**推出 的新主控台體驗 AWS WAF**
您現在可以使用更新後的體驗,在主控台的任何位置存取 AWS WAF 功能。如需詳細資訊,請參閱[使用 主控台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# AWS 的受管規則 AWS WAF
本節說明什麼 AWS WAF 是 的 AWS 受管規則。
AWS 的受管規則 AWS WAF 是一項受管服務,可針對應用程式漏洞或其他不需要的流量提供保護。您可以選擇從每個 Web ACL 的 AWS 受管規則中選取一或多個規則群組,直到最大保護套件 (Web ACL) 容量單位 (WCU) 限制為止。
**緩解誤報和測試規則群組變更**
在生產環境中使用任何受管規則群組之前,請先根據 中的指引,在非生產環境中進行測試[測試和調校您的 AWS WAF 保護](web-acl-testing.md)。當您將規則群組新增至保護套件 (Web ACL)、測試規則群組的新版本,以及每當規則群組未視需要處理您的 Web 流量時,請遵循測試和調校指引。
**共同的安全責任**
AWS 受管規則旨在保護您免受常見的 Web 威脅。根據文件使用時, AWS 受管規則規則群組會為您的應用程式新增另一層安全性。不過, AWS 受管規則規則群組並非旨在取代您的安全責任,這取決於您選擇的 AWS 資源。請參閱 [共同責任模型](https://aws.amazon.com/compliance/shared-responsibility-model/),以確保您在 中的資源 AWS 受到適當保護。
**重要**
AWS 受管規則旨在保護您免受常見的 Web 威脅。根據文件使用時, AWS 受管規則規則群組會為您的應用程式新增另一層安全性。不過, AWS 受管規則規則群組並非旨在取代您的安全責任,這取決於您選擇的 AWS 資源。請參閱 [共同責任模型](https://aws.amazon.com/compliance/shared-responsibility-model/),以確保您在 中的資源 AWS 受到適當保護。
# AWS 受管規則規則群組清單
本節提供可用的 AWS 受管規則規則群組清單。
本節說明 AWS 受管規則規則群組的最新版本。當您將受管規則群組新增至保護套件 (Web ACL) 時,您會在主控台上看到這些內容。透過 API,您可以呼叫 來擷取此清單以及您訂閱的 AWS Marketplace 規則群組`ListAvailableManagedRuleGroups`。
**注意**
如需擷取 AWS 受管規則規則群組版本的資訊,請參閱 [擷取受管規則群組的可用版本](waf-using-managed-rule-groups-versions.md)。
所有 AWS 受管規則規則群組都支援標記,本節中的規則清單包含標籤規格。您可以透過 API 呼叫 來擷取受管規則群組的標籤`DescribeManagedRuleGroup`。這些標籤會列在回應的 AvailableLabels 屬性中。如需標籤的相關資訊,請參閱 [中的 Web 請求標籤 AWS WAF](waf-labels.md)。
在將 AWS WAF 保護用於生產流量之前,測試和調校保護的任何變更。如需相關資訊,請參閱[測試和調校您的 AWS WAF 保護](web-acl-testing.md)。
**Contents**
+ [基準規則群組](aws-managed-rule-groups-baseline.md)
+ [核心規則集 (CRS) 受管規則群組](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs)
+ [管理員保護受管規則群組](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-admin)
+ [已知錯誤輸入受管規則群組](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs)
+ [使用案例特定的規則群組](aws-managed-rule-groups-use-case.md)
+ [SQL 資料庫受管規則群組](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-sql-db)
+ [Linux 作業系統受管規則群組](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-linux-os)
+ [POSIX 作業系統受管規則群組](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-posix-os)
+ [Windows 作業系統受管規則群組](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-windows-os)
+ [PHP 應用程式受管規則群組](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-php-app)
+ [WordPress 應用程式受管規則群組](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-wordpress-app)
+ [IP 評價規則群組](aws-managed-rule-groups-ip-rep.md)
+ [Amazon IP 評價清單受管規則群組](aws-managed-rule-groups-ip-rep.md#aws-managed-rule-groups-ip-rep-amazon)
+ [匿名 IP 清單受管規則群組](aws-managed-rule-groups-ip-rep.md#aws-managed-rule-groups-ip-rep-anonymous)
+ [AWS WAF 詐騙控制帳戶建立詐騙預防 (ACFP) 規則群組](aws-managed-rule-groups-acfp.md)
+ [使用此規則群組的考量事項](aws-managed-rule-groups-acfp.md#aws-managed-rule-groups-acfp-using)
+ [此規則群組新增的標籤](aws-managed-rule-groups-acfp.md#aws-managed-rule-groups-acfp-labels)
+ [字符標籤](aws-managed-rule-groups-acfp.md#aws-managed-rule-groups-acfp-labels-token)
+ [ACFP 標籤](aws-managed-rule-groups-acfp.md#aws-managed-rule-groups-acfp-labels-rg)
+ [帳戶建立詐騙預防規則清單](aws-managed-rule-groups-acfp.md#aws-managed-rule-groups-acfp-rules)
+ [AWS WAF 詐騙控制帳戶接管預防 (ATP) 規則群組](aws-managed-rule-groups-atp.md)
+ [使用此規則群組的考量事項](aws-managed-rule-groups-atp.md#aws-managed-rule-groups-atp-using)
+ [此規則群組新增的標籤](aws-managed-rule-groups-atp.md#aws-managed-rule-groups-atp-labels)
+ [字符標籤](aws-managed-rule-groups-atp.md#aws-managed-rule-groups-atp-labels-token)
+ [ATP 標籤](aws-managed-rule-groups-atp.md#aws-managed-rule-groups-atp-labels-rg)
+ [帳戶接管預防規則清單](aws-managed-rule-groups-atp.md#aws-managed-rule-groups-atp-rules)
+ [AWS WAF 機器人控制規則群組](aws-managed-rule-groups-bot.md)
+ [保護層級](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-prot-levels)
+ [使用此規則群組的考量事項](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-using)
+ [此規則群組新增的標籤](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-labels)
+ [字符標籤](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-labels-token)
+ [機器人控制標籤](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-labels-rg)
+ [機器人控制規則清單](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-rules)
+ [AWS WAF 分散式阻斷服務 (DDoS) 預防規則群組](aws-managed-rule-groups-anti-ddos.md)
+ [使用此規則群組的考量事項](aws-managed-rule-groups-anti-ddos.md#aws-managed-rule-groups-anti-ddos-using)
+ [此規則群組新增的標籤](aws-managed-rule-groups-anti-ddos.md#aws-managed-rule-groups-anti-ddos-labels)
+ [字符標籤](aws-managed-rule-groups-anti-ddos.md#aws-managed-rule-groups-anti-ddos-labels-token)
+ [反 DDoS 標籤](aws-managed-rule-groups-anti-ddos.md#aws-managed-rule-groups-anti-ddos-labels-rg)
+ [反 DDoS 規則清單](aws-managed-rule-groups-anti-ddos.md#aws-managed-rule-groups-anti-ddos-rules)
# 基準規則群組
基準管理的規則群組可針對各種常見威脅提供一般防護。選擇這些規則群組中的一或多個,以建立資源的基準保護。
## 核心規則集 (CRS) 受管規則群組
VendorName:`AWS`、Name:`AWSManagedRulesCommonRuleSet`、WCU:700
**注意**
本文件涵蓋此受管規則群組的最新版本。我們會在 的 changelog 日誌中報告版本變更[AWS 受管規則變更日誌](aws-managed-rule-groups-changelog.md)。如需其他版本的資訊,請使用 API 命令 [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)。
我們為 AWS 受管規則規則群組中的規則發佈的資訊,旨在為您提供使用規則所需的內容,而不會給予不法份子規避規則所需的內容。
如果您需要比此處更多的資訊,請聯絡 [AWS 支援 中心](https://console.aws.amazon.com/support/home#/)。
核心規則集 (CRS) 規則群組包含通常適用於 Web 應用程式的規則。這可以防止各種漏洞遭到利用,包括 OWASP 出版品中所述的一些高風險和常見漏洞,例如 [OWASP 前 10 名](https://owasp.org/www-project-top-ten/)。考慮將此規則群組用於任何 AWS WAF 使用案例。
此受管規則群組會將標籤新增至其評估的 Web 請求,這些請求可供保護套件 (Web ACL) AWS WAF 中在此規則群組之後執行的規則使用。 也會將標籤記錄到 Amazon CloudWatch 指標。如需標籤和標籤指標的一般資訊,請參閱 [Web 請求標籤](waf-labels.md)和 [標籤指標和維度](waf-metrics.md#waf-metrics-label)。
| 規則名稱 | 描述和標籤 |
| --- | --- |
| NoUserAgent\$1HEADER | 檢查是否有缺少 HTTP `User-Agent`標頭的請求。 規則動作:Block 標籤: `awswaf:managed:aws:core-rule-set:NoUserAgent_Header` |
| UserAgent\$1BadBots\$1HEADER | 檢查指出請求是錯誤機器人的常見`User-Agent`標頭值。範例模式包括 `nessus` 和 `nmap`。如需機器人管理,另請參閱 [AWS WAF 機器人控制規則群組](aws-managed-rule-groups-bot.md)。 規則動作:Block 標籤: `awswaf:managed:aws:core-rule-set:BadBots_Header` |
| SizeRestrictions\$1QUERYSTRING | 檢查是否有超過 2,048 個位元組的 URI 查詢字串。 規則動作:Block 標籤: `awswaf:managed:aws:core-rule-set:SizeRestrictions_QueryString` |
| SizeRestrictions\$1Cookie\$1HEADER | 檢查是否有超過 10,240 個位元組的 Cookie 標頭。 規則動作:Block 標籤: `awswaf:managed:aws:core-rule-set:SizeRestrictions_Cookie_Header` |
| SizeRestrictions\$1BODY | 檢查請求內文是否超過 8 KB (8,192 位元組)。 規則動作:Block 標籤: `awswaf:managed:aws:core-rule-set:SizeRestrictions_Body` |
| SizeRestrictions\$1URIPATH | 檢查是否有超過 1,024 個位元組的 URI 路徑。 規則動作:Block 標籤: `awswaf:managed:aws:core-rule-set:SizeRestrictions_URIPath` |
| EC2MetaDataSSRF\$1BODY | 檢查 是否嘗試從請求內文滲透 Amazon EC2 中繼資料。 此規則只會檢查請求內文,直到保護套件 (Web ACL) 和資源類型的內文大小限制為止。對於 Application Load Balancer 和 AWS AppSync,限制固定為 8 KB。對於 CloudFront、API Gateway、Amazon Cognito、App Runner 和 Verified Access,預設限制為 16 KB,而且您可以在保護套件 (Web ACL) 組態中將限制提高到 64 KB。此規則使用 `Continue`選項來處理過大的內容。如需詳細資訊,請參閱[在 中過大 Web 請求元件 AWS WAF](waf-oversize-request-components.md)。 規則動作:Block 標籤: `awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_Body` |
| EC2MetaDataSSRF\$1COOKIE | 檢查 是否嘗試從請求 Cookie 滲透 Amazon EC2 中繼資料。 規則動作:Block 標籤: `awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_Cookie` |
| EC2MetaDataSSRF\$1URIPATH | 檢查是否有嘗試從請求 URI 路徑滲透 Amazon EC2 中繼資料。 規則動作:Block 標籤: `awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_URIPath` |
| EC2MetaDataSSRF\$1QUERYARGUMENTS | 檢查 是否嘗試從請求查詢引數滲透 Amazon EC2 中繼資料。 規則動作:Block 標籤: `awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_QueryArguments` |
| GenericLFI\$1QUERYARGUMENTS | 檢查查詢引數中是否存在本機檔案包含 (LFI) 漏洞。範例包括使用 `../../` 之類技術的路徑遍訪嘗試。 規則動作:Block 標籤: `awswaf:managed:aws:core-rule-set:GenericLFI_QueryArguments` |
| GenericLFI\$1URIPATH | 檢查 URI 路徑中是否存在本機檔案包含 (LFI) 漏洞。範例包括使用 `../../` 之類技術的路徑遍訪嘗試。 規則動作:Block 標籤: `awswaf:managed:aws:core-rule-set:GenericLFI_URIPath` |
| GenericLFI\$1BODY | 檢查要求主體中是否存在本機檔案包含 (LFI) 漏洞。範例包括使用 `../../` 之類技術的路徑遍訪嘗試。 此規則只會檢查請求內文,直到保護套件 (Web ACL) 和資源類型的內文大小限制為止。對於 Application Load Balancer 和 AWS AppSync,限制固定為 8 KB。對於 CloudFront、API Gateway、Amazon Cognito、App Runner 和 Verified Access,預設限制為 16 KB,而且您可以在保護套件 (Web ACL) 組態中將限制提高到 64 KB。此規則使用 `Continue`選項來處理過大的內容。如需詳細資訊,請參閱[在 中過大 Web 請求元件 AWS WAF](waf-oversize-request-components.md)。 規則動作:Block 標籤: `awswaf:managed:aws:core-rule-set:GenericLFI_Body` |
| RestrictedExtensions\$1URIPATH | 檢查 URI 路徑是否包含不安全讀取或執行之系統副檔名的請求。範例模式包括 `.log` 和 `.ini` 之類的副檔名。 規則動作:Block 標籤: `awswaf:managed:aws:core-rule-set:RestrictedExtensions_URIPath` |
| RestrictedExtensions\$1QUERYARGUMENTS | 檢查查詢引數是否包含不安全讀取或執行之系統副檔名的請求。範例模式包括 `.log` 和 `.ini` 之類的副檔名。 規則動作:Block 標籤: `awswaf:managed:aws:core-rule-set:RestrictedExtensions_QueryArguments` |
| GenericRFI\$1QUERYARGUMENTS | 透過嵌入包含 IPv4 地址的 URLs (遠端檔案包含)。範例包括模式,例如 `http://`、`ftps://`、、 `https://` `ftp://`和 `file://`,在入侵嘗試中具有 IPv4 主機標頭。 規則動作:Block 標籤: `awswaf:managed:aws:core-rule-set:GenericRFI_QueryArguments` |
| GenericRFI\$1BODY | 透過嵌入包含 IPv4 地址URLs,檢查請求內文是否嘗試在 Web 應用程式中利用 RFI (遠端檔案包含)。範例包括模式,例如 `http://`、`ftps://`、、 `https://` `ftp://`和 `file://`,在入侵嘗試中具有 IPv4 主機標頭。 此規則只會檢查請求內文,直到保護套件 (Web ACL) 和資源類型的內文大小限制為止。對於 Application Load Balancer 和 AWS AppSync,限制固定為 8 KB。對於 CloudFront、API Gateway、Amazon Cognito、App Runner 和 Verified Access,預設限制為 16 KB,而且您可以在保護套件 (Web ACL) 組態中將限制提高到 64 KB。此規則使用 `Continue`選項來處理過大的內容。如需詳細資訊,請參閱[在 中過大 Web 請求元件 AWS WAF](waf-oversize-request-components.md)。 規則動作:Block 標籤: `awswaf:managed:aws:core-rule-set:GenericRFI_Body` |
| GenericRFI\$1URIPATH | 透過嵌入包含 IPv4 地址URLs,檢查 URI 路徑是否嘗試在 Web 應用程式中利用 RFI (遠端檔案包含)。範例包括模式,例如 `http://`、`ftps://`、、 `https://` `ftp://`和 `file://`,在入侵嘗試中具有 IPv4 主機標頭。 規則動作:Block 標籤: `awswaf:managed:aws:core-rule-set:GenericRFI_URIPath` |
| CrossSiteScripting\$1COOKIE | 使用內建 檢查 Cookie 標頭的值是否有常見的跨網站指令碼 (XSS) 模式 AWS WAF [跨網站指令碼攻擊規則陳述式](waf-rule-statement-type-xss-match.md)。範例模式包括 `` 之類的指令碼。 AWS WAF 日誌中的規則比對詳細資訊不會填入此規則群組的 2.0 版。 規則動作:Block 標籤: `awswaf:managed:aws:core-rule-set:CrossSiteScripting_Cookie` |
| CrossSiteScripting\$1QUERYARGUMENTS | 使用內建 檢查查詢引數的值是否有常見的跨網站指令碼 (XSS) 模式 AWS WAF [跨網站指令碼攻擊規則陳述式](waf-rule-statement-type-xss-match.md)。範例模式包括 `` 之類的指令碼。 AWS WAF 日誌中的規則比對詳細資訊不會填入此規則群組的 2.0 版。 規則動作:Block 標籤: `awswaf:managed:aws:core-rule-set:CrossSiteScripting_QueryArguments` |
| CrossSiteScripting\$1BODY | 使用內建 檢查請求內文是否有常見的跨網站指令碼 (XSS) 模式 AWS WAF [跨網站指令碼攻擊規則陳述式](waf-rule-statement-type-xss-match.md)。範例模式包括 `` 之類的指令碼。 AWS WAF 日誌中的規則比對詳細資訊不會填入此規則群組的 2.0 版。 此規則只會檢查請求內文,直到保護套件 (Web ACL) 和資源類型的內文大小限制為止。對於 Application Load Balancer 和 AWS AppSync,限制固定為 8 KB。對於 CloudFront、API Gateway、Amazon Cognito、App Runner 和 Verified Access,預設限制為 16 KB,而且您可以在保護套件 (Web ACL) 組態中將限制提高到 64 KB。此規則使用 `Continue`選項來處理過大的內容。如需詳細資訊,請參閱[在 中過大 Web 請求元件 AWS WAF](waf-oversize-request-components.md)。 規則動作:Block 標籤: `awswaf:managed:aws:core-rule-set:CrossSiteScripting_Body` |
| CrossSiteScripting\$1URIPATH | 使用內建 檢查 URI 路徑的值是否有常見的跨網站指令碼 (XSS) 模式 AWS WAF [跨網站指令碼攻擊規則陳述式](waf-rule-statement-type-xss-match.md)。範例模式包括 `` 之類的指令碼。 AWS WAF 日誌中的規則比對詳細資訊不會填入此規則群組的 2.0 版。 規則動作:Block 標籤: `awswaf:managed:aws:core-rule-set:CrossSiteScripting_URIPath` |
## 管理員保護受管規則群組
VendorName:`AWS`、Name:`AWSManagedRulesAdminProtectionRuleSet`、WCU:100
**注意**
本文件涵蓋此受管規則群組的最新版本。我們會在 的 changelog 日誌中報告版本變更[AWS 受管規則變更日誌](aws-managed-rule-groups-changelog.md)。如需其他版本的資訊,請使用 API 命令 [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)。
我們為 AWS 受管規則規則群組中的規則發佈的資訊,旨在為您提供使用規則所需的內容,而不會給予不法份子規避規則所需的內容。
如果您需要比此處更多的資訊,請聯絡 [AWS 支援 中心](https://console.aws.amazon.com/support/home#/)。
管理員保護規則群組包含的規則可讓您封鎖對公開的管理頁面的外部存取。如果您執行第三方軟體,或想要降低惡意行為者取得應用程式系統管理存取權的風險,這可能會很有用。
此受管規則群組會將標籤新增至其評估的 Web 請求,這些請求可供保護套件 (Web ACL) AWS WAF 中在此規則群組之後執行的規則使用。 也會將標籤記錄到 Amazon CloudWatch 指標。如需標籤和標籤指標的一般資訊,請參閱 [Web 請求標籤](waf-labels.md)和 [標籤指標和維度](waf-metrics.md#waf-metrics-label)。
| 規則名稱 | 描述和標籤 |
| --- | --- |
| AdminProtection\$1URIPATH | 檢查通常保留用於管理 Web 伺服器或應用程式的 URI 路徑。範例模式包括 `sqlmanager`。 規則動作:Block 標籤: `awswaf:managed:aws:admin-protection:AdminProtection_URIPath` |
## 已知錯誤輸入受管規則群組
VendorName:`AWS`、Name:`AWSManagedRulesKnownBadInputsRuleSet`、WCU:200
**注意**
本文件涵蓋此受管規則群組的最新版本。我們會在 的 changelog 日誌中報告版本變更[AWS 受管規則變更日誌](aws-managed-rule-groups-changelog.md)。如需其他版本的相關資訊,請使用 API 命令 [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)。
我們為 AWS 受管規則規則群組中的規則發佈的資訊,旨在為您提供使用規則所需的內容,而不會給予不法份子規避規則所需的內容。
如果您需要比此處更多的資訊,請聯絡 [AWS 支援 中心](https://console.aws.amazon.com/support/home#/)。
已知錯誤輸入規則群組包含的規則可封鎖已知無效且與利用或發現的漏洞相關的請求模式。這有助於降低惡意行為者發現易受攻擊應用程式的風險。
此受管規則群組會將標籤新增至其評估的 Web 請求,這些請求可供保護套件 (Web ACL) AWS WAF 中此規則群組之後執行的規則使用。 也會將標籤記錄到 Amazon CloudWatch 指標。如需標籤和標籤指標的一般資訊,請參閱 [Web 請求標籤](waf-labels.md)和 [標籤指標和維度](waf-metrics.md#waf-metrics-label)。
| 規則名稱 | 描述和標籤 |
| --- | --- |
| JavaDeserializationRCE\$1HEADER | 檢查 HTTP 請求標頭的金鑰和值是否有表示 Java 還原序列化遠端命令執行 (RCE) 嘗試的模式,例如 Spring Core 和 Cloud Function RCE 漏洞 (CVE-2022-22963、CVE-2022-22965)。範例模式包括 `(java.lang.Runtime).getRuntime().exec("whoami")`。 此規則只會檢查請求標頭的前 8 KB 或前 200 個標頭,以先達到限制為準,並使用 `Continue`選項處理過大的內容。如需詳細資訊,請參閱[在 中過大 Web 請求元件 AWS WAF](waf-oversize-request-components.md)。 規則動作:Block 標籤: `awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_Header` |
