息,请参阅 [代币在 AWS WAF 智能威胁缓解中的使用](waf-tokens.md)。
有关此处描述的标签组件的信息,请参阅 [中的标签语法和命名要求 AWS WAF](waf-rule-label-requirements.md)。
**客户端会话标签**
该标签`awswaf:managed:token:id:identifier`包含一个唯一标识符, AWS WAF 令牌管理使用该标识符来标识客户端会话。如果客户端获取了新令牌,例如在丢弃其正在使用的令牌之后,标识符可能会更改。
**注意**
AWS WAF 不报告该标签的 Amazon CloudWatch 指标。
**浏览器指纹标签**
该标签`awswaf:managed:token:fingerprint:fingerprint-identifier`包含一个强大的浏览器指纹标识符, AWS WAF 令牌管理根据各种客户端浏览器信号计算该标识符。多次尝试获取令牌时,此标识符保持不变。指纹标识符并非仅属于单个客户端。
**注意**
AWS WAF 不报告该标签的 Amazon CloudWatch 指标。
**令牌状态标签:标签命名空间前缀**
令牌状态标签报告令牌的状态、质询以及其中包含的 CAPTCHA 信息。
每个令牌状态标签都以下列命名空间前缀之一开头:
+ `awswaf:managed:token:`:用于报告令牌的一般状态以及令牌的质询信息的状态。
+ `awswaf:managed:captcha:`:用于报告令牌的 CAPTCHA 信息的状态。
**令牌状态标签:标签名称**
在前缀之后,标签的其余部分提供详细的令牌状态信息:
+ `accepted`:请求令牌存在且包含以下内容:
+ 有效的质询或 CAPTCHA 解决方案。
+ 未过期的质询或 CAPTCHA 时间戳。
+ 对保护包(web ACL)有效的域规范。
示例:标签 `awswaf:managed:token:accepted` 表明 web 请求的令牌具有有效的质询解决方案、未过期的质询时间戳以及有效的域。
+ `rejected`:请求令牌存在但不符合接受标准。
除了被拒绝的标签外,令牌管理还添加了一个自定义标签命名空间和名称来指示原因。
+ `rejected:not_solved`:令牌缺少质询或 CAPTCHA 解决方案。
+ `rejected:expired`:根据保护包(web ACL)配置的令牌免疫时间,令牌的质询或 CAPTCHA 时间戳已过期。
+ `rejected:domain_mismatch`:令牌的域与保护包(web ACL)的令牌域配置不匹配。
+ `rejected:invalid`— AWS WAF 无法读取指示的标记。
示例:标签 `awswaf:managed:captcha:rejected` 和 `awswaf:managed:captcha:rejected:expired` 共同表示请求未提供有效的 CAPTCHA 解决方案,因为令牌中的 CAPTCHA 时间戳已超过保护包(web ACL)中配置的 CAPTCHA 令牌免疫时间。
+ `absent`:请求没有令牌,或者令牌管理器无法读取它。
示例:标签 `awswaf:managed:captcha:absent` 表示请求没有令牌。
### ATP 标签
ATP 托管规则组生成带有命名空间前缀 `awswaf:managed:aws:atp:` 的标签,后接自定义命名空间和标签名称。
除了规则列表中注明的标签外,规则组还可以添加以下任何标签:
+ `awswaf:managed:aws:atp:signal:credential_compromised`:表示在请求中提交的凭证位于被盗凭证数据库中。
+ `awswaf:managed:aws:atp:aggregate:attribute:suspicious_tls_fingerprint`— 仅适用于受保护的 Amazon CloudFront 分配。表示客户端会话发送了多个使用可疑 TLS 指纹的请求。
+ `awswaf:managed:aws:atp:aggregate:volumetric:session:token_reuse:ip`:表示有 5 个以上不同的 IP 地址使用同一令牌。由于延迟,此规则适用的阈值可能略有不同。在应用标签之前,一些请求可能会超出限制。
您可以通过调用 `DescribeManagedRuleGroup` 从 API 检索一个规则组的所有标签。标签列在响应的 `AvailableLabels` 属性中。
## 账户盗用防护规则列表
此部分列出了 `AWSManagedRulesATPRuleSet` 中的 ATP 规则以及规则组的规则添加到 Web 请求的标签。
**注意**
本文档包含此托管规则组的最新静态版本。我们在 [AWS 托管规则变更日志](aws-managed-rule-groups-changelog.md) 的更改日志中报告版本变更。有关其他版本的信息,请使用 API 命令[DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)。
我们在 AWS 托管规则组中发布的规则信息旨在为您提供使用规则所需的信息,而不会向不良行为者提供他们规避规则所需的信息。
如果您需要更多信息,请联系 [AWS 支持 中心](https://console.aws.amazon.com/support/home#/)。
| 规则名称 | 描述和标签 |
| --- | --- |
| UnsupportedCognitoIDP | 检查流向 Amazon Cognito 用户群体的 Web 流量。ATP 不可用于 Amazon Cognito 用户群体,此规则有助于确保不使用其他 ATP 规则组规则来评估用户群体流量。 规则操作:Block 标签:`awswaf:managed:aws:atp:unsupported:cognito_idp` 和 `awswaf:managed:aws:atp:UnsupportedCognitoIDP` |
| VolumetricIpHigh | 检查从各个 IP 地址发送的高流量请求。高流量是指在 10 分钟的窗口内超过 20 个请求。 由于延迟,此规则适用的阈值可能略有不同。对于高流量,在应用规则操作之前,一些请求可能会超出限制。 规则操作:Block 标签:`awswaf:managed:aws:atp:aggregate:volumetric:ip:high` 和 `awswaf:managed:aws:atp:VolumetricIpHigh` 该规则组将以下标签应用于中流量(每 10 分钟窗口内超过 15 个请求)和低流量(每 10 分钟窗口内超过 10 个请求)的请求,但不对它们采取任何操作:`awswaf:managed:aws:atp:aggregate:volumetric:ip:medium` 和 `awswaf:managed:aws:atp:aggregate:volumetric:ip:low`。 |
| VolumetricSession | 检查来自各个客户端会话的高流量请求。其阈值为每 30 分钟窗口内超过 20 个请求。 仅当 Web 请求具有令牌时,此检查才适用。通过应用程序集成 SDKs 和规则操作将令牌添加到请求中,CAPTCHA以及Challenge。有关更多信息,请参阅 [代币在 AWS WAF 智能威胁缓解中的使用](waf-tokens.md)。 由于延迟,此规则适用的阈值可能略有不同。在应用规则操作之前,一些请求可能会超出限制。 规则操作:Block 标签:`awswaf:managed:aws:atp:aggregate:volumetric:session` 和 `awswaf:managed:aws:atp:VolumetricSession` |
| AttributeCompromisedCredentials | 检查来自同一个客户端会话的多个使用被盗凭证的请求。 规则操作:Block 标签:`awswaf:managed:aws:atp:aggregate:attribute:compromised_credentials` 和 `awswaf:managed:aws:atp:AttributeCompromisedCredentials` |
| AttributeUsernameTraversal | 检查来自同一个客户端会话的多个使用用户名遍历的请求。 规则操作:Block 标签:`awswaf:managed:aws:atp:aggregate:attribute:username_traversal` 和 `awswaf:managed:aws:atp:AttributeUsernameTraversal` |
| AttributePasswordTraversal | 检查采用相同用户名并使用密码遍历的多个请求。 规则操作:Block 标签:`awswaf:managed:aws:atp:aggregate:attribute:password_traversal` 和 `awswaf:managed:aws:atp:AttributePasswordTraversal` |
| AttributeLongSession | 检查来自同一个客户端会话的多个使用长时间对话的请求。阈值流量超过为 6 小时,而且每 30 分钟至少有一次登录请求。 仅当 Web 请求具有令牌时,此检查才适用。通过应用程序集成 SDKs 和规则操作将令牌添加到请求中,CAPTCHA以及Challenge。有关更多信息,请参阅 [代币在 AWS WAF 智能威胁缓解中的使用](waf-tokens.md)。 规则操作:Block 标签:`awswaf:managed:aws:atp:aggregate:attribute:long_session` 和 `awswaf:managed:aws:atp:AttributeLongSession` |
| TokenRejected | 检查是否有令牌管理部门拒绝的带有令 AWS WAF 牌的请求。 仅当 Web 请求具有令牌时,此检查才适用。通过应用程序集成 SDKs 和规则操作将令牌添加到请求中,CAPTCHA以及Challenge。有关更多信息,请参阅 [代币在 AWS WAF 智能威胁缓解中的使用](waf-tokens.md)。 规则操作:Block 标签:无。要检查令牌是否被拒绝,请使用标签匹配规则在标签上进行匹配:`awswaf:managed:token:rejected`。 |
| SignalMissingCredential | 检查是否存在缺少用户名或密码的凭证的请求。 规则操作:Block 标签:`awswaf:managed:aws:atp:signal:missing_credential` 和 `awswaf:managed:aws:atp:SignalMissingCredential` |
| VolumetricIpFailedLoginResponseHigh | 检查最近是否存在导致登录尝试失败率过高的 IP 地址。高流量是指在 10 分钟窗口内来自某个 IP 地址的登录请求失败超过 10 个。 如果您已将规则组配置为检查响应正文或 JSON 组件,则 AWS WAF 可以检查这些组件类型的前 65,536 字节 (64 KB) 以查看成功或失败指示器。 此规则根据受保护资源对最近来自相同 IP 地址的登录尝试的成功和失败响应,将规则操作和标签应用于来自某个 IP 地址的新 Web 请求。在配置规则组时,您可以定义如何计算成功和失败。 AWS WAF 仅在保护 Amazon CloudFront 分销的保护包 (Web ACLs) 中评估此规则。 由于延迟,此规则适用的阈值可能略有不同。在规则开始匹配后续尝试之前,客户端发送登录失败尝试的次数可能会超过允许的次数。 规则操作:Block 标签:`awswaf:managed:aws:atp:aggregate:volumetric:ip:failed_login_response:high` 和 `awswaf:managed:aws:atp:VolumetricIpFailedLoginResponseHigh` 该规则组还将以下相关标签应用于请求,但没有任何关联操作。所有计数均适用 10 分钟窗口。`awswaf:managed:aws:atp:aggregate:volumetric:ip:failed_login_response:medium` 对应超过 5 个失败请求,`awswaf:managed:aws:atp:aggregate:volumetric:ip:failed_login_response:low` 对应超过 1 个失败请求,`awswaf:managed:aws:atp:aggregate:volumetric:ip:successful_login_response:high` 对应超过 10 个成功请求,`awswaf:managed:aws:atp:aggregate:volumetric:ip:successful_login_response:medium` 对应超过 5 个成功请求,`awswaf:managed:aws:atp:aggregate:volumetric:ip:successful_login_response:low` 对应超过 1 个成功请求。 |
| VolumetricSessionFailedLoginResponseHigh | 检查最近是否存在导致登录尝试失败率过高的客户端会话。高流量是指在 30 分钟窗口内来自某个客户端会话的登录请求失败超过 10 个。 如果您已将规则组配置为检查响应正文或 JSON 组件,则 AWS WAF 可以检查这些组件类型的前 65,536 字节 (64 KB) 以查看成功或失败指示器。 此规则根据受保护资源对最近来自相同客户端会话的登录尝试的成功和失败响应,将规则操作和标签应用于来自某个客户端会话的新 Web 请求。在配置规则组时,您可以定义如何计算成功和失败。 AWS WAF 仅在保护 Amazon CloudFront 分销的保护包 (Web ACLs) 中评估此规则。 由于延迟,此规则适用的阈值可能略有不同。在规则开始匹配后续尝试之前,客户端发送登录失败尝试的次数可能会超过允许的次数。 仅当 Web 请求具有令牌时,此检查才适用。通过应用程序集成 SDKs 和规则操作将令牌添加到请求中,CAPTCHA以及Challenge。有关更多信息,请参阅 [代币在 AWS WAF 智能威胁缓解中的使用](waf-tokens.md)。 规则操作:Block 标签:`awswaf:managed:aws:atp:aggregate:volumetric:session:failed_login_response:high` 和 `awswaf:managed:aws:atp:VolumetricSessionFailedLoginResponseHigh` 该规则组还将以下相关标签应用于请求,但没有任何关联操作。所有计数均适用 30 分钟窗口。`awswaf:managed:aws:atp:aggregate:volumetric:session:failed_login_response:medium` 对应超过 5 个失败请求,`awswaf:managed:aws:atp:aggregate:volumetric:session:failed_login_response:low` 对应超过 1 个失败请求,`awswaf:managed:aws:atp:aggregate:volumetric:session:successful_login_response:high` 对应超过 10 个成功请求,`awswaf:managed:aws:atp:aggregate:volumetric:session:successful_login_response:medium` 对应超过 5 个成功请求,`awswaf:managed:aws:atp:aggregate:volumetric:session:successful_login_response:low` 对应超过 1 个成功请求。 |
# AWS WAF 机器人控制规则组
本节介绍了机器人控制功能托管规则组的用途。
VendorName:`AWS`,名称:`AWSManagedRulesBotControlRuleSet`,WCU:50
**注意**
本文档包含此托管规则组的最新静态版本。我们在 [AWS 托管规则变更日志](aws-managed-rule-groups-changelog.md) 的更改日志中报告版本变更。有关其他版本的信息,请使用 API 命令[DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)。
我们在 AWS 托管规则组中发布的规则信息旨在为您提供使用规则所需的信息,而不会向不良行为者提供他们规避规则所需的信息。
如果您需要为机器人控制功能请求新的机器人分类或需要此处未涵盖的其他信息,请联系 [AWS 支持 中心](https://console.aws.amazon.com/support/home#/)。
机器人控制功能托管规则组提供管理来自机器人的请求的规则。机器人可能会消耗过多的资源,歪曲业务指标,导致停机以及执行恶意活动。
