**推出 的新主控台體驗 AWS WAF** 您現在可以使用更新後的體驗,在主控台的任何位置存取 AWS WAF 功能。如需詳細資訊,請參閱[使用 主控台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。 本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # AWS WAF 新增對 AWS 的 Verified Access 執行個體支援 AWS WAF 您現在可以將 AWS WAF Web ACL 與 Verified Access 執行個體建立關聯。此變更僅適用於最新版本的 AWS WAF ,不適用於 AWS WAF Classic。新增對 的支援 AWS App Runner 至 AWS WAF 您現在可以將 AWS WAF Web ACL 與 AWS App Runner 服務建立關聯。此變更僅適用於最新版本的 AWS WAF ,不適用於 AWS WAF Classic。新增對 Amazon Cognito 使用者集區的支援 AWS WAF 您現在可以將 AWS WAF Web ACL 與 Amazon Cognito 使用者集區建立關聯。此變更僅適用於最新版本的 AWS WAF ,不適用於 AWS WAF Classic。AWS WAF 指南組織的變更 新增了受管保護的頂層區段。將 CAPTCHA 區段從規則下移至新受管保護區段下。將標籤區段從規則下移至自己的頂層區段。新增對 的支援 AWS AppSync 至 AWS WAF 您現在可以將 AWS WAF Web ACL 與 AWS AppSync GraphQL API 建立關聯。此變更僅適用於最新版本的 AWS WAF ,不適用於 AWS WAF Classic。 AWS WAF 是一種 Web 應用程式防火牆,可讓您監控轉送至受保護 Web 應用程式資源的 HTTP(S) 請求。您可以保護下列資源類型: + Amazon CloudFront 分佈 + Amazon API Gateway REST API + Application Load Balancer + AWS AppSync GraphQL API + Amazon Cognito 使用者集區 + AWS App Runner 服務 + AWS 已驗證的存取執行個體 + AWS Amplify AWS WAF 可讓您控制對內容的存取。根據您指定的條件,例如請求的 IP 地址或查詢字串的值,與您的受保護資源相關聯的服務會使用請求的內容、HTTP 403 狀態碼 (禁止) 或自訂回應來回應請求。 **注意** 您也可以使用 AWS WAF 來保護託管在 Amazon Elastic Container Service (Amazon ECS) 容器中的應用程式。Amazon ECS 是一種高度可擴展的快速容器管理服務,可讓您輕鬆地在叢集上執行、停止和管理 Docker 容器。若要使用此選項,請將 Amazon ECS 設定為使用已啟用 的 Application Load Balancer AWS WAF ,以路由和保護服務中任務的 HTTP(S) layer 7 流量。如需詳細資訊,請參閱《*Amazon Elastic Container Service 開發人員指南*》中的 [Service Load Balancing](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/service-load-balancing.html)。 **Topics** + [ # 開始使用 AWS WAF ](getting-started.md) + [ # AWS WAF 運作方式 ](how-aws-waf-works.md) + [ # 在 中設定保護 AWS WAF ](web-acl.md) + [ # AWS WAF 規則 ](waf-rules.md) + [ # AWS WAF 規則群組 ](waf-rule-groups.md) + [ # 中的 Web ACL 容量單位 WCUs) AWS WAF ](aws-waf-capacity-units.md) + [ # 在 中過大 Web 請求元件 AWS WAF ](waf-oversize-request-components.md) + [ # 中支援的規則表達式語法 AWS WAF ](waf-regex-pattern-support.md) + [ # 中的 IP 集和 regex 模式集 AWS WAF ](waf-referenced-set-managing.md) + [ # 中的自訂 Web 請求和回應 AWS WAF ](waf-custom-request-response.md) + [ # 中的 Web 請求標籤 AWS WAF ](waf-labels.md) + [ # 中的智慧型威脅防禦 AWS WAF ](waf-managed-protections.md) + [ # 保護 AWS WAF 套件 (Web ACL) 流量的資料保護和記錄 ](waf-data-protection-and-logging.md) + [ # 測試和調校您的 AWS WAF 保護 ](web-acl-testing.md) + [ # AWS WAF 搭配 Amazon CloudFront 使用 ](cloudfront-features.md) + [ # 您使用 AWS WAF 服務時的安全性 ](security.md) + [ # AWS WAF 配額 ](limits.md) + [ # 將您的 AWS WAF Classic 資源遷移至 AWS WAF ](waf-migrating-from-classic.md) # 開始使用 AWS WAF 入門 AWS WAF 入門 AWS WAF 取決於您使用的主控台體驗。這兩種體驗都可以存取相同的核心 AWS WAF 功能,但它們在您設定和管理 Web 應用程式保護的方式上有所不同。 AWS WAF 提供兩種使用 主控台的選項: **新的主控台**旨在簡化標準主控台工作流程所需的 Web ACL 組態程序。您可以使用引導式工作流程,透過保護套件簡化 Web ACL 建立和管理程序。保護套件可讓您更輕鬆地在主控台中使用和管理 Web ACLs,但功能與 Web ACL 沒有差異。除了改善的保護組態程序之外,新的主控台還透過安全儀表板提供增強的防護可見性,讓您更輕鬆地在主控台中 AWS WAF 監控您的安全狀態。 **標準 AWS WAF 主控台**提供使用 Web ACLs 設定 Web 應用程式防火牆保護的傳統方法。它提供對個別規則和規則群組的精細控制,並熟悉現有 AWS WAF 使用者。使用此主控台,您可以詳細控制保護組態,以便精確自訂您的安全設定。 **提示** 選擇最符合您需求的主控台體驗。如果您是初次接觸 , AWS WAF 或想要根據 AWS 建議開始設定保護,我們建議您從新的主控台體驗開始。不過,標準體驗一律可從 主控台的導覽窗格開啟。 下列各節提供兩種主控台體驗的入門指引。檢閱每個方法,並選取最符合您安全需求和操作偏好設定的方法: **Topics** + [ # AWS WAF 開始使用新的主控台體驗 ](setup-iap-console.md) + [ # AWS WAF 開始使用標準主控台體驗 ](setup-existing-console.md) # AWS WAF 開始使用新的主控台體驗 設定 AWS WAF (新主控台) 本節將引導您使用新的主控台體驗進行設定,這可提供簡化 AWS WAF 的組態工作流程和增強的安全管理功能。 ## 存取新的主控台體驗 若要存取新的 AWS WAF 主控台體驗: 登入新的 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/wafv2-pro](https://console.aws.amazon.com/wafv2-pro) 開啟 AWS WAF 主控台。 + 在導覽窗格中,尋找並選取**嘗試新的體驗**。 **注意** 您可以隨時使用導覽窗格中的連結在主控台體驗之間切換。 ## 開始使用保護套件 (Web ACL) 本教學課程說明如何建立和設定保護套件 (Web ACL) 來保護您的應用程式。保護套件 (Web ACLs) 提供針對特定工作負載類型量身打造的預先設定安全規則。 於本教學課程中,您會了解如何: + 建立保護套件 (Web ACL) + 設定應用程式特定的保護設定 + 新增要保護 AWS 的資源 + 選擇和自訂規則 + 設定記錄和監控 **注意** AWS 對於您在本教學課程中建立的資源, 通常會向您收取每天不到 0.25 USD 的費用。當您完成時,我們建議您刪除資源以免產生不必要的費用。 ### 步驟 1:設定 AWS WAF 如果您尚未遵循 中的一般設定步驟[設定您的帳戶以使用 服務](setting-up-waf.md),請立即執行此操作。 ### 步驟 2:建立保護套件 (Web ACL) 在此步驟中,您將建立保護套件 (Web ACL),並設定其基本設定以符合您的應用程式類型。 1. 登入新的 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/wafv2-pro](https://console.aws.amazon.com/wafv2-pro) 開啟 AWS WAF 主控台。 1. 在導覽窗格中,選擇**資源與保護套件 (Web ACLs)**。 1. 在**資源與保護套件 (Web ACLs**頁面上,選擇**新增保護套件 (Web ACL)**。 1. 在**告訴我們您的應用程式**,針對**應用程式類別**,選取一或多個最能描述您應用程式的應用程式類別。 1. 針對**流量來源**,選擇應用程式處理的流量類型: + **API** - 僅適用於 API 的應用程式 + **Web** - 僅適用於 Web 的應用程式 + **API 和 Web** - 適用於處理這兩種流量的應用程式 ### 步驟 3:新增要保護的資源 現在,您將指定要使用保護套件 (Web ACL) 保護哪些 AWS 資源。 1. 在**要保護的資源**下,選擇**新增資源**。 1. 選擇要與此保護套件建立關聯的 AWS 資源類別 (Web ACL): + Amazon CloudFront 分佈 + 區域資源 如需資源類型的詳細資訊,請參閱 [將保護與 AWS 資源建立關聯](web-acl-associating.md)。 ### 步驟 4:選擇初始保護 在此步驟中,您將選取保護套件 (Web ACL) 的規則。對於第一次使用的使用者,我們建議您選擇**建議**選項。 AWS WAF 會根據您在**告訴我們您的應用程式**區段中的選擇,為您產生**建議**。這些套件會為您的應用程式類型實作安全最佳實務。 + 選擇**下一步**以繼續保護套件 (Web ACL) 設定。 **注意** 如果您有興趣建立自訂規則或使用**您建置的** 選項,建議您先取得預先設定選項的體驗。如需建立自訂保護套件 (Web ACLs) 和規則的詳細資訊,請參閱 [在 中建立保護套件 (Web ACL) AWS WAF](web-acl-creating.md)。 ### 步驟 5:自訂保護套件 (Web ACL) 設定 現在,您將設定其他設定,例如預設動作、速率限制和記錄。 1. 在**名稱和描述**下,輸入保護套件的名稱 (Web ACL)。或者,輸入描述。 **注意** 您無法在建立保護套件 (Web ACL) 之後變更名稱。 1. 在**自訂保護套件 (Web ACL)** 下,設定下列設定: 1. 在**預設規則動作**下,為不符合任何規則的請求選擇預設動作。如需詳細資訊,請參閱[中的自訂 Web 請求和回應 AWS WAF](waf-custom-request-response.md)。 1. 在**規則組態**下,自訂這些設定: + **預設速率限制** - 設定限制以防止 DDoS 攻擊 + **IP 地址** - 設定 IP 允許/封鎖清單 + 國家/**地區特定原始**伺服器 - 依國家/地區管理存取權 1. 針對**記錄目的地**,設定您要存放日誌的位置。如需詳細資訊,請參閱[AWS WAF 記錄目的地](logging-destinations.md)。 1. 檢閱您的設定,然後選擇**新增保護套件 (Web ACL)**。 ### 步驟 6:清理資源 現在,您已成功完成教學課程。為了防止您的帳戶產生 AWS WAF 額外費用,您應該刪除您建立的保護套件 (Web ACL),或修改它以符合您的生產需求。 **刪除您的保護套件 (Web ACL)** 1. 在導覽窗格中,選擇**資源與保護套件 (Web ACLs)**。 1. 選取您建立的保護套件 (Web ACL)。 1. 選擇垃圾桶圖示,然後輸入「刪除」來確認刪除。 **注意** 如果您計劃在生產環境中使用此保護套件 (Web ACL),而不是將其刪除,您應該檢閱和調整保護設定,以符合應用程式的安全需求。 # AWS WAF 開始使用標準主控台體驗 設定 AWS WAF (標準主控台) AWS WAF 主控台會引導您完成設定程序 AWS WAF ,以根據您指定的條件封鎖或允許 Web 請求,例如請求源自的 IP 地址或請求中的值。在此步驟中,您會建立保護套件 (Web ACL)。如需 AWS WAF 保護套件 (Web ACLs) 的詳細資訊,請參閱 [在 中設定保護 AWS WAF](web-acl.md)。 本教學課程說明如何使用 AWS WAF 來執行下列任務: + 設定 AWS WAF。 + 使用 AWS WAF 主控台中的精靈建立 Web 存取控制清單 (Web ACL)。 **建立 Web ACL** 1. 登入 AWS 管理主控台 並開啟位於 https://[https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2) 的 AWS WAF 主控台。 1. 在 AWS WAF 首頁中,選擇**建立 Web ACL**。 1. 對於 **Name (名稱)**,輸入您要用來識別此 Web ACL 的名稱。 **注意** 建立 Web ACL 後無法修改名稱。 1. (選擇性) 對於 **Description - optional (描述 - 選用性)**,如果需要,請為 Web ACL 輸入較長的描述。 1. 對於 **CloudWatch 指標名稱**,如果適用,請變更預設名稱。遵循主控台上的指引,以瞭解有效的字元。名稱不能包含特殊字元、空格或保留給 AWS WAF使用的指標名稱,包括「All」和「Default\$1Action」。 **注意** 您無法在建立 Web ACL 之後變更 CloudWatch 指標名稱。 1. 對於 **Resource type (資源類型)**,選擇 **CloudFront distributions (CloudFront 分發)**。**Region (區域)** 會自動填入 CloudFront 分發的 **Global (CloudFront) (全域 (CloudFront))**。 1. (選用) 對於**關聯的 AWS 資源 - 選用**,選擇**新增 AWS 資源**。在對話方塊中,選擇您要關聯的資源,然後選擇**新增**。 AWS WAF 會返回**描述 Web ACL 和關聯的 AWS 資源**頁面。 1. 選擇**下一步**。 **注意** AWS 對於您在本教學課程中建立的資源, 通常會向您收取每天不到 0.25 USD 的費用。當您完成此教學課程,我們建議您刪除資源以免產生不必要的費用。 ## 步驟 1:設定 AWS WAF 如果您尚未遵循 中的一般設定步驟[設定您的帳戶以使用 服務](setting-up-waf.md),請立即執行此操作。 ## 步驟 2:建立 Web ACL AWS WAF 主控台會引導您完成設定程序 AWS WAF ,以根據您指定的條件封鎖或允許 Web 請求,例如請求源自的 IP 地址或請求中的值。在此步驟中,建立Web ACL。