| JavaDeserializationRCE\$1BODY | 檢查請求內文是否有表示 Java 還原序列化遠端命令執行 (RCE) 嘗試的模式,例如 Spring Core 和 Cloud Function RCE 漏洞 (CVE-2022-22963、CVE-2022-22965)。範例模式包括 `(java.lang.Runtime).getRuntime().exec("whoami")`。 此規則只會檢查請求內文,直到保護套件 (Web ACL) 和資源類型的內文大小限制為止。對於 Application Load Balancer 和 AWS AppSync,限制固定為 8 KB。對於 CloudFront、API Gateway、Amazon Cognito、App Runner 和 Verified Access,預設限制為 16 KB,而且您可以在保護套件 (Web ACL) 組態中將限制提高到 64 KB。此規則使用 `Continue`選項來處理過大的內容。如需詳細資訊,請參閱[在 中過大 Web 請求元件 AWS WAF](waf-oversize-request-components.md)。 規則動作:Block 標籤: `awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_Body` |
| JavaDeserializationRCE\$1URIPATH | 檢查請求 URI 是否有表示 Java 還原序列化遠端命令執行 (RCE) 嘗試的模式,例如 Spring Core 和 Cloud Function RCE 漏洞 (CVE-2022-22963、CVE-2022-22965)。範例模式包括 `(java.lang.Runtime).getRuntime().exec("whoami")`。 規則動作:Block 標籤: `awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_URIPath` |
| JavaDeserializationRCE\$1QUERYSTRING | 檢查請求查詢字串是否有表示 Java 還原序列化遠端命令執行 (RCE) 嘗試的模式,例如 Spring Core 和 Cloud Function RCE 漏洞 (CVE-2022-22963、CVE-2022-22965)。範例模式包括 `(java.lang.Runtime).getRuntime().exec("whoami")`。 規則動作:Block 標籤: `awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_QueryString` |
| Host\$1localhost\$1HEADER | 檢查要求中的主機標頭是否有模式指出 localhost。範例模式包括 `localhost`。 規則動作:Block 標籤: `awswaf:managed:aws:known-bad-inputs:Host_Localhost_Header` |
| PROPFIND\$1METHOD | 檢查要求中的 HTTP 方法是否有 `PROPFIND`,這是類似 `HEAD` 的方法,但有滲透 XML 物件的額外意圖。 規則動作:Block 標籤: `awswaf:managed:aws:known-bad-inputs:Propfind_Method` |
| ExploitablePaths\$1URIPATH | 檢查 URI 路徑是否有存取可利用 Web 應用程式路徑的嘗試。範例模式包括 `web-inf` 之類的路徑。 規則動作:Block 標籤: `awswaf:managed:aws:known-bad-inputs:ExploitablePaths_URIPath` |
| Log4JRCE\$1HEADER | 檢查請求標頭的金鑰和值是否存在 Log4j 漏洞 ([CVE-2021-44228](https://www.cve.org/CVERecord?id=CVE-2021-44228)、[CVE-2021-45046](https://www.cve.org/CVERecord?id=CVE-2021-45046)、[CVE-2021-45105](https://www.cve.org/CVERecord?id=CVE-2021-45105)),並防止遠端程式碼執行 (RCE) 嘗試。範例模式包括 `${jndi:ldap://example.com/}`。 此規則只會檢查請求標頭的前 8 KB 或前 200 個標頭,以先達到限制為準,並使用 `Continue`選項處理過大的內容。如需詳細資訊,請參閱[在 中過大 Web 請求元件 AWS WAF](waf-oversize-request-components.md)。 規則動作:Block 標籤: `awswaf:managed:aws:known-bad-inputs:Log4JRCE_Header` |
| Log4JRCE\$1QUERYSTRING | 檢查查詢字串是否有 Log4j 漏洞 ([CVE-2021-44228](https://www.cve.org/CVERecord?id=CVE-2021-44228)、[CVE-2021-45046](https://www.cve.org/CVERecord?id=CVE-2021-45046)、[CVE-2021-45105](https://www.cve.org/CVERecord?id=CVE-2021-45105)),並防止遠端程式碼執行 (RCE) 嘗試。範例模式包括 `${jndi:ldap://example.com/}`。 規則動作:Block 標籤: `awswaf:managed:aws:known-bad-inputs:Log4JRCE_QueryString` |
| Log4JRCE\$1BODY | 檢查內文是否有 Log4j 漏洞 ([CVE-2021-44228](https://www.cve.org/CVERecord?id=CVE-2021-44228)、[CVE-2021-45046](https://www.cve.org/CVERecord?id=CVE-2021-45046)、[CVE-2021-45105](https://www.cve.org/CVERecord?id=CVE-2021-45105)),並防止遠端程式碼執行 (RCE) 嘗試。範例模式包括 `${jndi:ldap://example.com/}`。 此規則只會檢查請求內文,直到保護套件 (Web ACL) 和資源類型的內文大小限制為止。對於 Application Load Balancer 和 AWS AppSync,限制固定為 8 KB。對於 CloudFront、API Gateway、Amazon Cognito、App Runner 和 Verified Access,預設限制為 16 KB,而且您可以在保護套件 (Web ACL) 組態中將限制提高到 64 KB。此規則使用 `Continue`選項來處理過大的內容。如需詳細資訊,請參閱[在 中過大 Web 請求元件 AWS WAF](waf-oversize-request-components.md)。 規則動作:Block 標籤: `awswaf:managed:aws:known-bad-inputs:Log4JRCE_Body` |
| Log4JRCE\$1URIPATH | 檢查 URI 路徑是否存在 Log4j 漏洞 ([CVE-2021-44228](https://www.cve.org/CVERecord?id=CVE-2021-44228)、[CVE-2021-45046](https://www.cve.org/CVERecord?id=CVE-2021-45046)、[CVE-2021-45105](https://www.cve.org/CVERecord?id=CVE-2021-45105)),並防止遠端程式碼執行 (RCE) 嘗試。範例模式包括 `${jndi:ldap://example.com/}`。 規則動作:Block 標籤: `awswaf:managed:aws:known-bad-inputs:Log4JRCE_URIPath` |
| ReactJSRCE\$1BODY | 檢查請求內文是否有表示存在 CVE-2025-55182 的模式。 此規則只會檢查請求內文,直到保護套件 (Web ACL) 和資源類型的內文大小限制為止。對於 Application Load Balancer 和 AWS AppSync,限制固定為 8 KB。對於 CloudFront、API Gateway、Amazon Cognito、App Runner 和 AWS Verified Access,預設限制為 16 KB,您可以在保護套件 (Web ACL) 組態中將限制提高到 64 KB。此規則使用 `CONTINUE`選項來處理過大的內容。如需詳細資訊,請參閱[在 中過大 Web 請求元件 AWS WAF](waf-oversize-request-components.md)。 規則動作:Block 標籤: `awswaf:managed:aws:known-bad-inputs:ReactJSRCE_Body` |
# 使用案例特定的規則群組
使用案例特定的規則群組可為許多不同的 AWS WAF 使用案例提供增量保護。選擇套用至應用程式的規則群組。
## SQL 資料庫受管規則群組
VendorName:`AWS`、Name:`AWSManagedRulesSQLiRuleSet`、WCU:200
**注意**
本文件涵蓋此受管規則群組的最新版本。我們會在 的 changelog 日誌中報告版本變更[AWS 受管規則變更日誌](aws-managed-rule-groups-changelog.md)。如需其他版本的資訊,請使用 API 命令 [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)。
我們為 AWS 受管規則規則群組中的規則發佈的資訊,旨在為您提供使用規則所需的內容,而不會給予不法份子規避規則所需的內容。
如果您需要比此處更多的資訊,請聯絡 [AWS 支援 中心](https://console.aws.amazon.com/support/home#/)。
SQL 資料庫規則群組包含的規則,可封鎖與 SQL 資料庫利用相關的請求模式,例如 SQL Injection 攻擊。這有助於防止未經授權查詢的遠端注入。如果您的應用程式會與 SQL 資料庫互動,請評估此規則群組以供使用。
此受管規則群組會將標籤新增至其評估的 Web 請求,這些請求可供保護套件 (Web ACL) AWS WAF 中在此規則群組之後執行的規則使用。 也會將標籤記錄到 Amazon CloudWatch 指標。如需標籤和標籤指標的一般資訊,請參閱 [Web 請求標籤](waf-labels.md)和 [標籤指標和維度](waf-metrics.md#waf-metrics-label)。
| 規則名稱 | 描述和標籤 |
| --- | --- |
| SQLi\$1QUERYARGUMENTS | 使用內建的 AWS WAF [SQL Injection 攻擊規則陳述式](waf-rule-statement-type-sqli-match.md),並將敏感度等級設為 Low,以檢查所有查詢參數的值是否有符合惡意 SQL 程式碼的模式。 規則動作:Block 標籤: `awswaf:managed:aws:sql-database:SQLi_QueryArguments` |
| SQLiExtendedPatterns\$1QUERYARGUMENTS | 檢查所有查詢參數的值是否有符合惡意 SQL 程式碼的模式。此規則檢查的模式未涵蓋在規則 內`SQLi_QUERYARGUMENTS`。 規則動作:Block 標籤: `awswaf:managed:aws:sql-database:SQLiExtendedPatterns_QueryArguments` |
| SQLi\$1BODY | 使用內建的 AWS WAF [SQL Injection 攻擊規則陳述式](waf-rule-statement-type-sqli-match.md),並將敏感度等級設為 Low,以檢查請求內文是否有符合惡意 SQL 程式碼的模式。 此規則只會檢查請求內文,直到保護套件 (Web ACL) 和資源類型的內文大小限制為止。對於 Application Load Balancer 和 AWS AppSync,限制固定為 8 KB。對於 CloudFront、API Gateway、Amazon Cognito、App Runner 和 Verified Access,預設限制為 16 KB,而且您可以在保護套件 (Web ACL) 組態中將限制提高到 64 KB。此規則使用 `Continue`選項來處理過大的內容。如需詳細資訊,請參閱[在 中過大 Web 請求元件 AWS WAF](waf-oversize-request-components.md)。 規則動作:Block 標籤: `awswaf:managed:aws:sql-database:SQLi_Body` |
| SQLiExtendedPatterns\$1BODY | 檢查請求內文是否有符合惡意 SQL 程式碼的模式。此規則檢查的模式未涵蓋在規則 內`SQLi_BODY`。 此規則只會檢查請求內文,直到保護套件 (Web ACL) 和資源類型的內文大小限制為止。對於 Application Load Balancer 和 AWS AppSync,限制固定為 8 KB。對於 CloudFront、API Gateway、Amazon Cognito、App Runner 和 Verified Access,預設限制為 16 KB,而且您可以在保護套件 (Web ACL) 組態中將限制提高到 64 KB。此規則使用 `Continue`選項來處理過大的內容。如需詳細資訊,請參閱[在 中過大 Web 請求元件 AWS WAF](waf-oversize-request-components.md)。 規則動作:Block 標籤: `awswaf:managed:aws:sql-database:SQLiExtendedPatterns_Body` |
| SQLi\$1COOKIE | 使用內建的 AWS WAF [SQL Injection 攻擊規則陳述式](waf-rule-statement-type-sqli-match.md),並將敏感度等級設為 Low,以檢查請求 Cookie 標頭是否有符合惡意 SQL 程式碼的模式。 規則動作:Block 標籤: `awswaf:managed:aws:sql-database:SQLi_Cookie` |
| SQLi\$1URIPATH | 使用內建的 AWS WAF [SQL Injection 攻擊規則陳述式](waf-rule-statement-type-sqli-match.md),並將敏感度等級設為 Low,以檢查請求 Cookie 標頭是否有符合惡意 SQL 程式碼的模式。 規則動作:Block 標籤: `awswaf:managed:aws:sql-database:SQLi_URIPath` |
## Linux 作業系統受管規則群組
VendorName:`AWS`、Name:`AWSManagedRulesLinuxRuleSet`、WCU:200
**注意**
本文件涵蓋此受管規則群組的最新版本。我們會在 的 changelog 日誌中報告版本變更[AWS 受管規則變更日誌](aws-managed-rule-groups-changelog.md)。如需其他版本的資訊,請使用 API 命令 [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)。
我們為 AWS 受管規則規則群組中的規則發佈的資訊,旨在為您提供使用規則所需的內容,而不會給予不法份子規避規則所需的內容。
如果您需要比此處更多的資訊,請聯絡 [AWS 支援 中心](https://console.aws.amazon.com/support/home#/)。
Linux 作業系統規則群組包含的規則會封鎖與利用 Linux 特定漏洞攻擊相關的請求模式,包括 Linux 特定本機檔案包含 (LFI) 攻擊。這有助於防止公開檔案內容的攻擊,或執行攻擊者不應存取的程式碼。如果應用程式的任何部分在 Linux 上執行,則應該評估此規則群組。您應該使用此規則群組結合 [POSIX 作業系統](#aws-managed-rule-groups-use-case-posix-os) 規則群組。
此受管規則群組會將標籤新增至其評估的 Web 請求,這些請求可供保護套件 (Web ACL) AWS WAF 中在此規則群組之後執行的規則使用。 也會將標籤記錄到 Amazon CloudWatch 指標。如需標籤和標籤指標的一般資訊,請參閱 [Web 請求標籤](waf-labels.md)和 [標籤指標和維度](waf-metrics.md#waf-metrics-label)。
| 規則名稱 | 描述和標籤 |
| --- | --- |
| LFI\$1URIPATH | 檢查要求路徑是否有入侵 Web 應用程式中的本機檔案包含 (LFI) 弱點的嘗試。範例模式包括 `/proc/version` 之類的檔案,其可以對攻擊者提供作業系統訊息。 規則動作:Block 標籤: `awswaf:managed:aws:linux-os:LFI_URIPath` |
| LFI\$1QUERYSTRING | 檢查 querystring 的值是否有嘗試利用 Web 應用程式中的本機檔案包含 (LFI) 漏洞。範例模式包括 `/proc/version` 之類的檔案,其可以對攻擊者提供作業系統訊息。 規則動作:Block 標籤: `awswaf:managed:aws:linux-os:LFI_QueryString` |
| LFI\$1HEADER | 檢查請求標頭是否有嘗試利用 Web 應用程式中的本機檔案包含 (LFI) 漏洞。範例模式包括 `/proc/version` 之類的檔案,其可以對攻擊者提供作業系統訊息。 此規則只會檢查請求標頭的前 8 KB 或前 200 個標頭,以先達到限制為準,並使用 `Continue`選項來處理過大的內容。如需詳細資訊,請參閱[在 中過大 Web 請求元件 AWS WAF](waf-oversize-request-components.md)。 規則動作:Block 標籤: `awswaf:managed:aws:linux-os:LFI_Header` |
## POSIX 作業系統受管規則群組
VendorName:`AWS`、Name:`AWSManagedRulesUnixRuleSet`、WCU:100
**注意**
本文件涵蓋此受管規則群組的最新版本。我們會在 的 changelog 日誌中報告版本變更[AWS 受管規則變更日誌](aws-managed-rule-groups-changelog.md)。如需其他版本的資訊,請使用 API 命令 [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)。
我們為 AWS 受管規則規則群組中的規則發佈的資訊,旨在為您提供使用規則所需的內容,而不會給予不法份子規避規則所需的內容。
如果您需要比此處更多的資訊,請聯絡 [AWS 支援 中心](https://console.aws.amazon.com/support/home#/)。
POSIX 作業系統規則群組包含的規則會封鎖與利用 POSIX 和類似 POSIX 作業系統特定漏洞相關的請求模式,包括本機檔案包含 (LFI) 攻擊。這有助於防止公開檔案內容的攻擊,或執行攻擊者不應存取的程式碼。如果應用程式的任何部分在類似 POSIX 或類似 POSIX 的作業系統,包括 Linux、AIX、HP-UX、macOS、Solaris、FreeBSD 和 OpenBSD 上執行,則應該評估此規則群組。
此受管規則群組會將標籤新增至其評估的 Web 請求,這些請求可供保護套件 (Web ACL) AWS WAF 中在此規則群組之後執行的規則使用。 也會將標籤記錄到 Amazon CloudWatch 指標。如需標籤和標籤指標的一般資訊,請參閱 [Web 請求標籤](waf-labels.md)和 [標籤指標和維度](waf-metrics.md#waf-metrics-label)。
| 規則名稱 | 描述和標籤 |
| --- | --- |
| UNIXShellCommandsVariables\$1QUERYSTRING | 檢查查詢字串的值是否有嘗試利用在 Unix 系統上執行的 Web 應用程式中的命令注入、LFI 和路徑周遊漏洞。範例包括 `echo $HOME` 和 `echo $PATH` 之類的模式。 規則動作:Block 標籤: `awswaf:managed:aws:posix-os:UNIXShellCommandsVariables_QueryString` |
| UNIXShellCommandsVariables\$1BODY | 檢查要求主體是否有入侵在 Unix 系統上執行之 Web 應用程式中的命令注入、LFI 和路徑遍訪弱點的嘗試。範例包括 `echo $HOME` 和 `echo $PATH` 之類的模式。 此規則只會檢查請求內文,直到保護套件 (Web ACL) 和資源類型的內文大小限制為止。對於 Application Load Balancer 和 AWS AppSync,限制固定為 8 KB。對於 CloudFront、API Gateway、Amazon Cognito、App Runner 和 Verified Access,預設限制為 16 KB,而且您可以在保護套件 (Web ACL) 組態中將限制提高到 64 KB。此規則使用 `Continue`選項來處理過大的內容。如需詳細資訊,請參閱[在 中過大 Web 請求元件 AWS WAF](waf-oversize-request-components.md)。 規則動作:Block 標籤: `awswaf:managed:aws:posix-os:UNIXShellCommandsVariables_Body` |
| UNIXShellCommandsVariables\$1HEADER | 檢查所有請求標頭是否嘗試利用在 Unix 系統上執行的 Web 應用程式中的命令注入、LFI 和路徑周遊漏洞。範例包括 `echo $HOME` 和 `echo $PATH` 之類的模式。 此規則只會檢查請求標頭的前 8 KB 或前 200 個標頭,以先達到限制為準,並使用 `Continue`選項來處理過大的內容。如需詳細資訊,請參閱[在 中過大 Web 請求元件 AWS WAF](waf-oversize-request-components.md)。 規則動作:Block 標籤: `awswaf:managed:aws:posix-os:UNIXShellCommandsVariables_Header` |
## Windows 作業系統受管規則群組
VendorName:`AWS`、Name:`AWSManagedRulesWindowsRuleSet`、WCU:200
**注意**
本文件涵蓋此受管規則群組的最新版本。我們會在 的 changelog 日誌中報告版本變更[AWS 受管規則變更日誌](aws-managed-rule-groups-changelog.md)。如需其他版本的資訊,請使用 API 命令 [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)。
我們為 AWS 受管規則規則群組中的規則發佈的資訊,旨在為您提供使用規則所需的內容,而不會給予不法份子規避規則所需的內容。
如果您需要比此處更多的資訊,請聯絡 [AWS 支援 中心](https://console.aws.amazon.com/support/home#/)。
Windows 作業系統規則群組包含的規則會封鎖與利用 Windows 特定漏洞相關的請求模式,例如 PowerShell 命令的遠端執行。這有助於防止利用允許攻擊者執行未經授權的命令或執行惡意程式碼的漏洞。如果應用程式的任何部分在 Windows 作業系統上執行,請評估此規則群組。
此受管規則群組會將標籤新增至其評估的 Web 請求,這些請求可供保護套件 (Web ACL) AWS WAF 中在此規則群組之後執行的規則使用。 也會將標籤記錄到 Amazon CloudWatch 指標。如需標籤和標籤指標的一般資訊,請參閱 [Web 請求標籤](waf-labels.md)和 [標籤指標和維度](waf-metrics.md#waf-metrics-label)。
| 規則名稱 | 描述和標籤 |
| --- | --- |
| WindowsShellCommands\$1COOKIE | 在 Web 應用程式中檢查 WindowsShell 命令注入嘗試的請求 Cookie 標頭。比對模式代表 WindowsShell 命令。範例模式包括 `\|\|nslookup`和 `;cmd`。 規則動作:Block 標籤: `awswaf:managed:aws:windows-os:WindowsShellCommands_Cookie` |
| WindowsShellCommands\$1QUERYARGUMENTS | 檢查 Web 應用程式中 WindowsShell 命令注入嘗試的所有查詢參數的值。比對模式代表 WindowsShell 命令。範例模式包括 `\|\|nslookup`和 `;cmd`。 規則動作:Block 標籤: `awswaf:managed:aws:windows-os:WindowsShellCommands_QueryArguments` |
| WindowsShellCommands\$1BODY | 在 Web 應用程式中檢查 WindowsShell 命令注入嘗試的請求內文。比對模式代表 WindowsShell 命令。範例模式包括 `\|\|nslookup`和 `;cmd`。 此規則只會檢查請求內文,直到保護套件 (Web ACL) 和資源類型的內文大小限制為止。對於 Application Load Balancer 和 AWS AppSync,限制固定為 8 KB。對於 CloudFront、API Gateway、Amazon Cognito、App Runner 和 Verified Access,預設限制為 16 KB,而且您可以在保護套件 (Web ACL) 組態中將限制提高到 64 KB。此規則使用 `Continue`選項來處理過大的內容。如需詳細資訊,請參閱[在 中過大 Web 請求元件 AWS WAF](waf-oversize-request-components.md)。 規則動作:Block 標籤: `awswaf:managed:aws:windows-os:WindowsShellCommands_Body` |
| PowerShellCommands\$1COOKIE | 在 Web 應用程式中檢查請求 Cookie 標頭是否有 PowerShell 命令注入嘗試。比對模式代表 PowerShell 命令。例如 `Invoke-Expression`。 規則動作:Block 標籤: `awswaf:managed:aws:windows-os:PowerShellCommands_Cookie` |
| PowerShellCommands\$1QUERYARGUMENTS | 檢查 Web 應用程式中 PowerShell 命令注入嘗試的所有查詢參數的值。比對模式代表 PowerShell 命令。例如 `Invoke-Expression`。 規則動作:Block 標籤: `awswaf:managed:aws:windows-os:PowerShellCommands_QueryArguments` |
| PowerShellCommands\$1BODY | 在 Web 應用程式中檢查 PowerShell 命令注入嘗試的請求內文。比對模式代表 PowerShell 命令。例如 `Invoke-Expression`。 此規則只會檢查請求內文,直到保護套件 (Web ACL) 和資源類型的內文大小限制為止。對於 Application Load Balancer 和 AWS AppSync,限制固定為 8 KB。對於 CloudFront、API Gateway、Amazon Cognito、App Runner 和 Verified Access,預設限制為 16 KB,而且您可以在保護套件 (Web ACL) 組態中將限制提高到 64 KB。此規則使用 `Continue`選項來處理過大的內容。如需詳細資訊,請參閱[在 中過大 Web 請求元件 AWS WAF](waf-oversize-request-components.md)。 規則動作:Block 標籤: `awswaf:managed:aws:windows-os:PowerShellCommands_Body` |
## PHP 應用程式受管規則群組
VendorName:`AWS`、Name:`AWSManagedRulesPHPRuleSet`、WCU:100
**注意**
本文件涵蓋此受管規則群組的最新版本。我們會在 的 changelog 日誌中報告版本變更[AWS 受管規則變更日誌](aws-managed-rule-groups-changelog.md)。如需其他版本的資訊,請使用 API 命令 [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)。
我們為 AWS 受管規則規則群組中的規則發佈的資訊,旨在為您提供使用規則所需的內容,而不會給予不法份子規避規則所需的內容。
如果您需要比此處更多的資訊,請聯絡 [AWS 支援 中心](https://console.aws.amazon.com/support/home#/)。
PHP 應用程式規則群組包含的規則會封鎖與利用 PHP 程式設計語言特定漏洞相關的請求模式,包括注入不安全的 PHP 函數。這有助於防止利用允許攻擊者從遠端執行程式碼或未經授權的命令的漏洞。如果您的應用程式與其互動的任何伺服器上安裝 PHP,請評估此規則群組。