## 保护级别
机器人控制功能托管规则组提供两种保护级别供您选择:
+ **常见**:检测各种自我识别的机器人,例如 web 抓取框架、搜索引擎和自动浏览器。此级别的机器人控制功能保护使用传统的机器人检测技术(例如静态请求数据分析)来识别常见的机器人。这些规则会标记来自这些机器人的流量,并阻止他们无法验证的流量。
+ **定向**:包括通用级保护,并针对无法自我识别的复杂机器人添加定向检测。目标保护结合了速率限制和验证码以及后台浏览器质询,缓解了机器人活动。
+ **`TGT_`**:提供目标保护的规则的名称以 `TGT_` 开头。所有目标保护都使用浏览器查询、指纹识别和行为启发式等检测技术来识别恶意机器人流量。
+ **`TGT_ML_`**:使用机器学习的目标保护规则的名称以 `TGT_ML_` 开头。这些规则使用对网站流量统计数据的自动机器学习分析来检测表明分布式、协调的机器人活动的异常行为。 AWS WAF 分析有关您的网站流量的统计信息,例如时间戳、浏览器特征和之前访问的 URL,以改进 Bot Control 机器学习模型。默认情况下,机器学习功能处于启用状态,但您可以在规则组配置中将其禁用。禁用机器学习时, AWS WAF 不评估这些规则。
目标保护级别和 AWS WAF 基于速率的规则声明均提供速率限制。有关两个选项的对比,请参阅 [基于速率的规则和定向机器人控制功能规则中的速率限制选项](waf-rate-limiting-options.md)。
## 使用此规则组的注意事项
此规则组是 AWS WAF中智能威胁缓解保护的一部分。有关信息,请参阅[中的智能威胁缓解 AWS WAF](waf-managed-protections.md)。
**注意**
使用此托管规则组时,您需要额外付费。有关更多信息,请参阅[AWS WAF 定价](https://aws.amazon.com/waf/pricing/)。
为了降低成本并确保您可以根据需要管理 Web 流量,请按照 [中智能缓解威胁的最佳实践 AWS WAF](waf-managed-protections-best-practices.md) 中的指导使用此规则组。
我们定期更新基于机器学习的目标保护级规则的机器学习(ML)模型,从而改进机器人预测。基于机器学习的规则采用以 `TGT_ML_` 开头的名称。如果发现这些规则进行的机器人预测突然发生重大变化,请通过您的客户经理联系我们,或在 [AWS 支持 Center](https://console.aws.amazon.com/support/home#/) 开启一个案例。
## 此规则组添加的标签
此托管规则组会为其评估的 Web 请求添加标签,这些标签可用于在保护包 (Web ACL) 中在此规则组之后运行的规则。 AWS WAF 还会记录亚马逊 CloudWatch 指标的标签。有关标签和标签指标的一般信息,请参阅 [Web 请求标签](waf-labels.md) 和 [标签指标和维度](waf-metrics.md#waf-metrics-label)。
### 令牌标签
该规则组使用 AWS WAF 令牌管理根据令牌的状态检查和标 AWS WAF 记 Web 请求。 AWS WAF 使用令牌进行客户端会话跟踪和验证。
有关令牌和令牌管理的信息,请参阅 [代币在 AWS WAF 智能威胁缓解中的使用](waf-tokens.md)。
有关此处描述的标签组件的信息,请参阅 [中的标签语法和命名要求 AWS WAF](waf-rule-label-requirements.md)。
**客户端会话标签**
该标签`awswaf:managed:token:id:identifier`包含一个唯一标识符, AWS WAF 令牌管理使用该标识符来标识客户端会话。如果客户端获取了新令牌,例如在丢弃其正在使用的令牌之后,标识符可能会更改。
**注意**
AWS WAF 不报告该标签的 Amazon CloudWatch 指标。
**浏览器指纹标签**
该标签`awswaf:managed:token:fingerprint:fingerprint-identifier`包含一个强大的浏览器指纹标识符, AWS WAF 令牌管理根据各种客户端浏览器信号计算该标识符。多次尝试获取令牌时,此标识符保持不变。指纹标识符并非仅属于单个客户端。
**注意**
AWS WAF 不报告该标签的 Amazon CloudWatch 指标。
**令牌状态标签:标签命名空间前缀**
令牌状态标签报告令牌的状态、质询以及其中包含的 CAPTCHA 信息。
每个令牌状态标签都以下列命名空间前缀之一开头:
+ `awswaf:managed:token:`:用于报告令牌的一般状态以及令牌的质询信息的状态。
+ `awswaf:managed:captcha:`:用于报告令牌的 CAPTCHA 信息的状态。
**令牌状态标签:标签名称**
在前缀之后,标签的其余部分提供详细的令牌状态信息:
+ `accepted`:请求令牌存在且包含以下内容:
+ 有效的质询或 CAPTCHA 解决方案。
+ 未过期的质询或 CAPTCHA 时间戳。
+ 对保护包(web ACL)有效的域规范。
示例:标签 `awswaf:managed:token:accepted` 表明 web 请求的令牌具有有效的质询解决方案、未过期的质询时间戳以及有效的域。
+ `rejected`:请求令牌存在但不符合接受标准。
除了被拒绝的标签外,令牌管理还添加了一个自定义标签命名空间和名称来指示原因。
+ `rejected:not_solved`:令牌缺少质询或 CAPTCHA 解决方案。
+ `rejected:expired`:根据保护包(web ACL)配置的令牌免疫时间,令牌的质询或 CAPTCHA 时间戳已过期。
+ `rejected:domain_mismatch`:令牌的域与保护包(web ACL)的令牌域配置不匹配。
+ `rejected:invalid`— AWS WAF 无法读取指示的标记。
示例:标签 `awswaf:managed:captcha:rejected` 和 `awswaf:managed:captcha:rejected:expired` 共同表示请求未提供有效的 CAPTCHA 解决方案,因为令牌中的 CAPTCHA 时间戳已超过保护包(web ACL)中配置的 CAPTCHA 令牌免疫时间。
+ `absent`:请求没有令牌,或者令牌管理器无法读取它。
示例:标签 `awswaf:managed:captcha:absent` 表示请求没有令牌。
### 机器人控制功能标签
机器人控制功能托管规则组生成带有命名空间前缀的标签,`awswaf:managed:aws:bot-control:`后面是自定义命名空间和标签名称。规则组可能会向一个请求添加多个标签。
每个标签都反映了机器人控制功能规则的调查发现:
+ `awswaf:managed:aws:bot-control:bot:`:有关与请求关联的机器人的信息。
+ `awswaf:managed:aws:bot-control:bot:name:`:机器人名称(如有),如自定义命名空间 `bot:name:slurp`、`bot:name:googlebot` 和 `bot:name:pocket_parser`。
+ `awswaf:managed:aws:bot-control:bot:name:`— 使用 WBA 签名中的 RFC 产品令牌识别特定的机器人。这用于为特定的机器人创建精细的自定义规则。例如,允许`GoogleBot`但限制其他爬虫的速率。
+ `awswaf:managed:aws:bot-control:bot:category:`— 机器人的类别,例如 AWS WAF,由`bot:category:search_engine`和定义`bot:category:content_fetcher`。
+ `awswaf:managed:aws:bot-control:bot:account:`—仅适用于使用 Amazon Bedrock Agent Core 的机器人。此标签包含一个不透明的哈希值,用于唯一标识拥有代理的 AWS 账户。使用此标签创建自定义规则,允许、屏蔽或限制来自特定 AWS 账户的机器人,而无需在日志中暴露账户 IDs 。
+ `awswaf:managed:aws:bot-control:bot:web_bot_auth:`— 在对请求执行 Web 机器人身份验证 (WBA) 验证时适用。状态后缀表示验证结果:
+ `web_bot_auth:verified`— 根据公钥目录成功验证签名
+ `web_bot_auth:invalid`— 签名存在,但密码验证失败
+ `web_bot_auth:expired`— 签名使用了过期的加密密钥
+ `web_bot_auth:unknown_bot`— 在密钥目录中找不到密钥 ID
**注意**
如果`web_bot_auth:verified`标签存在,`TGT_TokenAbsent`则`CategoryAI`和规则不匹配,允许经过验证的 WBA 主机继续操作。
+ `awswaf:managed:aws:bot-control:bot:organization:`:机器人的发布者,如 `bot:organization:google`。
+ `awswaf:managed:aws:bot-control:bot:verified`:用于表示可以识别自己并且机器人控制功能已经能够验证的机器人。这用于常见的理想机器人,与类别标签(例如 `bot:category:search_engine` 或 `bot:name:googlebot` 等名称标签)结合使用时可能很有效。
**注意**
机器人控制功能使用来自 Web 请求源的 IP 地址来帮助确定机器人是否经过验证。您无法将其配置为使用 AWS WAF 转发的 IP 配置来检查其他 IP 地址源。如果您已验证通过代理或负载均衡器进行路由的机器人,则可以添加一条在机器人控制功能规则组之前运行的规则来帮助解决此问题。将您的新规则配置为使用转发 IP 地址,并明确允许来自已验证机器人的请求。有关使用转发 IP 地址的信息,请参阅 [在中使用转发的 IP 地址 AWS WAF](waf-rule-statement-forwarded-ip-address.md)。
+ `awswaf:managed:aws:bot-control:bot:vendor:`— 标识经过验证的机器人的供应商或运营商。目前仅适用于 Agentcore。用于创建自定义规则,允许或屏蔽特定的机器人供应商,而不考虑各个机器人名称。
+ `awswaf:managed:aws:bot-control:bot:user_triggered:verified`:用于表示类似于已验证机器人,但最终用户可以直接调用的机器人。机器人控制功能规则将此类机器人视为未经验证的机器人。
+ `awswaf:managed:aws:bot-control:bot:developer_platform:verified`:用于表示类似于已验证机器人,但开发者平台使用它来编写脚本的机器人,例如 Google Apps 脚本。机器人控制功能规则将此类机器人视为未经验证的机器人。
+ `awswaf:managed:aws:bot-control:bot:unverified`:用于表示可以识别自己的机器人,因此可以对其进行命名和分类,但它不会发布可用于独立验证其身份的信息。这些类型的机器人签名可能会被伪造,因此被视为未经验证。
+ `awswaf:managed:aws:bot-control:targeted: `:用于机器人控制功能目标保护的特定标签。
+ `awswaf:managed:aws:bot-control:signal:` 和 `awswaf:managed:aws:bot-control:targeted:signal: `:用于在某些情况下提供有关请求的更多信息。
以下是信号标签的示例。该列表并不完整:
+ `awswaf:managed:aws:bot-control:signal:cloud_service_provider:`:表示该请求的云服务提供商(CSP)。示例 CSPs 包括`aws`亚马逊 Web Services 基础架构、`gcp`谷歌云平台 (GCP) 基础架构、`azure`微软 Azure 云服务和 `oracle` Oracle 云服务。
+ `awswaf:managed:aws:bot-control:targeted:signal:browser_automation_extension`:表示检测到有助于自动化的浏览器扩展,如 SeleniumIDE。
只要用户安装了这种类型的扩展,即使他们没有积极使用它,也会添加此标签。如果为此实施标签匹配规则,请注意规则逻辑和操作设置中存在误报的可能性。例如,您可以使用 CAPTCHA 操作代替 Block,或者可以将此标签匹配与其他标签匹配相结合,以增强您对正在使用自动化的信心。
+ `awswaf:managed:aws:bot-control:signal:automated_browser`:表示请求包含表明客户端浏览器可能已自动运行的指标。
+ `awswaf:managed:aws:bot-control:targeted:signal:automated_browser`— 表示请求的 AWS WAF 令牌包含表明客户端浏览器可能已自动运行的指标。
您可以通过调用 `DescribeManagedRuleGroup` 从 API 检索一个规则组的所有标签。标签列在响应的 `AvailableLabels` 属性中。
机器人控制功能托管规则组将标签应用于一组通常允许的可验证机器人。规则组不会阻止这些已验证机器人。如果需要,您可以编写使用机器人控制功能托管规则组所应用的标签的自定义规则,以阻止这些机器人或其中的一部分。有关此项与示例的更多信息,请参阅 [AWS WAF 机器人控制](waf-bot-control.md)。
## 机器人控制功能规则列表
此部分列出了机器人控制功能规则。
**注意**
本文档包含此托管规则组的最新静态版本。我们在 [AWS 托管规则变更日志](aws-managed-rule-groups-changelog.md) 的更改日志中报告版本变更。有关其他版本的信息,请使用 API 命令[DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)。
我们在 AWS 托管规则组中发布的规则信息旨在为您提供使用规则所需的信息,而不会向不良行为者提供他们规避规则所需的信息。
如果您需要为机器人控制功能请求新的机器人分类或需要此处未涵盖的其他信息,请联系 [AWS 支持 中心](https://console.aws.amazon.com/support/home#/)。
| 规则名称 | 说明 |
| --- | --- |
| CategoryAdvertising | 检查是否存在用于广告目的的机器人。例如,您可能会使用第三方广告服务,这些服务需要以编程方式访问您的网站。 规则操作,仅适用于未经验证的机器人:Block 标签:`awswaf:managed:aws:bot-control:bot:category:advertising` 和 `awswaf:managed:aws:bot-control:CategoryAdvertising` 对于已验证机器人,规则组不匹配此规则,不采取任何行动,但会添加机器人名称以及规则标签和标签 `awswaf:managed:aws:bot-control:bot:verified`。 |
| CategoryArchiver | 检查是否存在用于存档目的的机器人。这些机器人会爬网并捕获内容以创建档案。 规则操作,仅适用于未经验证的机器人:Block 标签:`awswaf:managed:aws:bot-control:bot:category:archiver` 和 `awswaf:managed:aws:bot-control:CategoryArchiver` 对于已验证机器人,规则组不匹配此规则,不采取任何行动,但会添加机器人名称以及规则标签和标签 `awswaf:managed:aws:bot-control:bot:verified`。 |
| CategoryContentFetcher | 检查是否存在代表用户访问应用程序网站、获取 RSS feed 等内容或验证您的内容的机器人。 规则操作,仅适用于未经验证的机器人:Block 标签:`awswaf:managed:aws:bot-control:bot:category:content_fetcher` 和 `awswaf:managed:aws:bot-control:CategoryContentFetcher` 对于已验证机器人,规则组不匹配此规则,不采取任何行动,但会添加机器人名称以及规则标签和标签 `awswaf:managed:aws:bot-control:bot:verified`。 |