如需 AWS WAF Web ACLs的詳細資訊,請參閱 [在 中設定保護 AWS WAF](web-acl.md)。 **建立 Web ACL** 1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2) 開啟 AWS WAF 主控台。 1. 在 AWS WAF 首頁中,選擇**建立 Web ACL**。 1. 對於 **Name (名稱)**,輸入您要用來識別此 Web ACL 的名稱。 **注意** 建立 Web ACL 後無法修改名稱。 1. (選擇性) 對於 **Description - optional (描述 - 選用性)**,如果需要,請為 Web ACL 輸入較長的描述。 1. 對於 **CloudWatch 指標名稱**,如果適用,請變更預設名稱。遵循主控台上的指引,以瞭解有效的字元。名稱不能包含特殊字元、空格或保留給 AWS WAF使用的指標名稱,包括「All」和「Default\$1Action」。 **注意** 您無法在建立 Web ACL 之後變更 CloudWatch 指標名稱。 1. 對於 **Resource type (資源類型)**,選擇 **CloudFront distributions (CloudFront 分發)**。**Region (區域)** 會自動填入 CloudFront 分發的 **Global (CloudFront) (全域 (CloudFront))**。 1. (選用) 對於**關聯的 AWS 資源 - 選用**,選擇**新增 AWS 資源**。在對話方塊中,選擇您要關聯的資源,然後選擇**新增**。 AWS WAF 會返回**描述 Web ACL 和關聯的 AWS 資源**頁面。 1. 選擇**下一步**。 ## 步驟 3:新增字串比對規則 在此步驟中,您會建立使用字串比對陳述式的規則,並指出如何處理比對請求。字串比對規則陳述式可識別您要 AWS WAF 在請求中搜尋的字串。通常,字串包含可列印 ASCII 字元,但您可以指定十六字元範圍 0x00 到 0xFF 的任何字元 (小數點 0 到 255)。除了指定要搜尋的字串之外,您還可以指定要搜尋的 Web 請求元件,例如標頭、查詢字串或請求內文。 此陳述式類型在 Web 請求元件上運作,且需要下列請求元件設定: + **請求元件** – 要檢查的 Web 請求部分,例如查詢字串或內文。 **警告** 如果您檢查請求元件**內**文、**JSON 內文**、**標頭**或 **Cookie**,請閱讀有關 AWS WAF 可檢查多少內容的限制[在 中過大 Web 請求元件 AWS WAF](waf-oversize-request-components.md)。 如需 Web 請求元件的詳細資訊,請參閱 [在 中調整規則陳述式設定 AWS WAF](waf-rule-statement-fields.md)。 + **選用文字轉換** – AWS WAF 您想要在檢查請求元件之前對請求元件執行的轉換。例如,您可以將 轉換為小寫或標準化空格。如果您指定多個轉換, 會依列出的順序 AWS WAF 處理它們。如需相關資訊,請參閱[在 中使用文字轉換 AWS WAF](waf-rule-statement-transformation.md)。 如需 AWS WAF 規則的其他資訊,請參閱 [AWS WAF 規則](waf-rules.md)。 **建立字串比對規則陳述式** 1. 在 **Add rules and rule groups (新增規則和規則群組)** 頁面上,選擇 **Add rules (新增規則)**、**Add my own rules and rule groups (新增我自己的規則和規則群組)**、**Rule builder (規則建置器)** 及 **Rule visual editor (規則視覺化編輯器)**。 **注意** 主控台提供 **Rule visual editor (規則視覺化編輯器)** 和 **Rule JSON editor (規則 JSON 編輯器)**。JSON 編輯器可讓您在 Web ACL 之間輕鬆複製組態,並且是更複雜的規則集所需,例如具有多層巢狀的規則集。 此程序使用 **Rule visual editor (規則視覺化編輯器)**。 1. 對於 **Name (名稱)**,輸入您要用來識別此規則的名稱。 1. 對於 **Type (類型)**,選擇 **Regular rule (一般規則)**。 1. 對於 **If a request (如果請求)**,選擇 **matches the statement (比對陳述式)**。 其他選項適用於邏輯規則陳述式類型。您可以使用它們來合併或否定其他規則陳述式的結果。 1. 在**陳述**式上,針對**檢查**,開啟下拉式清單,然後選擇您要檢查的 Web AWS WAF 請求元件。在此範例中,選擇**單一標頭**。 選擇**單一標頭**時,您也可以指定要 AWS WAF 檢查的標頭。輸入 **User-Agent**。此值不會區分大小寫。 1. 對於 **Match type (比對類型)**,選擇指定的字串必須顯示在 `User-Agent` 標頭中的位置。 對於此範例,選擇 **Exactly matches string (完全符合字串)**。這表示 會 AWS WAF 檢查每個 Web 請求中的使用者代理程式標頭是否有與您指定的字串相同的字串。 1. 對於 **String to match (要比對的字串)**,指定您要 AWS WAF 搜尋的字串。**String to match (符合值)** 的長度上限為 200 個字元。如果您想要指定 base64 編碼值,可在編碼前指定最多 200 個字元。 在此範例中,輸入 **MyAgent**。 AWS WAF 將在 Web 請求中檢查 `User-Agent`標頭的值 `MyAgent`。 1. 將 **Text transformation (文字轉換)** 保持設定為 **None (無)**。 1. 針對**動作**,選取您希望規則在符合 Web 請求時採取的動作。在此範例中,選擇**計數**並保留其他選項。計數動作會為符合規則的 Web 請求建立指標,但不會影響是否允許或封鎖請求。如需動作選擇的詳細資訊,請參閱 [在 中使用規則動作 AWS WAF](waf-rule-action.md)和 [設定規則優先順序](web-acl-processing-order.md)。 1. 選擇**新增規則**。 ## 步驟 4:新增 AWS 受管規則規則群組 AWS 受管規則提供一組受管規則群組供您使用,其中大多數都是免費提供給 AWS WAF 客戶。如需規則群組的詳細資訊,請參閱[AWS WAF 規則群組](waf-rule-groups.md)。我們會將 AWS 受管規則規則群組新增至此 Web ACL。 **新增 AWS 受管規則規則群組** 1. 在 **Add rules and rule groups (新增規則和規則群組)** 頁面上,選擇 **Add rules (新增規則)**,然後選擇 **Add managed rule groups (新增受管規則群組)**。 1. 在**新增受管規則群組**頁面上,展開**AWS 受管規則群組**的清單。(您也會看到提供給 AWS Marketplace 賣方的清單。 您可以訂閱其方案,然後以與 AWS 受管規則規則群組相同的方式使用它們。) 1. 對於您要新增的規則群組,請執行下列動作: 1. 在**動作**欄中,開啟**新增至 Web ACL** 切換。 1. 選取**編輯**,然後在規則群組的**規則**清單中,開啟**覆寫所有規則動作**下拉式清單,然後選取 **Count**。這會將規則群組中所有規則的動作設定為僅計數。這可讓您查看規則群組中的所有規則如何在 Web 請求中運作,然後再使用任何規則群組。 1. 選擇**儲存規則**。 1. 在**新增受管規則群組**頁面中,選擇**新增規則**。這會讓您返回**新增規則和規則群組**頁面。 ## 步驟 5:完成 Web ACL 組態 完成將規則和規則群組新增至 Web ACL 組態時,請在 Web ACL 中管理規則的優先順序,以及進行指標、標記和記錄等設定來完成工作。 **完成您的 Web ACL 組態** 1. 在 **Add rules and rule groups (新增規則和規則群組)** 頁面上,選擇 **Next (下一步)**。 1. 在**設定規則優先順序**頁面上,您可以在 Web ACL 中查看規則和規則群組的處理順序。 會從清單頂端開始 AWS WAF 處理它們。您可以上下移動規則來變更處理順序。若要這樣做,請在清單中選取一個,然後選擇 **Move up (上移)** 或 **Move down (下移)**。如需有關規則優先順序的詳細資訊,請參閱 [設定規則優先順序](web-acl-processing-order.md)。 1. 選擇**下一步**。 1. 在**設定指標**頁面上,對於 **Amazon CloudWatch 指標**,您可以查看規則和規則群組的計劃指標,也可以查看 Web 請求取樣選項。如需檢視取樣請求的詳細資訊,請參閱 [檢視 Web 請求的範例](web-acl-testing-view-sample.md)。如需 Amazon CloudWatch 指標的相關資訊,請參閱 [使用 Amazon CloudWatch 監控](monitoring-cloudwatch.md)。 您可以在 AWS WAF 主控台的 Web ACL 頁面上,流量概觀索引標籤下存取 Web **流量**指標的摘要。主控台儀表板提供 Web ACL Amazon CloudWatch 指標的近乎即時摘要。如需詳細資訊,請參閱[保護套件的流量概觀儀表板 (Web ACLs)](web-acl-dashboards.md)。 1. 選擇**下一步**。 1. 在 **Review and create web ACL (檢閱並建立 Web ACL)** 頁面上,檢閱您的設定,然後選擇 **Create web ACL (建立 Web ACL)**。 精靈會將您返回列出新 **Web ACL** 的 Web ACL 頁面。 ## 步驟 6:清理資源 現在,您已成功完成教學課程。若要防止您的帳戶產生 AWS WAF 額外費用,請清除您建立的 AWS WAF 物件。或者,您可以變更組態,以符合您真正要使用的 Web 請求 AWS WAF。 **注意** AWS 對於您在本教學課程中建立的資源, 通常會向您收取每天不到 0.25 USD 的費用。當您完成時,我們建議您刪除資源以免產生不必要的費用。 **刪除 AWS WAF 收費的物件** 1. 在 **Web ACL** 頁面中,從清單中選擇您的 Web ACL,然後選擇**編輯**。 1. 在**關聯的 AWS 資源**索引標籤上,針對每個相關聯的資源,選取資源名稱旁的選項按鈕,然後選擇**取消關聯**。這會取消 Web ACL 與 AWS 資源的關聯。 1. 在下列每個畫面中,選擇**下一步**,直到您返回 **Web ACL** 頁面。 在 **Web ACL** 頁面中,從清單中選擇您的 Web ACL,然後選擇**刪除**。 規則和規則陳述式無法存在於規則群組和 Web ACL 定義之外。如果您刪除 Web ACL,這會刪除您在 Web ACL 中定義的所有個別規則。當您從 Web ACL 移除某個規則群組時,您只是移除對它的參考。 # AWS WAF 運作方式 AWS WAF 新增主控台使用者體驗 AWS WAF 主控台現在具有簡化的加入工作流程,以及透過保護套件 (Web ACLs) 管理 Web ACLs改善方式。 您可以使用 AWS WAF 來控制受保護的資源如何回應 HTTP(S) Web 請求。您可以透過定義 Web 存取控制清單 (Web ACL),然後將其與您要保護的一或多個 Web 應用程式資源建立關聯來執行此操作。相關聯的 資源會將傳入的請求轉送至 AWS WAF ,以供 Web ACL 檢查。 **新的主控台**可簡化 Web ACL 組態程序。它引入了保護套件來簡化設定,同時保持對安全規則的完全控制。 保護套件是 Web ACLs 的新位置,可簡化主控台中的 Web ACL 管理,但不會變更基礎 Web ACL 功能。使用標準主控台或 API 時,您仍然會直接使用 Web ACLs。 在保護套件 (Web ACL) 中,您可以建立規則來定義要在請求中尋找的流量模式,並指定要對相符請求採取的動作。動作選擇包括下列項目: + 允許請求前往受保護的資源進行處理和回應。 + 封鎖請求。 + 計數請求。 + 針對請求執行 CAPTCHA 或挑戰檢查,以驗證人類使用者和標準瀏覽器的使用。 **AWS WAF 元件** 以下是 的中央元件 AWS WAF: + **Web ACLs** – 您可以使用 Web 存取控制清單 (Web ACL) 來保護一組 AWS 資源。您可以建立一個 Web ACL,並透過新增規則來定義其保護策略。規則會定義檢查 Web 請求的條件,並指定針對符合其條件的請求所要採取的動作。您也可以為 Web ACL 設定預設動作,指出是否透過規則尚未封鎖或允許的任何請求來封鎖或允許 。如需 Web ACL 的詳細資訊,請參閱[在 中設定保護 AWS WAF](web-acl.md)。 Web ACL 是 AWS WAF 資源。 + **保護套件 (Web ACL)** – 在新的主控台中,保護套件是 Web ACLs的新位置。在設定期間,您會提供應用程式和資源的相關資訊。 AWS WAF 會針對您的案例提供量身打造的保護套件,然後建立 Web ACL,其中包含您所選保護套件 (Web ACL) 定義的規則、規則群組和動作。如需保護套件 (Web ACLs) 的詳細資訊,請參閱 [在 中設定保護 AWS WAF](web-acl.md)。 保護套件 (Web ACL) 是 AWS WAF 資源。 + **規則** – 每個規則都包含定義檢查條件的陳述式,以及在 Web 請求符合條件時要採取的動作。當 Web 請求符合準則時,這是一個相符。您可以設定規則來封鎖相符的請求、允許它們通過、計數它們,或對使用 CAPTCHA 拼圖或靜音用戶端瀏覽器挑戰的請求執行機器人控制。如需規則的詳細資訊,請參閱[AWS WAF 規則](waf-rules.md)。 規則不是 AWS WAF 資源。它只存在於保護套件 (Web ACL) 或規則群組的內容中。 + **規則群組** – 您可以直接在保護套件 (Web ACL) 內或在可重複使用的規則群組中定義規則。 AWS 受管規則和 AWS Marketplace 賣方會提供受管規則群組供您使用。您也可以定義自己的規則群組。如需規則群組的詳細資訊,請參閱[AWS WAF 規則群組](waf-rule-groups.md)。 規則群組是 AWS WAF 資源。 + **Web ACL 容量單位 (WCUs)** – AWS WAF 使用 WCUs 計算和控制執行規則、規則群組、保護套件 (Web ACLs) 或 Web ACLs 所需的操作資源。 WCU 不是 AWS WAF 資源。它只存在於保護套件 (Web ACL)、規則或規則群組的內容中。 # 您可以使用 保護的資源 AWS WAF 您可以使用 AWS WAF 保護套件 (Web ACL) 來保護全域或區域資源類型。您可以透過將保護套件 (Web ACL) 與您要保護的資源建立關聯來執行此操作。保護套件 (Web ACL) 及其使用的任何 AWS WAF 資源都必須位於關聯資源所在的 區域中。對於 Amazon CloudFront 分佈,這會設定為美國東部 (維吉尼亞北部)。 **Amazon CloudFront 分佈** 您可以使用 AWS WAF 主控台或 APIs,將 AWS WAF 保護套件 (Web ACL) 與 CloudFront 分佈建立關聯。您也可以在建立或更新分佈本身時,將保護套件 (Web ACL) 與 CloudFront 分佈建立關聯。若要在 中設定關聯 AWS CloudFormation,您必須使用 CloudFront 分佈組態。