此受管規則群組會將標籤新增至其評估的 Web 請求,這些請求可供保護套件 (Web ACL) AWS WAF 中在此規則群組之後執行的規則使用。 也會將標籤記錄到 Amazon CloudWatch 指標。如需標籤和標籤指標的一般資訊,請參閱 [Web 請求標籤](waf-labels.md)和 [標籤指標和維度](waf-metrics.md#waf-metrics-label)。
| 規則名稱 | 描述和標籤 |
| --- | --- |
| PHPHighRiskMethodsVariables\$1HEADER | 檢查所有標頭是否有 PHP 指令碼程式碼注入嘗試。範例模式包括 `fsockopen` 之類的函數和 `$_GET` 超全域變數。 此規則只會檢查請求標頭的前 8 KB 或前 200 個標頭,以先達到限制為準,並使用 `Continue`選項來處理過大的內容。如需詳細資訊,請參閱[在 中過大 Web 請求元件 AWS WAF](waf-oversize-request-components.md)。 規則動作:Block 標籤: `awswaf:managed:aws:php-app:PHPHighRiskMethodsVariables_Header` |
| PHPHighRiskMethodsVariables\$1QUERYSTRING | 檢查請求 URL `?`中第一個 之後的所有項目,尋找 PHP 指令碼程式碼注入嘗試。範例模式包括 `fsockopen` 之類的函數和 `$_GET` 超全域變數。 規則動作:Block 標籤: `awswaf:managed:aws:php-app:PHPHighRiskMethodsVariables_QueryString` |
| PHPHighRiskMethodsVariables\$1BODY | 檢查要求主體是否有 PHP 指令碼程式碼注入嘗試。範例模式包括 `fsockopen` 之類的函數和 `$_GET` 超全域變數。 此規則只會檢查請求內文,直到保護套件 (Web ACL) 和資源類型的內文大小限制為止。對於 Application Load Balancer 和 AWS AppSync,限制固定為 8 KB。對於 CloudFront、API Gateway、Amazon Cognito、App Runner 和 Verified Access,預設限制為 16 KB,而且您可以在保護套件 (Web ACL) 組態中將限制提高到 64 KB。此規則使用 `Continue`選項來處理過大的內容。如需詳細資訊,請參閱[在 中過大 Web 請求元件 AWS WAF](waf-oversize-request-components.md)。 規則動作:Block 標籤: `awswaf:managed:aws:php-app:PHPHighRiskMethodsVariables_Body` |
| PHPHighRiskMethodsVariables\$1URIPATH | 檢查 PHP 指令碼程式碼注入嘗試的請求路徑。範例模式包括 `fsockopen` 之類的函數和 `$_GET` 超全域變數。 規則動作:Block 標籤: `awswaf:managed:aws:php-app:PHPHighRiskMethodsVariables_URIPath` |
## WordPress 應用程式受管規則群組
VendorName:`AWS`、Name:`AWSManagedRulesWordPressRuleSet`、WCU:100
**注意**
本文件涵蓋此受管規則群組的最新版本。我們會在 的 changelog 日誌中報告版本變更[AWS 受管規則變更日誌](aws-managed-rule-groups-changelog.md)。如需其他版本的資訊,請使用 API 命令 [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)。
我們為 AWS 受管規則規則群組中的規則發佈的資訊,旨在為您提供使用規則所需的內容,而不會給予不法份子規避規則所需的內容。
如果您需要比此處更多的資訊,請聯絡 [AWS 支援 中心](https://console.aws.amazon.com/support/home#/)。
WordPress 應用程式群組包含的規則會封鎖與利用 WordPress 網站特定漏洞相關的請求模式。如果您正在執行 WordPress,您應該評估此規則群組。此規則群組應結合 [SQL 資料庫](#aws-managed-rule-groups-use-case-sql-db) 和 [PHP 應用程式](#aws-managed-rule-groups-use-case-php-app) 規則群組使用。
此受管規則群組會將標籤新增至其評估的 Web 請求,這些請求可供保護套件 (Web ACL) AWS WAF 中在此規則群組之後執行的規則使用。 也會將標籤記錄到 Amazon CloudWatch 指標。如需標籤和標籤指標的一般資訊,請參閱 [Web 請求標籤](waf-labels.md)和 [標籤指標和維度](waf-metrics.md#waf-metrics-label)。
| 規則名稱 | 描述和標籤 |
| --- | --- |
| WordPressExploitableCommands\$1QUERYSTRING | 檢查請求查詢字串是否有可能在有弱點的安裝或外掛程式中遭入侵的高風險 WordPress 命令。範例模式包括 `do-reset-wordpress` 之類的命令。 規則動作:Block 標籤: `awswaf:managed:aws:wordpress-app:WordPressExploitableCommands_QUERYSTRING` |
| WordPressExploitablePaths\$1URIPATH | 檢查要求 URI 路徑是否有 WordPress 檔案,如 `xmlrpc.php`,其已知具有易於入侵的漏洞。 規則動作:Block 標籤: `awswaf:managed:aws:wordpress-app:WordPressExploitablePaths_URIPATH` |
# IP 評價規則群組
IP 評價規則群組會根據其來源 IP 地址封鎖請求。
**注意**
這些規則使用來自 Web 請求原始伺服器的來源 IP 地址。如果您有流經一或多個代理或負載平衡器的流量,Web 請求原始伺服器將包含最後一個代理的地址,而不是用戶端的原始地址。
如果您要減少暴露於機器人流量、利用嘗試,或是對內容強制執行地理限制,請選擇一或多個這些規則群組。如需機器人管理,另請參閱 [AWS WAF 機器人控制規則群組](aws-managed-rule-groups-bot.md)。
此類別中的規則群組不提供版本控制或 SNS 更新通知。
## Amazon IP 評價清單受管規則群組
VendorName:`AWS`、Name:`AWSManagedRulesAmazonIpReputationList`、WCU:25
**注意**
我們為 AWS 受管規則規則群組中的規則發佈的資訊,旨在為您提供使用規則所需的內容,而不會給予不法份子規避規則所需的內容。
如果您需要比此處更多的資訊,請聯絡 [AWS 支援 中心](https://console.aws.amazon.com/support/home#/)。
Amazon IP 評價清單規則群組包含以 Amazon 內部威脅情報為基礎的規則。如果您要封鎖通常與 Bot 或其他威脅相關聯的 IP 地址,這會很有用。封鎖這些 IP 地址有助於減輕 Bot,並降低惡意行為者發現易受攻擊應用程式的風險。
此受管規則群組會將標籤新增至其評估的 Web 請求,這些請求可供保護套件 (Web ACL) AWS WAF 中此規則群組之後執行的規則使用。 也會將標籤記錄到 Amazon CloudWatch 指標。如需標籤和標籤指標的一般資訊,請參閱 [Web 請求標籤](waf-labels.md)和 [標籤指標和維度](waf-metrics.md#waf-metrics-label)。
| 規則名稱 | 描述和標籤 |
| --- | --- |
| AWSManagedIPReputationList | 檢查已識別為主動從事惡意活動的 IP 地址。 AWS WAF 會從各種來源收集 IP 地址清單,包括 MadPot,這是 Amazon 用來保護客戶免受網路攻擊的威脅情報工具。如需 MadPot 的詳細資訊,請參閱 [https://www.aboutamazon.com/news/aws/amazon-madpot-stops-cybersecurity-crime](https://www.aboutamazon.com/news/aws/amazon-madpot-stops-cybersecurity-crime)。 規則動作:Block 標籤: `awswaf:managed:aws:amazon-ip-list:AWSManagedIPReputationList` |
| AWSManagedReconnaissanceList | 檢查來自對資源執行偵察之 IP AWS 地址的連線。 規則動作:Block 標籤: `awswaf:managed:aws:amazon-ip-list:AWSManagedReconnaissanceList` |
| AWSManagedIPDDoSList | 檢查已識別為主動參與 DDoS 活動的 IP 地址。 規則動作:Count 標籤: `awswaf:managed:aws:amazon-ip-list:AWSManagedIPDDoSList` |
## 匿名 IP 清單受管規則群組
VendorName:`AWS`、Name:`AWSManagedRulesAnonymousIpList`、WCU:50
**注意**
我們為 AWS 受管規則規則群組中的規則發佈的資訊,旨在為您提供使用規則所需的內容,而不會給予不法份子規避規則所需的內容。
如果您需要比此處更多的資訊,請聯絡 [AWS 支援 中心](https://console.aws.amazon.com/support/home#/)。
匿名 IP 清單規則群組包含規則,以封鎖來自允許混淆檢視器身分之服務的請求。這些包括來自 VPNs、代理、Tor 節點和 Web 託管供應商的請求。如果您要篩除可能會嘗試從您應用程式隱藏自身身分的檢視器,則此規則群組相當有用。封鎖這些服務的 IP 地址能協助降低機器人,以及迴避地理區域限制的問題。
此受管規則群組會將標籤新增至其評估的 Web 請求,這些請求可供保護套件 (Web ACL) AWS WAF 中此規則群組之後執行的規則使用。 也會將標籤記錄到 Amazon CloudWatch 指標。如需標籤和標籤指標的一般資訊,請參閱 [Web 請求標籤](waf-labels.md)和 [標籤指標和維度](waf-metrics.md#waf-metrics-label)。
| 規則名稱 | 描述和標籤 |
| --- | --- |
| AnonymousIPList | 檢查 IP 位址清單是否有已知會使用戶端資訊匿名化的來源,例如 TOR 節點、暫時代理伺服器和其他遮罩服務。 規則動作:Block 標籤: `awswaf:managed:aws:anonymous-ip-list:AnonymousIPList` |
| HostingProviderIPList | 檢查來自 Web 託管和雲端提供者的 IP 地址清單,這些地址較不可能來源最終使用者流量。IP 清單不包含 AWS IP 地址。 規則動作:Block 標籤: `awswaf:managed:aws:anonymous-ip-list:HostingProviderIPList` |
# AWS WAF 詐騙控制帳戶建立詐騙預防 (ACFP) 規則群組
本節說明 AWS WAF 詐騙控制帳戶建立詐騙預防 (ACFP) 受管規則群組的功能。
VendorName:`AWS`、Name:`AWSManagedRulesACFPRuleSet`、WCU:50
**注意**
本文件涵蓋此受管規則群組的最新版本。我們會在 的 changelog 日誌中報告版本變更[AWS 受管規則變更日誌](aws-managed-rule-groups-changelog.md)。如需其他版本的資訊,請使用 API 命令 [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)。
我們為 AWS 受管規則規則群組中的規則發佈的資訊,旨在為您提供使用規則所需的內容,而不會給予不法份子規避規則所需的內容。
如果您需要比此處更多的資訊,請聯絡 [AWS 支援 中心](https://console.aws.amazon.com/support/home#/)。
AWS WAF 詐騙控制帳戶建立詐騙預防 (ACFP) 受管規則群組標籤和管理可能是詐騙帳戶建立嘗試一部分的請求。規則群組會透過檢查用戶端傳送到應用程式註冊和帳戶建立端點的帳戶建立請求來執行此操作。
ACFP 規則群組會以各種方式檢查帳戶建立嘗試,為您提供潛在惡意互動的可見性和控制。規則群組使用請求字符來收集有關用戶端瀏覽器和建立帳戶請求時人類互動程度的資訊。規則群組透過依 IP 地址和用戶端工作階段彙總請求,以及依提供的帳戶資訊彙總實體地址和電話號碼,來偵測和管理大量帳戶建立嘗試。此外,規則群組會使用已遭入侵的登入資料來偵測和封鎖新帳戶的建立,這有助於保護應用程式和新使用者的安全狀態。
## 使用此規則群組的考量事項
此規則群組需要自訂組態,其中包含應用程式帳戶註冊和帳戶建立路徑的規格。除非另有說明,否則此規則群組中的規則會檢查用戶端傳送至這兩個端點的所有請求。若要設定和實作此規則群組,請參閱 中的指引[AWS WAF 詐騙控制帳戶建立詐騙預防 (ACFP)](waf-acfp.md)。
**注意**
當您使用此受管規則群組時,需支付額外費用。如需詳細資訊,請參閱[AWS WAF 定價](https://aws.amazon.com/waf/pricing/)。
此規則群組是 中智慧型威脅緩解保護的一部分 AWS WAF。如需相關資訊,請參閱[中的智慧型威脅防禦 AWS WAF](waf-managed-protections.md)。
若要降低成本,並確保您視需要管理 Web 流量,請根據 中的指引使用此規則群組[中的智慧型威脅防禦最佳實務 AWS WAF](waf-managed-protections-best-practices.md)。
此規則群組不適用於 Amazon Cognito 使用者集區。您無法將使用此規則群組的保護套件 (Web ACL) 與使用者集區建立關聯,也無法將此規則群組新增至已與使用者集區建立關聯的保護套件 (Web ACL)。
## 此規則群組新增的標籤
此受管規則群組會將標籤新增至其評估的 Web 請求,這些請求可供保護套件 (Web ACL) AWS WAF 中在此規則群組之後執行的規則使用。 也會將標籤記錄到 Amazon CloudWatch 指標。如需標籤和標籤指標的一般資訊,請參閱 [Web 請求標籤](waf-labels.md)和 [標籤指標和維度](waf-metrics.md#waf-metrics-label)。
### 字符標籤
此規則群組使用 AWS WAF 字符管理,根據其 AWS WAF 字符的狀態檢查和標記 Web 請求。 AWS WAF 使用字符進行用戶端工作階段追蹤和驗證。
如需字符和字符管理的資訊,請參閱 [用於 AWS WAF 智慧型威脅緩解的字符](waf-tokens.md)。
如需此處所述的標籤元件資訊,請參閱 [中的標籤語法和命名需求 AWS WAF](waf-rule-label-requirements.md)。
**用戶端工作階段標籤**
標籤`awswaf:managed:token:id:identifier`包含 AWS WAF 字符管理用來識別用戶端工作階段的唯一識別符。如果用戶端取得新的字符,例如在捨棄正在使用的字符之後,識別符可能會變更。
**注意**
AWS WAF 不會報告此標籤的 Amazon CloudWatch 指標。
**瀏覽器指紋標籤**
標籤`awswaf:managed:token:fingerprint:fingerprint-identifier`包含強大的瀏覽器指紋識別符,權 AWS WAF 杖管理會從各種用戶端瀏覽器訊號運算。此識別符在多個字符擷取嘗試中保持不變。指紋識別符對單一用戶端來說不是唯一的。
**注意**
AWS WAF 不會報告此標籤的 Amazon CloudWatch 指標。
**字符狀態標籤:標籤命名空間字首**
字符狀態標籤會報告字符的狀態,以及其中包含的挑戰和 CAPTCHA 資訊。
每個字符狀態標籤都以下列其中一個命名空間字首開頭:
+ `awswaf:managed:token:` – 用來報告字符的一般狀態,以及報告字符挑戰資訊的狀態。
+ `awswaf:managed:captcha:` – 用來報告字符 CAPTCHA 資訊的狀態。
**字符狀態標籤:標籤名稱**
在字首後面,標籤的其餘部分提供詳細的字符狀態資訊:
+ `accepted` – 請求字符存在且包含下列項目:
+ 有效的挑戰或 CAPTCHA 解決方案。
+ 未過期的挑戰或 CAPTCHA 時間戳記。
+ 適用於保護套件的網域規格 (Web ACL)。
範例:標籤`awswaf:managed:token:accepted`指出 Web 請求的權杖具有有效的挑戰解決方案、未過期的挑戰時間戳記,以及有效的網域。
+ `rejected` – 請求字符存在,但不符合接受條件。
除了拒絕的標籤之外,字符管理還會新增自訂標籤命名空間和名稱,以指出原因。
+ `rejected:not_solved` – 字符缺少挑戰或 CAPTCHA 解決方案。
+ `rejected:expired` – 權杖的挑戰或 CAPTCHA 時間戳記已過期,取決於您的保護套件 (Web ACL) 設定的權杖豁免時間。
+ `rejected:domain_mismatch` – 字符的網域不符合您的保護套件 (Web ACL) 字符網域組態。
+ `rejected:invalid` – AWS WAF 無法讀取指定的字符。
範例:標籤 `awswaf:managed:captcha:rejected`和 `awswaf:managed:captcha:rejected:expired`一起指出請求沒有有效的 CAPTCHA 解決方法,因為字符中的 CAPTCHA 時間戳記已超過保護套件 (Web ACL) 中設定的 CAPTCHA 字符豁免時間。
+ `absent` – 請求沒有字符或字符管理器無法讀取。
範例:標籤`awswaf:managed:captcha:absent`表示請求沒有字符。
### ACFP 標籤
此規則群組會產生具有命名空間字首的標籤,`awswaf:managed:aws:acfp:`後面接著自訂命名空間和標籤名稱。規則群組可能會將多個標籤新增至請求。
您可以透過 API 呼叫 來擷取規則群組的所有標籤`DescribeManagedRuleGroup`。這些標籤會列在回應的 `AvailableLabels` 屬性中。
## 帳戶建立詐騙預防規則清單
本節列出 中的 ACFP 規則,`AWSManagedRulesACFPRuleSet`以及規則群組規則新增至 Web 請求的標籤。
此規則群組中的所有規則都需要 Web 請求字符,前兩個 `UnsupportedCognitoIDP`和 除外`AllRequests`。如需字符提供的資訊說明,請參閱 [AWS WAF 字符特性](waf-tokens-details.md)。
除非另有說明,否則此規則群組中的規則會檢查用戶端傳送至您在規則群組組態中提供的帳戶註冊和帳戶建立頁面路徑的所有請求。如需設定此規則群組的詳細資訊,請參閱 [AWS WAF 詐騙控制帳戶建立詐騙預防 (ACFP)](waf-acfp.md)。
**注意**
本文件涵蓋此受管規則群組的最新版本。我們會在 的 changelog 日誌中報告版本變更[AWS 受管規則變更日誌](aws-managed-rule-groups-changelog.md)。如需其他版本的資訊,請使用 API 命令 [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)。
我們為 AWS 受管規則規則群組中的規則發佈的資訊,旨在為您提供使用規則所需的內容,而不會給予不法份子規避規則所需的內容。
如果您需要比此處更多的資訊,請聯絡 [AWS 支援 中心](https://console.aws.amazon.com/support/home#/)。
| 規則名稱 | 描述和標籤 |
| --- | --- |
| UnsupportedCognitoIDP | 檢查傳送至 Amazon Cognito 使用者集區的 Web 流量。ACFP 不適用於 Amazon Cognito 使用者集區,此規則有助於確保不會使用其他 ACFP 規則群組規則來評估使用者集區流量。 規則動作:Block 標籤: `awswaf:managed:aws:acfp:unsupported:cognito_idp`和 `awswaf:managed:aws:acfp:UnsupportedCognitoIDP` |
| AllRequests | 將規則動作套用至存取註冊頁面路徑的請求。您在設定規則群組時設定註冊頁面路徑。 根據預設,此規則會將 Challenge 套用至 請求。透過套用此動作,規則可確保用戶端在規則群組中的其餘規則評估任何請求之前,先取得挑戰字符。 確保您的最終使用者在提交帳戶建立請求之前載入註冊頁面路徑。 權杖會由用戶端應用程式整合 SDKs 和規則動作 CAPTCHA和 新增至請求Challenge。為了取得最有效率的權杖,我們強烈建議您使用應用程式整合 SDKs。如需詳細資訊,請參閱[中的用戶端應用程式整合 AWS WAF](waf-application-integration.md)。 規則動作:Challenge 標籤:無 |
| RiskScoreHigh | 檢查具有 IP 地址或其他被視為高度可疑因素的帳戶建立請求。此評估通常基於多個促成因素,您可以在規則群組新增至請求的`risk_score`標籤中看到這些因素。 規則動作:Block 標籤: `awswaf:managed:aws:acfp:risk_score:high`和 `awswaf:managed:aws:acfp:RiskScoreHigh` 此規則也可能套用 `medium`或`low`風險分數標籤到請求。 如果 AWS WAF 無法成功評估 Web 請求的風險分數,則規則會新增標籤 `awswaf:managed:aws:acfp:risk_score:evaluation_failed ` 此外,規則會新增包含風險分數評估狀態`awswaf:managed:aws:acfp:risk_score:contributor:`的命名空間標籤,以及特定風險分數貢獻者的結果,例如 IP 評價和遭竊的登入資料評估。 |
| SignalCredentialCompromised | 搜尋遭竊的登入資料資料庫,尋找在帳戶建立請求中提交的登入資料。 此規則可確保新用戶端以正面的安全狀態初始化其帳戶。 您可以新增自訂封鎖回應,向最終使用者描述問題,並告訴他們如何繼續。如需相關資訊,請參閱[ACFP 範例:針對遭到入侵的登入資料進行自訂回應](waf-acfp-control-example-compromised-credentials.md)。 規則動作:Block 標籤: `awswaf:managed:aws:acfp:signal:credential_compromised`和 `awswaf:managed:aws:acfp:SignalCredentialCompromised` 規則群組會套用下列相關標籤,但不對其採取任何動作,因為並非所有建立帳戶的請求都會有登入資料: `awswaf:managed:aws:acfp:signal:missing_credential` |
| SignalClientHumanInteractivityAbsentLow | 檢查帳戶建立請求的字符是否有資料指出與應用程式有異常的人類互動。人類互動是透過滑鼠移動和按鍵等互動來偵測。如果頁面具有 HTML 表單,則人工互動包括與表單的互動。 此規則只會檢查帳戶建立路徑的請求,而且只有在您已實作應用程式整合 SDKs 時才會進行評估。開發套件實作被動擷取人類互動,並將資訊存放在請求字符中。如需詳細資訊,請參閱[AWS WAF 字符特性](waf-tokens-details.md)及[中的用戶端應用程式整合 AWS WAF](waf-application-integration.md)。 規則動作:CAPTCHA 標籤:無。規則會根據不同的因素來決定相符項目,因此沒有適用於每個可能相符案例的個別標籤。 規則群組可以將下列一或多個標籤套用至請求: `awswaf:managed:aws:acfp:signal:client:human_interactivity:low\|medium\|high` `awswaf:managed:aws:acfp:SignalClientHumanInteractivityAbsentLow\|Medium\|High` `awswaf:managed:aws:acfp:signal:client:human_interactivity:insufficient_data` `awswaf:managed:aws:acfp:signal:form_detected`. |
| AutomatedBrowser | 檢查用戶端瀏覽器是否可能自動化的指標。 規則動作:Block 標籤: `awswaf:managed:aws:acfp:signal:automated_browser`和 `awswaf:managed:aws:acfp:AutomatedBrowser` |
| BrowserInconsistency | 檢查請求的字符是否有不一致的瀏覽器查詢資料。如需詳細資訊,請參閱[AWS WAF 字符特性](waf-tokens-details.md)。 規則動作:CAPTCHA 標籤: `awswaf:managed:aws:acfp:signal:browser_inconsistency`和 `awswaf:managed:aws:acfp:BrowserInconsistency` |
| VolumetricIpHigh | 檢查從個別 IP 地址傳送的大量帳戶建立請求。在 10 分鐘的時段內,大量超過 20 個請求。 此規則套用的閾值可能因延遲而略有不同。對於高磁碟區,在套用規則動作之前,有些請求可能會使其超過限制。 規則動作:CAPTCHA 標籤: `awswaf:managed:aws:acfp:aggregate:volumetric:ip:creation:high`和 `awswaf:managed:aws:acfp:VolumetricIpHigh` 規則會將下列標籤套用至具有中等磁碟區 (每 10 分鐘超過 15 個請求) 和低磁碟區 (每 10 分鐘超過 10 個請求) 的請求,但不會對這些請求採取任何動作: `awswaf:managed:aws:acfp:aggregate:volumetric:ip:creation:medium`和 `awswaf:managed:aws:acfp:aggregate:volumetric:ip:creation:low`。 |
| VolumetricSessionHigh | 檢查從個別用戶端工作階段傳送的大量帳戶建立請求。在 30 分鐘的時段內,大量超過 10 個請求。 此規則套用的閾值可能因延遲而略有不同。在套用規則動作之前,有些請求可能會使其超過限制。 規則動作:Block 標籤: `awswaf:managed:aws:acfp:aggregate:volumetric:session:creation:high`和 `awswaf:managed:aws:acfp:VolumetricSessionHigh` 規則群組會將下列標籤套用至具有中等磁碟區 (超過每 30 分鐘 5 個請求) 和低磁碟區 (超過每 30 分鐘 1 個請求) 的請求,但不對其採取任何動作: `awswaf:managed:aws:acfp:aggregate:volumetric:session:creation:medium`和 `awswaf:managed:aws:acfp:aggregate:volumetric:session:creation:low`。 |
| AttributeUsernameTraversalHigh | 檢查使用不同使用者名稱的單一用戶端工作階段是否有高速率的帳戶建立請求。高評估的閾值是在 30 分鐘內超過 10 個請求。 此規則套用的閾值可能因延遲而略有不同。在套用規則動作之前,有些請求可能會使其超過限制。 規則動作:Block 標籤: `awswaf:managed:aws:acfp:aggregate:attribute:username_traversal:creation:high`和 `awswaf:managed:aws:acfp:AttributeUsernameTraversalHigh` 規則群組會將下列標籤套用至使用者名稱周遊請求的中等磁碟區 (超過每 30 分鐘 5 個請求) 和低磁碟區 (超過每 30 分鐘 1 個請求) 的請求,但不對其採取任何動作: `awswaf:managed:aws:acfp:aggregate:attribute:username_traversal:creation:medium`和 `awswaf:managed:aws:acfp:aggregate:attribute:username_traversal:creation:low`。 |