| CategoryEmailClient | 检查是否存在检查电子邮件中指向应用程序网站的链接的机器人。这可能包括企业和电子邮件提供程序运行的机器人,用于验证电子邮件中的链接并举报可疑电子邮件。 规则操作,仅适用于未经验证的机器人:Block 标签:`awswaf:managed:aws:bot-control:bot:category:email_client` 和 `awswaf:managed:aws:bot-control:CategoryEmailClient` 对于已验证机器人,规则组不匹配此规则,不采取任何行动,但会添加机器人名称以及规则标签和标签 `awswaf:managed:aws:bot-control:bot:verified`。 |
| CategoryHttpLibrary | 检查机器人从各种编程语言的 HTTP 库中生成的请求。其中可能包括您选择允许或监控的 API 请求。 规则操作,仅适用于未经验证的机器人:Block 标签:`awswaf:managed:aws:bot-control:bot:category:http_library` 和 `awswaf:managed:aws:bot-control:CategoryHttpLibrary` 对于已验证机器人,规则组不匹配此规则,不采取任何行动,但会添加机器人名称以及规则标签和标签 `awswaf:managed:aws:bot-control:bot:verified`。 |
| CategoryLinkChecker | 检查是否存在检查断开链接的机器人。 规则操作,仅适用于未经验证的机器人:Block 标签:`awswaf:managed:aws:bot-control:bot:category:link_checker` 和 `awswaf:managed:aws:bot-control:CategoryLinkChecker` 对于已验证机器人,规则组不匹配此规则,不采取任何行动,但会添加机器人名称以及规则标签和标签 `awswaf:managed:aws:bot-control:bot:verified`。 |
| CategoryMiscellaneous | 检查是否存在与其他类别不匹配的其他机器人。 规则操作,仅适用于未经验证的机器人:Block 标签:`awswaf:managed:aws:bot-control:bot:category:miscellaneous` 和 `awswaf:managed:aws:bot-control:CategoryMiscellaneous` 对于已验证机器人,规则组不匹配此规则,不采取任何行动,但会添加机器人名称以及规则标签和标签 `awswaf:managed:aws:bot-control:bot:verified`。 |
| CategoryMonitoring | 检查是否存在用于监控目的的机器人。例如,您可以使用机器人监控服务,这些服务会定期对应用程序网站执行 Ping 操作,以监控性能和正常运行时间等信息。 规则操作,仅适用于未经验证的机器人:Block 标签:`awswaf:managed:aws:bot-control:bot:category:monitoring` 和 `awswaf:managed:aws:bot-control:CategoryMonitoring` 对于已验证机器人,规则组不匹配此规则,不采取任何行动,但会添加机器人名称以及规则标签和标签 `awswaf:managed:aws:bot-control:bot:verified`。 |
| CategoryPagePreview | 检查在消息平台、社交媒体或协作工具上共享内容时生成页面预览和链接预览的机器人。 规则操作,仅适用于未经验证的机器人:Block 标签:`awswaf:managed:aws:bot-control:bot:category:page_preview` 和 `awswaf:managed:aws:bot-control:CategoryPagePreview` 对于已验证机器人,规则组不匹配此规则,不采取任何行动,但会添加机器人名称以及规则标签和标签 `awswaf:managed:aws:bot-control:bot:verified`。 |
| CategoryScrapingFramework | 检查来自网页抓取框架的机器人,这些框架用于自动爬取和从网站提取内容。 规则操作,仅适用于未经验证的机器人:Block 标签:`awswaf:managed:aws:bot-control:bot:category:scraping_framework` 和 `awswaf:managed:aws:bot-control:CategoryScrapingFramework` 对于已验证机器人,规则组不匹配此规则,不采取任何行动,但会添加机器人名称以及规则标签和标签 `awswaf:managed:aws:bot-control:bot:verified`。 |
| CategorySearchEngine | 检查是否存在搜索引擎机器人,这些机器人会抓取网站以进行内容索引并提供信息以生成搜索引擎结果。 规则操作,仅适用于未经验证的机器人:Block 标签:`awswaf:managed:aws:bot-control:bot:category:search_engine` 和 `awswaf:managed:aws:bot-control:CategorySearchEngine` 对于已验证机器人,规则组不匹配此规则,不采取任何行动,但会添加机器人名称以及规则标签和标签 `awswaf:managed:aws:bot-control:bot:verified`。 |
| CategorySecurity | 检查是否存在扫描 Web 应用程序漏洞或执行安全审核的机器人。例如,您可以使用第三方安全供应商来扫描、监控或审核 Web 应用程序的安全性。 规则操作,仅适用于未经验证的机器人:Block 标签:`awswaf:managed:aws:bot-control:bot:category:security` 和 `awswaf:managed:aws:bot-control:CategorySecurity` 对于已验证机器人,规则组不匹配此规则,不采取任何行动,但会添加机器人名称以及规则标签和标签 `awswaf:managed:aws:bot-control:bot:verified`。 |
| CategorySeo | 检查用于搜索引擎优化的机器人。例如,您可以使用搜索引擎工具来抓取您的网站,以帮助您提高搜索引擎排名。 规则操作,仅适用于未经验证的机器人:Block 标签:`awswaf:managed:aws:bot-control:bot:category:seo` 和 `awswaf:managed:aws:bot-control:CategorySeo` 对于已验证机器人,规则组不匹配此规则,不采取任何行动,但会添加机器人名称以及规则标签和标签 `awswaf:managed:aws:bot-control:bot:verified`。 |
| CategorySocialMedia | 检查社交媒体平台是否使用机器人,以便在用户共享您的内容时提供内容摘要。 规则操作,仅适用于未经验证的机器人:Block 标签:`awswaf:managed:aws:bot-control:bot:category:social_media` 和 `awswaf:managed:aws:bot-control:CategorySocialMedia` 对于已验证机器人,规则组不匹配此规则,不采取任何行动,但会添加机器人名称以及规则标签和标签 `awswaf:managed:aws:bot-control:bot:verified`。 |
| CategoryWebhooks | 检查是否有通过 HTTP 回调将自动通知和数据更新从一个应用程序发送到另一个应用程序的机器人。 规则操作,仅适用于未经验证的机器人:Block 标签:`awswaf:managed:aws:bot-control:bot:category:webhooks` 和 `awswaf:managed:aws:bot-control:CategoryWebhooks` 对于已验证机器人,规则组不匹配此规则,不采取任何行动,但会添加机器人名称以及规则标签和标签 `awswaf:managed:aws:bot-control:bot:verified`。 |
| CategoryAI | 检查是否存在人工智能(AI)机器人。 无论机器人是否经过验证,此规则都将该操作应用于所有匹配项。 规则操作:Block 标签:`awswaf:managed:aws:bot-control:bot:category:ai` 和 `awswaf:managed:aws:bot-control:CategoryAI` 对于经过验证的机器人,此规则组与该规则匹配并采取行动。此外还添加了机器人名称和类别标签、规则标签以及标签 `awswaf:managed:aws:bot-control:bot:verified`。 |
| SignalAutomatedBrowser | 检查并非来自已验证机器人的请求中是否显示客户端浏览器可能已自动运行。自动浏览器可用于测试或抓取。例如,您可以使用这些类型的浏览器来监控或验证您的应用程序网站。 规则操作:Block 标签:`awswaf:managed:aws:bot-control:signal:automated_browser` 和 `awswaf:managed:aws:bot-control:SignalAutomatedBrowser` 对于经过验证的机器人,此规则组与该规则不匹配,且不应用任何信号或规则标签。 |
| SignalKnownBotDataCenter | 检查并非来自已验证机器人的请求中是否显示有机器人通常使用的数据中心。 规则操作:Block 标签:`awswaf:managed:aws:bot-control:signal:known_bot_data_center` 和 `awswaf:managed:aws:bot-control:SignalKnownBotDataCenter` 对于经过验证的机器人,此规则组与该规则不匹配,且不应用任何信号或规则标签。 |
| SignalNonBrowserUserAgent | 检查并非来自已验证机器人的请求,了解是否存在似乎并非来自 Web 浏览器的用户代理字符串。此类别可以包括 API 请求。 规则操作:Block 标签:`awswaf:managed:aws:bot-control:signal:non_browser_user_agent` 和 `awswaf:managed:aws:bot-control:SignalNonBrowserUserAgent` 对于经过验证的机器人,此规则组与该规则不匹配,且不应用任何信号或规则标签。 |
| TGT\$1VolumetricIpTokenAbsent | 检查并非来自已验证机器人的请求,了解在过去 5 分钟内是否有 5 个或更多来自一个客户端的不含有效质询令牌的请求。有关 [代币在 AWS WAF 智能威胁缓解中的使用](waf-tokens.md) 令牌的更多信息,请参阅。 如果来自同一客户端的请求最近缺少令牌,则此规则可能会与具有令牌的请求相匹配。 由于延迟,此规则适用的阈值可能略有不同。 此规则对缺失令牌的处理方式与令牌标签不同:`awswaf:managed:token:absent`。令牌标签会标记没有令牌的单个请求。此规则会为每个客户端 IP 保留缺少令牌的请求计数,并与超过限制的客户端进行匹配。 规则操作:Challenge 标签:`awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:ip:token_absent` 和 `awswaf:managed:aws:bot-control:TGT_VolumetricIpTokenAbsent` |
| TGT\$1TokenAbsent | 检查并非来自已验证机器人的请求是否不含有效质询令牌。有关 [代币在 AWS WAF 智能威胁缓解中的使用](waf-tokens.md) 令牌的更多信息,请参阅。 规则操作:Count 标签:`awswaf:managed:aws:bot-control:TGT_TokenAbsent` |
| TGT\$1VolumetricSession | 检查客户端会话在任意 5 分钟窗口内是否出现并非来自已验证机器人的异常大量请求。该评估基于与使用历史交通模式 AWS WAF 保持的标准体积基线的比较。 仅当 Web 请求具有令牌时,此检查才适用。通过应用程序集成 SDKs 和规则操作将令牌添加到请求中,CAPTCHA以及Challenge。有关更多信息,请参阅 [代币在 AWS WAF 智能威胁缓解中的使用](waf-tokens.md)。 启用后,此规则可能需要 5 分钟才能生效。Bot Control 通过将当前流量与计算的流量基线进行比较来识别网络流量中的异常行为。 AWS WAF 规则操作:CAPTCHA 标签:`awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:session:high` 和 `awswaf:managed:aws:bot-control:TGT_VolumetricSession` 规则组将以下标签应用于高于最低阈值的中流量和较低流量的请求。对于这些级别,无论客户端是否经过验证,该规则都不采取任何行动:`awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:session:medium` 和 `awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:session:low`。 |
| TGT\$1VolumetricSessionMaximum | 检查客户端会话在任意 5 分钟窗口内是否出现并非来自已验证机器人的异常大量请求。该评估基于与使用历史交通模式 AWS WAF 保持的标准体积基线的比较。 此规则表示评估的最大可信度。 仅当 Web 请求具有令牌时,此检查才适用。通过应用程序集成 SDKs 和规则操作将令牌添加到请求中,CAPTCHA以及Challenge。有关更多信息,请参阅 [代币在 AWS WAF 智能威胁缓解中的使用](waf-tokens.md)。 启用后,此规则可能需要 5 分钟才能生效。Bot Control 通过将当前流量与计算的流量基线进行比较来识别网络流量中的异常行为。 AWS WAF 规则操作:Block 标签:`awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:session:maximum` 和 `awswaf:managed:aws:bot-control:TGT_VolumetricSessionMaximum` |
| TGT\$1SignalAutomatedBrowser | 检查并非来自已验证机器人的请求的令牌,以了解是否有迹象表明客户端浏览器可能已自动运行。有关更多信息,请参阅 [AWS WAF 代币特征](waf-tokens-details.md)。 仅当 Web 请求具有令牌时,此检查才适用。通过应用程序集成 SDKs 和规则操作将令牌添加到请求中,CAPTCHA以及Challenge。有关更多信息,请参阅 [代币在 AWS WAF 智能威胁缓解中的使用](waf-tokens.md)。 规则操作:CAPTCHA 标签:`awswaf:managed:aws:bot-control:targeted:signal:automated_browser` 和 `awswaf:managed:aws:bot-control:TGT_SignalAutomatedBrowser` |
| TGT\$1SignalBrowserAutomationExtension | 检查并非来自已验证机器人的请求是否显示存在有助于自动化的浏览器扩展,比如 Selenium IDE。只要用户安装了这种类型的扩展,即使他们没有积极使用它,此规则都匹配。 仅当 Web 请求具有令牌时,此检查才适用。通过应用程序集成 SDKs 和规则操作将令牌添加到请求中,CAPTCHA以及Challenge。有关更多信息,请参阅 [代币在 AWS WAF 智能威胁缓解中的使用](waf-tokens.md)。 规则操作:CAPTCHA 标签:`awswaf:managed:aws:bot-control:targeted:signal:browser_automation_extension` 和 `awswaf:managed:aws:bot-control:TGT_SignalBrowserAutomationExtension` |
| TGT\$1SignalBrowserInconsistency | 检查并非来自已验证机器人的请求是否存在不一致的浏览器询问数据。有关更多信息,请参阅 [AWS WAF 代币特征](waf-tokens-details.md)。 仅当 Web 请求具有令牌时,此检查才适用。通过应用程序集成 SDKs 和规则操作将令牌添加到请求中,CAPTCHA以及Challenge。有关更多信息,请参阅 [代币在 AWS WAF 智能威胁缓解中的使用](waf-tokens.md)。 规则操作:CAPTCHA 标签:`awswaf:managed:aws:bot-control:targeted:signal:browser_inconsistency` 和 `awswaf:managed:aws:bot-control:TGT_SignalBrowserInconsistency` |