如需 Amazon CloudFront 的相關資訊,請參閱《*Amazon CloudFront 開發人員指南*》中的[使用 AWS WAF 控制對內容的存取](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-awswaf.html)。 AWS WAF 可供 CloudFront 分發全域使用,但您必須使用美國東部區域 (維吉尼亞北部) 來建立保護套件 (Web ACL) 和保護套件 (Web ACL) 中使用的任何資源,例如規則群組、IP 集和 regex 模式集。有些界面提供「全域 (CloudFront)」的區域選擇。選擇此項目與選擇美國東部 (維吉尼亞北部) 或「us-east-1」區域相同。 **區域資源** 您可以在 AWS WAF 可使用 的所有區域中保護區域資源。您可以在 的[AWS WAF 端點和配額](https://docs.aws.amazon.com/general/latest/gr/waf.html)中查看清單*Amazon Web Services 一般參考*。 您可以使用 AWS WAF 來保護下列區域資源類型: + Amazon API Gateway REST API + Application Load Balancer + AWS AppSync GraphQL API + Amazon Cognito 使用者集區 + AWS App Runner 服務 + AWS 已驗證的存取執行個體 + AWS Amplify 您只能將保護套件 (Web ACL) 與其中的 Application Load Balancer 建立關聯 AWS 區域。例如,您無法將保護套件 (Web ACL) 與開啟的 Application Load Balancer 建立關聯 AWS Outposts。 您必須建立想要與 Global CloudFront 區域中的 Amplify 應用程式建立關聯的任何保護套件 (Web ACL)。您的 中可能已有區域保護套件 (Web ACL) AWS 帳戶,但它們與 Amplify 不相容。 保護套件 (Web ACL) 及其使用的任何其他 AWS WAF 資源必須位於與受保護資源相同的區域中。監控和管理受保護區域資源的 Web 請求時, 會將所有資料 AWS WAF 保留在與受保護資源相同的區域中。 **多個資源關聯的限制** 您可以使用下列限制,將單一保護套件 (Web ACL) 與一或多個 AWS 資源建立關聯: + 每個 AWS 資源只能與一個保護套件 (Web ACL) 建立關聯。保護套件 (Web ACL) 與 AWS 資源之間的關係是one-to-many。 + 您可以將保護套件 (Web ACL) 與一或多個 CloudFront 分佈建立關聯。您無法將與 CloudFront 分佈相關聯的保護套件 (Web ACL) 與任何其他 AWS 資源類型建立關聯。 # 使用更新的主控台體驗 AWS WAF 提供兩種使用 主控台的選項: **新的主控台**旨在簡化標準主控台工作流程所需的 Web ACL 組態程序。您可以使用引導式工作流程,透過保護套件 (Web ACL) 簡化 Web ACL 建立和管理程序。保護套件 (Web ACL) 可讓您更輕鬆地在主控台中使用和管理 Web ACLs,但功能與 Web ACL 沒有差異。除了改善的保護組態程序之外,新的主控台還透過安全儀表板提供增強的防護可見性,讓您更輕鬆地在 AWS WAF 主控台中監控您的安全狀態。 **標準 AWS WAF 主控台**提供使用 Web ACLs 設定 Web 應用程式防火牆保護的傳統方法。它提供對個別規則和規則群組的精細控制,並熟悉現有 AWS WAF 使用者。使用此主控台,您可以詳細控制保護組態,以便精確自訂您的安全設定。 **提示** 選擇最符合您需求的主控台體驗。如果您剛接觸 AWS WAF 或想要根據 AWS 建議開始設定保護,我們建議您從新的主控台體驗開始。不過,標準體驗一律可從 主控台的導覽窗格開啟。 ## 新主控台和標準主控台體驗之間的功能同位 新的主控台體驗會維持與現有主控台的完整功能同位,同時引進新功能: + 所有現有 AWS WAF 功能仍然可用 + 透過統一儀表板增強可見性 + 簡化的組態工作流程 + 新的保護套件 (Web ACL) 範本 **重要** 新的主控台體驗使用與現有主控台相同的 WAFv2 APIs。這表示在新主控台中建立的保護套件會在 API 層級實作為標準 WAFv2 Web ACLs。 ## 主要差異 **主控台體驗的比較** | 功能 | 先前的 AWS WAF 主控台體驗 | 更新的主控台體驗 | | --- | --- | --- | | 組態程序 | 多頁工作流程 | 單頁界面 | | 規則組態 | 建立個別規則 | 預先設定保護套件的選項 | | 監控 | 個別儀表板 | 統一可見性,包括 AI 流量分析 | ## 了解新的儀表板 可透過新 取得的儀表板可透過這些視覺化效果,統一了解您的安全狀態: **流量洞察建議** – AWS 威脅情報會監控您過去 2 週的允許流量、分析漏洞,並提供下列項目: + 流量型規則建議 + 應用程式特定的安全建議 + 保護最佳化指引 **摘要** – 顯示指定時間範圍內所有流量的請求計數。您可以使用下列條件來篩選流量資料: + **規則** – 依保護套件中的個別規則篩選。 + **動作** – 顯示對 Allow、Block、Captcha 和 Challenge 等流量所採取特定動作的計數。 + **流量類型** – 僅顯示特定流量類型的計數,例如 anti-DDoS 或機器人。 + **時間範圍 ** – 從預先定義的時間範圍中選擇,或設定自訂範圍。 + **本機或 UTC 時間** – 您可以設定偏好的時間格式。 **AI 流量分析** – 提供 AI 機器人和代理程式活動的全面可見性: + **機器人識別** – 機器人名稱、組織和驗證狀態。 + **意圖分析** – AI 代理器的目的和行為模式。 + **存取模式** – 最常存取URLs 和端點。 + **時間趨勢** – 一天中的時間和歷史趨勢的活動模式 (0-14 天)。 + **流量特性** – AI 流量的磁碟區、分佈和異常偵測。 **保護活動** – 視覺化您的保護規則及其順序如何有助於終止動作。 + **流量流經您的規則** – 顯示流量流經您的規則。從**連續規則檢視**切換到**非連續規則檢視**,以查看規則順序如何影響結果。 + **規則動作及其結果** – 顯示規則在指定期間內對流量採取的終止動作。 **動作總計 ** – 視覺化在指定時間範圍內對請求所採取動作總數的圖表。使用**過去 3 小時浮水印**選項,將目前時間範圍與前 3 小時時間範圍進行比較。您可以依下列條件篩選資料: + **允許動作** + **動作總數** + **Captcha 動作** + **挑戰動作** + **封鎖動作** **所有規則** – 視覺化保護套件中所有規則指標的圖表。 + 使用 **Overlay 過去 3 小時**選項,比較目前時間範圍與前 3 小時時間範圍。 **概觀儀表板** – 提供安全狀態的完整圖形檢視,包括下列項目: + **流量特性** – 請參閱依原始伺服器、攻擊類型或依傳送請求之用戶端裝置類型的流量概觀。 + **規則特性** – 10 個最常見規則和終止動作的攻擊明細。 + **機器人** – 視覺化機器人活動、偵測、類別和機器人相關訊號標籤。 + **反 DDoS** – 偵測到和緩解的 layer 7 DDoS 活動的概觀。 # 在 中設定保護 AWS WAF 設定保護 此頁面說明什麼是保護套件 (Web ACLs) 及其運作方式。 保護套件 (Web ACL) 可讓您精細控制受保護資源回應的所有 HTTP(S) Web 請求。您可以保護 Amazon CloudFront、Amazon API Gateway、Application Load Balancer AWS AppSync、Amazon Cognito、 AWS App Runner AWS Amplify、Amazon CloudWatch 和 AWS Verified Access 資源。 您可以使用如下的準則來允許或封鎖請求: + 請求的 IP 地址來源 + 請求的來源國家/地區 + 字串比對或規則運算式 (regex) 在請求的一部分比對 + 請求的特定部分的大小 + 偵測惡意 SQL 程式碼或指令碼 您也可以測試這些條件的任何組合。您可以封鎖或計數不僅符合指定條件的 Web 請求,也可以在一分鐘內超過指定的請求數量。您可以使用邏輯運算子結合條件。您也可以針對請求執行 CAPTCHA 拼圖和靜音用戶端工作階段挑戰。 您在 AWS WAF 規則陳述式中提供相符條件和要對相符項目採取的動作。您可以直接在保護套件 (Web ACL) 內以及保護套件 (Web ACL) 中使用的可重複使用規則群組中定義規則陳述式。如需選項的完整清單,請參閱 [在 中使用規則陳述式 AWS WAF](waf-rule-statements.md)和 [在 中使用規則動作 AWS WAF](waf-rule-action.md)。 當您建立保護套件 (Web ACL) 時,您可以指定要使用的 資源類型。如需相關資訊,請參閱[在 中建立保護套件 (Web ACL) AWS WAF](web-acl-creating.md)。定義保護套件 (Web ACL) 之後,您可以將其與您的資源建立關聯,以開始為它們提供保護。如需詳細資訊,請參閱[將保護與 AWS 資源建立關聯或取消關聯](web-acl-associating-aws-resource.md)。 **注意** 在某些情況下, AWS WAF 可能會遇到內部錯誤,延遲回應有關是否允許或封鎖請求的相關 AWS 資源。在這些情況下,CloudFront 通常會允許請求或提供內容,而區域服務通常會拒絕請求且不提供內容。 **生產流量風險** 在生產流量的保護套件 (Web ACL) 中部署變更之前,請先在預備或測試環境中進行測試和調校,直到您對流量的潛在影響感到滿意為止。然後,使用生產流量在計數模式中測試和調整更新的規則,然後再啟用它們。如需準則,請參閱[測試和調校您的 AWS WAF 保護](web-acl-testing.md)。 **注意** 在保護套件 (Web ACL) 中使用超過 1,500 WCUs 會產生超出基本保護套件 (Web ACL) 價格的成本。如需詳細資訊,請參閱 [中的 Web ACL 容量單位 WCUs) AWS WAF](aws-waf-capacity-units.md) 和 [AWS WAF 定價](https://aws.amazon.com/waf/pricing/)。 **更新期間的暫時性不一致** 當您建立或變更保護套件 (Web ACL) 或其他 AWS WAF 資源時,變更會花費少量的時間傳播到存放資源的所有區域。傳播時間可以是幾秒鐘到幾分鐘。 以下是您在變更傳播期間可能注意到的暫時不一致的範例: + 建立保護套件 (Web ACL) 之後,如果您嘗試將其與資源建立關聯,您可能會收到例外狀況,指出保護套件 (Web ACL) 無法使用。 + 將規則群組新增至保護套件 (Web ACL) 之後,新的規則群組規則可能會在使用保護套件 (Web ACL) 的一個區域中生效,而不會在另一個區域中生效。 + 變更規則動作設定後,您可能會在某些地方看到舊動作,在其他地方看到新動作。 + 將 IP 地址新增至封鎖規則中使用的 IP 集之後,新的地址可能會在某個區域中遭到封鎖,同時仍允許在另一個區域中封鎖。 **Topics** + [ # 在 中建立保護套件 (Web ACL) AWS WAF ](web-acl-creating.md) + [ # 在 中編輯保護套件 (Web ACL) AWS WAF ](web-acl-editing.md) + [ # 管理規則群組行為 ](web-acl-rule-group-settings.md) + [ # 將保護與 AWS 資源建立關聯或取消關聯 ](web-acl-associating-aws-resource.md) + [ # 在 中使用保護套件 (Web ACLs) 搭配規則和規則群組 AWS WAF ](web-acl-processing.md) + [ # 在 中設定保護套件 (Web ACL) 預設動作 AWS WAF ](web-acl-default-action.md) + [ # 在 中管理主體檢查的考量事項 AWS WAF ](web-acl-setting-body-inspection-limit.md) + [ # 在 中設定 CAPTCHA、挑戰和字符 AWS WAF ](web-acl-captcha-challenge-token-domains.md) + [ # 在 中檢視 Web 流量指標 AWS WAF ](web-acl-working-with.md) + [ # 刪除保護套件 (Web ACL) ](web-acl-deleting.md) # 在 中建立保護套件 (Web ACL) AWS WAF 建立保護套件 (Web ACL) ------ #### [ Using the new console ] 本節提供透過新 AWS 主控台建立保護套件 (Web ACLs) 的程序。 若要建立新的保護套件 (Web ACL),請依照此頁面的程序使用保護套件 (Web ACL) 建立精靈。 **生產流量風險** 在生產流量的保護套件 (Web ACL) 中部署變更之前,請先在預備或測試環境中進行測試和調校,直到您對流量的潛在影響感到滿意為止。然後,使用生產流量在計數模式中測試和調整更新的規則,然後再啟用它們。如需準則,請參閱[測試和調校您的 AWS WAF 保護](web-acl-testing.md)。 **注意** 在保護套件 (Web ACL) 中使用超過 1,500 WCUs 會產生超出基本保護套件 (Web ACL) 價格的成本。如需詳細資訊,請參閱 [中的 Web ACL 容量單位 WCUs) AWS WAF](aws-waf-capacity-units.md) 和 [AWS WAF 定價](https://aws.amazon.com/waf/pricing/)。 1. 登入新的 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/wafv2-pro](https://console.aws.amazon.com/wafv2-pro) 開啟 AWS WAF 主控台。 1. 在導覽窗格中,選擇**資源與保護套件 (Web ACLs)**。 1. 在**資源與保護套件 (Web ACLs**頁面上,選擇**新增保護套件 (Web ACL)**。 1. 在**告訴我們您的應用程式**,針對**應用程式類別**,選取一或多個應用程式類別。 1. 針對**流量來源**,選擇應用程式與 **API**、**Web** 或 **API 和 Web 兩者**互動的流量類型。 1. 在**要保護的資源下,**選擇**新增資源**。 1. 選擇您要與此保護套件 (Web ACL) 建立關聯的資源類別 AWS ,可以是 Amazon CloudFront 分佈或區域資源。如需詳細資訊,請參閱[將保護與 AWS 資源建立關聯或取消關聯](web-acl-associating-aws-resource.md)。 1. 在**選擇初始保護下,**選取您偏好的保護層級:**建議**、**必要**或您**建置保護**層級。 1. (選用) 如果您選擇**您建置它**,請建置您的規則。 1. (選用) 如果您想要新增自己的規則,請在**新增規則**頁面上,選擇**自訂規則**,然後選擇**下一步**。 1. 選擇規則類型。 1. 對於 **Action (動作)**,選取規則在比對到 Web 請求時要採取的動作。如需有關您的選擇的相關資訊,請參閱 [在 中使用規則動作 AWS WAF](waf-rule-action.md)和 [在 中使用保護套件 (Web ACLs) 搭配規則和規則群組 AWS WAF](web-acl-processing.md)。 