| VolumetricPhoneNumberHigh | 檢查是否有大量使用相同電話號碼的帳戶建立請求。高評估的閾值是在 30 分鐘內超過 10 個請求。 此規則套用的閾值可能因延遲而略有不同。在套用規則動作之前,有些請求可能會使其超過限制。 規則動作:Block 標籤: `awswaf:managed:aws:acfp:aggregate:volumetric:phone_number:high`和 `awswaf:managed:aws:acfp:VolumetricPhoneNumberHigh` 規則群組會將下列標籤套用至具有中等磁碟區 (每 30 分鐘超過 5 個請求) 和低磁碟區 (每 30 分鐘超過 1 個請求) 的請求,但不對其採取任何動作: `awswaf:managed:aws:acfp:aggregate:volumetric:phone_number:medium`和 `awswaf:managed:aws:acfp:aggregate:volumetric:phone_number:low`。 |
| VolumetricAddressHigh | 檢查是否有大量使用相同實體地址的帳戶建立請求。高評估的閾值為每個 30 分鐘時段超過 100 個請求。 此規則套用的閾值可能因延遲而略有不同。在套用規則動作之前,有些請求可能會使其超過限制。 規則動作:Block 標籤: `awswaf:managed:aws:acfp:aggregate:volumetric:address:high`和 `awswaf:managed:aws:acfp:VolumetricAddressHigh` |
| VolumetricAddressLow | 檢查使用相同實體地址的低和中量帳戶建立請求。中評估的閾值是每 30 分鐘時段超過 50 個請求,而低評估則是每 30 分鐘時段超過 10 個請求。 此規則會套用中或低磁碟區的動作。 此規則套用的閾值可能因延遲而略有不同。在套用規則動作之前,有些請求可能會使其超過限制。 規則動作:CAPTCHA 標籤: `awswaf:managed:aws:acfp:aggregate:volumetric:address:low\|medium`和 `awswaf:managed:aws:acfp:VolumetricAddressLow\|Medium` |
| VolumetricIPSuccessfulResponse | 檢查單一 IP 地址是否有大量的成功帳戶建立請求。此規則會將受保護資源的成功回應彙總到帳戶建立請求。高評估的閾值為每個 10 分鐘時段超過 10 個請求。 此規則有助於防止大量帳戶建立嘗試。其閾值低於規則 `VolumetricIpHigh`,僅計算請求。 如果您已設定規則群組來檢查回應內文或 JSON 元件, AWS WAF 可以檢查這些元件類型的前 65,536 個位元組 (64 KB) 是否有成功或失敗指標。 此規則會根據來自受保護資源的成功和失敗回應,以及來自相同 IP 地址的最近登入嘗試,將規則動作和標籤套用至來自 IP 地址的新 Web 請求。您可以在設定規則群組時,定義如何計算成功和失敗次數。 AWS WAF 只會在保護 Amazon CloudFront 分佈的保護套件 (Web ACLs) 中評估此規則。 此規則套用的閾值可能因延遲而略有不同。用戶端可能會傳送比規則在後續嘗試中開始比對之前允許的更成功的帳戶建立嘗試。 規則動作:Block 標籤: `awswaf:managed:aws:acfp:aggregate:volumetric:ip:successful_creation_response:high`和 `awswaf:managed:aws:acfp:VolumetricIPSuccessfulResponse` 規則群組也會將下列相關標籤套用至請求,而沒有任何相關聯的動作。所有計數都適用於 10 分鐘的時段。`awswaf:managed:aws:acfp:aggregate:volumetric:ip:successful_creation_response:medium`對於 5 個以上的成功請求,`awswaf:managed:aws:acfp:aggregate:volumetric:ip:successful_creation_response:low`對於 1 個以上的成功請求,`awswaf:managed:aws:acfp:aggregate:volumetric:ip:failed_creation_response:high`對於 10 個以上的失敗請求,`awswaf:managed:aws:acfp:aggregate:volumetric:ip:failed_creation_response:medium`對於 5 個以上的失敗請求,以及對於 1 個`awswaf:managed:aws:acfp:aggregate:volumetric:ip:failed_creation_response:low`以上的失敗請求。 |
| VolumetricSessionSuccessfulResponse | 檢查從受保護資源到從單一用戶端工作階段傳送的帳戶建立請求的成功回應數量是否很低。這有助於防止大量帳戶建立嘗試。低評估的閾值是每 30 分鐘時段 1 個以上的請求。 這有助於防止大量帳戶建立嘗試。此規則使用的閾值低於只`VolumetricSessionHigh`追蹤請求的規則 。 如果您已設定規則群組來檢查回應內文或 JSON 元件, AWS WAF 可以檢查這些元件類型的前 65,536 個位元組 (64 KB) 是否有成功或失敗指標。 此規則會根據來自受保護資源的成功和失敗回應,以及來自相同用戶端工作階段的最近登入嘗試,將規則動作和標籤套用至來自用戶端工作階段的新 Web 請求。您可以在設定規則群組時,定義如何計算成功和失敗次數。 AWS WAF 只會在保護 Amazon CloudFront 分佈的保護套件 (Web ACLs) 中評估此規則。 此規則套用的閾值可能因延遲而略有不同。用戶端傳送失敗的帳戶建立嘗試次數可能超過規則在後續嘗試中開始比對之前允許的次數。 規則動作:Block 標籤: `awswaf:managed:aws:acfp:aggregate:volumetric:session:successful_creation_response:low`和 `awswaf:managed:aws:acfp:VolumetricSessionSuccessfulResponse` 規則群組也會將下列相關標籤套用至請求。所有計數都適用於 30 分鐘的時段。`awswaf:managed:aws:acfp:aggregate:volumetric:session:successful_creation_response:high`對於 10 個以上的成功請求,`awswaf:managed:aws:acfp:aggregate:volumetric:session:successful_creation_response:medium`對於 5 個以上的成功請求,`awswaf:managed:aws:acfp:aggregate:volumetric:session:failed_creation_response:high`對於 10 個以上的失敗請求,`awswaf:managed:aws:acfp:aggregate:volumetric:session:failed_creation_response:medium`對於 5 個以上的失敗請求,以及對於 1 個`awswaf:managed:aws:acfp:aggregate:volumetric:session:failed_creation_response:low`以上的失敗請求。 |
| VolumetricSessionTokenReuseIp | 檢查帳戶建立請求是否在超過 5 個不同的 IP 地址中使用單一字符。 此規則套用的閾值可能因延遲而略有不同。在套用規則動作之前,有些請求可能會使其超過限制。 規則動作:Block 標籤: `awswaf:managed:aws:acfp:aggregate:volumetric:session:creation:token_reuse:ip`和 `awswaf:managed:aws:acfp:VolumetricSessionTokenReuseIp` |
# AWS WAF 詐騙控制帳戶接管預防 (ATP) 規則群組
本節說明 AWS WAF 詐騙控制帳戶接管預防 (ATP) 受管規則群組的功能。
VendorName:`AWS`、Name:`AWSManagedRulesATPRuleSet`、WCU:50
**注意**
本文件涵蓋此受管規則群組的最新版本。我們會在 的 changelog 日誌中報告版本變更[AWS 受管規則變更日誌](aws-managed-rule-groups-changelog.md)。如需其他版本的資訊,請使用 API 命令 [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)。
我們為 AWS 受管規則規則群組中的規則發佈的資訊,旨在為您提供使用規則所需的內容,而不會給予不法份子規避規則所需的內容。
如果您需要比此處更多的資訊,請聯絡 [AWS 支援 中心](https://console.aws.amazon.com/support/home#/)。
AWS WAF 詐騙控制帳戶接管預防 (ATP) 受管規則群組標籤和管理可能屬於惡意帳戶接管嘗試一部分的請求。規則群組會透過檢查用戶端傳送至應用程式登入端點的登入嘗試來執行此操作。
+ **請求檢查** – ATP 可讓您查看和控制使用遭竊登入資料的異常登入嘗試和登入嘗試,以防止可能導致詐騙活動的帳戶接管。ATP 會針對其遭竊的登入資料資料庫檢查電子郵件和密碼組合,該資料庫會在深色 Web 上發現新的洩漏登入資料時定期更新。ATP 會依 IP 地址和用戶端工作階段彙總資料,以偵測和封鎖傳送過多可疑請求的用戶端。
+ **回應檢查** – 對於 CloudFront 分佈,除了檢查傳入的登入請求之外,ATP 規則群組還會檢查應用程式的登入嘗試回應,以追蹤成功和失敗率。使用此資訊,ATP 可以暫時封鎖登入失敗次數過多的用戶端工作階段或 IP 地址。 會以非同步方式 AWS WAF 執行回應檢查,因此這不會增加 Web 流量的延遲。
## 使用此規則群組的考量事項
此規則群組需要特定組態。若要設定和實作此規則群組,請參閱 中的指引[AWS WAF 詐騙控制帳戶接管預防 (ATP)](waf-atp.md)。
此規則群組是 中智慧型威脅緩解保護的一部分 AWS WAF。如需相關資訊,請參閱[中的智慧型威脅防禦 AWS WAF](waf-managed-protections.md)。
**注意**
當您使用此受管規則群組時,需支付額外費用。如需詳細資訊,請參閱[AWS WAF 定價](https://aws.amazon.com/waf/pricing/)。
若要降低成本,並確保您視需要管理 Web 流量,請根據 中的指引使用此規則群組[中的智慧型威脅防禦最佳實務 AWS WAF](waf-managed-protections-best-practices.md)。
此規則群組不適用於 Amazon Cognito 使用者集區。您無法將使用此規則群組的保護套件 (Web ACL) 與使用者集區建立關聯,也無法將此規則群組新增至已與使用者集區建立關聯的保護套件 (Web ACL)。
## 此規則群組新增的標籤
此受管規則群組會將標籤新增至其評估的 Web 請求,這些請求可供保護套件 (Web ACL) AWS WAF 中在此規則群組之後執行的規則使用。 也會將標籤記錄到 Amazon CloudWatch 指標。如需標籤和標籤指標的一般資訊,請參閱 [Web 請求標籤](waf-labels.md)和 [標籤指標和維度](waf-metrics.md#waf-metrics-label)。
### 字符標籤
此規則群組使用 AWS WAF 字符管理,根據其 AWS WAF 字符的狀態檢查和標記 Web 請求。 AWS WAF 使用字符進行用戶端工作階段追蹤和驗證。
如需字符和字符管理的資訊,請參閱 [用於 AWS WAF 智慧型威脅緩解的字符](waf-tokens.md)。
如需此處所述的標籤元件資訊,請參閱 [中的標籤語法和命名需求 AWS WAF](waf-rule-label-requirements.md)。
**用戶端工作階段標籤**
標籤`awswaf:managed:token:id:identifier`包含 AWS WAF 字符管理用來識別用戶端工作階段的唯一識別符。如果用戶端取得新的字符,例如在捨棄正在使用的字符之後,識別符可能會變更。
**注意**
AWS WAF 不會報告此標籤的 Amazon CloudWatch 指標。
**瀏覽器指紋標籤**
標籤`awswaf:managed:token:fingerprint:fingerprint-identifier`包含強大的瀏覽器指紋識別符,權 AWS WAF 杖管理會從各種用戶端瀏覽器訊號運算。此識別符在多個字符擷取嘗試中保持不變。指紋識別符對單一用戶端來說不是唯一的。
**注意**
AWS WAF 不會報告此標籤的 Amazon CloudWatch 指標。
**字符狀態標籤:標籤命名空間字首**
字符狀態標籤會報告字符的狀態,以及其中包含的挑戰和 CAPTCHA 資訊。
每個字符狀態標籤都以下列其中一個命名空間字首開頭:
+ `awswaf:managed:token:` – 用來報告字符的一般狀態,以及報告字符挑戰資訊的狀態。
+ `awswaf:managed:captcha:` – 用來報告字符 CAPTCHA 資訊的狀態。
**字符狀態標籤:標籤名稱**
在字首後面,標籤的其餘部分提供詳細的字符狀態資訊:
+ `accepted` – 請求字符存在且包含下列項目:
+ 有效的挑戰或 CAPTCHA 解決方案。
+ 未過期的挑戰或 CAPTCHA 時間戳記。
+ 適用於保護套件的網域規格 (Web ACL)。
範例:標籤`awswaf:managed:token:accepted`指出 Web 請求的權杖具有有效的挑戰解決方案、未過期的挑戰時間戳記,以及有效的網域。
+ `rejected` – 請求字符存在,但不符合接受條件。
除了拒絕的標籤之外,字符管理還會新增自訂標籤命名空間和名稱,以指出原因。
+ `rejected:not_solved` – 字符缺少挑戰或 CAPTCHA 解決方案。
+ `rejected:expired` – 權杖的挑戰或 CAPTCHA 時間戳記已過期,取決於您的保護套件 (Web ACL) 設定的權杖豁免時間。
+ `rejected:domain_mismatch` – 字符的網域不符合您的保護套件 (Web ACL) 字符網域組態。
+ `rejected:invalid` – AWS WAF 無法讀取指定的字符。
範例:標籤 `awswaf:managed:captcha:rejected`和 `awswaf:managed:captcha:rejected:expired`一起指出請求沒有有效的 CAPTCHA 解決方法,因為字符中的 CAPTCHA 時間戳記已超過保護套件 (Web ACL) 中設定的 CAPTCHA 字符豁免時間。
+ `absent` – 請求沒有字符或字符管理器無法讀取。
範例:標籤`awswaf:managed:captcha:absent`表示請求沒有字符。
### ATP 標籤
ATP 受管規則群組會產生具有命名空間字首的標籤,`awswaf:managed:aws:atp:`後面接著自訂命名空間和標籤名稱。
除了規則清單中記下的標籤之外,規則群組還可能會新增下列任何標籤:
+ `awswaf:managed:aws:atp:signal:credential_compromised` – 表示在請求中提交的登入資料位於遭竊的登入資料資料庫中。
+ `awswaf:managed:aws:atp:aggregate:attribute:suspicious_tls_fingerprint` – 僅適用於受保護的 Amazon CloudFront 分佈。表示用戶端工作階段已傳送多個使用可疑 TLS 指紋的請求。
+ `awswaf:managed:aws:atp:aggregate:volumetric:session:token_reuse:ip` – 表示在超過 5 個不同的 IP 地址中使用單一字符。此規則套用的閾值可能因延遲而略有不同。在套用標籤之前,有些請求可能會使其超過限制。
您可以透過 API 呼叫 來擷取規則群組的所有標籤`DescribeManagedRuleGroup`。這些標籤會列在回應的 `AvailableLabels` 屬性中。
## 帳戶接管預防規則清單
本節列出 中的 ATP 規則,`AWSManagedRulesATPRuleSet`以及規則群組規則新增至 Web 請求的標籤。
**注意**
本文件涵蓋此受管規則群組的最新版本。我們會在 的 changelog 日誌中報告版本變更[AWS 受管規則變更日誌](aws-managed-rule-groups-changelog.md)。如需其他版本的資訊,請使用 API 命令 [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)。
我們為 AWS 受管規則規則群組中的規則發佈的資訊,旨在為您提供使用規則所需的內容,而不會給予不法份子規避規則所需的內容。
如果您需要比此處更多的資訊,請聯絡 [AWS 支援 中心](https://console.aws.amazon.com/support/home#/)。
| 規則名稱 | 描述和標籤 |
| --- | --- |
| UnsupportedCognitoIDP | 檢查傳送至 Amazon Cognito 使用者集區的 Web 流量。ATP 不適用於 Amazon Cognito 使用者集區,此規則有助於確保不會使用其他 ATP 規則群組規則來評估使用者集區流量。 規則動作:Block 標籤: `awswaf:managed:aws:atp:unsupported:cognito_idp`和 `awswaf:managed:aws:atp:UnsupportedCognitoIDP` |
| VolumetricIpHigh | 檢查從個別 IP 地址傳送的大量請求。在 10 分鐘的時段內,大量超過 20 個請求。 此規則套用的閾值可能因延遲而略有不同。對於高磁碟區,在套用規則動作之前,有些請求可能會使其超過限制。 規則動作:Block 標籤: `awswaf:managed:aws:atp:aggregate:volumetric:ip:high`和 `awswaf:managed:aws:atp:VolumetricIpHigh` 規則群組會將下列標籤套用至具有中等磁碟區 (每 10 分鐘超過 15 個請求) 和低磁碟區 (每 10 分鐘超過 10 個請求) 的請求,但不對其採取任何動作: `awswaf:managed:aws:atp:aggregate:volumetric:ip:medium`和 `awswaf:managed:aws:atp:aggregate:volumetric:ip:low`。 |
| VolumetricSession | 檢查從個別用戶端工作階段傳送的大量請求。閾值為每個 30 分鐘時段超過 20 個請求。 此檢查僅適用於 Web 請求具有字符的情況。權杖會由應用程式整合 SDKs 和規則動作 CAPTCHA和 新增至請求Challenge。如需詳細資訊,請參閱[用於 AWS WAF 智慧型威脅緩解的字符](waf-tokens.md)。 此規則套用的閾值可能因延遲而略有不同。在套用規則動作之前,有些請求可能會使其超過限制。 規則動作:Block 標籤: `awswaf:managed:aws:atp:aggregate:volumetric:session`和 `awswaf:managed:aws:atp:VolumetricSession` |
| AttributeCompromisedCredentials | 檢查來自使用遭竊憑證之相同用戶端工作階段的多個請求。 規則動作:Block 標籤: `awswaf:managed:aws:atp:aggregate:attribute:compromised_credentials`和 `awswaf:managed:aws:atp:AttributeCompromisedCredentials` |
| AttributeUsernameTraversal | 檢查來自使用使用者名稱周遊之相同用戶端工作階段的多個請求。 規則動作:Block 標籤: `awswaf:managed:aws:atp:aggregate:attribute:username_traversal`和 `awswaf:managed:aws:atp:AttributeUsernameTraversal` |
| AttributePasswordTraversal | 檢查是否有多個使用密碼周遊的相同使用者名稱的請求。 規則動作:Block 標籤: `awswaf:managed:aws:atp:aggregate:attribute:password_traversal`和 `awswaf:managed:aws:atp:AttributePasswordTraversal` |
| AttributeLongSession | 檢查來自使用長期工作階段之相同用戶端工作階段的多個請求。閾值是超過 6 小時的流量,每 30 分鐘至少有一個登入請求。 此檢查僅適用於 Web 請求具有字符的情況。權杖會由應用程式整合 SDKs 和規則動作 CAPTCHA和 新增至請求Challenge。如需詳細資訊,請參閱[用於 AWS WAF 智慧型威脅緩解的字符](waf-tokens.md)。 規則動作:Block 標籤: `awswaf:managed:aws:atp:aggregate:attribute:long_session`和 `awswaf:managed:aws:atp:AttributeLongSession` |
| TokenRejected | 檢查是否有字符管理拒絕的 AWS WAF 字符請求。 此檢查僅適用於 Web 請求具有字符的情況。權杖會由應用程式整合 SDKs 和規則動作 CAPTCHA和 新增至請求Challenge。如需詳細資訊,請參閱[用於 AWS WAF 智慧型威脅緩解的字符](waf-tokens.md)。 規則動作:Block 標籤:無。若要檢查權杖是否遭拒,請使用標籤比對規則來比對標籤:`awswaf:managed:token:rejected`。 |
| SignalMissingCredential | 檢查是否有憑證缺少使用者名稱或密碼的請求。 規則動作:Block 標籤: `awswaf:managed:aws:atp:signal:missing_credential`和 `awswaf:managed:aws:atp:SignalMissingCredential` |
| VolumetricIpFailedLoginResponseHigh | 檢查最近登入嘗試失敗率太高的 IP 地址。在 10 分鐘內,來自 IP 地址的高磁碟區超過 10 個失敗的登入請求。 如果您已設定規則群組來檢查回應內文或 JSON 元件, AWS WAF 可以檢查這些元件類型的前 65,536 個位元組 (64 KB) 是否有成功或失敗指標。 此規則會根據來自受保護資源的成功和失敗回應,以及來自相同 IP 地址的最近登入嘗試,將規則動作和標籤套用至來自 IP 地址的新 Web 請求。您可以在設定規則群組時,定義如何計算成功和失敗次數。 AWS WAF 只會在保護 Amazon CloudFront 分佈的保護套件 (Web ACLs) 中評估此規則。 此規則套用的閾值可能因延遲而略有不同。用戶端傳送失敗的登入嘗試次數可能超過規則在後續嘗試時開始比對之前允許的次數。 規則動作:Block 標籤: `awswaf:managed:aws:atp:aggregate:volumetric:ip:failed_login_response:high`和 `awswaf:managed:aws:atp:VolumetricIpFailedLoginResponseHigh` 規則群組也會將下列相關標籤套用至請求,而沒有任何相關聯的動作。所有計數都適用於 10 分鐘的時段。`awswaf:managed:aws:atp:aggregate:volumetric:ip:failed_login_response:medium`對於超過 5 個失敗的請求,`awswaf:managed:aws:atp:aggregate:volumetric:ip:failed_login_response:low`對於超過 1 個失敗`awswaf:managed:aws:atp:aggregate:volumetric:ip:successful_login_response:low`的請求,`awswaf:managed:aws:atp:aggregate:volumetric:ip:successful_login_response:high`對於超過 10 個成功的請求,`awswaf:managed:aws:atp:aggregate:volumetric:ip:successful_login_response:medium`對於超過 5 個成功的請求,以及對於超過 1 個成功的請求。 |
| VolumetricSessionFailedLoginResponseHigh | 檢查最近登入嘗試失敗率太高的用戶端工作階段。在 30 分鐘內,來自用戶端工作階段的高磁碟區超過 10 個失敗的登入請求。 如果您已設定規則群組來檢查回應內文或 JSON 元件, AWS WAF 可以檢查這些元件類型的前 65,536 個位元組 (64 KB) 是否有成功或失敗指標。 此規則會根據從受保護資源到來自相同用戶端工作階段最近登入嘗試的成功和失敗回應,將規則動作和標籤套用至來自用戶端工作階段的新 Web 請求。您可以在設定規則群組時,定義如何計算成功和失敗次數。 AWS WAF 只會在保護 Amazon CloudFront 分佈的保護套件 (Web ACLs) 中評估此規則。 此規則套用的閾值可能因延遲而略有不同。用戶端傳送失敗的登入嘗試次數可能超過規則在後續嘗試時開始比對之前允許的次數。 此檢查僅適用於 Web 請求具有字符的情況。權杖會由應用程式整合 SDKs 和規則動作 CAPTCHA和 新增至請求Challenge。如需詳細資訊,請參閱[用於 AWS WAF 智慧型威脅緩解的字符](waf-tokens.md)。 規則動作:Block 標籤: `awswaf:managed:aws:atp:aggregate:volumetric:session:failed_login_response:high`和 `awswaf:managed:aws:atp:VolumetricSessionFailedLoginResponseHigh` 規則群組也會將下列相關標籤套用至請求,而沒有任何相關聯的動作。所有計數都適用於 30 分鐘的時段。`awswaf:managed:aws:atp:aggregate:volumetric:session:failed_login_response:medium`對於超過 5 個失敗的請求,`awswaf:managed:aws:atp:aggregate:volumetric:session:failed_login_response:low`對於超過 1 個失敗的請求,`awswaf:managed:aws:atp:aggregate:volumetric:session:successful_login_response:high`對於超過 10 個成功的請求,`awswaf:managed:aws:atp:aggregate:volumetric:session:successful_login_response:medium`對於超過 5 個成功的請求,以及`awswaf:managed:aws:atp:aggregate:volumetric:session:successful_login_response:low`對於超過 1 個成功的請求。 |
# AWS WAF 機器人控制規則群組
本節說明 Bot Control 受管規則群組的功能。
VendorName:`AWS`、Name:`AWSManagedRulesBotControlRuleSet`、WCU:50
**注意**
本文件涵蓋此受管規則群組的最新靜態版本版本。我們會在 的 changelog 日誌中報告版本變更[AWS 受管規則變更日誌](aws-managed-rule-groups-changelog.md)。如需其他版本的資訊,請使用 API 命令 [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)。
我們為 AWS 受管規則規則群組中的規則發佈的資訊,旨在為您提供使用規則所需的內容,而不會給予不法份子規避規則所需的內容。
如果您需要為機器人控制請求新的機器人分類,或需要此處未涵蓋的其他資訊,請聯絡 [AWS 支援 中心](https://console.aws.amazon.com/support/home#/)。
Bot Control 受管規則群組提供規則來管理來自機器人的請求。機器人可能會消耗過多的資源、扭曲業務指標、造成停機時間,以及執行惡意活動。
## 保護層級
Bot Control 受管規則群組提供兩種層級的保護,您可以從中選擇:
+ **常見** – 偵測各種自我識別機器人,例如 Web 抓取架構、搜尋引擎和自動化瀏覽器。此層級的機器人控制保護會使用傳統機器人偵測技術來識別常見的機器人,例如靜態請求資料分析。這些規則會標記來自這些機器人的流量,並封鎖他們無法驗證的流量。
+ **目標型** – 包含共同層級的保護,並為無法自我識別的複雜機器人新增目標型偵測。針對性保護會使用速率限制和 CAPTCHA 和背景瀏覽器挑戰的組合來緩解機器人活動。