| TGT\$1ML\$1CoordinatedActivityLow, TGT\$1ML\$1CoordinatedActivityMedium, TGT\$1ML\$1CoordinatedActivityHigh | 检查并非来自已验证机器人的请求是否存在与分布式、协调的机器人活动一致的异常行为。规则级别表示一组请求参与协调攻击的可信度。 仅当规则组配置为使用机器学习(ML)时,这些规则才会运行。有关配置此选择的信息,请参阅 [将 AWS WAF Bot Control 托管规则组添加到 Web ACL](waf-bot-control-rg-using.md)。 由于延迟,这些规则适用的阈值可能略有不同。在应用规则操作之前,一些请求可能会超出限制。 AWS WAF 通过机器学习分析网站流量统计数据来执行此检查。 AWS WAF 每隔几分钟分析一次网络流量,并优化分析以检测分布在许多 IP 地址上的低强度、持续时间长的机器人。 在确定未进行协调攻击之前,这些规则可能与极少数请求相匹配。因此,如果您只看到一两个匹配项,则结果可能是误报。但是,如果您看到很多符合这些规则的匹配项,那么您可能正在经历协调攻击。 使用 ML 选项启用机器人控制功能定向规则后,这些规则可能需要长达 24 小时才能生效。Bot Control 通过将当前流量与计算出的流量基线进行比较来识别网络流量中的异常行为。 AWS WAF AWS WAF 仅在您使用带有 ML 选项的 Bot Control 目标规则时才计算基线,并且最多可能需要 24 小时才能建立有意义的基准。 我们定期更新这些规则的机器学习模型,从而改进机器人预测。如果发现这些规则进行的机器人预测突然发生重大变化,请联系您的客户经理,或在 [AWS 支持 Center](https://console.aws.amazon.com/support/home#/) 开启一个案例。 规则操作: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/aws-managed-rule-groups-bot.html) 标签:`awswaf:managed:aws:bot-control:targeted:aggregate:coordinated_activity:low\|medium\|high` 和 `awswaf:managed:aws:bot-control:TGT_ML_CoordinatedActivityLow\|Medium\|High` |
| TGT\$1TokenReuseIpLow, TGT\$1TokenReuseIpMedium, TGT\$1TokenReuseIpHigh | 检查不是来自经过验证的机器人的请求,以便在过去 5 分钟内使用多个令牌 IPs 中的单个令牌。每个级别对不同级别的数量都有限制 IPs: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/aws-managed-rule-groups-bot.html) 由于延迟,这些规则适用的阈值可能略有不同。在应用规则操作之前,一些请求可能会超出限制。 规则操作: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/aws-managed-rule-groups-bot.html) 标签:`awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:session:token_reuse:ip:low\|medium\|high` 和 `awswaf:managed:aws:bot-control:TGT_TokenReuseIpLow\|Medium\|High` |
| TGT\$1TokenReuseCountryLow, TGT\$1TokenReuseCountryMedium, TGT\$1TokenReuseCountryHigh | 检查并非来自已验证机器人的请求在过去 5 分钟内是否有多个国家/地区共用一个令牌。每个级别对不同国家/地区的数量都有一个限制。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/aws-managed-rule-groups-bot.html) 由于延迟,这些规则适用的阈值可能略有不同。在应用规则操作之前,一些请求可能会超出限制。 规则操作: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/aws-managed-rule-groups-bot.html) 标签:`awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:session:token_reuse:country:low\|medium\|high` 和 `awswaf:managed:aws:bot-control:TGT_TokenReuseCountryLow\|Medium\|High` |
| TGT\$1TokenReuseAsnLow, TGT\$1TokenReuseAsnMedium, TGT\$1TokenReuseAsnHigh | 在过去 5 分钟内,检查不是来自经过验证的机器人在多个网络自治系统编号 (ASNs) 上使用单个令牌的请求。每个级别对不同级别的数量都有限制 ASNs: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/aws-managed-rule-groups-bot.html) 由于延迟,这些规则适用的阈值可能略有不同。在应用规则操作之前,一些请求可能会超出限制。 规则操作: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/aws-managed-rule-groups-bot.html) 标签:`awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:session:token_reuse:asn:low\|medium\|high` 和 `awswaf:managed:aws:bot-control:TGT_TokenReuseAsnLow\|Medium\|High` |
# AWS WAF 分布式拒绝服务 (DDoS) 防护规则组
本节介绍用于防范分布式拒绝服务 (DDoS) 攻击的 AWS WAF 托管规则组。
VendorName:`AWS`,名称:`AWSManagedRulesAntiDDoSRuleSet`,WCU:50
**注意**
本文档包含此托管规则组的最新静态版本。我们在 [AWS 托管规则变更日志](aws-managed-rule-groups-changelog.md) 的更改日志中报告版本变更。有关其他版本的信息,请使用 API 命令[DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)。
我们在 AWS 托管规则组中发布的规则信息旨在为您提供使用规则所需的信息,而不会向不良行为者提供他们规避规则所需的信息。
如果您需要更多信息,请联系 [AWS 支持 中心](https://console.aws.amazon.com/support/home#/)。
Ant DDo i-S 托管规则组提供用于检测和管理参与或可能参与 DDo S 攻击的请求的规则。此外,该规则组会标记其在可能事件期间评估的所有请求。
## 使用此规则组的注意事项
此规则组为进入受到 DDo S 攻击的资源的 Web 请求提供软缓解和硬缓解措施。要检测不同的威胁级别,可将两种缓解措施的敏感度分别调整为高、中或低可疑级别。
+ **软缓解措施**:规则组可发送静默浏览器质询,以响应能够处理质询插页式广告的请求。有关运行质询的要求的信息,请参阅 [CAPTCHA 和 Challenge 操作行为](waf-captcha-and-challenge-actions.md)。
+ **硬缓解措施**:规则组可以完全阻止请求。
有关规则组如何工作以及如何配置规则组的更多信息,请参阅 [使用 Ant DDo i-S 托管规则组进行高级 AWS WAF 反 DDo S 保护](waf-anti-ddos-advanced.md)。
**注意**
使用此托管规则组时,您需要额外付费。有关更多信息,请参阅[AWS WAF 定价](https://aws.amazon.com/waf/pricing/)。
此规则组是 AWS WAF中智能威胁缓解保护的一部分。有关信息,请参阅[中的智能威胁缓解 AWS WAF](waf-managed-protections.md)。
为大幅降低成本并优化流量管理,请根据最佳实践指南使用此规则组。请参阅 [中智能缓解威胁的最佳实践 AWS WAF](waf-managed-protections-best-practices.md)。
## 此规则组添加的标签
此托管规则组会为其评估的 Web 请求添加标签,这些标签可用于在保护包 (Web ACL) 中在此规则组之后运行的规则。 AWS WAF 还会记录亚马逊 CloudWatch 指标的标签。有关标签和标签指标的一般信息,请参阅 [Web 请求标签](waf-labels.md) 和 [标签指标和维度](waf-metrics.md#waf-metrics-label)。
### 令牌标签
该规则组使用 AWS WAF 令牌管理根据令牌的状态检查和标 AWS WAF 记 Web 请求。 AWS WAF 使用令牌进行客户端会话跟踪和验证。
有关令牌和令牌管理的信息,请参阅 [代币在 AWS WAF 智能威胁缓解中的使用](waf-tokens.md)。
有关此处描述的标签组件的信息,请参阅 [中的标签语法和命名要求 AWS WAF](waf-rule-label-requirements.md)。
**客户端会话标签**
该标签`awswaf:managed:token:id:identifier`包含一个唯一标识符, AWS WAF 令牌管理使用该标识符来标识客户端会话。如果客户端获取了新令牌,例如在丢弃其正在使用的令牌之后,标识符可能会更改。
**注意**
AWS WAF 不报告该标签的 Amazon CloudWatch 指标。
**浏览器指纹标签**
该标签`awswaf:managed:token:fingerprint:fingerprint-identifier`包含一个强大的浏览器指纹标识符, AWS WAF 令牌管理根据各种客户端浏览器信号计算该标识符。多次尝试获取令牌时,此标识符保持不变。指纹标识符并非仅属于单个客户端。
**注意**
AWS WAF 不报告该标签的 Amazon CloudWatch 指标。
**令牌状态标签:标签命名空间前缀**
令牌状态标签报告令牌的状态、质询以及其中包含的 CAPTCHA 信息。
每个令牌状态标签都以下列命名空间前缀之一开头:
+ `awswaf:managed:token:`:用于报告令牌的一般状态以及令牌的质询信息的状态。
+ `awswaf:managed:captcha:`:用于报告令牌的 CAPTCHA 信息的状态。
**令牌状态标签:标签名称**
在前缀之后,标签的其余部分提供详细的令牌状态信息:
+ `accepted`:请求令牌存在且包含以下内容:
+ 有效的质询或 CAPTCHA 解决方案。
+ 未过期的质询或 CAPTCHA 时间戳。
+ 对保护包(web ACL)有效的域规范。
示例:标签 `awswaf:managed:token:accepted` 表明 web 请求的令牌具有有效的质询解决方案、未过期的质询时间戳以及有效的域。
+ `rejected`:请求令牌存在但不符合接受标准。
除了被拒绝的标签外,令牌管理还添加了一个自定义标签命名空间和名称来指示原因。
+ `rejected:not_solved`:令牌缺少质询或 CAPTCHA 解决方案。
+ `rejected:expired`:根据保护包(web ACL)配置的令牌免疫时间,令牌的质询或 CAPTCHA 时间戳已过期。
+ `rejected:domain_mismatch`:令牌的域与保护包(web ACL)的令牌域配置不匹配。
+ `rejected:invalid`— AWS WAF 无法读取指示的标记。
示例:标签 `awswaf:managed:captcha:rejected` 和 `awswaf:managed:captcha:rejected:expired` 共同表示请求未提供有效的 CAPTCHA 解决方案,因为令牌中的 CAPTCHA 时间戳已超过保护包(web ACL)中配置的 CAPTCHA 令牌免疫时间。
+ `absent`:请求没有令牌,或者令牌管理器无法读取它。
示例:标签 `awswaf:managed:captcha:absent` 表示请求没有令牌。
### 反 DDo S 标签
Anti-DDo S 托管规则组生成带有命名空间前缀的标签,`awswaf:managed:aws:anti-ddos:`后跟任何自定义命名空间和标签名称。每个标签都反映了Anti-DDo S发现的某些方面。
除单个规则添加的标签以外,规则组还可向请求添加以下多个标签。
+ `awswaf:managed:aws:anti-ddos:event-detected`— 表示请求将发送到受保护的资源,托管规则组检测到该资源的 DDo S 事件。当流向资源的流量与资源的流量基准存在明显偏差时,托管规则组会检测事件。
规则组会在资源处于此状态期间,将此标签添加到发往该资源的所有请求中,因此合法流量和攻击流量都会获得此标签。
+ `awswaf:managed:aws:anti-ddos:ddos-request`:表示请求来自涉嫌参与某事件的来源。
除常规标签以外,规则组还可添加以下表示置信度级别的标签。
`awswaf:managed:aws:anti-ddos:low-suspicion-ddos-request`— 表示可能有 DDo S 攻击请求。
`awswaf:managed:aws:anti-ddos:medium-suspicion-ddos-request`— 表示很可能 DDo是 S 攻击请求。
`awswaf:managed:aws:anti-ddos:high-suspicion-ddos-request`— 表示极有可能 DDo的 S 攻击请求。
+ `awswaf:managed:aws:anti-ddos:challengeable-request`:表示请求 URI 能够处理 Challenge 操作。托管规则组将其应用于任何 URI 未获得豁免的请求。 URIs 如果它们与规则组的豁免 URI 正则表达式相匹配,则免除。
有关可执行静默浏览器质询请求的要求信息。请参阅 [CAPTCHA 和 Challenge 操作行为](waf-captcha-and-challenge-actions.md)。
您可以通过调用 `DescribeManagedRuleGroup` 从 API 检索一个规则组的所有标签。标签列在响应的 `AvailableLabels` 属性中。
Anti-DDo S 托管规则组将标签应用于请求,但并不总是对它们采取行动。请求管理取决于规则组确定参与攻击的置信度。如有需要,可添加在规则组之后运行的标签匹配规则,以管理规则组标记的请求。有关此项与示例的更多信息,请参阅 [AWS WAF 分布式拒绝服务防护 DDo](waf-anti-ddos.md)。
## 反 DDo S 规则清单
本节列出了反 DDo S 规则。
**注意**
本文档包含此托管规则组的最新静态版本。我们在 [AWS 托管规则变更日志](aws-managed-rule-groups-changelog.md) 的更改日志中报告版本变更。有关其他版本的信息,请使用 API 命令[DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)。
我们在 AWS 托管规则组中发布的规则信息旨在为您提供使用规则所需的信息,而不会向不良行为者提供他们规避规则所需的信息。
如果您需要更多信息,请联系 [AWS 支持 中心](https://console.aws.amazon.com/support/home#/)。
| 规则名称 | 说明 |
| --- | --- |