如果您使用的是 **CAPTCHA**或 **Challenge**動作,請視需要調整規則的**抗擾性時間**組態。如果您未指定 設定,則規則會從保護套件 (Web ACL) 繼承它。若要修改保護套件 (Web ACL) 豁免時間設定,請在建立保護套件 (Web ACL) 之後對其進行編輯。如需豁免時間的詳細資訊,請參閱 [在 中設定時間戳記過期和字符豁免時間 AWS WAF](waf-tokens-immunity-times.md)。 **注意** 當您在其中一個規則中使用 CAPTCHA或 Challenge規則動作,或做為規則群組中的規則動作覆寫時,需支付額外費用。如需詳細資訊,請參閱[AWS WAF 定價](https://aws.amazon.com/waf/pricing/)。 如果您想要自訂請求或回應,請選擇該請求的選項,並填寫自訂的詳細資訊。如需詳細資訊,請參閱[中的自訂 Web 請求和回應 AWS WAF](waf-custom-request-response.md)。 如果您想要讓規則將標籤新增至相符的 Web 請求,請選擇該請求的選項,然後填入標籤詳細資訊。如需詳細資訊,請參閱[中的 Web 請求標籤 AWS WAF](waf-labels.md)。 1. 對於 **Name (名稱)**,輸入您要用來識別此規則的名稱。請勿使用以 `AWS`、`PreFM`、 `Shield`或 開頭的名稱`PostFM`。這些字串是預留的,或可能導致與其他 服務為您管理的規則群組混淆。 1. 根據您的需求輸入規則定義。您可以在邏輯`AND`和規則陳述式中結合`OR`規則。精靈會根據內容,引導您完成每個規則的選項。如需規則選項的相關資訊,請參閱 [AWS WAF 規則](waf-rules.md)。 1. 選擇**建立規則**。 **注意** 如果您將多個規則新增至保護套件 (Web ACL), 會依為保護套件列出的順序 AWS WAF (Web ACL) 評估規則。如需詳細資訊,請參閱[在 中使用保護套件 (Web ACLs) 搭配規則和規則群組 AWS WAF](web-acl-processing.md)。 1. (選用) 如果您要新增受管規則群組,請在**新增規則**頁面上,選擇 **AWS受管規則群組**或 **AWS Marketplace 規則群組**,然後選擇**下一步**。對於您要新增的每個受管規則群組執行下列動作: 1. 在**新增規則**頁面上,展開受管 AWS 規則群組或 AWS Marketplace 賣方的清單。 1. 選擇規則群組的版本。 1. 若要自訂保護套件 (Web ACL) 使用規則群組的方式,請選擇**編輯**。以下是常見的自訂設定: + 在檢查區段中新增縮小範圍陳述式,以減少規則群組**檢查**的 Web 請求範圍。如需此選項的詳細資訊,請參閱[在 中使用縮小範圍陳述式 AWS WAF](waf-rule-scope-down-statements.md)。 + 覆寫規則覆寫中部分或全部規則**的規則**動作。如果您未定義規則的覆寫動作,評估會使用規則群組內定義的規則動作。如需此選項的詳細資訊,請參閱[在 中覆寫規則群組動作 AWS WAF](web-acl-rule-group-override-options.md)。 + 有些受管規則群組會要求您提供額外的組態。請參閱受管規則群組提供者的文件。如需 AWS 受管規則規則群組的特定資訊,請參閱 [AWS 的受管規則 AWS WAF](aws-managed-rule-groups.md)。 1. 選擇**下一步**。 1. (選用) 如果您想要新增自己的規則群組,請在**新增規則**頁面上,選擇**自訂規則群組**,然後選擇**下一步**。對於您要新增的每個規則群組執行下列動作: 1. 針對**名稱**,在此保護套件 (Web ACL) 中輸入您要用於規則群組規則的名稱。請勿使用以 `AWS`、`PreFM`、 `Shield`或 開頭的名稱`PostFM`。這些字串是預留的,或可能導致與其他 服務為您管理的規則群組混淆。請參閱 [辨識其他服務提供的規則群組](waf-service-owned-rule-groups.md)。 1. 從清單中選擇您的規則群組。 1. (選用) 在**規則組態**下,選擇**規則覆寫**。您可以將規則動作覆寫為任何有效的動作設定,就像對受管規則群組所做的一樣。 1. (選用) 在**新增標籤**下,選擇**新增標籤**,然後輸入要新增至符合規則之請求的任何標籤。稍後在相同保護套件 (Web ACL) 中評估的規則可以參考此規則新增的標籤。 1. 選擇**建立規則**。 1. 在**名稱和描述**下,輸入保護套件的名稱 (Web ACL)。或者,輸入描述。 **注意** 您無法在建立保護套件 (Web ACL) 之後變更名稱。 1. (選用) 在**自訂保護套件 (Web ACL)** 下,設定預設規則動作、組態和記錄目的地: 1. (選用) 在**預設規則動作**下,選擇保護套件 (Web ACL) 的預設動作。這是當保護套件 (Web ACL) 中的規則未明確 AWS WAF 採取動作時,對請求採取的動作。如需詳細資訊,請參閱[中的自訂 Web 請求和回應 AWS WAF](waf-custom-request-response.md)。 1. (選用) 在規則組態下,自訂保護套件 (Web ACL) 中規則的設定: + **預設速率限制** - 設定速率限制以封鎖可能影響可用性、危及安全性或消耗過多資源的阻斷服務 (DoS) 特性。此規則速率會封鎖每個 IP 地址超出應用程式允許速率的請求。如需詳細資訊,請參閱[在 中使用以速率為基礎的規則陳述式 AWS WAF](waf-rule-statement-type-rate-based.md) + **IP 地址** - 輸入要封鎖或允許的 IP 地址。此設定會覆寫其他規則。 + 國家/**地區特定原始**伺服器 - 封鎖來自指定國家/地區的請求或計算所有流量。 1. 對於**記錄目的地**,設定記錄目的地類型和存放日誌的位置。如需詳細資訊,請參閱[AWS WAF 記錄目的地](logging-destinations.md)。 1. 檢閱您的設定,然後選擇**新增保護套件 (Web ACL)**。 ------ #### [ Using the standard console ] 本節提供透過 AWS 主控台建立 Web ACLs 的程序。 若要建立新的 Web ACL,請依照此頁面的程序使用 Web ACL 建立精靈。 **生產流量風險** 在 Web ACL 中部署生產流量的變更之前,請在預備或測試環境中測試和調校變更,直到您對流量的潛在影響感到滿意為止。然後,使用生產流量在計數模式中測試和調整更新的規則,然後再啟用它們。如需準則,請參閱[測試和調校您的 AWS WAF 保護](web-acl-testing.md)。 **注意** 在保護套件 (Web ACL) 中使用超過 1,500 WCUs 會產生超出基本保護套件 (Web ACL) 價格的成本。如需詳細資訊,請參閱 [中的 Web ACL 容量單位 WCUs) AWS WAF](aws-waf-capacity-units.md) 和 [AWS WAF 定價](https://aws.amazon.com/waf/pricing/)。 **建立 Web ACL** 1. 登入 AWS 管理主控台 並在 https://[https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2) 開啟 AWS WAF 主控台。 1. 在導覽窗格中選擇 **Web ACLs**,然後選擇**建立 Web ACL**。 1. 對於 **Name (名稱)**,輸入您要用來識別此 Web ACL 的名稱。 **注意** 建立 Web ACL 後無法修改名稱。 1. (選擇性) 對於 **Description - optional (描述 - 選用性)**,如果需要,請為 Web ACL 輸入較長的描述。 1. 對於 **CloudWatch 指標名稱**,如適用,請變更預設名稱。遵循主控台上的指引,以瞭解有效的字元。名稱不能包含特殊字元、空格或保留給 的指標名稱 AWS WAF,包括 "All" 和 "Default\$1Action"。 **注意** 您無法在建立 Web ACL 之後變更 CloudWatch 指標名稱。 1. 在**資源類型**下,選擇您要與此 Web ACL 建立關聯的資源類別 AWS ,Amazon CloudFront 分佈或區域資源。如需詳細資訊,請參閱[將保護與 AWS 資源建立關聯或取消關聯](web-acl-associating-aws-resource.md)。 1. 對於**區域**,如果您已選擇區域資源類型,請選擇 AWS WAF 您要存放 Web ACL 的區域。 您只需為區域資源類型選擇此選項。對於 CloudFront 分佈,區域會硬式編碼至美國東部 (維吉尼亞北部) 區域 `us-east-1`,適用於全域 (CloudFront) 應用程式。 1. (CloudFront、API Gateway、Amazon Cognito、App Runner 和 Verified Access) 對於 **Web 請求檢查大小限制 - 選用**,如果您想要指定不同的內文檢查大小限制,請選取限制。在預設值為 16 KB 的情況下檢查內文大小可能會產生額外費用。如需此選項的詳細資訊,請參閱[在 中管理主體檢查的考量事項 AWS WAF](web-acl-setting-body-inspection-limit.md)。 1. (選用) 對於**關聯的 AWS 資源 - 選用**,如果您現在要指定資源,請選擇**新增 AWS 資源**。在對話方塊中,選擇您要關聯的資源,然後選擇 **Add**. AWS WAF returns you to the **Describe Web ACL and associated AWS resources** page。 **注意** 當您選擇將 Application Load Balancer 與 Web ACL 建立關聯時,就會啟用**資源層級 DDoS 保護**。如需詳細資訊,請參閱[AWS WAF 分散式阻斷服務 (DDoS) 預防](waf-anti-ddos.md)。 1. 選擇**下一步**。 1. (選用) 如果您要新增受管規則群組,在 **Add rules and rule groups (新增規則和規則群組)** 頁面上,選擇 **Add rules (新增規則)**,然後選擇 **Add managed rule groups (新增受管規則群組)**。對於您要新增的每個受管規則群組執行下列動作: 1. 在**新增受管規則群組**頁面上,展開受管 AWS 規則群組或您選擇的 AWS Marketplace 賣方的清單。 1. 對於您要新增的規則群組,請在**動作**欄中開啟**新增至 Web ACL** 切換。 若要自訂 Web ACL 使用規則群組的方式,請選擇**編輯**。以下是常見的自訂設定: + 覆寫部分或全部規則的規則動作。如果您未定義規則的覆寫動作,評估會使用規則群組內定義的規則動作。如需此選項的詳細資訊,請參閱[在 中覆寫規則群組動作 AWS WAF](web-acl-rule-group-override-options.md)。 + 新增縮小範圍陳述式,以減少規則群組檢查的 Web 請求範圍。如需此選項的詳細資訊,請參閱[在 中使用縮小範圍陳述式 AWS WAF](waf-rule-scope-down-statements.md)。 + 有些受管規則群組會要求您提供額外的組態。請參閱受管規則群組提供者的文件。如需 AWS 受管規則規則群組的特定資訊,請參閱 [AWS 的受管規則 AWS WAF](aws-managed-rule-groups.md)。 完成設定後,請選擇**儲存規則**。 選擇 **Add rules (新增規則)** 以完成新增受管規則,並回到 **Add rules and rule group (新增規則和規則群組)** 頁面。 **注意** 如果您將多個規則新增至 Web ACL, 會依針對 Web ACL 列出的順序 AWS WAF 評估規則。如需詳細資訊,請參閱[在 中使用保護套件 (Web ACLs) 搭配規則和規則群組 AWS WAF](web-acl-processing.md)。 1. (選用) 如果您要新增自己的規則群組,在 **Add rules and rule groups (新增規則和規則群組)** 頁面上,選擇 **Add rules (新增規則)**,然後選擇 **Add my own rules and rule groups (新增我自己的規則和規則群組)**。對於您要新增的每個規則群組執行下列動作: 1. 在 **Add my own rules and rule groups (新增我自己的規則和規則群組)** 頁面上,選擇 **Rule group (規則群組)**。 1. 針對**名稱**,輸入您要在此 Web ACL 中用於規則群組規則的名稱。請勿使用以 `AWS`、`PreFM`、 `Shield`或 開頭的名稱`PostFM`。這些字串是預留的,或可能導致與其他 服務為您管理的規則群組混淆。請參閱 [辨識其他服務提供的規則群組](waf-service-owned-rule-groups.md)。 1. 從清單中選擇您的規則群組。 **注意** 如果您想要覆寫自己的規則群組的規則動作,請先將其儲存至 Web ACL,然後在 Web ACL 的規則清單中編輯 Web ACL 和規則群組參考陳述式。您可以將規則動作覆寫為任何有效的動作設定,就像對受管規則群組所做的一樣。 1. 選擇**新增規則**。 1. (選用) 如果您要新增自己的規則,在 **Add rules and rule groups (新增規則和規則群組)** 頁面上,選擇 **Add rules (新增規則)**、**Add my own rules and rule groups (新增我自己的規則和規則群組)**、**Rule builder (規則建置器)** 及 **Rule visual editor (規則視覺化編輯器)**。 **注意** 主控台 **Rule visual editor (規則視覺化編輯器)** 支援一個層級的巢狀化。例如,您可以使用單一邏輯`AND`或`OR`陳述式,並在其中巢狀一個層級的其他陳述式,但您無法在邏輯陳述式中巢狀化邏輯陳述式。若要管理更複雜的規則陳述式,請使用 **Rule JSON editor(規則 JSON 編輯器)**。如需有關規則的所有選項的資訊,請參閱 [AWS WAF 規則](waf-rules.md)。 此程序涵蓋 **Rule visual editor (規則視覺化編輯器)**。 1. 對於 **Name (名稱)**,輸入您要用來識別此規則的名稱。請勿使用以 `AWS`、`PreFM`、 `Shield`或 開頭的名稱`PostFM`。這些字串是預留的,或可能導致與其他 服務為您管理的規則群組混淆。 1. 根據您的需求輸入規則定義。您可以在邏輯`AND`和規則陳述式中結合`OR`規則。精靈會根據內容,引導您完成每個規則的選項。如需規則選項的相關資訊,請參閱 [AWS WAF 規則](waf-rules.md)。 1. 對於 **Action (動作)**,選取規則在比對到 Web 請求時要採取的動作。如需有關您的選擇的相關資訊,請參閱 [在 中使用規則動作 AWS WAF](waf-rule-action.md)和 [在 中使用保護套件 (Web ACLs) 搭配規則和規則群組 AWS WAF](web-acl-processing.md)。 如果您使用的是 **CAPTCHA**或 **Challenge**動作,請視需要調整規則的**抗擾性時間**組態。如果您未指定 設定,則規則會從 Web ACL 繼承它。若要修改 Web ACL 豁免時間設定,請在建立 Web ACL 之後對其進行編輯。