+ **`TGT_`** – 提供目標保護的規則具有以 開頭的名稱`TGT_`。所有目標防護都使用瀏覽器查詢、指紋和行為啟發式等偵測技術來識別錯誤的機器人流量。
+ **`TGT_ML_`** – 使用機器學習的目標保護規則具有以 開頭的名稱`TGT_ML_`。這些規則使用網站流量統計資料的自動化機器學習分析來偵測指示分散式、協調機器人活動的異常行為。 AWS WAF 會分析網站流量的統計資料,例如時間戳記、瀏覽器特性和先前造訪的 URL,以改善 Bot Control 機器學習模型。預設會啟用機器學習功能,但您可以在規則群組組態中停用這些功能。停用機器學習時, AWS WAF 不會評估這些規則。
目標保護層級和速率 AWS WAF 型規則陳述式都提供速率限制。如需兩個選項的比較,請參閱 [速率型規則和目標機器人控制規則中速率限制的選項](waf-rate-limiting-options.md)。
## 使用此規則群組的考量事項
此規則群組是 中智慧型威脅防禦保護的一部分 AWS WAF。如需相關資訊,請參閱[中的智慧型威脅防禦 AWS WAF](waf-managed-protections.md)。
**注意**
當您使用此受管規則群組時,需支付額外費用。如需詳細資訊,請參閱[AWS WAF 定價](https://aws.amazon.com/waf/pricing/)。
若要降低您的成本,並確保您視需要管理 Web 流量,請根據 中的指引使用此規則群組[中的智慧型威脅防禦最佳實務 AWS WAF](waf-managed-protections-best-practices.md)。
我們會定期更新目標防護層級 ML 型規則的機器學習 (ML) 模型,以改善機器人預測。ML 型規則的名稱開頭為 `TGT_ML_`。如果您注意到這些規則所做的機器人預測突然發生重大變更,請透過您的客戶經理聯絡我們,或在 [AWS 支援 Center](https://console.aws.amazon.com/support/home#/) 開立案例。
## 此規則群組新增的標籤
此受管規則群組會將標籤新增至其評估的 Web 請求,這些請求可供保護套件 (Web ACL) AWS WAF 中此規則群組之後執行的規則使用。 也會將標籤記錄到 Amazon CloudWatch 指標。如需標籤和標籤指標的一般資訊,請參閱 [Web 請求標籤](waf-labels.md)和 [標籤指標和維度](waf-metrics.md#waf-metrics-label)。
### 字符標籤
此規則群組使用 AWS WAF 字符管理,根據其 AWS WAF 字符的狀態來檢查和標記 Web 請求。 AWS WAF 使用字符進行用戶端工作階段追蹤和驗證。
如需字符和字符管理的資訊,請參閱 [用於 AWS WAF 智慧型威脅緩解的字符](waf-tokens.md)。
如需此處所述的標籤元件資訊,請參閱 [中的標籤語法和命名需求 AWS WAF](waf-rule-label-requirements.md)。
**用戶端工作階段標籤**
標籤`awswaf:managed:token:id:identifier`包含 AWS WAF 字符管理用來識別用戶端工作階段的唯一識別符。如果用戶端取得新的字符,例如在捨棄正在使用的字符之後,識別符可能會變更。
**注意**
AWS WAF 不會報告此標籤的 Amazon CloudWatch 指標。
**瀏覽器指紋標籤**
標籤`awswaf:managed:token:fingerprint:fingerprint-identifier`包含強大的瀏覽器指紋識別符,權 AWS WAF 杖管理會從各種用戶端瀏覽器訊號運算。此識別符在多次字符擷取嘗試中保持不變。指紋識別符對單一用戶端來說不是唯一的。
**注意**
AWS WAF 不會報告此標籤的 Amazon CloudWatch 指標。
**字符狀態標籤:標籤命名空間字首**
字符狀態標籤會報告字符的狀態,以及其中包含的挑戰和 CAPTCHA 資訊。
每個字符狀態標籤都以下列其中一個命名空間字首開頭:
+ `awswaf:managed:token:` – 用來報告字符的一般狀態,以及報告字符挑戰資訊的狀態。
+ `awswaf:managed:captcha:` – 用來報告字符 CAPTCHA 資訊的狀態。
**字符狀態標籤:標籤名稱**
在字首後面,標籤的其餘部分提供詳細的字符狀態資訊:
+ `accepted` – 請求字符存在且包含下列項目:
+ 有效的挑戰或 CAPTCHA 解決方案。
+ 未過期的挑戰或 CAPTCHA 時間戳記。
+ 適用於保護套件的網域規格 (Web ACL)。
範例:標籤`awswaf:managed:token:accepted`指出 Web 請求的權杖具有有效的挑戰解決方案、未過期的挑戰時間戳記,以及有效的網域。
+ `rejected` – 請求字符存在,但不符合接受條件。
除了拒絕的標籤之外,字符管理還會新增自訂標籤命名空間和名稱,以指出原因。
+ `rejected:not_solved` – 字符缺少挑戰或 CAPTCHA 解決方案。
+ `rejected:expired` – 權杖的挑戰或 CAPTCHA 時間戳記已過期,根據您的保護套件 (Web ACL) 設定的權杖豁免時間而定。
+ `rejected:domain_mismatch` – 字符的網域不符合您的保護套件 (Web ACL) 字符網域組態。
+ `rejected:invalid` – AWS WAF 無法讀取指定的字符。
範例:標籤 `awswaf:managed:captcha:rejected`和 `awswaf:managed:captcha:rejected:expired`一起表示請求沒有有效的 CAPTCHA 解決方法,因為字符中的 CAPTCHA 時間戳記已超過保護套件 (Web ACL) 中設定的 CAPTCHA 字符豁免時間。
+ `absent` – 請求沒有字符或字符管理器無法讀取。
範例:標籤`awswaf:managed:captcha:absent`指出請求沒有字符。
### 機器人控制標籤
Bot Control 受管規則群組會產生具有命名空間字首的標籤,`awswaf:managed:aws:bot-control:`後面接著自訂命名空間和標籤名稱。規則群組可能會將多個標籤新增至請求。
每個標籤都會反映 Bot Control 規則調查結果:
+ `awswaf:managed:aws:bot-control:bot:` – 與請求相關聯之機器人的相關資訊。
+ `awswaf:managed:aws:bot-control:bot:name:` – 機器人名稱,如果有的話,例如,自訂命名空間 `bot:name:slurp`、 `bot:name:googlebot`和 `bot:name:pocket_parser`。
+ `awswaf:managed:aws:bot-control:bot:name:` – 使用 WBA 簽章中的 RFC 產品字符識別特定機器人。這用於為特定機器人建立精細的自訂規則。例如,允許 `GoogleBot` 但速率限制其他爬蟲程式。
+ `awswaf:managed:aws:bot-control:bot:category:` – 機器人的類別,如 和 AWS WAF`bot:category:search_engine` 所定義`bot:category:content_fetcher`。
+ `awswaf:managed:aws:bot-control:bot:account:` –僅適用於使用 Amazon Bedrock Agent Core 的機器人。此標籤包含不透明雜湊,可唯一識別擁有代理 AWS 的帳戶。使用此標籤來建立自訂規則,以允許、封鎖或限制特定 AWS 帳戶的機器人,而不會在日誌中公開帳戶 IDs。
+ `awswaf:managed:aws:bot-control:bot:web_bot_auth:` – 在對請求執行 Web Bot Authentication (WBA) 驗證時套用。狀態尾碼表示驗證結果:
+ `web_bot_auth:verified` – 簽章已成功針對公有金鑰目錄進行驗證
+ `web_bot_auth:invalid` – 簽章存在,但密碼編譯驗證失敗
+ `web_bot_auth:expired` – Signature 使用過期的加密金鑰
+ `web_bot_auth:unknown_bot` – 在金鑰目錄中找不到金鑰 ID
**注意**
當`web_bot_auth:verified`標籤存在時, `CategoryAI`和 `TGT_TokenAbsent`規則不相符,允許已驗證的 WBA 主機繼續。
+ `awswaf:managed:aws:bot-control:bot:organization:` – 機器人的發佈者,例如 `bot:organization:google`。
+ `awswaf:managed:aws:bot-control:bot:verified` – 用來指示識別自己且 Bot Control 能夠驗證的機器人。這用於常見的所需機器人,當與類別標籤如 `bot:category:search_engine`或名稱標籤如 結合使用時非常有用`bot:name:googlebot`。
**注意**
Bot Control 會使用來自 Web 請求原始伺服器的 IP 地址,協助判斷機器人是否已驗證。您無法將其設定為使用 AWS WAF 轉送的 IP 組態,以檢查不同的 IP 地址來源。如果您已驗證透過代理或負載平衡器路由的機器人,您可以新增在 Bot Control 規則群組之前執行的規則,以協助處理此問題。設定您的新規則以使用轉送的 IP 地址,並明確允許來自已驗證機器人的請求。如需使用轉送 IP 地址的詳細資訊,請參閱 [在 中使用轉送的 IP 地址 AWS WAF](waf-rule-statement-forwarded-ip-address.md)。
+ `awswaf:managed:aws:bot-control:bot:vendor:` – 識別已驗證機器人的廠商或運算子。目前僅適用於 Agentcore。使用 建立自訂規則,允許或封鎖特定機器人廠商,無論個別機器人名稱為何。
+ `awswaf:managed:aws:bot-control:bot:user_triggered:verified` – 用來表示類似於已驗證機器人的機器人,但最終使用者可能會直接叫用。機器人控制規則會將此類別的機器人視為未驗證的機器人。
+ `awswaf:managed:aws:bot-control:bot:developer_platform:verified` – 用來表示類似於已驗證機器人的機器人,但開發人員平台用於指令碼,例如 Google Apps Script。機器人控制規則會將此類別的機器人視為未驗證的機器人。
+ `awswaf:managed:aws:bot-control:bot:unverified` – 用來指示識別自己的機器人,以便將其命名和分類,但不會發佈可用於獨立驗證其身分的資訊。這些類型的機器人簽章可能是偽造的,因此會被視為未驗證。
+ `awswaf:managed:aws:bot-control:targeted: ` – 用於 Bot Control 目標保護特有的標籤。
+ `awswaf:managed:aws:bot-control:signal:` 和 `awswaf:managed:aws:bot-control:targeted:signal: `– 用於在某些情況下提供有關請求的其他資訊。
以下是訊號標籤的範例。這不是詳盡的清單:
+ `awswaf:managed:aws:bot-control:signal:cloud_service_provider:` – 指出請求的雲端服務提供者 (CSP)。CSPs 的範例包括 `aws` Amazon Web Services 基礎設施、`gcp`Google Cloud Platform (GCP) 基礎設施、`azure`Microsoft Azure 雲端服務和 Oracle Cloud `oracle` 服務。
+ `awswaf:managed:aws:bot-control:targeted:signal:browser_automation_extension` – 表示偵測協助自動化的瀏覽器延伸模組,例如 Selenium IDE。
每當使用者安裝了這種類型的延伸模組時,就會新增此標籤,即使使用者未主動使用也一樣。如果您為此實作標籤比對規則,請注意在規則邏輯和動作設定中出現誤報的可能性。例如,您可以使用 CAPTCHA動作,而不是 Block,或者您可以將此標籤比對與其他標籤比對結合,以提高您使用自動化的信心。
+ `awswaf:managed:aws:bot-control:signal:automated_browser` – 表示請求包含用戶端瀏覽器可能已自動化的指標。
+ `awswaf:managed:aws:bot-control:targeted:signal:automated_browser` – 表示請求的 AWS WAF 權杖包含用戶端瀏覽器可能為自動化的指標。
您可以透過 API 呼叫 來擷取規則群組的所有標籤`DescribeManagedRuleGroup`。這些標籤會列在回應的 `AvailableLabels` 屬性中。
Bot Control 受管規則群組會將標籤套用至一組通常允許的可驗證機器人。規則群組不會封鎖這些已驗證的機器人。如果需要,您可以編寫使用 Bot Control 受管規則群組所套用標籤的自訂規則來封鎖它們或其中一部分。如需此 和範例的詳細資訊,請參閱 [AWS WAF 機器人控制](waf-bot-control.md)。
## 機器人控制規則清單
本節列出機器人控制規則。
**注意**
本文件涵蓋此受管規則群組的最新版本。我們會在 的 changelog 日誌中報告版本變更[AWS 受管規則變更日誌](aws-managed-rule-groups-changelog.md)。如需其他版本的資訊,請使用 API 命令 [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)。
我們為 AWS 受管規則規則群組中的規則發佈的資訊,旨在為您提供使用規則所需的內容,而不會給予不法份子規避規則所需的內容。
如果您需要為機器人控制請求新的機器人分類,或需要此處未涵蓋的其他資訊,請聯絡 [AWS 支援 中心](https://console.aws.amazon.com/support/home#/)。
| 規則名稱 | Description |
| --- | --- |
| CategoryAdvertising | 檢查用於廣告目的的機器人。例如,您可以使用需要以程式設計方式存取網站的第三方廣告服務。 規則動作,僅適用於未驗證的機器人: Block 標籤: `awswaf:managed:aws:bot-control:bot:category:advertising`和 `awswaf:managed:aws:bot-control:CategoryAdvertising` 對於已驗證的機器人,規則群組不符合此規則,且不採取任何動作,但會新增機器人名稱和類別標籤加上標籤 `awswaf:managed:aws:bot-control:bot:verified`。 |
| CategoryArchiver | 檢查用於封存目的的機器人。這些機器人會爬取 Web 並擷取內容,以建立封存。 規則動作,僅適用於未驗證的機器人: Block 標籤: `awswaf:managed:aws:bot-control:bot:category:archiver`和 `awswaf:managed:aws:bot-control:CategoryArchiver` 對於已驗證的機器人,規則群組不符合此規則,且不採取任何動作,但會新增機器人名稱和類別標籤加上標籤 `awswaf:managed:aws:bot-control:bot:verified`。 |
| CategoryContentFetcher | 檢查代表使用者造訪應用程式網站的機器人、擷取 RSS 摘要等內容,或驗證或驗證您的內容。 規則動作,僅適用於未驗證的機器人: Block 標籤: `awswaf:managed:aws:bot-control:bot:category:content_fetcher`和 `awswaf:managed:aws:bot-control:CategoryContentFetcher` 對於已驗證的機器人,規則群組不符合此規則,且不採取任何動作,但會新增機器人名稱和類別標籤加上標籤 `awswaf:managed:aws:bot-control:bot:verified`。 |
| CategoryEmailClient | 檢查檢查電子郵件中指向應用程式網站的連結的機器人。這可能包括由企業和電子郵件供應商執行的機器人,以驗證電子郵件中的連結並標記可疑的電子郵件。 規則動作,僅適用於未驗證的機器人: Block 標籤: `awswaf:managed:aws:bot-control:bot:category:email_client`和 `awswaf:managed:aws:bot-control:CategoryEmailClient` 對於已驗證的機器人,規則群組不符合此規則,且不採取任何動作,但會新增機器人名稱和類別標籤加上標籤 `awswaf:managed:aws:bot-control:bot:verified`。 |
| CategoryHttpLibrary | 檢查機器人從各種程式設計語言的 HTTP 程式庫產生的請求。這些可能包括您選擇允許或監控的 API 請求。 規則動作,僅適用於未驗證的機器人: Block 標籤: `awswaf:managed:aws:bot-control:bot:category:http_library`和 `awswaf:managed:aws:bot-control:CategoryHttpLibrary` 對於已驗證的機器人,規則群組不符合此規則,且不採取任何動作,但會新增機器人名稱和類別標籤加上標籤 `awswaf:managed:aws:bot-control:bot:verified`。 |
| CategoryLinkChecker | 檢查檢查是否有機器人檢查連結是否損壞。 規則動作,僅適用於未驗證的機器人: Block 標籤: `awswaf:managed:aws:bot-control:bot:category:link_checker`和 `awswaf:managed:aws:bot-control:CategoryLinkChecker` 對於已驗證的機器人,規則群組不符合此規則,且不採取任何動作,但會新增機器人名稱和類別標籤加上標籤 `awswaf:managed:aws:bot-control:bot:verified`。 |
| CategoryMiscellaneous | 檢查其他不符合其他類別的機器人。 規則動作,僅適用於未驗證的機器人: Block 標籤: `awswaf:managed:aws:bot-control:bot:category:miscellaneous`和 `awswaf:managed:aws:bot-control:CategoryMiscellaneous` 對於已驗證的機器人,規則群組不符合此規則,且不採取任何動作,但會新增機器人名稱和類別標籤加上標籤 `awswaf:managed:aws:bot-control:bot:verified`。 |
| CategoryMonitoring | 檢查用於監控目的的機器人。例如,您可以使用機器人監控服務來定期 ping 應用程式網站,以監控效能和運作時間等項目。 規則動作,僅適用於未驗證的機器人: Block 標籤: `awswaf:managed:aws:bot-control:bot:category:monitoring`和 `awswaf:managed:aws:bot-control:CategoryMonitoring` 對於已驗證的機器人,規則群組不符合此規則,且不採取任何動作,但會新增機器人名稱和類別標籤加上標籤 `awswaf:managed:aws:bot-control:bot:verified`。 |
| CategoryPagePreview | 在簡訊平台、社交媒體或協同合作工具上共用內容時,檢查產生頁面預覽和連結預覽的機器人。 規則動作,僅適用於未驗證的機器人: Block 標籤: `awswaf:managed:aws:bot-control:bot:category:page_preview`和 `awswaf:managed:aws:bot-control:CategoryPagePreview` 對於已驗證的機器人,規則群組不符合此規則,且不採取任何動作,但會新增機器人名稱和類別標籤加上標籤 `awswaf:managed:aws:bot-control:bot:verified`。 |
| CategoryScrapingFramework | 檢查來自 Web 抓取架構的機器人,這些架構用於自動從網站爬取和擷取內容。 規則動作,僅適用於未驗證的機器人: Block 標籤: `awswaf:managed:aws:bot-control:bot:category:scraping_framework`和 `awswaf:managed:aws:bot-control:CategoryScrapingFramework` 對於已驗證的機器人,規則群組不符合此規則,且不採取任何動作,但會新增機器人名稱和類別標籤加上標籤 `awswaf:managed:aws:bot-control:bot:verified`。 |
| CategorySearchEngine | 檢查搜尋引擎機器人,哪些網路爬取網站編製內容索引,並使資訊可用於搜尋引擎結果。 規則動作,僅適用於未驗證的機器人: Block 標籤: `awswaf:managed:aws:bot-control:bot:category:search_engine`和 `awswaf:managed:aws:bot-control:CategorySearchEngine` 對於已驗證的機器人,規則群組不符合此規則,且不採取任何動作,但會新增機器人名稱和類別標籤加上標籤 `awswaf:managed:aws:bot-control:bot:verified`。 |
| CategorySecurity | 檢查掃描 Web 應用程式是否有漏洞或執行安全稽核的機器人。例如,您可以使用第三方安全廠商來掃描、監控或稽核 Web 應用程式的安全性。 規則動作,僅適用於未驗證的機器人: Block 標籤: `awswaf:managed:aws:bot-control:bot:category:security`和 `awswaf:managed:aws:bot-control:CategorySecurity` 對於已驗證的機器人,規則群組不符合此規則,且不採取任何動作,但會新增機器人名稱和類別標籤加上標籤 `awswaf:managed:aws:bot-control:bot:verified`。 |
| CategorySeo | 檢查用於搜尋引擎最佳化的機器人。例如,您可以使用搜尋引擎工具來編目您的網站,以協助您改善搜尋引擎排名。 規則動作,僅適用於未驗證的機器人: Block 標籤: `awswaf:managed:aws:bot-control:bot:category:seo`和 `awswaf:managed:aws:bot-control:CategorySeo` 對於已驗證的機器人,規則群組不符合此規則,且不採取任何動作,但會新增機器人名稱和類別標籤加上標籤 `awswaf:managed:aws:bot-control:bot:verified`。 |
| CategorySocialMedia | 檢查社交媒體平台所使用的機器人,以便在使用者共用您的內容時提供內容摘要。 規則動作,僅適用於未驗證的機器人: Block 標籤: `awswaf:managed:aws:bot-control:bot:category:social_media`和 `awswaf:managed:aws:bot-control:CategorySocialMedia` 對於已驗證的機器人,規則群組不符合此規則,且不採取任何動作,但會新增機器人名稱和類別標籤加上標籤 `awswaf:managed:aws:bot-control:bot:verified`。 |
| CategoryWebhooks | 檢查透過 HTTP 回呼將自動通知和資料更新從一個應用程式交付到另一個應用程式的機器人。 規則動作,僅適用於未驗證的機器人: Block 標籤: `awswaf:managed:aws:bot-control:bot:category:webhooks`和 `awswaf:managed:aws:bot-control:CategoryWebhooks` 對於已驗證的機器人,規則群組不符合此規則,且不採取任何動作,但會新增機器人名稱和類別標籤加上標籤 `awswaf:managed:aws:bot-control:bot:verified`。 |
| CategoryAI | 檢查人工智慧 (AI) 機器人。 此規則會將 動作套用至所有相符項目,無論機器人是否經過驗證。 規則動作:Block 標籤: `awswaf:managed:aws:bot-control:bot:category:ai`和 `awswaf:managed:aws:bot-control:CategoryAI` 對於已驗證的機器人,規則群組符合此規則並採取 動作。它還會新增機器人名稱和類別標籤、規則標籤,以及標籤 `awswaf:managed:aws:bot-control:bot:verified`。 |
| SignalAutomatedBrowser | 檢查未來自已驗證機器人的請求,是否有可能自動化用戶端瀏覽器的指標。自動化瀏覽器可用於測試或抓取。例如,您可以使用這些類型的瀏覽器來監控或驗證您的應用程式網站。 規則動作:Block 標籤: `awswaf:managed:aws:bot-control:signal:automated_browser`和 `awswaf:managed:aws:bot-control:SignalAutomatedBrowser` 對於已驗證的機器人,規則群組不符合此規則,且不會套用任何訊號或規則標籤。 |
| SignalKnownBotDataCenter | 檢查未來自已驗證機器人的請求,是否有通常由機器人使用的資料中心指標。 規則動作:Block 標籤: `awswaf:managed:aws:bot-control:signal:known_bot_data_center`和 `awswaf:managed:aws:bot-control:SignalKnownBotDataCenter` 對於已驗證的機器人,規則群組不符合此規則,且不會套用任何訊號或規則標籤。 |
| SignalNonBrowserUserAgent | 檢查不是來自已驗證機器人的請求,是否有似乎不是來自 Web 瀏覽器的使用者代理程式字串。此類別可以包含 API 請求。 規則動作:Block 標籤: `awswaf:managed:aws:bot-control:signal:non_browser_user_agent`和 `awswaf:managed:aws:bot-control:SignalNonBrowserUserAgent` 對於已驗證的機器人,規則群組不符合此規則,且不會套用任何訊號或規則標籤。 |
| TGT\$1VolumetricIpTokenAbsent | 檢查過去 5 分鐘內未來自已驗證機器人且來自單一用戶端的 5 個或更多請求的請求,這些請求不包含有效的挑戰字符。如需字符的相關資訊,請參閱 [用於 AWS WAF 智慧型威脅緩解的字符](waf-tokens.md)。 如果來自相同用戶端的請求最近缺少字符,則此規則可能符合具有字符的請求。 此規則套用的閾值可能因延遲而略有不同。 此規則處理遺失字符的方式與字符標籤不同:`awswaf:managed:token:absent`。字符標籤會標記沒有字符的個別請求。此規則會維護每個用戶端 IP 缺少權杖的請求計數,並與超過限制的用戶端相符。 規則動作:Challenge 標籤: `awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:ip:token_absent`和 `awswaf:managed:aws:bot-control:TGT_VolumetricIpTokenAbsent` |
| TGT\$1TokenAbsent | 檢查未來自未包含有效挑戰字符之已驗證機器人的請求。如需字符的相關資訊,請參閱 [用於 AWS WAF 智慧型威脅緩解的字符](waf-tokens.md)。 規則動作:Count 標籤: `awswaf:managed:aws:bot-control:TGT_TokenAbsent` |
| TGT\$1VolumetricSession | 檢查是否有異常大量的請求,這些請求不是來自 5 分鐘內來自單一用戶端工作階段的已驗證機器人。評估是根據與使用歷史流量模式 AWS WAF 維護之標準容積基準的比較。 此檢查僅適用於 Web 請求具有字符的情況。權杖會由應用程式整合 SDKs 和規則動作 CAPTCHA和 新增至請求Challenge。如需詳細資訊,請參閱[用於 AWS WAF 智慧型威脅緩解的字符](waf-tokens.md)。 此規則在您啟用後可能需要 5 分鐘才會生效。Bot Control 透過比較目前的流量與 AWS WAF 運算的流量基準來識別 Web 流量中的異常行為。 規則動作:CAPTCHA 標籤: `awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:session:high`和 `awswaf:managed:aws:bot-control:TGT_VolumetricSession` 規則群組會將下列標籤套用至高於最低閾值的中等磁碟區和較低磁碟區請求。對於這些層級,無論用戶端是否已驗證: `awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:session:medium`和 ,規則都不會採取任何動作`awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:session:low`。 |