| ChallengeAllDuringEvent | 匹配当前遭受攻击的,任何受保护资源上带有标签 `awswaf:managed:aws:anti-ddos:challengeable-request` 的请求。 规则操作:Challenge 仅可将此规则操作覆盖为 Allow 或 Count。不建议使用 Allow。对于任何规则操作设置,该规则仅匹配带有 `challengeable-request` 标签的请求。 此规则的配置会影响下一条规则的评估`ChallengeDDoSRequests`。 AWS WAF 只有在托管规则组的 Web ACL 配置中Count,此规则的操作将覆盖设置为时,才会评估该规则。 如果您的工作负载容易受到意外请求量变化的影响,我们建议对所有可质询的请求进行质询,方法是保持默认操作设置为 Challenge。对于敏感度较低的应用程序,可将此规则的操作设置为 Count,然后通过规则 `ChallengeDDoSRequests` 调整 Challenge 响应的敏感度。 标签:`awswaf:managed:aws:anti-ddos:ChallengeAllDuringEvent` |
| ChallengeDDoSRequests | 在资源遭受攻击期间,匹配受保护资源的请求,该资源满足或超过规则组已配置的质询敏感度设置。 规则操作:Challenge 仅可将此规则操作覆盖为 Allow 或 Count。不建议使用 Allow。任何情况下,该规则仅匹配带有 `challengeable-request` 标签的请求。 AWS WAF 只有当你将之前的规则Count中的操作改写为时,`ChallengeAllDuringEvent`才会评估此规则。 标签:`awswaf:managed:aws:anti-ddos:ChallengeDDoSRequests` |
| DDoSRequests | 在资源遭受攻击期间,匹配受保护资源的请求,该资源满足或超过规则组已配置的阻断敏感度设置。 规则操作:Block 标签:`awswaf:managed:aws:anti-ddos:DDoSRequests` |
# 版本化 AWS 托管规则规则组的部署
本节介绍如何将更新 AWS 部署到 AWS 托管规则规则组。
AWS 在三个标准部署中部署对其版本化 AWS 托管规则组的更改:候选版本、静态版本和默认版本。此外,有时 AWS 可能需要发布异常部署或回滚默认版本部署。
**注意**
本节仅适用于版本化的 AWS 托管规则规则组。唯一不受版本控制的规则组是 IP 信誉规则组。
**Topics**
+ [AWS 托管规则规则组部署通知](waf-managed-rule-groups-deployments-notifications.md)
+ [AWS 托管规则的标准部署概述](waf-managed-rule-groups-deployments-standard.md)
+ [AWS 托管规则的典型版本状态](waf-managed-rule-groups-typical-version-states.md)
+ [AWS 托管规则的发布候选部署](waf-managed-rule-groups-deployments-release-candidate.md)
+ [AWS 托管规则的静态版本部署](waf-managed-rule-groups-deployments-static-version.md)
+ [AWS 托管规则的默认版本部署](waf-managed-rule-groups-deployments-default-version.md)
+ [AWS 托管规则的异常部署](waf-managed-rule-groups-deployments-exceptions.md)
+ [AWS 托管规则的默认部署回滚](waf-managed-rule-groups-deployments-default-rollbacks.md)
# AWS 托管规则规则组部署通知
本节介绍了 Amazon SNS 通知如何与 AWS 托管规则规则组配合使用。
AWS 受版本控制的托管规则组都为部署提供 SNS 更新通知,并且都使用相同的 SNS 主题 Amazon 资源名称 (ARN)。唯一不受版本控制的规则组是 IP 信誉规则组。
对于影响保护的部署(例如对默认版本的更改), AWS 提供 SNS 通知,以通知您计划中的部署并告知您何时开始部署。对于不影响保护的部署,例如候选版本和静态版本部署, AWS 可能会在部署开始后甚至在部署完成后通知您。部署完新静态版本后,将在变更日志[AWS 托管规则变更日志](aws-managed-rule-groups-changelog.md)和文档历史记录页面中 AWS 更新本指南。[文档历史记录](doc-history.md)
要接收有关 AWS 托管规则组的所有更新, AWS 请订阅本指南任何 HTML 页面上的 RSS 提要,并订阅 AWS 托管规则规则组的 SNS 主题。有关订阅 SNS 通知的信息,请参阅 [收到有关托管规则组新版本和更新的通知](waf-using-managed-rule-groups-sns-topic.md)。
**SNS 通知内容**
Amazon SNS 通知中的字段始终包含主题、消息和。 MessageAttributes其他字段取决于消息的类型以及通知所针对的托管规则组。下面是 `AWSManagedRulesCommonRuleSet` 的一个通知列表示例。
```
{
"Type": "Notification",
"MessageId": "4286b830-a463-5e61-bd15-e1ae72303868",
"TopicArn": "arn:aws:sns:us-west-2:123456789012:MyTopic",
"Subject": "New version available for rule group AWSManagedRulesCommonRuleSet",
"Message": "Welcome to AWSManagedRulesCommonRuleSet version 1.5! We've updated the regex specification in this version to improve protection coverage, adding protections against insecure deserialization. For details about this change, see http://updatedPublicDocs.html. Look for more exciting updates in the future! ",
"Timestamp": "2021-08-24T11:12:19.810Z",
"SignatureVersion": "1",
"Signature": "EXAMPLEHXgJm...",
"SigningCertURL": "https://sns.us-west-2.amazonaws.com/SimpleNotificationService-f3ecfb7224c7233fe7bb5f59f96de52f.pem",
"SubscribeURL": "https://sns.us-west-2.amazonaws.com/?Action=ConfirmSubscription&TopicArn=arn:aws:sns:us-west-2:123456789012:MyTopic&Token=2336412f37...",
"MessageAttributes": {
"major_version": {
"Type": "String",
"Value": "v1"
},
"managed_rule_group": {
"Type": "String",
"Value": "AWSManagedRulesCommonRuleSet"
}
}
}
```
# AWS 托管规则的标准部署概述
AWS 使用三个标准部署阶段推出新的 AWS 托管规则功能:候选版本、静态版本和默认版本。
下图描述了这些标准部署。以下各节详述了其中的各个部分。
![\[四条垂直泳道显示了不同的标准部署阶段。最左边的泳道显示默认版本设置为推荐的静态版本 1.4。第二条泳道显示默认设置为候选发布 (RC) 版本,用于测试和调整。RC 版本包含 1.4 规则和 RC 规则。注释表明,测试后,默认值将返回到推荐的静态版本。第三条泳道显示根据候选发布版本中的规则创建静态版本 1.5。第四条泳道显示默认版本设置为新的推荐静态版本 1.5。\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/images/amr-rg-versions-flowchart-diagram.png)
# AWS 托管规则的典型版本状态
通常,版本化托管规则组有许多未过期的静态版本,默认版本指向推荐的静态版本。 AWS 下图显示了一组典型的静态版本和默认版本设置的示例。
![\[三个静态版本 Version_1.2、Version_1.3 和 Version_1.4 堆叠在一起,其中 Version_1.4 位于顶部。Version_1.4 有两个规则,分别为规则 A 和 规则 B,两者都有生产操作。默认版本指示器指向 Version_1.4。\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/images/amr-rg-versions-diagram.png)
静态版本中大多数规则的生产操作是Block,但可能设置为不同的值。有关规则操作设置的详细信息,请在 [AWS 托管规则规则组列表](aws-managed-rule-groups-list.md) 参阅每个规则组的规则列表。
# AWS 托管规则的发布候选部署
本节介绍了临时候选版本部署的工作方式。
当托管规则组 AWS 有一组候选规则变更时,它会在临时候选版本部署中对其进行测试。 AWS 根据生产流量在计数模式下评估候选规则,并执行最终调整活动,包括减少误报。 AWS 测试以这种方式为所有使用规则组默认版本的客户发布候选规则。候选发布版本部署不适用于使用静态版本规则组的客户。
如果您使用默认版本,则候选发布版本部署不会改变规则组管理 Web 流量的方式。在测试候选规则时,您可能会注意到以下几点:
+ 默认版本名称从 `Default (using Version_X.Y)` 更改为 `Default (using Version_X.Y_PLUS_RC_COUNT)`。
+ Amazon 中的其他计数指标 CloudWatch 名称`RC_COUNT`中包含其名称。它们由候选发布规则生成。
AWS 测试候选版本大约一周,然后将其删除并将默认版本重置为当前推荐的静态版本。
AWS 对候选版本部署执行以下步骤:
1. **创建候选版本** — 根据当前推荐的静态版本(即默认版本所指向的版本) AWS 添加候选版本。
候选发布版本的名称是附加了 `_PLUS_RC_COUNT` 的静态版本名称。例如,如果当前推荐的静态版本是 `Version_2.1`,则候选发布版本将命名为 `Version_2.1_PLUS_RC_COUNT`。
候选发布版本包含以下规则:
+ 规则完全从当前推荐的静态版本中复制,规则配置未做任何更改。
+ 候选新规则,规则操作设置为 Count,名称以 `_RC_COUNT` 结尾。
大多数候选规则都对规则组中已存在的规则提供了改进建议。每条规则的名称都是在现有规则的名称后附上 `_RC_COUNT`。
1. **将默认版本设置为候选版本并进行测试** — AWS 将默认版本设置为指向新的候选版本,以根据您的生产流量进行测试。测试通常需要大约一周的时间。
您将看到默认版本的名称从仅表示静态版本的名称(如 `Default (using Version_1.4)`)更改为表示静态版本加上候选发布规则(如 `Default (using Version_1.4_PLUS_RC_COUNT)`)。此命名方案使您能够识别管理 Web 流量的静态版本。
下图显示了此时示例规则组版本的状态。
![\[图的顶部是三个堆叠的静态版本,位于顶层的是 Version_1.4。与静态版本堆栈分开的是版本 Version_1.4_PLUS_RC_COUNT。此版本包含 Version_1.4 中的规则,还包含两个候选发布规则,即 RuleB_RC_COUNT 和 RuleZ_RC_COUNT,两者都带有计数操作。默认版本指示器指向 Version_1.4_PLUS_RC_COUNT。\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/images/amr-rg-versions-rc-diagram.png)
候选版本规则始终使用 Count 操作进行配置,因此它们不会改变规则组管理 Web 流量的方式。
候选发布规则生成 Amazon CloudWatch 计数指标, AWS 用于验证行为和识别误报。 AWS 根据需要进行调整,以调整候选发布版本计数规则的行为。
候选发布版本不是静态版本,也无法从静态规则组版本列表中进行选择。您只能在默认版本规范中看到候选发布版本的名称。
1. **将默认版本恢复为推荐的静态版本**-测试候选发布规则后, AWS 将默认版本设置回当前推荐的静态版本。默认版本名称设置会删除结`_PLUS_RC_COUNT`尾,并且规则组停止为候选发布规则生成 CloudWatch 计数指标。这是一个静默更改,与部署默认版本回滚不同。
下图显示了候选发布版本测试完成后示例规则组版本的状态。
![\[这又是典型的版本状态图。三个静态版本 Version_1.2、Version_1.3 和 Version_1.4 堆叠在一起,Version_1.4 位于顶部。Version_1.4 有两个规则,分别为规则 A 和 规则 B,两者都有生产操作。默认版本指示器指向 Version_1.4。\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/images/amr-rg-versions-rc-complete-diagram.png)
**定时和通知**
AWS 根据需要部署候选发布版本,以测试规则组的改进。
+ **SNS** — 在部署开始时 AWS 发送 SNS 通知。该通知指明了测试候选发布版本的预计时间。测试完成后, AWS 默默返回静态版本设置的默认值,不另行通知。
+ **更改日志**- AWS 不更新此类部署的变更日志或本指南的其他部分。
# AWS 托管规则的静态版本部署
当 AWS 确定候选版本对规则组进行了有价值的更改时,会根据候选版本为该规则组 AWS 部署新的静态版本。此部署不会更改规则组的默认版本。
新的静态版本包含候选发布版本中的以下规则:
+ 来自先前静态版本的规则,其在候选发布规则中没有替换候选规则。
+ 候选发布规则,包含以下更改:
+ AWS 通过删除候选版本后缀`_RC_COUNT`来更改规则名称。
+ AWS 将规则操作从更改Count为其生产规则操作。
对于替换先前已有规则的候选发布规则,这将取代新静态版本中先前规则的功能。
下图描述了根据候选发布版本创建新的静态版本的过程。
![\[图片顶部是候选发布版本 Version_1.4_PLUS_RC_COUNT,其规则与之前的候选发布版本部署图中的规则相同。此版本包含 Version_1.4 中的规则,还包含候选发布规则 RuleB_RC_COUNT 和 RuleZ_RC_COUNT,两者都带有计数操作。在此下方,图的底部是静态版本 Version_1.5,其中包含规则 RuleA、RuleB 和 RuleZ,所有这些规则都包含生产操作。箭头从 RC 版本指向 Version_1.5,表示从 Version_1.4 规则中复制了 RuleA,而 RuleB 和 RuleZ 是从候选发布版本规则中复制的。Version_1.5 中的所有规则都有生产操作。\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/images/amr-rg-versions-create-static-diagram.png)
部署后,新的静态版本可供您测试,如果您愿意,也可以将其用于保护中。您可以访问 [AWS 托管规则规则组列表](aws-managed-rule-groups-list.md),在规则组的规则列表中查看新的和更新的规则操作和描述。
静态版本在部署后是不可变的,并且只有在 AWS 过期时才会更改。有关版本生命周期的信息,请参阅 [在中使用版本化托管规则组 AWS WAF](waf-managed-rule-groups-versioning.md)。
**定时和通知**
AWS 根据需要部署新的静态版本,以部署对规则组功能的改进。部署静态版本不会影响默认版本设置。
+ **SNS** — 部署完成后 AWS 发送 SNS 通知。
+ **更改日志**-部署完成所有可用区域后,根据需要 AWS 更新本指南中的规则组定义,然后在 Managed Rules 规则组变更日志和文档历史记录页面中宣布发布。 AWS WAF AWS
# AWS 托管规则的默认版本部署
当 AWS 确定与当前默认版本相比,新的静态版本为规则组提供了更好的保护时,会将默认版本 AWS 更新为新的静态版本。 AWS 在将一个静态版本升级为规则组的默认版本之前,可能会发布多个静态版本。
下图显示了将默认版本设置 AWS 移至新的静态版本后示例规则组版本的状态。