如需豁免時間的詳細資訊,請參閱 [在 中設定時間戳記過期和字符豁免時間 AWS WAF](waf-tokens-immunity-times.md)。 **注意** 當您在其中一個規則中使用 CAPTCHA或 Challenge規則動作,或做為規則群組中的規則動作覆寫時,需支付額外費用。如需詳細資訊,請參閱[AWS WAF 定價](https://aws.amazon.com/waf/pricing/)。 如果您想要自訂請求或回應,請選擇該請求的選項,並填寫自訂的詳細資訊。如需詳細資訊,請參閱[中的自訂 Web 請求和回應 AWS WAF](waf-custom-request-response.md)。 如果您想要讓規則將標籤新增至相符的 Web 請求,請選擇該請求的選項,然後填入標籤詳細資訊。如需詳細資訊,請參閱[中的 Web 請求標籤 AWS WAF](waf-labels.md)。 1. 選擇**新增規則**。 1. 選擇 Web ACL 的預設動作,Block或 Allow。這是當 Web ACL 中的規則未明確允許或封鎖請求時,對請求 AWS WAF 採取的動作。如需詳細資訊,請參閱[在 中設定保護套件 (Web ACL) 預設動作 AWS WAF](web-acl-default-action.md)。 如果您想要自訂預設動作,請選擇該動作的選項,然後填入自訂的詳細資訊。如需詳細資訊,請參閱[中的自訂 Web 請求和回應 AWS WAF](waf-custom-request-response.md)。 1. 您可以定義**權杖網域清單**,以在受保護的應用程式之間啟用權杖共用。當您使用 AWS 受管規則規則群組進行 AWS WAF 詐騙控制帳戶建立詐騙預防 (ACFP)、 AWS WAF 詐騙控制帳戶接管預防 (ATP) 和 AWS WAF 機器人控制時, CAPTCHA和 Challenge動作以及您實作的應用程式整合 SDKs 會使用字符。 不允許公有尾碼。例如,您無法使用 `gov.au`或 `co.uk`做為權杖網域。 根據預設, 僅 AWS WAF 接受受保護資源網域的權杖。如果您在此清單中新增權杖網域, 會 AWS WAF 接受清單中所有網域的權杖,以及相關資源的網域的權杖。如需詳細資訊,請參閱[AWS WAF 保護套件 (Web ACL) 權杖網域清單組態](waf-tokens-domains.md#waf-tokens-domain-lists)。 1. 選擇**下一步**。 1. 在**設定規則優先順序**頁面中,選取規則和規則群組並將其移至您要 AWS WAF 處理的順序。 從清單頂端 AWS WAF 開始處理規則。當您儲存 Web ACL 時, 會依照您列出的順序,將數值優先順序設定 AWS WAF 指派給規則。如需詳細資訊,請參閱[設定規則優先順序](web-acl-processing-order.md)。 1. 選擇**下一步**。 1. 在**設定指標**頁面中,檢閱選項並套用您需要的任何更新。您可以為多個來源提供相同的 **CloudWatch 指標名稱,以結合多個來源的指標**。 1. 選擇**下一步**。 1. 在 **Review and create web ACL (檢閱並建立 Web ACL)** 頁面中,檢查您的定義。如果您要變更任何區域,請針對區域選擇 **Edit (編輯)**。這會帶您回到 Web ACL 精靈中的頁面。進行任何變更,然後在頁面中選擇 **Next (下一步)**,直到您返回 **Review and create web ACL (檢閱並建立 Web ACL)** 頁面為止。 1. 選擇 **建立 Web ACL**。您的新 Web ACL 會列在 **Web ACLs**頁面中。 ------ # 在 中編輯保護套件 (Web ACL) AWS WAF 編輯保護套件 (Web ACL) ------ #### [ Using the new console ] 本節提供透過 AWS 主控台編輯保護套件 (Web ACLs) 的程序。 若要從保護套件 (Web ACL) 新增或移除規則或變更組態設定,請使用此頁面上的程序存取保護套件 (Web ACL)。更新保護套件 (Web ACL) 時, 會為您與保護套件 (Web ACL) 相關聯的資源 AWS WAF 提供持續涵蓋。 **生產流量風險** 在生產流量的保護套件 (Web ACL) 中部署變更之前,請先在預備或測試環境中進行測試和調校,直到您對流量的潛在影響感到滿意為止。然後,使用生產流量在計數模式中測試和調整更新的規則,然後再啟用它們。如需準則,請參閱[測試和調校您的 AWS WAF 保護](web-acl-testing.md)。 **注意** 在保護套件 (Web ACL) 中使用超過 1,500 WCUs 會產生超出基本保護套件 (Web ACL) 價格的成本。如需詳細資訊,請參閱 [中的 Web ACL 容量單位 WCUs) AWS WAF](aws-waf-capacity-units.md) 和 [AWS WAF 定價](https://aws.amazon.com/waf/pricing/)。 **編輯保護套件 (Web ACL)** 1. 登入新的 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/wafv2-pro](https://console.aws.amazon.com/wafv2-pro) 開啟 AWS WAF 主控台。 1. 在導覽窗格中,選擇**資源與保護套件 (Web ACLs)**。 1. 選擇您要編輯的保護套件 (Web ACL)。主控台可讓主要保護套件 (Web ACL) 卡可編輯,也會開啟附帶您可以編輯之詳細資訊的側邊窗格。 1. 視需要編輯保護套件 (Web ACL)。 以下列出可編輯的保護套件 (Web ACL) 組態元件。 本節提供透過 AWS 主控台編輯 Web ACLs 的程序。 若要從 Web ACL 新增或移除規則或變更組態設定,請使用此頁面上的程序存取 Web ACL。更新 Web ACL 時, 會為您與 Web ACL 相關聯的資源 AWS WAF 提供持續涵蓋。 **生產流量風險** 在 Web ACL 中部署生產流量的變更之前,請在預備或測試環境中測試和調校變更,直到您對流量的潛在影響感到滿意為止。然後,使用生產流量在計數模式中測試和調整更新的規則,然後再啟用它們。如需準則,請參閱[測試和調校您的 AWS WAF 保護](web-acl-testing.md)。 **注意** 在保護套件 (Web ACL) 中使用超過 1,500 WCUs 會產生超出基本保護套件 (Web ACL) 價格的成本。如需詳細資訊,請參閱 [中的 Web ACL 容量單位 WCUs) AWS WAF](aws-waf-capacity-units.md) 和 [AWS WAF 定價](https://aws.amazon.com/waf/pricing/)。 **更新期間的暫時性不一致** 當您建立或變更保護套件 (Web ACL) 或其他 AWS WAF 資源時,變更會花費少量的時間傳播到存放資源的所有區域。傳播時間可以是幾秒鐘到幾分鐘。 以下是您在變更傳播期間可能注意到的暫時不一致的範例: + 建立保護套件 (Web ACL) 之後,如果您嘗試將其與資源建立關聯,您可能會收到例外狀況,指出保護套件 (Web ACL) 無法使用。 + 將規則群組新增至保護套件 (Web ACL) 之後,新的規則群組規則可能會在使用保護套件 (Web ACL) 的一個區域中生效,而不會在另一個區域中生效。 + 變更規則動作設定後,您可能會在某些地方看到舊動作,在其他地方看到新動作。 + 將 IP 地址新增至封鎖規則中使用的 IP 集之後,新的地址可能會在某個區域中遭到封鎖,同時仍允許在另一個區域中封鎖。 ------ #### [ Using the standard console ] 本節提供透過 AWS 主控台編輯 Web ACLs 的程序。 若要從 Web ACL 新增或移除規則或變更組態設定,請使用此頁面上的程序存取 Web ACL。更新 Web ACL 時, 會為您與 Web ACL 相關聯的資源 AWS WAF 提供持續涵蓋。 **生產流量風險** 在 Web ACL 中部署生產流量的變更之前,請在預備或測試環境中測試和調校變更,直到您對流量的潛在影響感到滿意為止。然後,使用生產流量在計數模式中測試和調整更新的規則,然後再啟用它們。如需準則,請參閱[測試和調校您的 AWS WAF 保護](web-acl-testing.md)。 **注意** 在保護套件 (Web ACL) 中使用超過 1,500 WCUs 會產生超出基本保護套件 (Web ACL) 價格的成本。如需詳細資訊,請參閱 [中的 Web ACL 容量單位 WCUs) AWS WAF](aws-waf-capacity-units.md) 和 [AWS WAF 定價](https://aws.amazon.com/waf/pricing/)。 **編輯 Web ACL** 1. 登入 AWS 管理主控台 並在 https://[https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2) 開啟 AWS WAF 主控台。 1. 在導覽窗格中,選擇 **Web ACLs**。 1. 選擇您要編輯的 Web ACL 名稱。主控台會帶您前往 Web ACL 的描述。 1. 視需要編輯 Web ACL。選取您感興趣的組態區域的標籤,然後編輯可變設定。對於您編輯的每個設定,當您選擇**儲存**並返回 Web ACL 的描述頁面時,主控台會將您的變更儲存到 Web ACL。 以下列出包含 Web ACL 組態元件的標籤。 + **規則**索引標籤 + **Web ACL 中定義的規則** – 您可以編輯和管理您在 Web ACL 中定義的規則,類似於您在 Web ACL 建立期間所做的操作。 **注意** 請勿變更您未手動新增至 Web ACL 的任何規則名稱。如果您使用其他 服務來管理規則,變更其名稱可能會移除或降低其提供預期保護的能力。 AWS Shield Advanced 和 AWS Firewall Manager 都可以在您的 Web ACL 中建立規則。如需相關資訊,請參閱[辨識其他服務提供的規則群組](waf-service-owned-rule-groups.md)。 **注意** 如果您變更規則的名稱,並且希望規則的指標名稱反映變更,則也必須更新指標名稱。 AWS WAF 當您變更規則名稱時, 不會自動更新規則的指標名稱。您可以使用規則 JSON 編輯器,在主控台中編輯規則時變更指標名稱。您也可以透過 APIs 和用於定義保護套件 (Web ACL) 或規則群組的任何 JSON 清單中變更這兩個名稱。 如需規則和規則群組設定的相關資訊,請參閱 [AWS WAF 規則](waf-rules.md)和 [AWS WAF 規則群組](waf-rule-groups.md)。 + **使用的 Web ACL 規則容量單位** – Web ACL 目前的容量使用量。這只是檢視。 + **不符合任何規則之請求的預設 Web ACL 動作** – 如需此設定的相關資訊,請參閱 [在 中設定保護套件 (Web ACL) 預設動作 AWS WAF](web-acl-default-action.md)。 + **Web ACL CAPTCHA 和挑戰組態** – 這些抗擾性時間會決定 CAPTCHA 或挑戰字符在取得後保持有效的時間。建立 Web ACL 後,您只能在此處修改此設定。如需這些設定的資訊,請參閱 [在 中設定時間戳記過期和字符豁免時間 AWS WAF](waf-tokens-immunity-times.md)。 + **字符網域清單** – AWS WAF 接受清單中所有網域的字符,以及相關聯資源的網域的字符。如需詳細資訊,請參閱[AWS WAF 保護套件 (Web ACL) 權杖網域清單組態](waf-tokens-domains.md#waf-tokens-domain-lists)。 + **關聯的 AWS 資源**索引標籤 + **Web 請求檢查大小限制** – 僅包含保護 CloudFront 分佈ACLs。內文檢查大小限制會決定要轉送多少內文元件 AWS WAF 以進行檢查。如需有關此設定的詳細資訊,請參閱 [在 中管理主體檢查的考量事項 AWS WAF](web-acl-setting-body-inspection-limit.md)。 + **關聯的 AWS 資源** – Web ACL 目前與 建立關聯和保護的資源清單。您可以找到與 Web ACL 位於相同區域內的資源,並將其與 Web ACL 建立關聯。如需詳細資訊,請參閱[將保護與 AWS 資源建立關聯或取消關聯](web-acl-associating-aws-resource.md)。 + **自訂回應內文**索引標籤 + 自訂回應主體,可供動作設為 的 Web ACL 規則使用Block。如需詳細資訊,請參閱[傳送Block動作的自訂回應](customizing-the-response-for-blocked-requests.md)。 + **記錄和指標**索引標籤 + **記錄** – 記錄 Web ACL 評估的流量。如需相關資訊,請參閱[記錄 AWS WAF 保護套件 (Web ACL) 流量](logging.md)。 + **Security Lake 整合** – 您在 Amazon Security Lake 中為 Web ACL 設定的任何資料收集的狀態。如需詳細資訊,請參閱《*Amazon Security Lake 使用者指南*》中的[從 AWS 服務收集資料](https://docs.aws.amazon.com/security-lake/latest/userguide/internal-sources.html)。 + **範例請求** – 符合 Web 請求之規則的相關資訊。如需檢視取樣請求的詳細資訊,請參閱 [檢視 Web 請求的範例](web-acl-testing-view-sample.md)。 + **資料保護設定** – 您可以設定 Web 流量資料修訂和篩選可用於 Web ACL 的所有資料,以及僅針對 AWS WAF 傳送至已設定 Web ACL 記錄目的地的資料。如需資料保護的資訊,請參閱 [保護 AWS WAF 套件 (Web ACL) 流量的資料保護和記錄](waf-data-protection-and-logging.md)。 + **CloudWatch 指標** – Web ACL 中規則的指標。如需 Amazon CloudWatch 指標的相關資訊,請參閱 [使用 Amazon CloudWatch 監控](monitoring-cloudwatch.md)。 **更新期間的暫時性不一致** 當您建立或變更保護套件 (Web ACL) 或其他 AWS WAF 資源時,變更會花費少量的時間傳播到存放資源的所有區域。傳播時間可以是幾秒鐘到幾分鐘。 以下是您在變更傳播期間可能注意到的暫時不一致的範例: + 建立保護套件 (Web ACL) 之後,如果您嘗試將其與資源建立關聯,您可能會收到例外狀況,指出保護套件 (Web ACL) 無法使用。 + 將規則群組新增至保護套件 (Web ACL) 之後,新的規則群組規則可能會在使用保護套件 (Web ACL) 的一個區域中生效,而不會在另一個區域中生效。 + 變更規則動作設定後,您可能會在某些地方看到舊動作,在其他地方看到新動作。 + 將 IP 地址新增至封鎖規則中使用的 IP 集之後,新的地址可能會在某個區域中遭到封鎖,同時仍允許在另一個區域中封鎖。 ------ # 管理規則群組行為 本節說明您在保護套件 (Web ACL) 中修改規則群組使用方式的選項。此資訊適用於所有規則群組類型。將規則群組新增至保護套件 (Web ACL) 之後,您可以將規則群組中個別規則的動作覆寫為 ,Count或覆寫為任何其他有效的規則動作設定。您也可以將規則群組產生的動作覆寫為 Count,這不會影響規則群組內評估規則的方式。 