| TGT\$1VolumetricSessionMaximum | 檢查是否有異常大量的請求,這些請求不是來自 5 分鐘內來自單一用戶端工作階段的已驗證機器人。評估是根據與使用歷史流量模式 AWS WAF 維護之標準容積基準的比較。 此規則表示評估的最大可信度。 此檢查僅適用於 Web 請求具有字符的情況。權杖會由應用程式整合 SDKs 和規則動作 CAPTCHA和 新增至請求Challenge。如需詳細資訊,請參閱[用於 AWS WAF 智慧型威脅緩解的字符](waf-tokens.md)。 此規則在您啟用後可能需要 5 分鐘才會生效。Bot Control 透過比較目前的流量與 AWS WAF 運算的流量基準來識別 Web 流量中的異常行為。 規則動作:Block 標籤: `awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:session:maximum`和 `awswaf:managed:aws:bot-control:TGT_VolumetricSessionMaximum` |
| TGT\$1SignalAutomatedBrowser | 檢查未來自已驗證機器人之請求的字符,是否有可能自動化用戶端瀏覽器的指標。如需詳細資訊,請參閱[AWS WAF 字符特性](waf-tokens-details.md)。 此檢查僅適用於 Web 請求具有字符的情況。權杖會由應用程式整合 SDKs 和規則動作 CAPTCHA和 新增至請求Challenge。如需詳細資訊,請參閱[用於 AWS WAF 智慧型威脅緩解的字符](waf-tokens.md)。 規則動作:CAPTCHA 標籤: `awswaf:managed:aws:bot-control:targeted:signal:automated_browser`和 `awswaf:managed:aws:bot-control:TGT_SignalAutomatedBrowser` |
| TGT\$1SignalBrowserAutomationExtension | 檢查不是來自已驗證機器人的請求,這些機器人指出存在協助自動化的瀏覽器延伸模組,例如 Selenium IDE。每當使用者安裝這種類型的延伸模組時,即使使用者未主動使用,此規則都會相符。 此檢查僅適用於 Web 請求具有字符的情況。權杖會由應用程式整合 SDKs 和規則動作 CAPTCHA和 新增至請求Challenge。如需詳細資訊,請參閱[用於 AWS WAF 智慧型威脅緩解的字符](waf-tokens.md)。 規則動作:CAPTCHA 標籤: `awswaf:managed:aws:bot-control:targeted:signal:browser_automation_extension`和 `awswaf:managed:aws:bot-control:TGT_SignalBrowserAutomationExtension` |
| TGT\$1SignalBrowserInconsistency | 檢查來自已驗證機器人的請求是否有不一致的瀏覽器查詢資料。如需詳細資訊,請參閱[AWS WAF 字符特性](waf-tokens-details.md)。 此檢查僅適用於 Web 請求具有字符的情況。權杖會由應用程式整合 SDKs 和規則動作 CAPTCHA和 新增至請求Challenge。如需詳細資訊,請參閱[用於 AWS WAF 智慧型威脅緩解的字符](waf-tokens.md)。 規則動作:CAPTCHA 標籤: `awswaf:managed:aws:bot-control:targeted:signal:browser_inconsistency`和 `awswaf:managed:aws:bot-control:TGT_SignalBrowserInconsistency` |
| TGT\$1ML\$1CoordinatedActivityLow, TGT\$1ML\$1CoordinatedActivityMedium, TGT\$1ML\$1CoordinatedActivityHigh | 檢查來自已驗證機器人的請求是否有與分散式、協調機器人活動一致的異常行為。規則層級表示一組請求是協同攻擊參與者的可信度層級。 只有在規則群組設定為使用機器學習 (ML) 時,才會執行這些規則。如需設定此選項的詳細資訊,請參閱 [將 AWS WAF Bot Control 受管規則群組新增至 Web ACL](waf-bot-control-rg-using.md)。 這些規則套用的閾值可能因延遲而略有不同。在套用規則動作之前,有些請求可能會使其超過限制。 AWS WAF 透過網站流量統計資料的機器學習分析來執行此檢查。 會每幾分鐘 AWS WAF 分析一次 Web 流量,並最佳化分析,以偵測分散在許多 IP 地址的低強度、長時間機器人。 這些規則可能會在極少數的請求上相符,然後再判斷是否正在進行協調式攻擊。因此,如果您只看到一兩個相符項目,則結果可能是誤報。不過,如果您看到這些規則出現許多相符項目,則表示您可能正遭受協調式攻擊。 在您使用 ML 選項啟用 Bot Control 目標規則之後,這些規則最多可能需要 24 小時才會生效。Bot Control 會將目前的流量與已計算的 AWS WAF 流量基準進行比較,以識別 Web 流量中的異常行為。當您使用 Bot Control 目標規則搭配 ML 選項時, AWS WAF 只會計算基準,而且最多可能需要 24 小時才能建立有意義的基準。 我們會定期更新這些規則的機器學習模型,以改善機器人預測。如果您注意到這些規則所做的機器人預測突然發生重大變更,請聯絡您的客戶經理或在 [AWS 支援 Center](https://console.aws.amazon.com/support/home#/) 開立案例。 規則動作: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-bot.html) 標籤: `awswaf:managed:aws:bot-control:targeted:aggregate:coordinated_activity:low\|medium\|high`和 `awswaf:managed:aws:bot-control:TGT_ML_CoordinatedActivityLow\|Medium\|High` |
| TGT\$1TokenReuseIpLow, TGT\$1TokenReuseIpMedium, TGT\$1TokenReuseIpHigh | 檢查未來自已驗證機器人的請求,以在過去 5 分鐘內在多個 IPs 中使用單一字符。每個層級都有不同 IPs 的數量限制: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-bot.html) 這些規則套用的閾值可能因延遲而略有不同。在套用規則動作之前,少數請求可能會使其超過限制。 規則動作: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-bot.html) 標籤: `awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:session:token_reuse:ip:low\|medium\|high`和 `awswaf:managed:aws:bot-control:TGT_TokenReuseIpLow\|Medium\|High` |
| TGT\$1TokenReuseCountryLow, TGT\$1TokenReuseCountryMedium, TGT\$1TokenReuseCountryHigh | 檢查未來自已驗證機器人的請求,以在過去 5 分鐘內跨多個國家使用單一字符。每個層級都有不同國家/地區的數量限制: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-bot.html) 這些規則套用的閾值可能因延遲而略有不同。在套用規則動作之前,少數請求可能會使其超過限制。 規則動作: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-bot.html) 標籤: `awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:session:token_reuse:country:low\|medium\|high`和 `awswaf:managed:aws:bot-control:TGT_TokenReuseCountryLow\|Medium\|High` |
| TGT\$1TokenReuseAsnLow, TGT\$1TokenReuseAsnMedium, TGT\$1TokenReuseAsnHigh | 檢查未來自已驗證機器人的請求,是否在過去 5 分鐘內跨多個聯網自動系統編號 (ASNs) 使用單一字符。每個層級都有不同 ASNs 的數量限制: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-bot.html) 這些規則套用的閾值可能因延遲而略有不同。在套用規則動作之前,少數請求可能會使其超過限制。 規則動作: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-bot.html) 標籤: `awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:session:token_reuse:asn:low\|medium\|high`和 `awswaf:managed:aws:bot-control:TGT_TokenReuseAsnLow\|Medium\|High` |
# AWS WAF 分散式阻斷服務 (DDoS) 預防規則群組
本節說明 AWS WAF 受管規則群組,用於防範分散式阻斷服務 (DDoS) 攻擊。
VendorName:`AWS`、Name:`AWSManagedRulesAntiDDoSRuleSet`、WCU:50
**注意**
本文件涵蓋此受管規則群組的最新版本。我們會在 的 changelog 日誌中報告版本變更[AWS 受管規則變更日誌](aws-managed-rule-groups-changelog.md)。如需其他版本的資訊,請使用 API 命令 [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)。
我們為 AWS 受管規則規則群組中的規則發佈的資訊,旨在為您提供使用規則所需的內容,而不會給予不法份子規避規則所需的內容。
如果您需要比此處更多的資訊,請聯絡 [AWS 支援 中心](https://console.aws.amazon.com/support/home#/)。
反 DDoS 受管規則群組提供規則,可偵測和管理正在參與或可能正在參與 DDoS 攻擊的請求。此外,規則群組會標記它在可能事件期間評估的所有請求。
## 使用此規則群組的考量事項
此規則群組為進入 DDoS 攻擊中資源的 Web 請求提供軟式和硬式緩解。若要偵測不同的威脅層級,您可以將這兩種緩解類型的敏感度調整為高、中或低可疑層級。
+ **軟性緩解** – 規則群組可以傳送靜音瀏覽器挑戰,以回應可處理挑戰間質的請求。如需執行挑戰需求的相關資訊,請參閱 [CAPTCHA 和 Challenge動作行為](waf-captcha-and-challenge-actions.md)。
+ **硬性緩解** – 規則群組可以完全封鎖請求。
如需規則群組如何運作以及如何設定規則群組的詳細資訊,請參閱 [使用反 DDoS 受管規則群組的進階 AWS WAF 反 DDoS 保護](waf-anti-ddos-advanced.md)。
**注意**
當您使用此受管規則群組時,需支付額外費用。如需詳細資訊,請參閱[AWS WAF 定價](https://aws.amazon.com/waf/pricing/)。
此規則群組是 中智慧型威脅緩解保護的一部分 AWS WAF。如需相關資訊,請參閱[中的智慧型威脅防禦 AWS WAF](waf-managed-protections.md)。
為了將成本降至最低並最佳化流量管理,請根據最佳實務準則使用此規則群組。請參閱 [中的智慧型威脅防禦最佳實務 AWS WAF](waf-managed-protections-best-practices.md)。
## 此規則群組新增的標籤
此受管規則群組會將標籤新增至其評估的 Web 請求,這些請求可供保護套件 (Web ACL) AWS WAF 中此規則群組之後執行的規則使用。 也會將標籤記錄到 Amazon CloudWatch 指標。如需標籤和標籤指標的一般資訊,請參閱 [Web 請求標籤](waf-labels.md)和 [標籤指標和維度](waf-metrics.md#waf-metrics-label)。
### 字符標籤
此規則群組使用 AWS WAF 字符管理,根據其 AWS WAF 字符的狀態檢查和標記 Web 請求。 AWS WAF 使用字符進行用戶端工作階段追蹤和驗證。
如需字符和字符管理的資訊,請參閱 [用於 AWS WAF 智慧型威脅緩解的字符](waf-tokens.md)。
如需此處所述的標籤元件資訊,請參閱 [中的標籤語法和命名需求 AWS WAF](waf-rule-label-requirements.md)。
**用戶端工作階段標籤**
標籤`awswaf:managed:token:id:identifier`包含 AWS WAF 字符管理用來識別用戶端工作階段的唯一識別符。如果用戶端取得新的字符,例如在捨棄正在使用的字符之後,識別符可能會變更。
**注意**
AWS WAF 不會報告此標籤的 Amazon CloudWatch 指標。
**瀏覽器指紋標籤**
標籤`awswaf:managed:token:fingerprint:fingerprint-identifier`包含強大的瀏覽器指紋識別符,權 AWS WAF 杖管理會從各種用戶端瀏覽器訊號運算。此識別符在多個字符擷取嘗試中保持不變。指紋識別符對單一用戶端來說不是唯一的。
**注意**
AWS WAF 不會報告此標籤的 Amazon CloudWatch 指標。
**字符狀態標籤:標籤命名空間字首**
字符狀態標籤會報告字符的狀態,以及其中包含的挑戰和 CAPTCHA 資訊。
每個字符狀態標籤都以下列其中一個命名空間字首開頭:
+ `awswaf:managed:token:` – 用來報告字符的一般狀態,以及報告字符挑戰資訊的狀態。
+ `awswaf:managed:captcha:` – 用來報告字符 CAPTCHA 資訊的狀態。
**字符狀態標籤:標籤名稱**
在字首後面,標籤的其餘部分提供詳細的字符狀態資訊:
+ `accepted` – 請求字符存在並包含下列項目:
+ 有效的挑戰或 CAPTCHA 解決方案。
+ 未過期的挑戰或 CAPTCHA 時間戳記。
+ 適用於保護套件 (Web ACL) 的網域規格。
範例:標籤`awswaf:managed:token:accepted`指出 Web 請求的權杖具有有效的挑戰解決方案、未過期的挑戰時間戳記,以及有效的網域。
+ `rejected` – 請求字符存在,但不符合接受條件。
除了拒絕的標籤之外,字符管理還會新增自訂標籤命名空間和名稱,以指出原因。
+ `rejected:not_solved` – 字符缺少挑戰或 CAPTCHA 解決方案。
+ `rejected:expired` – 權杖的挑戰或 CAPTCHA 時間戳記已過期,視您的保護套件 (Web ACL) 設定的權杖豁免時間而定。
+ `rejected:domain_mismatch` – 字符的網域不符合您的保護套件 (Web ACL) 字符網域組態。
+ `rejected:invalid` – AWS WAF 無法讀取指定的字符。
範例:標籤 `awswaf:managed:captcha:rejected`和 `awswaf:managed:captcha:rejected:expired`一起表示請求沒有有效的 CAPTCHA 解決方法,因為字符中的 CAPTCHA 時間戳記已超過保護套件 (Web ACL) 中設定的 CAPTCHA 字符豁免時間。
+ `absent` – 請求沒有字符或字符管理器無法讀取。
範例:標籤`awswaf:managed:captcha:absent`表示請求沒有字符。
### 反 DDoS 標籤
Anti-DDoS 受管規則群組會產生具有命名空間字首的標籤,`awswaf:managed:aws:anti-ddos:`後面接著任何自訂命名空間和標籤名稱。每個標籤都會反映反 DDoS 調查結果的某些層面。
除了個別規則新增的標籤之外,規則群組還可能將下列多個標籤新增至請求。
+ `awswaf:managed:aws:anti-ddos:event-detected` – 表示請求將傳送至受管規則群組偵測到 DDoS 事件的受保護資源。當資源的流量與資源的流量基準有顯著偏差時,受管規則群組會偵測事件。
規則群組會在資源處於此狀態時,將此標籤新增至資源的每個請求,因此合法流量和攻擊流量會取得此標籤。
+ `awswaf:managed:aws:anti-ddos:ddos-request` – 表示請求來自疑似參與事件的來源。
除了一般標籤之外,規則群組還會新增下列標籤,指出可信度層級。
`awswaf:managed:aws:anti-ddos:low-suspicion-ddos-request` – 表示可能的 DDoS 攻擊請求。
`awswaf:managed:aws:anti-ddos:medium-suspicion-ddos-request` – 表示非常可能的 DDoS 攻擊請求。
`awswaf:managed:aws:anti-ddos:high-suspicion-ddos-request` – 表示非常可能的 DDoS 攻擊請求。
+ `awswaf:managed:aws:anti-ddos:challengeable-request` – 表示請求 URI 能夠處理Challenge動作。受管規則群組會將此套用至 URI 未豁免的任何請求。如果 URIs符合規則群組的豁免 URI 規則表達式,則會豁免 URI。
如需可以接受無提示瀏覽器挑戰之請求需求的相關資訊,請參閱 [CAPTCHA 和 Challenge動作行為](waf-captcha-and-challenge-actions.md)。
您可以透過 API 呼叫 來擷取規則群組的所有標籤`DescribeManagedRuleGroup`。這些標籤會列在回應的 `AvailableLabels` 屬性中。
Anti-DDoS 受管規則群組會將標籤套用至請求,但不一定會對其採取行動。請求管理取決於規則群組判斷是否參與攻擊的可信度。如果需要,您可以新增在規則群組之後執行的標籤比對規則,來管理規則群組標籤的請求。如需此 和範例的詳細資訊,請參閱 [AWS WAF 分散式阻斷服務 (DDoS) 預防](waf-anti-ddos.md)。
## 反 DDoS 規則清單
本節列出反 DDoS 規則。
**注意**
本文件涵蓋此受管規則群組的最新版本。我們會在 的 changelog 日誌中報告版本變更[AWS 受管規則變更日誌](aws-managed-rule-groups-changelog.md)。如需其他版本的資訊,請使用 API 命令 [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)。
我們為 AWS 受管規則規則群組中的規則發佈的資訊,旨在為您提供使用規則所需的內容,而不會給予不法份子規避規則所需的內容。
如果您需要比此處更多的資訊,請聯絡 [AWS 支援 中心](https://console.aws.amazon.com/support/home#/)。
| 規則名稱 | Description |
| --- | --- |
| ChallengeAllDuringEvent | 比對具有目前受到攻擊`awswaf:managed:aws:anti-ddos:challengeable-request`之任何受保護資源標籤的請求。 規則動作:Challenge 您只能將此規則動作覆寫為 Allow或 Count。Allow 不建議使用 。對於任何規則動作設定,規則只會比對具有 `challengeable-request`標籤的請求。 此規則的組態會影響下一個規則的評估,`ChallengeDDoSRequests`. AWS WAF only 只會在受管規則群組的 Web ACL 組態中Count,此規則的動作覆寫設定為 時評估該規則。 如果您的工作負載容易受到未預期的請求量變更影響,我們建議您保留 的預設動作設定,以挑戰所有具有挑戰性的請求Challenge。對於較不敏感的應用程式,您可以將此規則的動作設定為 ,Count然後使用規則 調整Challenge回應的敏感度`ChallengeDDoSRequests`。 標籤: `awswaf:managed:aws:anti-ddos:ChallengeAllDuringEvent` |
| ChallengeDDoSRequests | 在資源受到攻擊的期間,比對符合或超過規則群組所設定之挑戰敏感度設定的受保護資源請求。 規則動作:Challenge 您只能將此規則動作覆寫為 Allow或 Count。Allow 不建議使用 。無論如何,規則只會比對具有 `challengeable-request`標籤的請求。 AWS WAF 只有在您覆寫先前規則 Count中的 動作時,才會評估此規則`ChallengeAllDuringEvent`。 標籤: `awswaf:managed:aws:anti-ddos:ChallengeDDoSRequests` |
| DDoSRequests | 在資源受到攻擊的期間,比對符合或超過規則群組所設定區塊敏感度設定的受保護資源請求。 規則動作:Block 標籤: `awswaf:managed:aws:anti-ddos:DDoSRequests` |
# 版本控制的 AWS 受管規則規則群組的部署
本節介紹 AWS 如何將更新部署到 AWS 受管規則規則群組。
AWS 在三個標準部署中,將變更部署至其版本控制的 AWS 受管規則規則群組:發行候選版本、靜態版本和預設版本。此外, AWS 有時可能需要釋出例外狀況部署或復原預設版本部署。
**注意**
本節僅適用於版本控制的 AWS 受管規則規則群組。唯一未進行版本控制的規則群組是 IP 評價規則群組。
**Topics**
+ [AWS 受管規則規則群組部署的通知](waf-managed-rule-groups-deployments-notifications.md)
+ [AWS 受管規則的標準部署概觀](waf-managed-rule-groups-deployments-standard.md)
+ [AWS 受管規則的一般版本狀態](waf-managed-rule-groups-typical-version-states.md)
+ [發佈 AWS 受管規則的候選部署](waf-managed-rule-groups-deployments-release-candidate.md)
+ [AWS 受管規則的靜態版本部署](waf-managed-rule-groups-deployments-static-version.md)
+ [AWS 受管規則的預設版本部署](waf-managed-rule-groups-deployments-default-version.md)
+ [AWS 受管規則的例外狀況部署](waf-managed-rule-groups-deployments-exceptions.md)
+ [AWS 受管規則的預設部署轉返](waf-managed-rule-groups-deployments-default-rollbacks.md)
# AWS 受管規則規則群組部署的通知
本節說明 Amazon SNS 通知如何與 AWS 受管規則規則群組搭配使用。
版本控制的 AWS 受管規則規則群組都提供部署的 SNS 更新通知,而且它們都使用相同的 SNS 主題 Amazon Resource Name (ARN)。唯一未進行版本控制的規則群組是 IP 評價規則群組。
對於影響您保護的部署,例如預設版本的變更, AWS 會提供 SNS 通知,通知您計劃的部署,並讓您知道部署何時開始。對於不會影響您保護的部署,例如版本候選和靜態版本部署, AWS 可能會在部署開始後或甚至完成之後通知您。完成新靜態版本的部署時, 會在 的變更日誌中 AWS 更新本指南,[AWS 受管規則變更日誌](aws-managed-rule-groups-changelog.md)並在 的文件歷史記錄頁面中更新本指南[文件歷史紀錄](doc-history.md)。
若要接收為 AWS 受管規則規則群組 AWS 提供的所有更新,請從本指南的任何 HTML 頁面訂閱 RSS 摘要,並訂閱 AWS 受管規則規則群組的 SNS 主題。如需訂閱 SNS 通知的資訊,請參閱 [收到受管規則群組新版本和更新的通知](waf-using-managed-rule-groups-sns-topic.md)。
**SNS 通知的內容**
Amazon SNS 通知中的欄位一律包含主旨、訊息和 MessageAttributes。其他欄位取決於訊息的類型,以及通知的受管規則群組。以下顯示 的通知清單範例`AWSManagedRulesCommonRuleSet`。
```
{
"Type": "Notification",
"MessageId": "4286b830-a463-5e61-bd15-e1ae72303868",
"TopicArn": "arn:aws:sns:us-west-2:123456789012:MyTopic",
"Subject": "New version available for rule group AWSManagedRulesCommonRuleSet",
"Message": "Welcome to AWSManagedRulesCommonRuleSet version 1.5! We've updated the regex specification in this version to improve protection coverage, adding protections against insecure deserialization. For details about this change, see http://updatedPublicDocs.html. Look for more exciting updates in the future! ",
"Timestamp": "2021-08-24T11:12:19.810Z",
"SignatureVersion": "1",
"Signature": "EXAMPLEHXgJm...",
"SigningCertURL": "https://sns.us-west-2.amazonaws.com/SimpleNotificationService-f3ecfb7224c7233fe7bb5f59f96de52f.pem",
"SubscribeURL": "https://sns.us-west-2.amazonaws.com/?Action=ConfirmSubscription&TopicArn=arn:aws:sns:us-west-2:123456789012:MyTopic&Token=2336412f37...",
"MessageAttributes": {
"major_version": {
"Type": "String",
"Value": "v1"
},
"managed_rule_group": {
"Type": "String",
"Value": "AWSManagedRulesCommonRuleSet"
}
}
}
```
# AWS 受管規則的標準部署概觀
AWS 使用三個標準部署階段推出新的 AWS 受管規則功能:發行候選版本、靜態版本和預設版本。
下圖說明這些標準部署。以下各節將詳細說明每個項目。
![\[四個垂直泳道顯示不同的標準部署階段。最左側的泳道會顯示預設版本設定為建議的靜態版本 1.4。第二個泳道顯示預設設定為發行候選 (RC) 版本,用於測試和調校。RC 版本包含 1.4 規則和 RC 規則。備註指出在測試之後,預設值會傳回至建議的靜態版本。第三個泳道顯示從版本候選版本中的規則建立靜態 1.5 版。第四個泳道顯示預設版本設定為新的建議靜態版本 1.5。\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/images/amr-rg-versions-flowchart-diagram.png)
# AWS 受管規則的一般版本狀態
一般而言,版本控制的受管規則群組有許多未過期的靜態版本,預設版本會指向 AWS 建議的靜態版本。下圖顯示典型靜態版本集和預設版本設定的範例。