![\[这与典型的版本状态图类似,但是 Version_1.5 位于堆栈顶部,且默认指示器指向它。\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/images/amr-rg-versions-new-default-diagram.png)
在将此更改部署到默认版本之前,会 AWS 提供通知,以便您可以测试即将到来的更改并为之做好准备。如果您使用默认版本,则无法执行任何操作,并且可以在更新期间继续使用该版本。相反,如果您想在默认版本部署的计划开始之前延迟切换到新版本,则可以明确配置规则组,使其使用作为默认设置的静态版本。
**定时和通知**
AWS 当它为规则组推荐的静态版本与当前使用的版本不同的静态版本时,会更新默认版本。
+ **SNS** — 至少在目标部署日前一周 AWS 发送 SNS 通知,然后在部署当天,即部署开始时再发送一次 SNS 通知。每份通知都包括规则组名称、默认版本更新到的静态版本、部署日期以及正在执行更新的每个 AWS 区域的计划部署时间。
+ **更改日志**- AWS 不更新此类部署的变更日志或本指南的其他部分。
# AWS 托管规则的异常部署
AWS 可能会绕过标准部署阶段,以便快速部署可解决关键安全风险的更新。异常部署可能涉及任何标准部署类型,并且可能会在各个 AWS 地区快速推出。
AWS 为异常部署提供尽可能多的提前通知。
**定时和通知**
AWS 仅在需要时才执行异常部署。
+ **SNS** — 尽可能在目标部署日之前 AWS 发送 SNS 通知,然后在部署开始时再发送一个 SNS 通知。每份通知都包括规则组名称、正在进行的更改和部署日期。
+ **更改日志** — 如果部署是针对静态版本的,则在所有可用版本的部署完成后,根据需要 AWS 更新本指南中的规则组定义,然后在 Managed Rules 规则组更改日志和文档历史记录页面中宣布该版本。 AWS WAF AWS
# AWS 托管规则的默认部署回滚
在某些条件下, AWS 可能会将默认版本回滚到之前的设置。所有 AWS 区域的回滚时间通常不到十分钟。
AWS 执行回滚只是为了缓解静态版本中的重大问题,例如误报率高得令人无法接受。
回滚默认版本设置后,会 AWS 加快出现问题的静态版本的到期时间,并加快发布新的静态版本以解决该问题。
**定时和通知**
AWS 仅在需要时才执行默认版本回滚。
+ **SNS** — 在回滚时 AWS 发送单个 SNS 通知。通知包括规则组名称、要对默认版本设置的版本和部署日期。这类部署非常快,因此通知不提供区域的时间信息。
+ **更改日志**- AWS 不更新此类部署的变更日志或本指南的其他部分。
# AWS 托管规则变更日志
本节列出了自 2019 年 11 月发布 AWS WAF 以来对 AWS 托管规则的更改。
**注意**
此变更日志报告了对的 AWS 托管规则中的规则和规则组的 AWS WAF更改。
对于 [IP 声誉规则组](aws-managed-rule-groups-ip-rep.md),此更改日志报告规则和规则组进行了更改,并报告规则使用的 IP 地址列表的来源产生了重大更改。但未报告 IP 地址列表本身的更改,这是因为 IP 地址列表是动态的。如果对 IP 地址列表有疑问,请联系您的客户经理或在 [AWS 支持 Center](https://console.aws.amazon.com/support/home#/) 开启一个案例。
| 规则组和规则 | 说明 | 日期 |
| --- | --- | --- |
| [PHP 应用程序托管规则组](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-php-app) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 发布了此规则组的静态版本 2.2。 改进了检测功能并添加了`PHPHighRiskMethodsVariables_URIPATH`规则。 | 2026-03-24 |
| [AWS WAF 机器人控制规则组](aws-managed-rule-groups-bot.md) 新规则: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 已发布此规则组的静态版本 5.0。 在多个类别中添加了 400 多个新机器人,其中包括两个新的机器人类别及其各自的规则:页面预览和 Webhooks。 **主要改进** 提高了机器人检测信号和通用机器人模式匹配的准确性,从而实现了更精确的流量分类。 此更新更改了托管规则组优先考虑机器人检测的方式。现在,先评估特定的未经验证的机器人模式,然后再评估通用模式和检测信号。这意味着更有可能根据请求的最具体特征而不是一般指标对请求进行分类。 **这对您的流量意味着什么:** 现在,通用机器人模式的匹配频率将降低。只有当没有更具体的机器人规则已经识别出流量时,这些模式才适用。这样可以减少过度分类,并确保使用最准确的机器人识别来标记请求。 现在,按照机器人识别规则应用检测信号,例如请求来自云服务提供商、已知机器人数据中心或使用非浏览器用户代理的指标。这样可以确保特定的机器人分类优先于普通流量信号。 **影响:** 您可能会在流量日志中看到更少的通用机器人模式标签,因为现在可以更准确地按特定的机器人规则对请求进行分类。这样可以更清楚地了解自动流量的实际性质,并减少因过于宽泛的模式匹配而产生的噪音。未经验证的机器人分类将更加突出和准确,从而帮助您更好地了解和管理对应用程序的自动请求。 **注意:**此版本包含 Version\$14.0 中的`awswaf:managed:aws:bot-control:bot:web_bot_auth`标签和规则更新,但该`Web Bot Auth`功能仍仅在中可用。CloudFront | 2026-02-25 |
| [POSIX 操作系统托管规则组](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-posix-os) | 已发布该规则组的静态版本 3.2。 改进了所有规则的检测签名。 | 2026-01-15 |
| [已知错误输入托管规则组](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 已发布此规则组的静态版本 1.25。 更新了`ReactJSRCE_BODY`以改进检测。 | 2025-12-08 |
| [POSIX 操作系统托管规则组](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-posix-os) | 已发布此规则组的静态版本 3.1。 改进了所有规则的检测签名。 | 2025-12-08 |
| [已知错误输入托管规则组](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 已发布此规则组的静态版本 1.24。 更新了`ReactJSRCE_BODY`以改进检测。 | 2025-12-04 |
| [AWS WAF 机器人控制规则组](aws-managed-rule-groups-bot.md) 新标签:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) 范围: CloudFront | 部署了新的静态`AWSManagedRulesBotControlRuleSet`版本\$14.0,支持 Web 机器人身份验证 (WBA),用于加密机器人验证。必须明确选择此版本,并且不会使用默认版本自动更新现有部署。 新功能: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) 规则更新: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) Version\$14.0 仅是静态版本,它不会更改默认版本行为。要使用 WBA 功能,请在配置 Web ACL 时明确选择版本 \$14.0。 | 2025-11-20 |
| [AWS WAF 机器人控制规则组](aws-managed-rule-groups-bot.md) 新的经过验证的机器人标签:广告:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)AI:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)内容提取器:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)社交媒体:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 主要改进: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) Bot Control 中的机器人类别规则仅在未经验证的机器人上触发,CategoryAI 除外,它也会在经过验证的机器人上触发。Version\$13.3 仅是静态版本——它不会更改默认版本行为。 | 2025-11-17 |
| [核心规则集(CRS)托管规则组](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 发布了此规则组的静态版本 1.20。 改进了服务器端请求伪造(SSRF)规则的检测签名。 | 2025-10-02 |
| [核心规则集(CRS)托管规则组](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 已发布此规则组的静态版本 1.19。 改进了跨站点脚本规则的检测签名。 | 2025-08-14 |
| [核心规则集(CRS)托管规则组](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 已发布此规则组的静态版本 1.18。 改进了跨站点脚本规则的检测签名。 | 2025-06-18 |
| [AWS WAF 机器人控制规则组](aws-managed-rule-groups-bot.md) 新标签: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 已发布该规则组的静态版本 3.2。 添加了列出的新标签。 | 2025-05-29 |
| [核心规则集(CRS)托管规则组](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 发布了此规则组的静态版本 1.17。 改进了跨站点脚本规则的检测签名。 | 2025-03-03 |
| [SQL 数据库托管规则组](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-sql-db) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 发布了此规则组的静态版本 1.3。 向列出的规则添加了双 `URL_DECODE_UNI` 文本转换。 | 2025-01-24 |
| [Linux 操作系统托管规则组](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-linux-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 已发布此规则组的静态版本 2.6。 添加了签名,以改进检测。 | 2025-01-24 |
| [AWS WAF 机器人控制规则组](aws-managed-rule-groups-bot.md) 机器人控制功能标签中的新机器人名称标签:`awswaf:managed:aws:bot-control:bot::name:nytimes` | 已发布此规则组的静态版本 3.1。 向机器人名称标签的列表添加了《纽约时报》标签。 | 2024-11-07 |
| [核心规则集(CRS)托管规则组](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 发布了此规则组的静态版本 1.16。 改进了跨站点脚本规则的检测签名。 | 2024-10-16 |
| [AWS WAF 机器人控制规则组](aws-managed-rule-groups-bot.md) 新规则: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) 已删除规则: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) 新标签: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) 现有规则中的附加标签。 | 发布了此规则组的静态版本 2.0 和 3.0。版本 2.0 与版本 3.0 相同,但所有新规则的规则操作都设为 Count。本指南列明了每个规则组的最新版本。 添加了列出的新规则。 更新了标签,以便所有规则都能应用带 `awswaf:managed:aws:bot-control:` 模式的标签。 在机器人控制功能信号标签中添加了云服务提供商标签。 添加了新的机器人名称标签,可通过机器人类别规则进行检查。 | 2024-09-13 |
| [AWS WAF 防欺诈控制账户盗用 (ATP) 规则组](aws-managed-rule-groups-atp.md) 所有规则 | 发布了此规则组的静态版本 1.1。 更新了标签,以便所有规则都能应用带 `awswaf:managed:aws:atp:` 模式的标签。 | 2024-09-13 |
| [AWS WAF 欺诈控制账户创建防作弊 (ACFP) 规则组](aws-managed-rule-groups-acfp.md) 所有规则 | 发布了此规则组的静态版本 1.1。 更新了标签,以便所有规则都能应用带 `awswaf:managed:aws:acfp:` 模式的标签。 | 2024-09-13 |
| [Linux 操作系统托管规则组](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-linux-os) 所有规则 | 发布了此规则组的静态版本 2.5。 添加了签名,以改进检测。 | 2024-09-02 |
| [核心规则集(CRS)托管规则组](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 发布了此规则组的静态版本 1.15。 改进了通用 LFI 规则的检测签名。 | 2024-08-30 |
| [Windows 操作系统托管规则组](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-windows-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 发布了此规则组的静态版本 2.3。 调整了列示规则的检测签名,以减少误报。 | 2024-08-28 |
| [WordPress 应用程序托管规则组](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-wordpress-app) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 发布了此规则组的静态版本 1.3。 向列示规则添加了 JS\$1DECODE 文本转换。 | 2024-07-15 |
| [Linux 操作系统托管规则组](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-linux-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 发布了此规则组的静态版本 2.4。 向列示规则添加了 JS\$1DECODE 文本转换。 | 2024-07-12 |
| [核心规则集(CRS)托管规则组](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 发布了此规则组的静态版本 1.14。 向列示规则添加了 JS\$1DECODE 文本转换。 | 2024-07-09 |
| [PHP 应用程序托管规则组](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-php-app) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 发布了此规则组的静态版本 2.1。 向列示规则添加了 JS\$1DECODE 文本转换。 | 2024-07-03 |
| [Windows 操作系统托管规则组](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-windows-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 发布了此规则组的静态版本 2.2。 向列示规则添加了 JS\$1DECODE 文本转换。 | 2024-07-03 |