如需這些選項的資訊,請參閱 [在 中覆寫規則群組動作 AWS WAF](web-acl-rule-group-override-options.md)。 ## 覆寫規則群組中的規則動作 對於保護套件 (Web ACL) 中的每個規則群組,您可以覆寫部分或所有規則中包含規則的動作。 最常見的使用案例是將規則動作覆寫為 ,Count以測試新的或更新的規則。如果您已啟用指標,則會收到您覆寫之每個規則的指標。如需測試的詳細資訊,請參閱 [測試和調校您的 AWS WAF 保護](web-acl-testing.md)。 您可以在將受管規則群組新增至保護套件 (Web ACL) 時進行這些變更,也可以在編輯保護套件 (Web ACL) 時將其新增至任何類型的規則群組。這些指示適用於已新增至保護套件 (Web ACL) 的規則群組。如需此選項的詳細資訊,請參閱 [規則群組規則動作覆寫](web-acl-rule-group-override-options.md#web-acl-rule-group-override-options-rules)。 ------ #### [ Using the new console ] **覆寫規則群組中的規則動作** 1. 選擇您要編輯的保護套件 (Web ACL)。主控台可讓主要保護套件 (Web ACL) 卡可編輯,也會開啟側邊面板,其中包含您可以編輯的詳細資訊。 1. 在保護套件 (Web ACL) 卡中,選擇**規則**旁的**編輯**連結,以開啟**管理規則**面板。 1. 在規則群組的**管理規則**區段中,選擇受管規則以開啟其動作設定。 + **覆寫規則群組** – 將規則群組動作變更為計數模式,但所有個別規則動作保持不變。 + **覆寫所有規則動作** – 將規則動作套用至所有規則,覆寫其目前狀態。 + **單一規則覆寫** – 將規則動作套用至個別規則。 1. 完成變更後,請選擇**儲存規則**。 ------ #### [ Using the standard console ] **覆寫規則群組中的規則動作** 1. 編輯 Web ACL。 1. 在 Web ACL 頁面**規則**索引標籤中,選取規則群組,然後選擇**編輯**。 1. 在**規則**群組的規則區段中,視需要管理動作設定。 + **所有規則** – 若要為規則群組中的所有規則設定覆寫動作,請開啟**覆寫所有規則動作**下拉式清單,然後選取覆寫動作。若要移除所有規則的覆寫,請選取**移除所有覆寫**。 + **單一規則** – 若要設定單一規則的覆寫動作,請開啟規則的下拉式清單,然後選取覆寫動作。若要移除規則的覆寫,請開啟規則的下拉式清單,然後選取**移除覆寫**。 1. 完成變更後,請選擇**儲存規則**。規則動作和覆寫動作設定會列在規則群組頁面中。 ------ 下列範例 JSON 清單顯示保護套件 (Web ACL) 內的規則群組宣告,覆寫規則 `CategoryVerifiedSearchEngine`和 Count的規則動作`CategoryVerifiedSocialMedia`。在 JSON 中,您可以透過為每個個別規則提供`RuleActionOverrides`項目來覆寫所有規則動作。 ``` { "Name": "AWS-AWSBotControl-Example", "Priority": 5, "Statement": { "ManagedRuleGroupStatement": { "VendorName": "AWS", "Name": "AWSManagedRulesBotControlRuleSet", "RuleActionOverrides": [ { "ActionToUse": { "Count": {} }, "Name": "CategoryVerifiedSearchEngine" }, { "ActionToUse": { "Count": {} }, "Name": "CategoryVerifiedSocialMedia" } ], "ExcludedRules": [] }, "VisibilityConfig": { "SampledRequestsEnabled": true, "CloudWatchMetricsEnabled": true, "MetricName": "AWS-AWSBotControl-Example" } } ``` ## 將規則群組的評估結果覆寫為 Count 您可以覆寫規則群組評估所產生的動作,而不會變更規則群組中的規則設定或評估方式。此選項不常用。如果規則群組中的任何規則產生相符項目,此覆寫會將規則群組的結果動作設為 Count。 **注意** 這是不常見的使用案例。大多數動作覆寫是在規則群組內的規則層級完成,如中所述[覆寫規則群組中的規則動作](#web-acl-rule-group-rule-action-override)。 您可以在新增或編輯規則群組時,覆寫保護套件 (Web ACL) 中規則群組產生的動作。在主控台中,開啟規則群組的**覆寫規則群組動作 - 選用**窗格,並啟用覆寫。在規則群組陳述`OverrideAction`式中的 JSON 集中,如下列範例清單所示: ``` { "Name": "AWS-AWSBotControl-Example", "Priority": 5, "Statement": { "ManagedRuleGroupStatement": { "VendorName": "AWS", "Name": "AWSManagedRulesBotControlRuleSet" } }, "OverrideAction": { "Count": {} }, "VisibilityConfig": { "SampledRequestsEnabled": true, "CloudWatchMetricsEnabled": true, "MetricName": "AWS-AWSBotControl-Example" } } ``` # 將保護與 AWS 資源建立關聯或取消關聯 您可以使用 在保護套件 (Web ACLs) 與 資源之間 AWS WAF 建立下列關聯: + 將區域保護套件 (Web ACL) 與下列任何區域資源建立關聯。對於此選項,保護套件 (Web ACL) 必須與資源位於相同的區域。 + Amazon API Gateway REST API + Application Load Balancer + AWS AppSync GraphQL API + Amazon Cognito 使用者集區 + AWS App Runner 服務 + AWS 已驗證的存取執行個體 + AWS Amplify + 將全域保護套件 (Web ACL) 與 Amazon CloudFront 分佈建立關聯。全域保護套件 (Web ACL) 會有硬式編碼的美國東部 (維吉尼亞北部) 區域。 您也可以在建立或更新分佈本身時,將保護套件 (Web ACL) 與 CloudFront 分佈建立關聯。如需詳細資訊,請參閱《*Amazon CloudFront 開發人員指南*》中的[使用 AWS WAF 控制對您的內容的存取](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-awswaf.html)。 **有關多個關聯的限制** 您可以根據下列限制,將單一保護套件 (Web ACL) 與一或多個 AWS 資源建立關聯: + 每個 AWS 資源只能與一個保護套件 (Web ACL) 建立關聯。保護套件 (Web ACL) 與 AWS 資源之間的關係是one-to-many。 + 您可以將保護套件 (Web ACL) 與一或多個 CloudFront 分佈建立關聯。您無法將與 CloudFront 分佈相關聯的保護套件 (Web ACL) 與任何其他 AWS 資源類型建立關聯。 **其他限制** 下列其他限制適用於保護套件 (Web ACL) 關聯: + 您只能將保護套件 (Web ACL) 與其中的 Application Load Balancer 建立關聯 AWS 區域。例如,您無法將保護套件 (Web ACL) 與開啟的 Application Load Balancer 建立關聯 AWS Outposts。 + 您無法將 Amazon Cognito 使用者集區與使用 AWS WAF 詐騙控制帳戶建立詐騙預防 (ACFP) 受管規則群組 `AWSManagedRulesACFPRuleSet` 或 AWS WAF 詐騙控制帳戶接管預防 (ATP) 受管規則群組 的保護套件 (Web ACL) 建立關聯`AWSManagedRulesATPRuleSet`。如需防止帳戶建立詐騙的相關資訊,請參閱[AWS WAF 詐騙控制帳戶建立詐騙預防 (ACFP)](waf-acfp.md)。如需防止帳戶接管的資訊,請參閱 [AWS WAF 詐騙控制帳戶接管預防 (ATP)](waf-atp.md)。 **生產流量風險** 在部署生產流量的保護套件 (Web ACL) 之前,請在預備或測試環境中進行測試和調校,直到您對流量的潛在影響感到滿意為止。然後,使用生產流量在計數模式中測試和調整規則,然後再啟用它們。如需準則,請參閱[測試和調校您的 AWS WAF 保護](web-acl-testing.md)。 # 將保護與 AWS 資源建立關聯 ------ #### [ Using the new console ] 1. 選擇您要編輯的保護套件 (Web ACL)。主控台可讓主要保護套件 (Web ACL) 卡可編輯,也會開啟側邊面板,其中包含您可以編輯的詳細資訊。 1. 在保護套件 (Web ACL) 卡片中,選擇**資源**旁的**編輯**連結以開啟**管理資源**面板。 1. 在規則群組的**管理資源**區段中,選擇**新增區域資源**或**新增全域資源**。 1. 選擇資源,然後選擇**新增**。 ------ #### [ Using the standard console ] 若要將 Web ACL 與 AWS 資源建立關聯,請執行下列程序。 **將 Web ACL 與 AWS 資源建立關聯** 1. 登入 AWS 管理主控台 並在 https://[https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2) 開啟 AWS WAF 主控台。 1. 在導覽窗格中,選擇 **Web ACLs**。 1. 選擇您要與資源建立關聯的 Web ACL 名稱。主控台會將您帶到 Web ACL 的描述,您可以在其中編輯它。 1. 在**關聯的 AWS 資源**索引標籤上,選擇**新增 AWS 資源**。 1. 出現提示時,選擇資源類型,選取您要關聯的資源旁的選項按鈕,然後選擇**新增**。 ------ # 取消保護與 AWS 資源的關聯 ------ #### [ Using the new console ] 1. 選擇您要編輯的保護套件 (Web ACL)。主控台可讓主要保護套件 (Web ACL) 卡可編輯,也會開啟側邊面板,其中包含您可以編輯的詳細資訊。 1. 在保護套件 (Web ACL) 卡片中,選擇**資源**旁的**編輯**連結,以開啟**管理資源**面板。 1. 在規則群組的**管理資源**區段中,選擇您要取消關聯的資源,然後選擇**取消關聯**。 **注意** 您必須一次取消一個資源的關聯。請勿選擇多個資源。 1. 在確認頁面中,輸入「取消關聯」,然後選擇**取消關聯**。 ------ #### [ Using the standard console ] 若要取消 Web ACL 與 AWS 資源的關聯,請執行下列程序。 **取消 Web ACL 與 AWS 資源的關聯** 1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2) 開啟 AWS WAF 主控台。 1. 在導覽窗格中,選擇 **Web ACLs**。 1. 選擇您要與資源取消關聯的 Web ACL 名稱。主控台會將您帶到 Web ACL 的描述,您可以在其中編輯它。 1. 在**關聯的 AWS 資源**索引標籤上,選取要取消與此 Web ACL 關聯的資源。 **注意** 您必須一次取消一個資源的關聯。請勿選擇多個資源。 **注意** 當您選擇將 Application Load Balancer 與 webACL 建立關聯時,就會啟用**資源層級 DDoS 保護**。如需詳細資訊,請參閱[AWS WAF 分散式阻斷服務 (DDoS) 預防](waf-anti-ddos.md)。 1. 選擇**取消關聯**。主控台會開啟確認對話。確認您的選擇,以取消 Web ACL 與 AWS 資源的關聯。 ------ # 在 中使用保護套件 (Web ACLs) 搭配規則和規則群組 AWS WAF 將保護套件 (Web ACLs) 與規則和規則群組搭配使用 本節介紹保護套件 (Web ACLs) 和 Web ACLs 如何與規則和規則群組搭配使用。 保護套件 (Web ACL) 處理 Web 請求的方式取決於下列項目: + 保護套件 (Web ACL) 和規則群組內規則的數值優先順序設定 + 規則和保護套件的動作設定 (Web ACL) + 您在新增的規則群組中放置在規則上的任何覆寫 如需規則動作設定的清單,請參閱 [在 中使用規則動作 AWS WAF](waf-rule-action.md)。 您可以在規則動作設定和預設保護套件 (Web ACL) 動作設定中自訂請求和回應處理。如需相關資訊,請參閱[中的自訂 Web 請求和回應 AWS WAF](waf-custom-request-response.md)。 **Topics** + [ # 設定規則優先順序 ](web-acl-processing-order.md) + [ # AWS WAF 如何處理規則和規則群組動作 ](web-acl-rule-actions.md) + [ # 在 中覆寫規則群組動作 AWS WAF ](web-acl-rule-group-override-options.md) # 設定規則優先順序 本節說明如何 AWS WAF 使用數值優先順序設定來設定規則的評估順序。 在保護套件 (Web ACL) 和任何規則群組中,您可以使用數值優先順序設定來判斷規則的評估順序。您必須為保護套件 (Web ACL) 中的每個規則提供該保護套件 (Web ACL) 內的唯一優先順序設定,並且必須為規則群組中的每個規則提供該規則群組內的唯一優先順序設定。 **注意** 當您透過主控台管理規則群組、保護套件 (Web ACLs) 時, 會根據清單中的規則順序為您 AWS WAF 指派唯一的數值優先順序設定。 AWS WAF 會將最低數值優先順序指派給清單頂端的規則,並將最高數值優先順序指派給底部的規則。 當 針對 Web 請求 AWS WAF 評估任何規則群組、保護套件 (Web ACL) 時,它會評估 上最低數值優先順序設定的規則,直到找到終止評估或耗盡所有規則的相符項目為止。 例如,假設您的保護套件 (Web ACL) 中有下列規則和規則群組,其優先順序如下所示: + Rule1 – 優先順序 0 + RuleGroupA – 優先順序 100 + RuleA1 – 優先順序 10,000 + RuleA2 – 優先順序 20,000 + Rule2 – 優先順序 200 + RuleGroupB – 優先順序 300 + RuleB1 – 優先順序 0 + RuleB2 – 優先順序 1 AWS WAF 會依下列順序評估此保護套件 (Web ACL) 的規則: + Rule1 + RuleGroupA RuleA1 + RuleGroupA RuleA2 + Rule2 + RuleGroupB RuleB1 + RuleGroupB RuleB2 # AWS WAF 如何處理規則和規則群組動作 規則和規則群組動作 本節說明如何 AWS WAF 使用規則和規則群組來處理動作。 當您設定規則和規則群組時,您可以選擇 AWS WAF 如何處理相符的 Web 請求: + **Allow 和 Block 正在終止動作** – Allow而 Block動作會停止對相符 Web 請求進行保護套件 (Web ACL) 的所有其他處理。