![\[堆疊三個靜態版本 Version_1.2、Version_1.3 和 Version_1.4,其中 Version_1.4 位於最上方。Version_1.4 有兩個規則:RuleA 和 RuleB,兩者都具有生產動作。預設版本指標指向 Version_1.4。\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/images/amr-rg-versions-diagram.png)
靜態版本中大多數規則的生產動作是 Block,但可能設定為不同。如需規則動作設定的詳細資訊,請參閱 中每個規則群組的規則清單[AWS 受管規則規則群組清單](aws-managed-rule-groups-list.md)。
# 發佈 AWS 受管規則的候選部署
本節說明暫時發行候選部署的運作方式。
當 AWS 有受管規則群組的候選規則變更集時,它會在暫時發行候選部署中對其進行測試。 會根據生產流量 AWS 評估計數模式中的候選規則,並執行最終調校活動,包括緩解誤報。 會針對使用規則群組預設版本的所有客戶,以這種方式 AWS 測試發行候選規則。發行候選部署不適用於使用規則群組靜態版本的客戶。
如果您使用預設版本,則發行候選部署不會改變規則群組管理 Web 流量的方式。在測試候選規則時,您可能會注意到下列事項:
+ 預設版本名稱從 變更為 `Default (using Version_X.Y)` `Default (using Version_X.Y_PLUS_RC_COUNT)`。
+ Amazon CloudWatch 中的其他計數指標名稱`RC_COUNT`為 。這些是由版本候選規則產生。
AWS 會測試發行候選版本約一週,然後移除它,並將預設版本重設為目前建議的靜態版本。
AWS 會針對發行候選部署執行下列步驟:
1. **建立發行候選**版本 – 根據目前建議的靜態版本 AWS 新增發行候選版本,這是預設值指向的版本。
版本候選項目的名稱是附加 的靜態版本名稱`_PLUS_RC_COUNT`。例如,如果目前建議的靜態版本為 `Version_2.1`,則發行候選版本會命名為 `Version_2.1_PLUS_RC_COUNT`。
發行候選版本包含下列規則:
+ 完全從目前建議的靜態版本複製的規則,不會變更規則組態。
+ 使用規則動作設定為 Count且名稱以 結尾,來候選新規則`_RC_COUNT`。
大多數候選規則為已存在於規則群組中的規則提供建議的改進。這些規則的名稱是附加 的現有規則名稱`_RC_COUNT`。
1. **將預設版本設定為發行候選版本,然後測試** – 將預設版本 AWS 設定為指向新的發行候選版本,以針對您的生產流量執行測試。測試通常需要大約一週的時間。
您會看到預設版本的名稱從僅指出靜態版本的名稱變更,例如 `Default (using Version_1.4)`,變更為指出靜態版本和發行候選規則的名稱,例如 `Default (using Version_1.4_PLUS_RC_COUNT)`。此命名方案可讓您識別您用來管理 Web 流量的靜態版本。
下圖顯示目前範例規則群組版本的狀態。
![\[圖頂端有三個堆疊靜態版本,頂端為 Version_1.4。與靜態版本堆疊分開的是版本 Version_1.4_PLUS_RC_COUNT。此版本包含來自 Version_1.4 的規則,也包含兩個發行候選規則 RuleB_RC_COUNT 和 RuleZ_RC_COUNT,兩者都具有計數動作。預設版本指標指向 Version_1.4_PLUS_RC_COUNT。\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/images/amr-rg-versions-rc-diagram.png)
發行候選規則一律使用 Count動作設定,因此不會改變規則群組管理 Web 流量的方式。
發行候選規則會產生 Amazon CloudWatch 計數指標, AWS 用於驗證行為並識別誤報。 會視需要 AWS 進行調整,以調整發行候選計數規則的行為。
發行候選版本不是靜態版本,您無法從靜態規則群組版本清單中選擇。您只能在預設版本規格中查看發行候選版本的名稱。
1. **將預設版本傳回建議的靜態版本** – 測試版本候選規則之後, 會將預設版本 AWS 設回目前建議的靜態版本。預設版本名稱設定會捨棄`_PLUS_RC_COUNT`結尾,且規則群組會停止為發行候選規則產生 CloudWatch 計數指標。這是無提示的變更,與預設版本復原的部署不同。
下圖顯示測試發行候選項目完成後,範例規則群組版本的狀態。
![\[這是典型的版本狀態圖。三個靜態版本 Version_1.2、Version_1.3 和 Version_1.4 會與頂部的 Version_1.4 堆疊。Version_1.4 有兩個規則:RuleA 和 RuleB,兩者都具有生產動作。預設版本指標指向 Version_1.4。\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/images/amr-rg-versions-rc-complete-diagram.png)
**時間和通知**
AWS 會視需要部署發行候選版本,以測試規則群組的改進。
+ **SNS** – 在部署開始時 AWS 傳送 SNS 通知。通知指出測試版本候選項目的預估時間。測試完成時, 會以 AWS 無提示的方式將預設值傳回靜態版本設定,而不需要第二次通知。
+ **變更日誌** – AWS 不會更新此部署類型的變更日誌或本指南的其他部分。
# AWS 受管規則的靜態版本部署
當 AWS 判斷發行候選項目為規則群組提供寶貴的變更時, AWS 會根據發行候選項目部署規則群組的新靜態版本。此部署不會變更規則群組的預設版本。
新的靜態版本包含來自 版本候選項目的下列規則:
+ 來自先前靜態版本的規則,在發行候選規則之間沒有替代候選項目。
+ 發行候選規則,變更如下:
+ AWS 透過移除發行候選詞尾 來變更規則名稱`_RC_COUNT`。
+ AWS 會將規則動作從 Count 變更為其生產規則動作。
對於取代先前現有規則的版本候選規則,這會取代新靜態版本中先前規則的功能。
下圖說明從 發行候選版本建立新的靜態版本。
![\[圖頂端是版本候選版本 Version_1.4_PLUS_RC_COUNT,其規則與先前版本候選部署圖中的規則相同。版本包含來自 Version_1.4 的規則,也包含具有計數動作的發行候選規則 RuleB_RC_COUNT 和 RuleZ_RC_COUNT。下圖下方是靜態版本 Version_1.5,其中包含規則 RuleA、RuleB 和 RuleZ,全部都具有生產動作。從 RC 版本到 Version_1.5 的箭頭,表示從 Version_1.4 規則複製 RuleA,並從版本候選規則複製 RuleB 和 RuleZ。版本_1.5 中的所有規則都有生產動作。\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/images/amr-rg-versions-create-static-diagram.png)
部署之後,新的靜態版本可供您進行測試,並在需要時用於您的保護。您可以在 的規則群組規則清單中檢閱新的和更新的規則動作和描述[AWS 受管規則規則群組清單](aws-managed-rule-groups-list.md)。
靜態版本在部署後是不可變的,而且只會在 AWS 過期時變更。如需版本生命週期的相關資訊,請參閱 [在 中使用版本控制的受管規則群組 AWS WAF](waf-managed-rule-groups-versioning.md)。
**時間和通知**
AWS 會視需要部署新的靜態版本,以部署規則群組功能的改善。部署靜態版本不會影響預設版本設定。
+ **SNS** – 在部署完成時 AWS 傳送 SNS 通知。
+ **變更日誌** – 部署在 AWS WAF 可用的地方完成後, 會視需要 AWS 更新本指南中的規則群組定義,然後在 AWS 受管規則群組變更日誌和文件歷史記錄頁面中宣告版本。
# AWS 受管規則的預設版本部署
當 AWS 判斷新的靜態版本與目前的預設值相比,為規則群組提供更好的保護時, 會將預設版本 AWS 更新為新的靜態版本。在將多個靜態版本提升為規則群組的預設版本之前, AWS 可能會發行多個靜態版本。
下圖顯示將預設版本設定 AWS 移至新的靜態版本之後,範例規則群組版本的狀態。
![\[這類似於典型的版本狀態圖,但堆疊頂端有 Version_1.5,且預設指標指向它。\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/images/amr-rg-versions-new-default-diagram.png)
在將此變更部署到預設版本之前, AWS 會提供通知,以便您可以測試和準備即將到來的變更。如果您使用預設版本,則無法採取任何動作,並在更新期間保留在其中。如果您想要延遲切換到新版本,在預設版本部署的計劃開始之前,您可以明確地將規則群組設定為使用預設設定的靜態版本。
**時間和通知**
AWS 當 為規則群組建議與目前正在使用之規則群組不同的靜態版本時, 會更新預設版本。
+ **SNS** – 在目標部署日之前至少一週 AWS 傳送 SNS 通知,然後在部署當天的部署開始時傳送另一個通知。每個通知都包含規則群組名稱、預設版本要更新的靜態版本、部署日期,以及執行更新之每個 AWS 區域的部署排程時間。
+ **變更日誌** – AWS 不會更新此部署類型的變更日誌或本指南的其他部分。
# AWS 受管規則的例外狀況部署
AWS 可能會略過標準部署階段,以快速部署可解決重大安全風險的更新。例外狀況部署可能涉及任何標準部署類型,而且可能會快速跨 AWS 區域推出。
AWS 會盡可能為例外狀況部署提供提前通知。
**時間和通知**
AWS 只會在需要時執行例外狀況部署。
+ **SNS** – 盡可能在目標部署日之前 AWS 傳送 SNS 通知,然後在部署開始時傳送另一個 SNS 通知。每個通知都包含規則群組名稱、正在進行的變更,以及部署日期。
+ **變更日誌** – 如果部署適用於靜態版本,則在 AWS WAF 可用位置完成部署之後, 會視需要 AWS 更新本指南中的規則群組定義,然後在 AWS 受管規則群組變更日誌和文件歷史記錄頁面中宣告版本。
# AWS 受管規則的預設部署轉返
在某些情況下, AWS 可能會將預設版本回復為先前的設定。所有 AWS 區域的復原通常需要不到 10 分鐘的時間。
AWS 只會執行轉返來緩解靜態版本中的重大問題,例如無法接受的高誤報層級。
在復原預設版本設定之後, 會 AWS 加速發生問題的靜態版本過期,以及發行新的靜態版本來解決問題。
**時間和通知**
AWS 只會在需要時執行預設版本轉返。
+ **SNS** – 在復原時 AWS 傳送單一 SNS 通知。通知包含規則群組名稱、預設版本設定為的版本,以及部署日期。此部署類型非常快速,因此通知不會提供區域的時間資訊。
+ **變更日誌** – AWS 不會更新此部署類型的變更日誌或本指南的其他部分。
# AWS 受管規則變更日誌
本節列出自 2019 年 11 月發行 AWS WAF 以來 的 AWS 受管規則變更。
**注意**
此變更日誌會報告 AWS 受管規則中規則和規則群組的變更 AWS WAF。
對於 [IP 評價規則群組](aws-managed-rule-groups-ip-rep.md),此變更日誌會報告規則和規則群組的變更,並報告規則使用的 IP 地址清單來源的重大變更。由於這些清單的動態性質,它不會報告 IP 地址清單本身的變更。如果您對 IP 地址清單有任何疑問,請聯絡您的客戶經理或在 [AWS 支援 Center](https://console.aws.amazon.com/support/home#/) 開立案例。
| 規則群組和規則 | Description | Date |
| --- | --- | --- |
| [PHP 應用程式受管規則群組](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-php-app) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 此規則群組已發行靜態 2.2 版。 改善偵測並新增`PHPHighRiskMethodsVariables_URIPATH`規則。 | 2026-03-24 |
| [AWS WAF 機器人控制規則群組](aws-managed-rule-groups-bot.md) 新規則: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 發佈此規則群組的靜態版本 5.0。 新增超過 400 個跨多個類別的新機器人,包括兩個具有各自規則的新機器人類別:頁面預覽和 Webhook。 **主要改進項目** 提高機器人偵測訊號和一般機器人模式比對的準確性,進而產生更精確的流量分類。 此更新會變更受管規則群組如何排定機器人偵測的優先順序。現在會在一般模式和偵測訊號之前評估特定的未驗證機器人模式。這表示請求更有可能根據其最具體的特性來分類,而不是一般指標。 **這對您的流量意味著什麼:** 一般機器人模式現在比對頻率較低。這些模式僅適用於沒有更具體的機器人規則已識別流量時。這可減少過度分類,並確保使用最準確的可用機器人識別來標記請求。 偵測訊號,例如請求來自雲端服務提供者、已知機器人資料中心或使用非瀏覽器使用者代理程式的指標,現在會在機器人識別規則之後套用。這可確保特定機器人分類優先於一般流量訊號。 **Impact: (影響:)** 您可能會在流量日誌中看到較少的一般機器人模式標籤,因為請求現在會依特定機器人規則更準確分類。這可讓您更清楚地了解自動化流量的實際性質,並減少過於廣泛模式比對的雜訊。未驗證的機器人分類將更明顯且準確,協助您進一步了解和管理對應用程式的自動化請求。 **注意:**此版本包含來自 Version\$14.0 的`awswaf:managed:aws:bot-control:bot:web_bot_auth`標籤和規則更新,但`Web Bot Auth`功能仍然只能在 CloudFront 中使用。 | 2026-02-25 |
| [POSIX 作業系統受管規則群組](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-posix-os) | 此規則群組的發行靜態版本 3.2。 改善所有規則的偵測簽章。 | 2026-01-15 |
| [已知錯誤輸入受管規則群組](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 此規則群組已發行靜態版本 1.25。 更新 `ReactJSRCE_BODY`以改善偵測。 | 2025-12-08 |
| [POSIX 作業系統受管規則群組](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-posix-os) | 此規則群組已發行靜態 3.1 版。 改善所有規則的偵測簽章。 | 2025-12-08 |
| [已知錯誤輸入受管規則群組](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 此規則群組已發行靜態版本 1.24。 更新 `ReactJSRCE_BODY`以改善偵測。 | 2025-12-04 |
| [AWS WAF 機器人控制規則群組](aws-managed-rule-groups-bot.md) 新標籤:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) 範圍:CloudFront | 部署了新的靜態版本 `AWSManagedRulesBotControlRuleSet` Version\$14.0,並支援 Web Bot Authentication (WBA) 進行密碼編譯機器人驗證。必須明確選取此版本,而且不會使用預設版本自動更新現有的部署。 新功能: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) 規則更新: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) Version\$14.0 只是靜態版本,不會變更預設版本行為。若要使用 WBA 功能,請在設定 Web ACL 時明確選取版本 \$14.0。 | 2025-11-20 |
| [AWS WAF 機器人控制規則群組](aws-managed-rule-groups-bot.md) 新的已驗證機器人標籤:廣告:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)AI:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)內容擷取器:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)社交媒體:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 關鍵改進: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) Bot Control 中的機器人類別規則只會在未驗證的機器人上觸發,但也在已驗證的機器人上觸發的 CategoryAI 除外。Version\$13.3 只是靜態版本,不會變更預設版本行為。 | 2025-11-17 |
| [核心規則集 (CRS) 受管規則群組](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 此規則群組已發行靜態版本 1.20。 改善伺服器端請求偽造 (SSRF) 規則的偵測簽章。 | 2025-10-02 |
| [核心規則集 (CRS) 受管規則群組](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 此規則群組已發行靜態版本 1.19。 改善跨網站指令碼規則的偵測簽章。 | 2025-08-14 |
| [核心規則集 (CRS) 受管規則群組](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 此規則群組已發行靜態版本 1.18。 改善跨網站指令碼規則的偵測簽章。 | 2025-06-18 |
| [AWS WAF 機器人控制規則群組](aws-managed-rule-groups-bot.md) 新標籤: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 此規則群組的發行靜態版本 3.2。 新增列出的新標籤。 | 2025-05-29 |
| [核心規則集 (CRS) 受管規則群組](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 此規則群組已發行靜態版本 1.17。 改善跨網站指令碼規則的偵測簽章。 | 2025-03-03 |
| [SQL 資料庫受管規則群組](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-sql-db) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 此規則群組已發行靜態版本 1.3。 已將雙`URL_DECODE_UNI`文字轉換新增至列出的規則。 | 2025-01-24 |
| [Linux 作業系統受管規則群組](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-linux-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 此規則群組已發行靜態 2.6 版。 新增簽章以改善偵測。 | 2025-01-24 |
| [AWS WAF 機器人控制規則群組](aws-managed-rule-groups-bot.md) 機器人控制標籤中的新機器人名稱標籤: `awswaf:managed:aws:bot-control:bot::name:nytimes` | 此規則群組已發行靜態 3.1 版。 已將 New York Times 標籤新增至機器人名稱標籤清單。 | 2024-11-07 |
| [核心規則集 (CRS) 受管規則群組](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 此規則群組已發行靜態版本 1.16。 改善跨網站指令碼規則的偵測簽章。 | 2024-10-16 |
| [AWS WAF 機器人控制規則群組](aws-managed-rule-groups-bot.md) 新規則: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) 已刪除的規則: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) 新標籤: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) 現有規則中的其他標籤。 | 此規則群組的發行靜態版本 2.0 和 3.0。2.0 版與 3.0 版相同,但所有新規則的規則動作都設為 Count。本指南會記錄每個規則群組的最新版本。 新增列出的新規則。 已更新標籤,以便所有規則套用模式為 的標籤`awswaf:managed:aws:bot-control:`。 已將雲端服務供應商標籤新增至 Bot Control 訊號標籤。 新增由機器人類別規則檢查的新機器人名稱標籤。 | 2024-09-13 |
| [AWS WAF 詐騙控制帳戶接管預防 (ATP) 規則群組](aws-managed-rule-groups-atp.md) 所有規則 | 此規則群組的發行靜態版本 1.1。 已更新標籤,以便所有規則套用模式為 的標籤`awswaf:managed:aws:atp:`。 | 2024-09-13 |
| [AWS WAF 詐騙控制帳戶建立詐騙預防 (ACFP) 規則群組](aws-managed-rule-groups-acfp.md) 所有規則 | 此規則群組的發行靜態版本 1.1。 已更新標籤,以便所有規則套用模式為 的標籤`awswaf:managed:aws:acfp:`。 | 2024-09-13 |
| [Linux 作業系統受管規則群組](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-linux-os) 所有規則 | 此規則群組已發行靜態 2.5 版。 新增簽章以改善偵測。 | 2024-09-02 |
| [核心規則集 (CRS) 受管規則群組](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 此規則群組已發行靜態版本 1.15。 已改善一般 LFI 規則的偵測簽章。 | 2024-08-30 |
| [Windows 作業系統受管規則群組](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-windows-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 此規則群組已發行靜態 2.3 版。 已調整所列規則中的偵測簽章,以減少誤報。 | 2024-08-28 |
| [WordPress 應用程式受管規則群組](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-wordpress-app) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 此規則群組已發行靜態版本 1.3。 已將 JS\$1DECODE 文字轉換新增至列出的規則。 | 2024-07-15 |
| [Linux 作業系統受管規則群組](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-linux-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 此規則群組已發行靜態 2.4 版。 已將 JS\$1DECODE 文字轉換新增至列出的規則。 | 2024-07-12 |
| [核心規則集 (CRS) 受管規則群組](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 此規則群組已發行靜態版本 1.14。 已將 JS\$1DECODE 文字轉換新增至列出的規則。 | 2024-07-09 |
| [PHP 應用程式受管規則群組](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-php-app) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 此規則群組已發行靜態 2.1 版。 已將 JS\$1DECODE 文字轉換新增至列出的規則。 | 2024-07-03 |
| [Windows 作業系統受管規則群組](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-windows-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 此規則群組的發行靜態版本 2.2。 已將 JS\$1DECODE 文字轉換新增至列出的規則。 | 2024-07-03 |
| [Linux 作業系統受管規則群組](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-linux-os) 所有規則 | 此規則群組已發行靜態 2.3 版。 新增簽章以改善偵測。 | 2024-06-06 |
| [AWS WAF 機器人控制規則群組](aws-managed-rule-groups-bot.md) [AWS WAF 詐騙控制帳戶接管預防 (ATP) 規則群組](aws-managed-rule-groups-atp.md) [AWS WAF 詐騙控制帳戶建立詐騙預防 (ACFP) 規則群組](aws-managed-rule-groups-acfp.md) | 機器人和詐騙規則群組現在已進行版本控制。如果您使用這些規則群組,則此更新不會變更它們處理 Web 流量的方式。 此更新會將目前的規則群組版本設定為靜態版本 1.0,並將預設版本設定為指向該版本。 如需版本控制受管規則的詳細資訊,請參閱下列內容: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 2024-05-29 |
| [POSIX 作業系統受管規則群組](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-posix-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 發行此規則群組的靜態版本 3.0。 已移除並將其`UNIXShellCommandsVariables_QUERYARGUMENTS`取代為 `UNIXShellCommandsVariables_QUERYSTRING`。如果您的規則符合 的標籤`UNIXShellCommandsVariables_QUERYARGUMENTS`,當您使用此版本時,請將它們切換為符合 的標籤`UNIXShellCommandsVariables_QUERYSTRING`。新標籤為 `awswaf:managed:aws:posix-os:UNIXShellCommandsVariables_QueryString`。 新增規則 `UNIXShellCommandsVariables_HEADER`,符合所有標頭。 以改善的偵測邏輯更新受管規則群組中的所有規則。 更正 標籤的記錄大小寫`UNIXShellCommandsVariables_BODY`。 | 2024-05-28 |
| [核心規則集 (CRS) 受管規則群組](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 此規則群組的發行靜態版本 1.12。 新增所有跨網站指令碼規則的簽章,以改善偵測並減少誤判。 | 2024-05-21 |
| [SQL 資料庫受管規則群組](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-sql-db) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 此規則群組已發行靜態版本 1.2。 已將`JS_DECODE`文字轉換新增至列出的規則。 | 2024-05-14 |
| [已知錯誤輸入受管規則群組](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 此規則群組已發行靜態版本 1.22。 已將`JS_DECODE`文字轉換新增至列出的規則。 | 2024-05-08 |
| [POSIX 作業系統受管規則群組](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-posix-os) | 此規則群組的發行靜態版本 2.2。 將`JS_DECODE`文字轉換新增至這兩個規則。 | 2024-05-08 |
| [Windows 作業系統受管規則群組](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-windows-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 此規則群組已發行靜態 2.1 版。 新增簽章至 `PowerShellCommands_BODY` 以改善偵測。 | 2024-05-03 |