| [Linux 操作系统托管规则组](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-linux-os) 所有规则 | 发布了此规则组的静态版本 2.3。 添加了签名,以改进检测。 | 2024-06-06 |
| [AWS WAF 机器人控制规则组](aws-managed-rule-groups-bot.md) [AWS WAF 防欺诈控制账户盗用 (ATP) 规则组](aws-managed-rule-groups-atp.md) [AWS WAF 欺诈控制账户创建防作弊 (ACFP) 规则组](aws-managed-rule-groups-acfp.md) | 机器人和欺诈规则组现已采用版本控制。如果您使用其中任何一个规则组,则此更新不会改变规则组处理 Web 流量的方式。 此更新将当前规则组版本设为静态 1.0 版,并将默认版本设为指向此版本。 有关版本管控规则的更多信息,请参阅以下内容: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 2024-05-29 |
| [POSIX 操作系统托管规则组](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-posix-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 发布了此规则组的静态版本 3.0。 已删除 `UNIXShellCommandsVariables_QUERYARGUMENTS` 并替换为 `UNIXShellCommandsVariables_QUERYSTRING`。如果您的规则匹配 `UNIXShellCommandsVariables_QUERYARGUMENTS` 的标签,则在使用此版本时,请将其切换为匹配 `UNIXShellCommandsVariables_QUERYSTRING` 上的标签。新标签为 `awswaf:managed:aws:posix-os:UNIXShellCommandsVariables_QueryString`。 添加了匹配所有标题的规则 `UNIXShellCommandsVariables_HEADER`。 使用改进的检测逻辑,更新了托管规则组中的所有规则。 更正了所记录的 `UNIXShellCommandsVariables_BODY` 标签的大小写。 | 2024-05-28 |
| [核心规则集(CRS)托管规则组](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 发布了此规则组的静态版本 1.12。 将签名添加到所有跨站点脚本规则中,以改进检测并减少误报。 | 2024-05-21 |
| [SQL 数据库托管规则组](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-sql-db) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 发布了此规则组的静态版本 1.2。 向列示规则添加了 `JS_DECODE` 文本转换。 | 2024-05-14 |
| [已知错误输入托管规则组](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 发布了此规则组的静态版本 1.22。 向列示规则添加了 `JS_DECODE` 文本转换。 | 2024-05-08 |
| [POSIX 操作系统托管规则组](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-posix-os) | 发布了此规则组的静态版本 2.2。 为两条规则新增了 `JS_DECODE` 文本转换。 | 2024-05-08 |
| [Windows 操作系统托管规则组](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-windows-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 发布了此规则组的静态版本 2.1。 向 `PowerShellCommands_BODY` 添加了签名,以改进检测。 | 2024-05-03 |
| [Amazon IP 声誉列表托管规则组](aws-managed-rule-groups-ip-rep.md#aws-managed-rule-groups-ip-rep-amazon) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 更新了 IP 声誉列表的来源,以加强对主动参与恶意活动的地址的识别并减少误报。 此次更新不涉及新版本,因为此规则组未采用版本控制。 | 2024-03-13 |
| [已知错误输入托管规则组](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs) | 发布了此规则组的静态版本 1.21。 添加了签名以改进检测并减少误报。 | 2023-12-16 |
| [已知错误输入托管规则组](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 发布了此规则组的静态版本 1.20。 更新了 `ExploitablePaths_URIPATH` 规则,以增加对与“Atlassian Confluence CVE-2023-22518 授权不当”漏洞相匹配的请求的检测。此漏洞会影响所有版本的 Confluence 数据中心和服务器。有关更多信息,请参阅 [NIST:国家漏洞数据库:CVE-2023-22518 详细信息](https://nvd.nist.gov/vuln/detail/CVE-2023-22518)。 | 2023-12-14 |
| [核心规则集(CRS)托管规则组](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 发布了此规则组的静态版本 1.11。 将签名添加到所有跨站点脚本规则中,以改进检测并减少误报。 | 2023-12-06 |
| [AWS WAF 机器人控制规则组](aws-managed-rule-groups-bot.md) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 将协调活动低标签添加到规则组的目标保护级别标签中。此标签未与任何规则关联。此标签是对中高级规则和标签的补充。 | 2023-12-05 |
| [机器人控制功能标签](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-labels-rg) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 向规则组添加了一个信号标签,指示检测到有助于自动化的浏览器扩展。此标签并非特定于单个规则。 | 2023-11-14 |
| [核心规则集(CRS)托管规则组](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 发布了此规则组的静态版本 1.10。 更新了一条规则,以改进检测并减少误报。 | 2023-11-02 |
| [核心规则集(CRS)托管规则组](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 发布了此规则组的静态版本 1.9。 更新了规则,以改进检测并减少误报。 | 2023-10-30 |
| [POSIX 操作系统托管规则组](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-posix-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 发布了此规则组的静态版本 2.1。 更新了查询参数规则,以改进检测。 | 2023-10-12 |
| [核心规则集(CRS)托管规则组](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 发布了此规则组的静态版本 1.8。 更新了规则,以改进检测。 | 2023-10-11 |
| [已知错误输入托管规则组](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 异常部署:发布了此规则组的静态版本 1.19。更新了默认版本,以使用 1.19。 更新了 `ExploitablePaths_URIPATH` 规则,以增加对与 Atlassian Confluence CVE-2023-22515 权限升级漏洞相匹配的请求的检测。此漏洞会影响某些版本的 Atlassian Confluence。有关更多信息,请参阅 [NIST:国家漏洞数据库:CVE-2023-22515 详细信息](https://nvd.nist.gov/vuln/detail/CVE-2023-22515)和 [Atlassian Support:CVE-2023-22515 常见问题解答](https://confluence.atlassian.com/kb/faq-for-cve-2023-22515-1295682188.html)。 有关部署类型的信息,请参阅 [AWS 托管规则的异常部署](waf-managed-rule-groups-deployments-exceptions.md)。 | 2023-10-04 |
| [已知错误输入托管规则组](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 异常部署:发布了此规则组的静态版本 1.18。这是此静态版本的快速推出,以适应版本 1.19 的创建和推出。 更新了 `Host_localhost_HEADER` 规则以及所有 Log4J 和 Java 反序列化规则,以改进检测。 有关部署类型的信息,请参阅 [AWS 托管规则的异常部署](waf-managed-rule-groups-deployments-exceptions.md)。 | 2023-10-04 |
| [AWS WAF 机器人控制规则组](aws-managed-rule-groups-bot.md) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 向规则组添加了带有 Count 操作的规则。 令牌重用 IP 规则可检测并计算通过 IP 地址共享的令牌。 协调活动规则使用对网站流量的自动机器学习 (ML) 分析来检测与机器人相关的活动。在规则组配置中,您可以选择退出使用 ML。在此版本中,当前使用目标保护级别的客户可以选择使用机器学习。选择退出将禁用协调活动规则。 | 2023-09-06 |
| [AWS WAF 机器人控制规则组](aws-managed-rule-groups-bot.md) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 已将规则 `CategoryAI` 添加到规则组中。 | 2023-08-30 |
| [核心规则集(CRS)托管规则组](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 发布了此规则组的静态版本 1.7。 更新了受限扩展和 EC2 元数据 SSRF 规则,以改进检测并减少误报。 | 2023-07-26 |
| [AWS WAF 欺诈控制账户创建防作弊 (ACFP) 规则组](aws-managed-rule-groups-acfp.md) 新规则组中的所有规则 | 添加了规则组 AWSManagedRulesACFPRuleSet。 | 2023-06-13 |
| [Linux 操作系统托管规则组](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-linux-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 发布了此规则组的静态版本 2.2。 添加了签名,以改进检测。 | 2023-05-22 |
| [核心规则集(CRS)托管规则组](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 发布了此规则组的静态版本 1.6。 更新了跨站脚本攻击(XSS)和受限扩展规则,以改进检测并减少误报。 | 2023-04-28 |
| [PHP 应用程序托管规则组](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-php-app) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 发布了此规则组的静态版本 2.0。 添加了签名,以改进所有规则中的检测。 已将规则 `PHPHighRiskMethodsVariables_QUERYARGUMENTS` 替换为 `PHPHighRiskMethodsVariables_QUERYSTRING`,它会检查整个查询字符串,而不仅仅是查询参数。 添加了规则 `PHPHighRiskMethodsVariables_HEADER`,以扩大覆盖范围,纳入所有标头。 更新了以下标签,使其与标准 AWS 托管规则标签保持一致: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 2023-02-27 |
| [AWS WAF 防欺诈控制账户盗用 (ATP) 规则组](aws-managed-rule-groups-atp.md)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 添加了登录响应检查规则,用于受保护的 Amazon CloudFront 分配。这些规则可以阻止来自 IP 地址和客户端会话的新登录尝试,这些地址和客户端会话最近导致的登录尝试失败次数过多。 | 2023-02-15 |
| [核心规则集(CRS)托管规则组](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 发布了此规则组的静态版本 1.5。 更新了跨站脚本攻击(XSS)筛选器,以改进检测。 | 2023-01-25 |
| [Linux 操作系统托管规则组](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-linux-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 发布了此规则组的静态版本 2.1。 删除了规则 `LFI_COOKIE` 及其标签 `awswaf:managed:aws:linux-os:LFI_Cookie`,并替换为新规则 `LFI_HEADER` 及其标签 `awswaf:managed:aws:linux-os:LFI_Header`。此更改将检查范围扩展到多个标头。 已为所有规则添加文本转换和签名,以改进检测。 | 2022-12-15 |
| [核心规则集(CRS)托管规则组](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 发布了此规则组的静态版本 1.4。 已在 `NoUserAgent_HEADER` 中添加文本转换,以删除所有空字节。更新了跨站点脚本规则中的筛选器,以改进检测。 | 2022-12-05 |
| [已知错误输入托管规则组](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 发布了此规则组的静态版本 1.17。 更新了 Java 反序列化规则,并增加了对与 Apache CVE-2022-42889 匹配的请求的检测,它是 1.10.0 之前的 Apache Commons Text 版本中的远程代码执行 (RCE) 漏洞。有关更多信息,请参阅 [NIST:国家漏洞数据库:CVE-2022-42889 详细信息](https://nvd.nist.gov/vuln/detail/CVE-2022-42889)和 [CVE-2022-42889:由于不安全的插值默认设置,1.10.0 之前的 Apache Commons Text 在应用于不受信任的输入时允许 RCE](https://lists.apache.org/thread/n2bd4vdsgkqh2tm14l1wyc3jyol7s1om)。 改进了 `Host_localhost_HEADER` 中的检测。 | 2022-10-20 |
| [已知错误输入托管规则组](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 发布了此规则组的静态版本 1.16。 删除了 1.15 版本中 AWS 识别的误报。 | 2022-10-05 |