如果保護套件 (Web ACL) 中的規則找到請求的相符項目,且規則動作為 Allow或 Block,則相符項目會決定保護套件 (Web ACL) 之 Web 請求的最終處置。 AWS WAF 不會處理在相符項目之後的保護套件 (Web ACL) 中的任何其他規則。對於您直接新增至保護套件 (Web ACL) 的規則,以及新增規則群組內的規則,這是如此。透過 Block動作,受保護的資源不會接收或處理 Web 請求。 + **Count 是非終止動作** – 當具有Count動作的規則符合請求時, 會 AWS WAF 計算請求,然後繼續處理保護套件 (Web ACL) 規則集中遵循的規則。 + **CAPTCHA 和 Challenge 可以是非終止或終止動作** – 當具有這些動作之一的規則符合請求時, 會 AWS WAF 檢查其字符狀態。如果請求具有有效的字符, 會 AWS WAF 處理類似相符項目的Count相符項目,然後繼續處理保護套件 (Web ACL) 規則集中遵循的規則。如果請求沒有有效的字符, 會 AWS WAF 終止評估,並向用戶端傳送要解決的 CAPTCHA 拼圖或無提示背景用戶端工作階段挑戰。 如果規則評估不會導致任何終止動作,則 會將保護套件 (Web ACL) 預設動作 AWS WAF 套用至請求。如需相關資訊,請參閱[在 中設定保護套件 (Web ACL) 預設動作 AWS WAF](web-acl-default-action.md)。 在保護套件 (Web ACL) 中,您可以覆寫規則群組內規則的動作設定,也可以覆寫規則群組傳回的動作。如需相關資訊,請參閱[在 中覆寫規則群組動作 AWS WAF](web-acl-rule-group-override-options.md)。 **動作與優先順序設定之間的互動** AWS WAF 套用至 Web 請求的動作會受到保護套件 (Web ACL) 中規則的數值優先順序設定影響。例如,假設您的保護套件 (Web ACL) 具有具有Allow動作 的規則和數字優先順序 50,以及具有Count動作 和數字優先順序 100 的另一個規則。 從最低設定開始, 會依其優先順序 AWS WAF 評估保護套件 (Web ACL) 中的規則,因此它將在計數規則之前評估允許規則。符合兩個規則的 Web 請求會先符合允許規則。由於 Allow是終止動作, AWS WAF 會停止此相符項目的評估,而不會針對計數規則評估請求。 + 如果您只想在計數規則指標中包含不符合允許規則的請求,則規則的優先順序設定會有效。 + 另一方面,如果您想要計數規則中的計數指標,即使請求符合允許規則,您也需要為計數規則提供比允許規則更低的數值優先順序設定,以便先執行。 如需優先順序設定的詳細資訊,請參閱 [設定規則優先順序](web-acl-processing-order.md)。 # 在 中覆寫規則群組動作 AWS WAF 覆寫規則群組動作規則群組中的動作覆寫 您現在可以將規則群組中規則的動作覆寫為任何規則動作設定。如同先前的Count動作覆寫,您可以將覆寫套用至規則群組中的所有規則和個別規則。在規則群組Count中將個別規則動作設定為 您現在可以將規則群組中的個別規則動作設定為 Count。已更正規則群組層級的現有覆寫資訊。 本節說明如何覆寫規則群組動作。 當您將規則群組新增至保護套件 (Web ACL) 時,您可以覆寫在相符的 Web 請求上所採取的動作。覆寫保護套件 (Web ACL) 組態內規則群組的動作並不會改變規則群組本身。它只會改變 AWS WAF 如何在保護套件 (Web ACL) 的內容中使用規則群組。 ## 規則群組規則動作覆寫 您可以將規則群組內規則的動作覆寫為任何有效的規則動作。當您執行此操作時,比對請求的處理方式與設定的規則動作為覆寫設定完全相同。 **注意** 規則動作可以是終止或非終止。終止動作會停止請求的保護套件 (Web ACL) 評估,並讓它繼續到您的受保護應用程式或封鎖它。 以下是規則動作選項: + **Allow** – AWS WAF 允許將請求轉送至受保護 AWS 的資源以進行處理和回應。這是終止動作。在您定義的規則中,您可以將自訂標頭插入請求,然後再將其轉送至受保護的資源。 + **Block** – AWS WAF 封鎖請求。這是終止動作。根據預設,受保護 AWS 的資源會以 HTTP `403 (Forbidden)` 狀態碼回應。在您定義的規則中,您可以自訂回應。當 AWS WAF 封鎖請求時,Block動作設定會決定受保護資源傳回用戶端的回應。 + **Count** – AWS WAF 計算請求,但不決定允許或封鎖請求。這是非終止動作。 會 AWS WAF 繼續處理保護套件 (Web ACL) 中的其餘規則。在您定義的規則中,您可以將自訂標頭插入請求,也可以新增其他規則可比對的標籤。 + **CAPTCHA 和 Challenge** – AWS WAF 使用 CAPTCHA 拼圖和靜音挑戰來驗證請求不是來自機器人,並使用 AWS WAF 字符來追蹤最近成功的用戶端回應。 CAPTCHA 拼圖和無提示挑戰只能在瀏覽器存取 HTTPS 端點時執行。瀏覽器用戶端必須在安全的內容中執行,才能取得字符。 **注意** 當您在其中一個規則中使用 CAPTCHA或 Challenge 規則動作,或做為規則群組中的規則動作覆寫時,需支付額外費用。如需詳細資訊,請參閱[AWS WAF 定價](https://aws.amazon.com/waf/pricing/)。 這些規則動作可以終止或非終止,取決於請求中字符的狀態: + **未終止有效、未過期的字符** – 如果字符有效且根據設定的 CAPTCHA 或挑戰抗擾性時間未過期, 會 AWS WAF 處理類似 Count動作的請求。 會根據保護套件 (Web ACL) 中的其餘規則 AWS WAF 繼續檢查 Web 請求。與Count組態類似,在您定義的規則中,您可以選擇使用自訂標頭來設定這些動作,以插入請求中,也可以新增其他規則可比對的標籤。 + **以無效或過期權杖的封鎖請求終止** – 如果權杖無效或指定的時間戳記已過期, 會 AWS WAF 終止 Web 請求的檢查並封鎖請求,類似於 Block動作。 AWS WAF 然後以自訂回應碼回應用戶端。對於 CAPTCHA,如果請求內容指出用戶端瀏覽器可以處理它, AWS WAF 會在 JavaScript 間質中傳送 CAPTCHA 拼圖,這旨在區分人類用戶端和機器人。對於 Challenge動作, AWS WAF 會傳送具有無提示挑戰的 JavaScript 間質,此挑戰旨在區分正常瀏覽器與機器人正在執行的工作階段。 如需其他資訊,請參閱 [CAPTCHA 和 Challenge 中的 AWS WAF](waf-captcha-and-challenge.md)。 如需如何使用此選項的詳細資訊,請參閱 [覆寫規則群組中的規則動作](web-acl-rule-group-settings.md#web-acl-rule-group-rule-action-override)。 ### 將規則動作覆寫為 Count 規則動作覆寫最常見的使用案例是將部分或全部規則動作覆寫至 Count,以測試和監控規則群組的行為,然後再將其投入生產環境。 您也可以使用它來對產生誤報的規則群組進行故障診斷。當規則群組封鎖您預期不會封鎖的流量時,就會發生誤報。如果您在規則群組中識別規則,以封鎖您想要允許通過的請求,您可以保留該規則上的計數動作覆寫,以排除它對您的請求採取行動。 如需在測試中使用規則動作覆寫的詳細資訊,請參閱 [測試和調校您的 AWS WAF 保護](web-acl-testing.md)。 ### JSON 清單:`RuleActionOverrides`取代 `ExcludedRules` 如果您在 2022 年 10 月 27 日之前將保護套件 (Web ACL) 組態Count中的規則群組規則動作設為 ,則 會將保護套件 (Web ACL) JSON 中的覆寫 AWS WAF 儲存為 `ExcludedRules`。現在,覆寫規則的 JSON 設定Count位於`RuleActionOverrides`設定中。 建議您將 JSON 清單中的所有`ExcludedRules`設定更新為動作設為 `RuleActionOverrides`的設定Count。如果您只使用新的設定,API 會接受任一設定,但您會在主控台工作與 API 工作之間取得 JSON 清單中的一致性`RuleActionOverrides`。 **注意** 在 AWS WAF 主控台中,保護套件 (Web ACL) **取樣請求**索引標籤不會顯示具有舊設定的規則範例。如需詳細資訊,請參閱[檢視 Web 請求的範例](web-acl-testing-view-sample.md)。 當您使用 AWS WAF 主控台編輯現有的規則群組設定時,主控台會自動將 JSON 中的任何`ExcludedRules`設定轉換為 `RuleActionOverrides`設定,並將覆寫動作設定為 Count。 + 目前的設定範例: ``` "ManagedRuleGroupStatement": { "VendorName": "AWS", "Name": "AWSManagedRulesAdminProtectionRuleSet", "RuleActionOverrides": [ { "Name": "AdminProtection_URIPATH", "ActionToUse": { "Count": {} } } ] ``` + 舊設定範例: ``` OLD SETTING "ManagedRuleGroupStatement": { "VendorName": "AWS", "Name": "AWSManagedRulesAdminProtectionRuleSet", "ExcludedRules": [ { "Name": "AdminProtection_URIPATH" } ] OLD SETTING ``` ## 規則群組傳回動作覆寫至 Count 您可以覆寫規則群組傳回的動作,將其設定為 Count。 **注意** 這不是在規則群組中測試規則的好選項,因為它不會改變規則群組本身 AWS WAF 的評估方式。它只會影響 AWS WAF 如何處理從規則群組評估傳回至保護套件 (Web ACL) 的結果。如果您想要測試規則群組中的規則,請使用上一節中所述的選項 [規則群組規則動作覆寫](#web-acl-rule-group-override-options-rules)。 當您將規則群組動作覆寫為 時Count, 會正常 AWS WAF 處理規則群組評估。 如果規則群組中沒有規則相符或所有相符規則都有Count動作,則此覆寫不會影響規則群組或保護套件 (Web ACL) 的處理。 規則群組中符合 Web 請求且具有終止規則動作的第一個規則 AWS WAF 會導致 停止評估規則群組,並將終止動作結果傳回至保護套件 (Web ACL) 評估層級。此時,在保護套件 (Web ACL) 評估中,此覆寫會生效。 會 AWS WAF 覆寫終止動作,使得規則群組評估的結果僅為Count動作。 AWS WAF 然後繼續處理保護套件 (Web ACL) 中的其餘規則。 如需如何使用此選項的詳細資訊,請參閱 [將規則群組的評估結果覆寫為 Count](web-acl-rule-group-settings.md#web-acl-rule-group-action-override)。 # 在 中設定保護套件 (Web ACL) 預設動作 AWS WAF 設定保護套件 (Web ACL) 預設動作 本節說明保護套件 (Web ACL) 預設動作的運作方式。 當您建立和設定保護套件 (Web ACL) 時,您必須設定保護套件 (Web ACL) 預設動作。 AWS WAF 會將此動作套用至任何 Web 請求,使其通過所有保護套件 (Web ACL) 的規則評估,而不會套用終止動作。終止動作會停止請求的保護套件 (Web ACL) 評估,並讓它繼續到您的受保護應用程式或封鎖它。如需規則動作的詳細資訊,請參閱 [在 中使用規則動作 AWS WAF](waf-rule-action.md)。 保護套件 (Web ACL) 預設動作必須決定 Web 請求的最終處置,因此它是終止動作: + **Allow** – 如果您想要允許大多數使用者存取您的網站,但想要封鎖對攻擊者的存取,其請求來自指定的 IP 地址,或其請求似乎包含惡意 SQL 程式碼或指定的值,請選擇Allow預設動作。然後,當您將規則新增至保護套件 (Web ACL) 時,請新增規則來識別和封鎖您要封鎖的特定請求。透過此動作,您可以將自訂標頭插入請求,然後再將其轉送至受保護的資源。 + **Block** – 如果您想要防止大多數使用者存取您的網站,但您想要允許存取其請求來自指定 IP 地址的使用者,或是其請求包含指定值的使用者,請選擇Block預設動作。然後,當您將規則新增至保護套件 (Web ACL) 時,請新增規則,以識別並允許您想要允許的特定請求。根據預設,對於 Block動作, AWS 資源會以 HTTP `403 (Forbidden)` 狀態碼回應,但您可以自訂回應。 如需自訂請求和回應的詳細資訊,請參閱 [中的自訂 Web 請求和回應 AWS WAF](waf-custom-request-response.md)。 您自己的規則和規則群組的組態部分取決於您要允許還是封鎖多數的 Web 請求。例如,如果您想要*允許*大多數請求,您可以將保護套件 (Web ACL) 預設動作設定為 Allow,然後新增規則來識別您要*封鎖*的 Web 請求,如下所示: + 來自發出異常數量 IP 地址的請求 + 來自您不常交涉、或時常受到攻擊國家/地區的請求 + `User-agent` 標題中包含虛假值的請求 + 似乎含有惡意 SQL 程式碼的請求 受管規則群組規則通常使用 Block動作,但並非全部都使用。例如,某些用於 Bot Control 的規則會使用 CAPTCHA和 Challenge動作設定。如需受管規則群組的相關資訊,請參閱 [在 中使用受管規則群組 AWS WAF](waf-managed-rule-groups.md)。 # 在 中管理主體檢查的考量事項 AWS WAF 內文檢查考量事項內文檢查大小限制的變更 AWS WAF 現在支援某些區域資源更大的內文檢查大小限制。CloudFront 保護套件 (Web ACLs的內文檢查大小限制 對於保護 Amazon CloudFront 分佈的保護套件 (Web ACLs),您可以在保護套件 (Web ACL) 組態中將主體檢查大小限制提高到 64 KB。 內文檢查大小限制是 AWS WAF 可檢查的請求內文大小上限。當 Web 請求內文大於限制時,基礎主機服務只會將限制內的內容轉送至 AWS WAF 以供檢查。 + 對於 Application Load Balancer 和 AWS AppSync,限制固定為 8 KB (8,192 位元組)。 + 對於 CloudFront、API Gateway、Amazon Cognito、App Runner 和 Verified Access,預設限制為 16 KB (16,384 位元組),而且您可以將任何資源類型的限制以 16 KB 遞增,最多 64 KB。設定選項為 16 KB、32 KB、48 KB 和 64 KB。 **重要** AWS WAF 不支援 gRPC 流量的請求內文檢查規則。如果您在 CloudFront 分佈或 Application Load Balancer 的保護套件 (Web ACL) 上啟用這些規則,則任何使用 gRPC 的請求都會忽略請求內文檢查規則。所有其他 AWS WAF 規則仍然適用。如需詳細資訊,請參閱《*Amazon CloudFront 開發人員指南*》中的[AWS WAF 針對分佈啟用](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/WAF-one-click.html) 。 **過大主體處理** 如果您的 Web 流量包含大於限制的內文,則會套用您設定的過大處理。