| [Amazon IP 評價清單受管規則群組](aws-managed-rule-groups-ip-rep.md#aws-managed-rule-groups-ip-rep-amazon) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 更新 IP 評價清單的來源,以改善主動從事惡意活動的地址識別,並減少誤報。 此更新不涉及新版本,因為此規則群組未進行版本控制。 | 2024-03-13 |
| [已知錯誤輸入受管規則群組](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs) | 此規則群組已發行靜態版本 1.21。 新增簽章以改善偵測並減少誤報。 | 2023-12-16 |
| [已知錯誤輸入受管規則群組](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 此規則群組已發行靜態版本 1.20。 更新`ExploitablePaths_URIPATH`規則,為符合 Atlassian Confluence CVE-2023-22518 不當授權漏洞的請求新增偵測。此漏洞會影響 Confluence 資料中心和伺服器的所有版本。如需詳細資訊,請參閱 [NIST:國家漏洞資料庫:CVE-2023-22518 詳細資訊](https://nvd.nist.gov/vuln/detail/CVE-2023-22518)。 | 2023-12-14 |
| [核心規則集 (CRS) 受管規則群組](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 此規則群組的發行靜態版本 1.11。 新增所有跨網站指令碼規則的簽章,以改善偵測並減少誤判。 | 2023-12-06 |
| [AWS WAF 機器人控制規則群組](aws-managed-rule-groups-bot.md) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 將協調活動低標籤新增至規則群組的目標保護層級標籤。此標籤未與任何規則相關聯。此標籤是中、高階規則和標籤的補充。 | 2023-12-05 |
| [機器人控制標籤](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-labels-rg) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 已將訊號標籤新增至規則群組,指出協助自動化的瀏覽器延伸模組偵測。此標籤並非專屬於個別規則。 | 2023-11-14 |
| [核心規則集 (CRS) 受管規則群組](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 此規則群組已發行靜態版本 1.10。 更新了一項規則,以改善偵測並減少誤報。 | 2023-11-02 |
| [核心規則集 (CRS) 受管規則群組](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 此規則群組已發行靜態版本 1.9。 更新規則以改善偵測並減少誤報。 | 2023-10-30 |
| [POSIX 作業系統受管規則群組](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-posix-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 此規則群組已發行靜態 2.1 版。 更新查詢引數規則以改善偵測。 | 2023-10-12 |
| [核心規則集 (CRS) 受管規則群組](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 此規則群組已發行靜態版本 1.8。 更新規則以改善偵測。 | 2023-10-11 |
| [已知錯誤輸入受管規則群組](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 例外狀況部署:已發行此規則群組的靜態版本 1.19。更新預設版本以使用 1.19 版。 更新`ExploitablePaths_URIPATH`規則,為符合 Atlassian Confluence CVE-2023-22515 權限提升漏洞的請求新增偵測。此漏洞會影響 Atlassian Confluence 的某些版本。如需詳細資訊,請參閱 [NIST:國家漏洞資料庫:CVE-2023-22515 詳細資訊](https://nvd.nist.gov/vuln/detail/CVE-2023-22515)和 [Atlassian Support:CVE-2023-22515 的常見問答集](https://confluence.atlassian.com/kb/faq-for-cve-2023-22515-1295682188.html)。 如需此部署類型的詳細資訊,請參閱 [AWS 受管規則的例外狀況部署](waf-managed-rule-groups-deployments-exceptions.md)。 | 2023-10-04 |
| [已知錯誤輸入受管規則群組](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 例外狀況部署:已發行此規則群組的靜態 1.18 版。這是此靜態版本的快速推出,以適應 1.19 版的建立和推出。 更新`Host_localhost_HEADER`規則和所有 Log4J 和 Java 還原序列化規則,以改善偵測。 如需此部署類型的詳細資訊,請參閱 [AWS 受管規則的例外狀況部署](waf-managed-rule-groups-deployments-exceptions.md)。 | 2023-10-04 |
| [AWS WAF 機器人控制規則群組](aws-managed-rule-groups-bot.md) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 使用 Count動作將規則新增至規則群組。 權杖重複使用 IP 規則會偵測和計數跨 IP 地址的權杖共用。 協調活動規則使用網站流量的自動化機器學習 (ML) 分析來偵測機器人相關活動。在您的規則群組組態中,您可以選擇不使用 ML。在此版本中,目前使用目標保護層級的客戶可以選擇使用 ML。選擇退出會停用協調活動規則。 | 2023-09-06 |
| [AWS WAF 機器人控制規則群組](aws-managed-rule-groups-bot.md) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 已將規則`CategoryAI`新增至規則群組。 | 2023-08-30 |
| [核心規則集 (CRS) 受管規則群組](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 發行此規則群組的靜態版本 1.7。 更新限制延伸模組和 EC2 中繼資料 SSRF 規則,以改善偵測並減少誤判。 | 2023-07-26 |
| [AWS WAF 詐騙控制帳戶建立詐騙預防 (ACFP) 規則群組](aws-managed-rule-groups-acfp.md) 新規則群組中的所有規則 | 新增規則群組 AWSManagedRulesACFPRuleSet。 | 2023-06-13 |
| [Linux 作業系統受管規則群組](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-linux-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 此規則群組的發行靜態版本 2.2。 新增簽章以改善偵測。 | 2023-05-22 |
| [核心規則集 (CRS) 受管規則群組](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 此規則群組已發行靜態版本 1.6。 更新了跨網站指令碼 (XSS) 和限制延伸規則,以改善偵測並減少誤報。 | 2023-04-28 |
| [PHP 應用程式受管規則群組](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-php-app) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 此規則群組的發行靜態版本 2.0。 新增簽章以改善所有規則中的偵測。 將規則取代`PHPHighRiskMethodsVariables_QUERYARGUMENTS`為 `PHPHighRiskMethodsVariables_QUERYSTRING`,它會檢查整個查詢字串,而不只是查詢引數。 新增規則 `PHPHighRiskMethodsVariables_HEADER`,以擴展涵蓋範圍以包含所有標頭。 更新下列標籤,以符合標準 AWS 受管規則標籤: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 2023-02-27 |
| [AWS WAF 詐騙控制帳戶接管預防 (ATP) 規則群組](aws-managed-rule-groups-atp.md)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 新增用於受保護 Amazon CloudFront 分佈的登入回應檢查規則。這些規則可以封鎖最近成為太多失敗登入嘗試來源的 IP 地址和用戶端工作階段的新登入嘗試。 | 2023-02-15 |
| [核心規則集 (CRS) 受管規則群組](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 此規則群組已發行靜態版本 1.5。 更新了跨網站指令碼 (XSS) 篩選條件,以改善偵測。 | 2023-01-25 |
| [Linux 作業系統受管規則群組](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-linux-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 此規則群組已發行靜態 2.1 版。 已移除規則`LFI_COOKIE`及其標籤 `awswaf:managed:aws:linux-os:LFI_Cookie`,並將它們取代為新規則`LFI_HEADER`及其標籤 `awswaf:managed:aws:linux-os:LFI_Header`。此變更會將檢查擴展到多個標頭。 已將文字轉換和簽章新增至所有規則,以改善偵測。 | 2022-12-15 |
| [核心規則集 (CRS) 受管規則群組](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 此規則群組已發行靜態版本 1.4。 新增文字轉換至 `NoUserAgent_HEADER` 以移除所有 null 位元組。更新了跨網站指令碼規則中的篩選條件,以改善偵測。 | 2022-12-05 |
| [已知錯誤輸入受管規則群組](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 此規則群組已發行靜態版本 1.17。 更新 Java 還原序列化規則,為符合 Apache CVE-2022-42889 的請求新增偵測,這是 Apache Commons Text 1.10.0 之前的 Apache Commons Text 版本中的遠端程式碼執行 (RCE) 漏洞。如需詳細資訊,請參閱 [NIST:國家漏洞資料庫:CVE-2022-42889 詳細資訊](https://nvd.nist.gov/vuln/detail/CVE-2022-42889)和 [CVE-2022-42889:1.10.0 之前的 Apache Commons Text 允許 RCE 套用到因不安全插補預設值而不受信任的輸入](https://lists.apache.org/thread/n2bd4vdsgkqh2tm14l1wyc3jyol7s1om)。 改善 中的偵測`Host_localhost_HEADER`。 | 2022-10-20 |
| [已知錯誤輸入受管規則群組](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 此規則群組已發行靜態版本 1.16。 移除 1.15 版中 AWS 識別的誤報。 | 2022-10-05 |
| [POSIX 作業系統受管規則群組](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-posix-os) [PHP 應用程式受管規則群組](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-php-app) [WordPress 應用程式受管規則群組](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-wordpress-app) | 更正記錄的標籤名稱。 | 2022-09-19 |
| [IP 評價規則群組](aws-managed-rule-groups-ip-rep.md) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 此變更不會改變規則群組處理 Web 流量的方式。 根據 Amazon 威脅情報,新增了具有 Count動作的新規則,以檢查是否有正在參與 DDoS 活動的 IP 地址。 | 2022-08-30 |
| [已知錯誤輸入受管規則群組](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 此規則群組已發行靜態版本 1.15。 移除它`Log4JRCE`並將其取代為 `Log4JRCE_HEADER`、`Log4JRCE_URI`、 `Log4JRCE_QUERYSTRING`和 `Log4JRCE_BODY`,以更精細地監控和管理誤報。 新增簽章,以改善對所有 和 `JavaDeserializationRCE*``Log4JRCE*`規則的偵測`PROPFIND_METHOD`和封鎖。 更新標籤以更正所有`JavaDeserializationRCE*`規則中的 `Host_localhost_HEADER`和 中的大寫。 已更正 的描述`JavaDeserializationRCE_HEADER`。 | 2022-08-22 |
| [AWS WAF 詐騙控制帳戶接管預防 (ATP) 規則群組](aws-managed-rule-groups-atp.md)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 新增規則,以防止針對 Amazon Cognito 使用者集區 Web 流量使用帳戶接管預防受管規則群組。 | 2022-08-11 |
| [核心規則集 (CRS) 受管規則群組](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) | AWS 已排定 版本`Version_1.2`和規則群組`Version_2.0`的過期時間。版本將於 2022 年 9 月 9 日過期。如需版本過期的資訊,請參閱 [在 中使用版本控制的受管規則群組 AWS WAF](waf-managed-rule-groups-versioning.md)。 | 2022-06-09 |
| [核心規則集 (CRS) 受管規則群組](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 已發行此規則群組的 1.3 版。此版本會更新規則 `GenericLFI_URIPATH`和 中的比對簽章`GenericRFI_URIPATH`,以改善偵測。 | 2022-05-24 |
| [AWS WAF 機器人控制規則群組](aws-managed-rule-groups-bot.md)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 已將規則`CategoryEmailClient`新增至規則群組。 | 2022-04-06 |
| [已知錯誤輸入受管規則群組](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 已發行此規則群組的 1.14 版。四個`JavaDeserializtionRCE`規則會移至 Block 模式。 | 2022-03-31 |
| [已知錯誤輸入受管規則群組](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 已發行此規則群組的 1.13 版。更新 Spring Core 和 Cloud Function RCE 漏洞的文字轉換。這些規則處於計數模式,以收集指標並評估相符的模式。標籤可用於封鎖自訂規則中的請求。後續版本將以區塊模式與這些規則一起部署。 | 2022-03-31 |
| [已知錯誤輸入受管規則群組](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 已發行此規則群組的 1.12 版。新增 Spring Core 和 Cloud Function RCE 漏洞的簽章。這些規則處於計數模式,以收集指標並評估相符的模式。標籤可用於封鎖自訂規則中的請求。後續版本將以區塊模式與這些規則一起部署。 移除規則 `Log4JRCE_HEADER`、`Log4JRCE_QUERYSTRING`、 和 `Log4JRCE_URI`,`Log4JRCE_BODY`並將它們取代為規則 `Log4JRCE`。 | 2022-03-30 |
| [IP 評價規則群組](aws-managed-rule-groups-ip-rep.md) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 更新AWSManagedReconnaissanceList規則,將動作從計數變更為區塊。 | 2022-02-15 |
| [AWS WAF 詐騙控制帳戶接管預防 (ATP) 規則群組](aws-managed-rule-groups-atp.md) 新規則群組中的所有規則 | 新增規則群組 AWSManagedRulesATPRuleSet。 | 2022-02-11 |
| [已知錯誤輸入受管規則群組](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 已發行此規則群組的 1.9 版。移除規則並將其`Log4JRCE`取代為規則 `Log4JRCE_HEADER`、`Log4JRCE_URI`、 `Log4JRCE_QUERYSTRING`和 `Log4JRCE_BODY`,以彈性使用此功能。新增簽章以改善偵測和封鎖。 | 2022-01-28 |
| 核心規則集 (CRS) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 已發行此規則群組的 2.0 版。針對這些規則,調校偵測簽章以減少誤判。將`URL_DECODE`文字轉換取代為雙`URL_DECODE_UNI`文字轉換。新增`HTML_ENTITY_DECODE`文字轉換。 | 2022-01-10 |
| 核心規則集 (CRS) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 作為此規則群組 2.0 版發行的一部分, 新增`URL_DECODE_UNI`了文字轉換。從 移除`URL_DECODE`文字轉換`RestrictedExtensions_URIPATH`。 | 2022-01-10 |
| SQL 資料庫 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 已發行此規則群組的 2.0 版。以雙`URL_DECODE`文字轉換取代`URL_DECODE_UNI`文字轉換,並新增`COMPRESS_WHITE_SPACE`文字轉換。 已將更多偵測簽章新增至 `SQLiExtendedPatterns_QUERYARGUMENTS`。 已將 JSON 檢查新增至 `SQLi_BODY`。 新增規則 `SQLiExtendedPatterns_BODY`。 已移除規則 `SQLi_URIPATH`。 | 2022-01-10 |
| 已知錯誤輸入 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 發佈規則的 1.8 版`Log4JRCE`,以改善標頭檢查和相符條件。 | 2021-12-17 |
| 已知錯誤輸入 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 發佈規則的 1.4 版`Log4JRCE`,以調整相符條件並檢查其他標頭。發行 1.5 版來調整相符條件。 | 2021-12-11 |
| 已知錯誤輸入 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 新增規則 1.2 `Log4JRCE`版,以回應 Log4j 中最近揭露的安全問題。如需詳細資訊,請參閱 [CVE-2021-44228](https://www.cve.org/CVERecord?id=CVE-2021-44228)。此規則會檢查常見 URI 路徑、查詢字串、請求內文的前 8KB,以及常見標頭。此規則使用雙`URL_DECODE_UNI`文字轉換。已發行 1.3 版`Log4JRCE`來調整相符條件並檢查其他標頭。 已移除規則 `BadAuthToken_COOKIE_AUTHORIZATION`。 | 2021-12-10 |
下表列出 2021 年 12 月之前的變更。
| 規則群組和規則 | Description | Date |
| --- | --- | --- |
| Amazon IP 評價清單 | `AWSManagedReconnaissanceList` | 在監控/計數模式中新增AWSManagedReconnaissanceList規則。此規則包含正在對 AWS 資源執行偵察的 IP 地址。 | 2021-11-23 |
| Windows 作業系統 | `WindowsShellCommands` `PowerShellCommands` | 為 WindowsShell 命令新增了三個新規則:`WindowsShellCommands_COOKIE`、 `WindowsShellCommands_QUERYARGUMENTS`和 `WindowsShellCommands_BODY`。 新增新的 PowerShell 規則:`PowerShellCommands_COOKIE`。 透過移除字串 \$1Set1 和 \$1Set2 來重組`PowerShellComands`規則命名。 已將更全面的偵測簽章新增至 `PowerShellRules`。 已將`URL_DECODE_UNI`文字轉換新增至所有 Windows 作業系統規則。 | 2021-11-23 |
| Linux 作業系統 | `LFI_URIPATH` `LFI_QUERYSTRING` `LFI_BODY` `LFI_COOKIE` | 將雙`URL_DECODE`文字轉換取代為雙 `URL_DECODE_UNI`。 新增`NORMALIZE_PATH_WIN`為第二個文字轉換。 將`LFI_BODY`規則取代為`LFI_COOKIE`規則。 為所有`LFI`規則新增了更全面的偵測簽章。 | 2021-11-23 |
| 核心規則集 (CRS) | `SizeRestrictions_BODY` | 減少大小限制,以封鎖內文承載大於 8 KB 的 Web 請求。之前,限制為 10 KB。 | 2021-10-27 |
| 核心規則集 (CRS) | `EC2MetaDataSSRF_BODY` `EC2MetaDataSSRF_COOKIE` `EC2MetaDataSSRF_URIPATH` `EC2MetaDataSSRF_QUERYARGUMENTS` | 新增更多偵測簽章。新增雙重 Unicode URL 解碼以改善封鎖。 | 2021-10-27 |
| 核心規則集 (CRS) | `GenericLFI_QUERYARGUMENTS` `GenericLFI_URIPATH` `RestrictedExtensions_URIPATH` `RestrictedExtensions_QUERYARGUMENTS` | 新增雙重 Unicode URL 解碼以改善封鎖。 | 2021-10-27 |
| 核心規則集 (CRS) | `GenericRFI_QUERYARGUMENTS` `GenericRFI_BODY` `GenericRFI_URIPATH` | 根據客戶意見回饋,更新規則簽章以減少誤報。新增雙重 Unicode URL 解碼以改善封鎖。 | 2021-10-27 |
| 全部 | 所有規則 | 已將 AWS WAF 標籤的支援新增至尚未支援標籤的所有規則。 | 2021-10-25 |
| Amazon IP 評價清單 | `AWSManagedIPReputationList_xxxx` | 重組 IP 評價清單、從規則名稱中移除尾碼,並新增對 AWS WAF 標籤的支援。 | 2021-05-04 |
| 匿名 IP 清單 | `AnonymousIPList` `HostingProviderList` | 新增對 AWS WAF 標籤的支援。 | 2021-05-04 |
| 機器人控制 | 全部 | 新增機器人控制規則集。 | 2021-04-01 |
| 核心規則集 (CRS) | `GenericRFI_QUERYARGUMENTS` | 新增雙重 URL 解碼。 | 2021-03-03 |
| 核心規則集 (CRS) | `RestrictedExtensions_URIPATH` | 已改善規則的組態,並新增額外的 URL 解碼。 | 2021-03-03 |
| 管理員保護 | `AdminProtection_URIPATH` | 新增雙重 URL 解碼。 | 2021-03-03 |
| 已知錯誤輸入 | `ExploitablePaths_URIPATH` | 已改善規則的組態,並新增額外的 URL 解碼。 | 2021-03-03 |
| Linux 作業系統 | `LFI_QUERYARGUMENTS` | 已改善規則的組態,並新增額外的 URL 解碼。 | 2021-03-03 |
| Windows 作業系統 | 全部 | 已改善規則的組態。 | 2020-09-23 |
| PHP 應用程式 | `PHPHighRiskMethodsVariables_QUERYARGUMENTS` `PHPHighRiskMethodsVariables_BODY` | 將文字轉換從 HTML 解碼變更為 URL 解碼,以改善封鎖。 | 2020-09-16 |
| POSIX 作業系統 | `UNIXShellCommandsVariables_QUERYARGUMENTS` `UNIXShellCommandsVariables_BODY` | 將文字轉換從 HTML 解碼變更為 URL 解碼,以改善封鎖。 | 2020-09-16 |
| 核心規則集 | `GenericLFI_QUERYARGUMENTS` `GenericLFI_URIPATH` GenericLFI\$1BODY | 將文字轉換從 HTML 解碼變更為 URL 解碼,以改善封鎖。 | 2020-08-07 |
| Linux 作業系統 | `LFI_URIPATH` `LFI_QUERYARGUMENTS` `LFI_BODY` | 將文字轉換從 HTML 實體解碼變更為 URL 解碼,以改善偵測和封鎖。 | 2020-05-19 |
| 匿名 IP 清單 | 全部 | 中的新規則群組[IP 評價規則群組](aws-managed-rule-groups-ip-rep.md)可封鎖來自允許混淆檢視器身分之服務的請求,以協助緩解機器人和逃避地理限制。 | 2020-03-06 |
| WordPress 應用程式 | `WordPressExploitableCommands_QUERYSTRING` | 能檢查查詢字串中可入侵字串的新規則 | 2020-03-03 |
| 核心規則集 (CRS) | `SizeRestrictions_QUERYSTRING` `SizeRestrictions_Cookie_HEADER` `SizeRestrictions_BODY` `SizeRestrictions_URIPATH` | 調整大小值限制條件以改善準確性。 | 2020-03-03 |
| SQL 資料庫 | `SQLi_URIPATH` | 規則現在會檢查訊息 URI。 | 2020-01-23 |
| SQL 資料庫 | `SQLi_BODY` `SQLi_QUERYARGUMENTS` `SQLi_COOKIE` | 更新的文字轉換。 | 2019-12-20 |
| 核心規則集 (CRS) | `CrossSiteScripting_URIPATH` `CrossSiteScripting_BODY` `CrossSiteScripting_QUERYARGUMENTS` `CrossSiteScripting_COOKIE` | 更新的文字轉換。 | 2019-12-20 |