| [POSIX 操作系统托管规则组](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-posix-os) [PHP 应用程序托管规则组](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-php-app) [WordPress 应用程序托管规则组](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-wordpress-app) | 更正了记录在案的标签名称。 | 2022-09-19 |
| [IP 声誉规则组](aws-managed-rule-groups-ip-rep.md) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 此更改不会改变规则组处理 Web 流量的方式。 根据Amazon威胁情报,添加了一项新规则,其中包含检查积极参与 DDo S活动的 IP 地址的Count操作。 | 2022-08-30 |
| [已知错误输入托管规则组](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 发布了此规则组的静态版本 1.15。 删除了 `Log4JRCE`,并将其替换为 `Log4JRCE_HEADER`、`Log4JRCE_QUERYSTRING`、`Log4JRCE_URI` 和 `Log4JRCE_BODY`,以便对误报进行更精细的监控和管理。 添加了签名,以改进对 `PROPFIND_METHOD` 和所有 `JavaDeserializationRCE*` 和 `Log4JRCE*` 规则的检测和阻止。 更新了标签,以更正 `Host_localhost_HEADER` 和所有 `JavaDeserializationRCE*` 规则中的大小写。 更正了的 `JavaDeserializationRCE_HEADER` 描述。 | 2022-08-22 |
| [AWS WAF 防欺诈控制账户盗用 (ATP) 规则组](aws-managed-rule-groups-atp.md)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 添加了一条规则,禁止对 Amazon Cognito 用户群体 Web 流量使用账户防盗托管规则组。 | 2022-08-11 |
| [核心规则集(CRS)托管规则组](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) | AWS 已为版本`Version_1.2`和规则组`Version_2.0`的计划过期。这些版本将于 2022 年 9 月 9 日到期。有关版本到期的信息,请参阅 [在中使用版本化托管规则组 AWS WAF](waf-managed-rule-groups-versioning.md)。 | 2022-06-09 |
| [核心规则集(CRS)托管规则组](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 发布了此规则组的版本 1.3。此版本更新了规则 `GenericLFI_URIPATH` 和 `GenericRFI_URIPATH` 中的匹配签名,以改进检测。 | 2022-05-24 |
| [AWS WAF 机器人控制规则组](aws-managed-rule-groups-bot.md)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 已将规则 `CategoryEmailClient` 添加到规则组中。 | 2022-04-06 |
| [已知错误输入托管规则组](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 发布了此规则组的版本 1.14。四条 `JavaDeserializtionRCE` 规则已移至 Block 模式。 | 2022-03-31 |
| [已知错误输入托管规则组](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 发布了此规则组的版本 1.13。更新了 Spring Core 和云函数 RCE 漏洞的文本转换。这些规则处于计数模式,用于收集指标并评估匹配的模式。该标签可用于阻止自定义规则中的请求。后续版本将在区块模式下使用这些规则进行部署。 | 2022-03-31 |
| [已知错误输入托管规则组](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 发布了此规则组的版本 1.12。已为 Spring Core 和云函数 RCE 漏洞添加签名。这些规则处于计数模式,用于收集指标并评估匹配的模式。该标签可用于阻止自定义规则中的请求。后续版本将在区块模式下使用这些规则进行部署。 删除了规则`Log4JRCE_HEADER`、`Log4JRCE_QUERYSTRING`、`Log4JRCE_URI` 和 `Log4JRCE_BODY`,并将其替换为规则 `Log4JRCE`。 | 2022-03-30 |
| [IP 声誉规则组](aws-managed-rule-groups-ip-rep.md) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 更新了 AWSManagedReconnaissanceList 规则,将操作从计数改为阻止。 | 2022-02-15 |
| [AWS WAF 防欺诈控制账户盗用 (ATP) 规则组](aws-managed-rule-groups-atp.md) 新规则组中的所有规则 | 添加了规则组 AWSManagedRulesATPRuleSet。 | 2022-02-11 |
| [已知错误输入托管规则组](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 发布了此规则组的版本 1.9。为了灵活使用此功能,删除了规则 `Log4JRCE`,并将其替换为规则 `Log4JRCE_HEADER`、`Log4JRCE_QUERYSTRING`、`Log4JRCE_URI` 和 `Log4JRCE_BODY`。添加了签名,以改进检测和阻止。 | 2022-01-28 |
| 核心规则集(CRS) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 发布了此规则组的版本 2.0。对于这些规则,调整了检测签名,以减少误报。将 `URL_DECODE` 文本转换替换为双 `URL_DECODE_UNI` 文本转换。新增了 `HTML_ENTITY_DECODE` 文本转换。 | 2022-01-10 |
| 核心规则集(CRS) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 作为该规则组版本 2.0 的一部分,新增了 `URL_DECODE_UNI` 文本转换。已从 `URL_DECODE` 文本转换中移除 `RestrictedExtensions_URIPATH`。 | 2022-01-10 |
| SQL 数据库 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 发布了此规则组的版本 2.0。将 `URL_DECODE` 文本转换替换为双 `URL_DECODE_UNI` 文本转换,并新增了 `COMPRESS_WHITE_SPACE` 文本转换。 向 `SQLiExtendedPatterns_QUERYARGUMENTS` 中添加了更多检测签名。 向 `SQLi_BODY` 中添加了 JSON 检查。 添加了规则 `SQLiExtendedPatterns_BODY`。 删除了规则 `SQLi_URIPATH`。 | 2022-01-10 |
| 已知错误输入 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 发布了规则 `Log4JRCE` 的 1.8 版,以改进标头检查和匹配条件。 | 2021-12-17 |
| 已知错误输入 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 发布了规则 `Log4JRCE` 的 1.4 版,用于调整匹配条件并检查其他标头。发布了版本 1.5,以调整匹配条件。 | 2021-12-11 |
| 已知错误输入 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 为回应 Log4j 中最近披露的安全问题,添加了规则 `Log4JRCE` 版本 1.2。有关信息,请参阅 [CVE-2021-44228](https://www.cve.org/CVERecord?id=CVE-2021-44228) 此规则用于检查常用 URI 路径、查询字符串、请求正文的前 8KB 和常用标头。该规则使用双 `URL_DECODE_UNI` 文本转换。发布了 `Log4JRCE` 的 1.3 版,以调整匹配条件并检查其他标头。 删除了规则 `BadAuthToken_COOKIE_AUTHORIZATION`。 | 2021-12-10 |
下表列出了 2021 年 12 月之前的变更。
| 规则组和规则 | 说明 | 日期 |
| --- | --- | --- |
| Amazon IP 声誉列表 | `AWSManagedReconnaissanceList` | 在监控/计数模式下添加了 AWSManagedReconnaissanceList 规则。此规则包含正在对 AWS 资源执行侦测的 IP 地址。 | 2021-11-23 |
| Windows 操作系统 | `WindowsShellCommands` `PowerShellCommands` | 为 WindowsShell 命令添加了三条新规则:`WindowsShellCommands_COOKIE``WindowsShellCommands_QUERYARGUMENTS`、和`WindowsShellCommands_BODY`。 添加了新 PowerShell 规则:`PowerShellCommands_COOKIE`. 通过删除字符串 \$1Set1 和 \$1Set2 重构了 `PowerShellComands` 规则命名。 向 `PowerShellRules` 中添加了更全面的检测签名。 为所有 Windows 操作系统规则添加了 `URL_DECODE_UNI` 文本转换。 | 2021-11-23 |
| Linux 操作系统 | `LFI_URIPATH` `LFI_QUERYSTRING` `LFI_BODY` `LFI_COOKIE` | 将双 `URL_DECODE` 文本转换替换为双 `URL_DECODE_UNI`。 添加了 `NORMALIZE_PATH_WIN` 作为第二个文本转换。 将 `LFI_BODY` 规则替换为 `LFI_COOKIE` 规则。 为所有 `LFI` 规则添加了更全面的检测签名。 | 2021-11-23 |
| 核心规则集(CRS) | `SizeRestrictions_BODY` | 降低了大小限制,以阻止正文有效负载大于 8 KB 的 Web 请求。以前,该限制为 10 KB。 | 2021-10-27 |
| 核心规则集(CRS) | `EC2MetaDataSSRF_BODY` `EC2MetaDataSSRF_COOKIE` `EC2MetaDataSSRF_URIPATH` `EC2MetaDataSSRF_QUERYARGUMENTS` | 添加了更多检测签名。添加了双 Unicode 网址解码,以改善阻止效果。 | 2021-10-27 |
| 核心规则集(CRS) | `GenericLFI_QUERYARGUMENTS` `GenericLFI_URIPATH` `RestrictedExtensions_URIPATH` `RestrictedExtensions_QUERYARGUMENTS` | 添加了双 Unicode 网址解码,以改善阻止效果。 | 2021-10-27 |
| 核心规则集(CRS) | `GenericRFI_QUERYARGUMENTS` `GenericRFI_BODY` `GenericRFI_URIPATH` | 根据客户反馈更新了规则签名以减少误报。添加了双 Unicode 网址解码,以改善阻止效果。 | 2021-10-27 |
| 全部 | 所有规则 | 为所有尚不支持 AWS WAF 标签的规则添加了对标签的支持。 | 2021-10-25 |
| Amazon IP 声誉列表 | `AWSManagedIPReputationList_xxxx` | 重组了 IP 信誉列表,删除了规则名称中的后缀,并增加了对标签的支持。 AWS WAF | 2021-05-04 |
| 匿名 IP 列表 | `AnonymousIPList` `HostingProviderList` | 增加了对 AWS WAF 标签的支持。 | 2021-05-04 |
| 机器人控制功能 | 全部 | 添加了机器人控制功能规则集。 | 2021-04-01 |
| 核心规则集(CRS) | `GenericRFI_QUERYARGUMENTS` | 添加了双重 URL 解码。 | 2021-03-03 |
| 核心规则集(CRS) | `RestrictedExtensions_URIPATH` | 改进了规则的配置并添加了额外的 URL 解码。 | 2021-03-03 |
| 管理保护 | `AdminProtection_URIPATH` | 添加了双重 URL 解码。 | 2021-03-03 |
| 已知错误输入 | `ExploitablePaths_URIPATH` | 改进了规则的配置并添加了额外的 URL 解码。 | 2021-03-03 |
| Linux 操作系统 | `LFI_QUERYARGUMENTS` | 改进了规则的配置并添加了额外的 URL 解码。 | 2021-03-03 |
| Windows 操作系统 | 全部 | 改进了规则的配置。 | 2020-09-23 |
| PHP 应用程序 | `PHPHighRiskMethodsVariables_QUERYARGUMENTS` `PHPHighRiskMethodsVariables_BODY` | 将文本转换从 HTML 解码更改为 URL 解码,以改善阻止。 | 2020-09-16 |
| POSIX 操作系统 | `UNIXShellCommandsVariables_QUERYARGUMENTS` `UNIXShellCommandsVariables_BODY` | 将文本转换从 HTML 解码更改为 URL 解码,以改善阻止。 | 2020-09-16 |
| 核心规则集 | `GenericLFI_QUERYARGUMENTS` `GenericLFI_URIPATH` GenericLFI 正文 | 将文本转换从 HTML 解码更改为 URL 解码,以改善阻止。 | 2020-08-07 |
| Linux 操作系统 | `LFI_URIPATH` `LFI_QUERYARGUMENTS` `LFI_BODY` | 将文本转换从 HTML 实体解码更改为 URL 解码,以改善检测和阻止。 | 2020-05-19 |
| 匿名 IP 列表 | 全部 | [IP 声誉规则组](aws-managed-rule-groups-ip-rep.md) 中新的规则组可阻止来自以下这些服务的请求:这些服务允许对查看者身份进行模糊处理,以帮助缓解自动程序和规避地理限制的情况。 | 2020-03-06 |
| WordPress 应用程序 | `WordPressExploitableCommands_QUERYSTRING` | 用于检查查询字符串中是否存在可利用的命令的新规则。 | 2020-03-03 |
| 核心规则集(CRS) | `SizeRestrictions_QUERYSTRING` `SizeRestrictions_Cookie_HEADER` `SizeRestrictions_BODY` `SizeRestrictions_URIPATH` | 调整了大小值约束以提高准确性。 | 2020-03-03 |
| SQL 数据库 | `SQLi_URIPATH` | 这些规则现在会检查消息 URI。 | 2020-01-23 |
| SQL 数据库 | `SQLi_BODY` `SQLi_QUERYARGUMENTS` `SQLi_COOKIE` | 更新了文本转换。 | 2019-12-20 |
| 核心规则集(CRS) | `CrossSiteScripting_URIPATH` `CrossSiteScripting_BODY` `CrossSiteScripting_QUERYARGUMENTS` `CrossSiteScripting_COOKIE` | 更新了文本转换。 | 2019-12-20 |