如需處理過大選項的詳細資訊,請參閱 [在 中過大 Web 請求元件 AWS WAF](waf-oversize-request-components.md)。 **提高限制設定的定價考量** AWS WAF 會針對檢查資源類型預設限制內的流量,收取基本費率。 對於 CloudFront、API Gateway、Amazon Cognito、App Runner 和 Verified Access 資源,如果您增加限制設定, AWS WAF 可以檢查的流量包含不超過新限制的內文大小。只有在檢查內文大小大於預設 16 KB 的請求時,才會向您收取額外的費用。如需定價的詳細資訊,請參閱[AWS WAF 定價](https://aws.amazon.com/waf/pricing/)。 **修改內文檢查大小限制的選項** 您可以設定 CloudFront、API Gateway、Amazon Cognito、App Runner 或 Verified Access 資源的內文檢查大小限制。 當您建立或編輯保護套件 (Web ACL) 時,您可以在資源關聯組態中修改內文檢查大小限制。如需 API,請參閱 [AssociationConfig](https://docs.aws.amazon.com/waf/latest/APIReference/API_AssociationConfig.html) 中的保護套件 (Web ACL) 的關聯組態。對於 主控台,請參閱您指定保護套件 (Web ACL) 相關資源之頁面上的組態。如需主控台組態的指引,請參閱 [在 中檢視 Web 流量指標 AWS WAF](web-acl-working-with.md)。 # 在 中設定 CAPTCHA、挑戰和字符 AWS WAF 設定 CAPTCHA、挑戰和字符 您可以在保護套件 (Web ACL) 中為使用 CAPTCHA或 Challenge規則動作的規則設定選項,並為管理 AWS WAF 受管保護的無提示用戶端挑戰的應用程式整合SDKs設定選項。 這些功能透過使用 CAPTCHA 拼圖挑戰最終使用者,以及使用無提示的挑戰呈現用戶端工作階段,來緩解機器人活動。當用戶端成功回應時, AWS WAF 會提供權杖,供他們在 Web 請求中使用,並加上最後一個成功拼圖和挑戰回應的時間戳記。如需詳細資訊,請參閱[中的智慧型威脅防禦 AWS WAF](waf-managed-protections.md)。 在保護套件 (Web ACL) 組態中,您可以設定 如何 AWS WAF 管理這些字符: + **CAPTCHA 和挑戰豁免時間** – 這些會指定 CAPTCHA 或挑戰時間戳記的有效時間。保護套件 (Web ACL) 設定會繼承於所有未設定其自身抗擾性時間設定的規則,以及應用程式整合 SDKs。如需詳細資訊,請參閱[在 中設定時間戳記過期和字符豁免時間 AWS WAF](waf-tokens-immunity-times.md)。 + **權杖網域** – 根據預設, 僅 AWS WAF 接受與保護套件 (Web ACL) 相關聯的資源網域權杖。如果您設定權杖網域清單, 會 AWS WAF 接受清單中所有網域以及相關聯資源網域的權杖。如需詳細資訊,請參閱[AWS WAF 保護套件 (Web ACL) 權杖網域清單組態](waf-tokens-domains.md#waf-tokens-domain-lists)。 # 在 中檢視 Web 流量指標 AWS WAF 檢視 Web 流量指標 本節說明如何存取 Web 流量指標的摘要。 對於您使用的任何保護套件 (Web ACL),您可以在 AWS WAF 主控台的保護套件 (Web ACL) 頁面的**流量概觀**索引標籤下存取 Web 流量指標的摘要。主控台儀表板提供近乎即時的 Amazon CloudWatch 指標摘要,這些指標會在評估應用程式 Web 流量時 AWS WAF 收集。如需儀表板的詳細資訊,請參閱 [保護套件的流量概觀儀表板 (Web ACLs)](web-acl-dashboards.md)。如需有關監控保護套件 (Web ACL) 流量的其他資訊,請參閱 [監控和調校您的 AWS WAF 保護](web-acl-testing-activities.md)。 # 刪除保護套件 (Web ACL) 本節提供透過 AWS 主控台刪除保護套件 (Web ACLs) 的程序。 **重要** 刪除保護套件 (Web ACL) 是永久性的,無法復原。 若要刪除保護套件 (Web ACL),您必須先取消所有 AWS 資源與保護套件 (Web ACL) 的關聯。請執行以下程序。 ------ #### [ Using the new console ] 1. 登入新的 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/wafv2-pro](https://console.aws.amazon.com/wafv2-pro) 開啟 AWS WAF 主控台。 1. 在導覽窗格中,選擇**資源與保護套件 (Web ACLs)**。 1. 在保護套件 (Web ACL) 卡片中,選擇**資源**旁的**編輯**連結,以開啟**管理資源**面板。 1. 在規則群組的**管理資源**區段中,選擇您要取消關聯的資源,然後選擇**取消關聯**。 **注意** 您必須一次取消一個資源的關聯。請勿選擇多個資源。 1. 在確認頁面中,輸入「取消關聯」,然後選擇**取消關聯**。重複 以取消保護套件 (Web ACL) 中每個資源的關聯。 1. 選擇您要刪除的保護套件 (Web ACL)。主控台可讓主要保護套件 (Web ACL) 卡可編輯,也會開啟側邊面板,其中包含您可以編輯的詳細資訊。 1. 在詳細資訊面板中,選擇垃圾桶圖示。 1. 在確認頁面中,輸入「刪除」,然後選擇**刪除**。 ------ #### [ Using the standard console ] 1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2) 開啟 AWS WAF 主控台。 1. 在導覽窗格中,選擇 **Web ACLs**。 1. 選取您要刪除的 Web ACL 名稱。主控台會將您帶到 Web ACL 的描述,您可以在其中編輯它。 **注意** 如果您沒有看到要刪除的 Web ACL,請確定 Web ACLs區段內的區域選擇正確無誤。保護 Amazon CloudFront 分佈的任何 Web ACLs 都位於**全域 (CloudFront)** 中。 1. 在**關聯的 AWS 資源**索引標籤上,針對每個相關聯的資源,選取資源名稱旁的選項按鈕,然後選擇**取消關聯**。這會取消保護套件 (Web ACL) 與 AWS 資源的關聯。 1. 在導覽窗格中,選擇 **Web ACLs**。 1. 選取您要刪除的 Web ACL 旁邊的選項按鈕,然後選擇 **Delete (刪除)**。 ------ # AWS WAF 規則 AWS WAF 規則已更新 AWS WAF 規則區段的組織 規則陳述式清單現在會依陳述式類型分組。 本節說明什麼是 AWS WAF 規則及其運作方式。 AWS WAF 規則定義如何檢查 HTTP(S) Web 請求,以及在符合檢查條件時對請求採取的動作。您只能在規則群組或保護套件 (Web ACL) 的內容中定義規則。 規則本身不存在於 中 AWS WAF 。它們不是 AWS 資源,也沒有 Amazon Resource Name (ARNs)。您可以在定義規則群組或保護套件 (Web ACL) 中依名稱存取規則。您可以使用規則群組的 JSON 檢視或包含規則的保護套件 (Web ACLs),來管理規則並將其複製到其他保護套件 (Web ACL)。您也可以透過 AWS WAF 主控台規則建置器進行管理,該建置器可用於保護套件 (Web ACLs) 和規則群組。 **規則名稱** 每個規則都需要一個名稱。避免開頭為 的名稱,`AWS`以及用於其他 服務為您管理的規則群組或規則的名稱。請參閱 [辨識其他服務提供的規則群組](waf-service-owned-rule-groups.md)。 **注意** 如果您變更規則的名稱,並且希望規則的指標名稱反映變更,則也必須更新指標名稱。 AWS WAF 當您變更規則名稱時, 不會自動更新規則的指標名稱。您可以使用規則 JSON 編輯器,在主控台中編輯規則時變更指標名稱。您也可以透過 APIs 和用於定義保護套件 (Web ACL) 或規則群組的任何 JSON 清單中變更這兩個名稱。 **規則陳述式** 每個規則還需要規則陳述式,以定義規則如何檢查 Web 請求。根據規則和陳述式類型,規則陳述式可能包含任何深度的其他巢狀陳述式。有些規則陳述式採用一組條件。例如,您可以為 IP 集比對規則指定最多 10,000 個 IP 地址或 IP 地址範圍。 您可以定義規則來檢查條件,如下所示: + 指令碼可能為惡意。攻擊者可以利用 web 應用程式的漏洞內嵌指令碼。這稱為跨網站指令碼 (XSS)。 + 發出請求的 IP 地址或地址範圍。 + 發出請求的國家/地區或地理位置。 + 請求指定部分的長度,例如查詢字串。 + SQL 程式碼可能為惡意。攻擊者會藉由內嵌惡意 SQL 程式碼於 web 請求中,嘗試從您的資料庫碼擷取資料。此稱為 SQL Injection。 + 字串會出現在請求,例如出現在 `User-Agent` 標頭的值或出現在查詢字串的文字字串。您也可以使用規則運算式 (regex) 指定這些字串。 + 保護套件 (Web ACL) 中先前規則已新增至請求的標籤。 除了具有 Web 請求檢查條件的陳述式之外,與上述清單中的陳述式一樣, AWS WAF 還支援 `AND`、 `OR`和 的邏輯陳述式`NOT`,您可以將陳述式結合在規則中。 例如,根據您最近從攻擊者看到的請求,您可以使用結合下列巢狀陳述式的邏輯`AND`陳述式來建立規則: + 來自 192.0.2.44 的請求。 + 在 `User-Agent` 標頭中包含 `BadBot` 值。 + 它們好像有包含類似 SQL 程式碼的查詢字串。 在此情況下,Web 請求需要符合所有陳述式,才能符合最上層 `AND`。 **Topics** + [ # 在 中使用規則動作 AWS WAF ](waf-rule-action.md) + [ # 在 中使用規則陳述式 AWS WAF ](waf-rule-statements.md) + [ # 在 中使用相符規則陳述式 AWS WAF ](waf-rule-statements-match.md) + [ # 在 中使用邏輯規則陳述式 AWS WAF ](waf-rule-statements-logical.md) + [ # 在 中使用以速率為基礎的規則陳述式 AWS WAF ](waf-rule-statement-type-rate-based.md) + [ # 在 中使用規則群組規則陳述式 AWS WAF ](waf-rule-statements-rule-group.md) # 在 中使用規則動作 AWS WAF 使用規則動作 本節說明規則動作的運作方式。 當 Web 請求符合規則中定義的條件時,規則動作會告知 AWS WAF 該如何處理。您可以選擇性地將自訂行為新增至每個規則動作。 **注意** 規則動作可以是終止或非終止。終止動作會停止請求的保護套件 (Web ACL) 評估,並讓它繼續到您的受保護應用程式或封鎖它。 以下是規則動作選項: + **Allow** – AWS WAF 允許將請求轉送至受保護 AWS 的資源以進行處理和回應。這是終止動作。在您定義的規則中,您可以將自訂標頭插入請求,然後再轉送到受保護的資源。 + **Block** – AWS WAF 封鎖請求。這是終止動作。根據預設,受保護 AWS 的資源會以 HTTP `403 (Forbidden)` 狀態碼回應。在您定義的規則中,您可以自訂回應。當 AWS WAF 封鎖請求時,Block動作設定會決定受保護資源傳回用戶端的回應。 + **Count** – AWS WAF 計算請求,但不決定允許或封鎖請求。這是非終止動作。 會 AWS WAF 繼續處理保護套件 (Web ACL) 中的其餘規則。在您定義的規則中,您可以將自訂標頭插入請求,也可以新增其他規則可比對的標籤。 + **CAPTCHA 和 Challenge** – AWS WAF 使用 CAPTCHA 拼圖和靜音挑戰來驗證請求不是來自機器人,並使用 AWS WAF 字符來追蹤最近成功的用戶端回應。 CAPTCHA 拼圖和無提示挑戰只能在瀏覽器存取 HTTPS 端點時執行。瀏覽器用戶端必須在安全的內容中執行,才能取得字符。 **注意** 當您在其中一個規則中使用 CAPTCHA或 Challenge規則動作,或做為規則群組中的規則動作覆寫時,需支付額外費用。如需詳細資訊,請參閱[AWS WAF 定價](https://aws.amazon.com/waf/pricing/)。 這些規則動作可以終止或非終止,取決於請求中的字符狀態: + **未終止有效、未過期的字符** – 如果字符根據設定的 CAPTCHA 或挑戰抗擾性時間有效且未過期, 會 AWS WAF 處理類似於 Count動作的請求。 會根據保護套件 (Web ACL) 中的其餘規則 AWS WAF 繼續檢查 Web 請求。與Count組態類似,在您定義的規則中,您可以選擇使用自訂標頭來設定這些動作,以插入請求中,也可以新增其他規則可比對的標籤。 + **以無效或過期權杖的封鎖請求終止** – 如果權杖無效或指定的時間戳記已過期, 會 AWS WAF 終止 Web 請求的檢查並封鎖請求,類似於 Block動作。 AWS WAF 然後以自訂回應碼回應用戶端。對於 CAPTCHA,如果請求內容指出用戶端瀏覽器可以處理它, AWS WAF 會在 JavaScript 間質中傳送 CAPTCHA 拼圖,以區分人類用戶端和機器人。對於 Challenge動作, AWS WAF 會傳送具有無提示挑戰的 JavaScript 間質,此挑戰旨在區分正常瀏覽器與機器人正在執行的工作階段。 如需其他資訊,請參閱 [CAPTCHA 和 Challenge 中的 AWS WAF](waf-captcha-and-challenge.md)。 如需自訂請求和回應的詳細資訊,請參閱 [中的自訂 Web 請求和回應 AWS WAF](waf-custom-request-response.md)。 如需將標籤新增至相符請求的詳細資訊,請參閱 [中的 Web 請求標籤 AWS WAF](waf-labels.md)。 如需有關保護套件 (Web ACL) 和規則設定如何互動的資訊,請參閱 [在 中使用保護套件 (Web ACLs) 搭配規則和規則群組 AWS WAF](web-acl-processing.md)。 # 在 中使用規則陳述式 AWS WAF 使用規則陳述式 本節說明規則陳述式的運作方式。 規則陳述式是規則的一部分, AWS WAF 說明如何檢查 Web 請求。當 AWS WAF 在 Web 請求中找到檢查條件時,我們說 Web 請求符合 陳述式。視陳述式類型而定,每個規則陳述式會指定要尋找什麼以及如何尋找。 中的每個規則 AWS WAF 都有單一最上層規則陳述式,可包含其他陳述式。規則陳述式可以非常簡單。例如,您可以有一個陳述式,提供一組原始國家/地區來檢查 的 Web 請求,或者您可以在僅參考規則群組的保護套件 (Web ACL) 中擁有規則陳述式。規則陳述式也可以非常複雜。例如,您可以有一個結合許多其他陳述式與邏輯 AND、 OR和 NOT陳述式的陳述式。 對於大多數規則,您可以將自訂 AWS WAF 標籤新增至相符的請求。 AWS 受管規則規則群組中的規則會將標籤新增至相符的請求。規則新增的標籤會將請求的相關資訊提供給稍後在保護套件 (Web ACL) 和 AWS WAF 日誌和指標中評估的規則。如需標籤的相關資訊,請參閱 [中的 Web 請求標籤 AWS WAF](waf-labels.md)和 [標籤比對規則陳述式](waf-rule-statement-type-label-match.md)。 **巢狀規則陳述式** AWS WAF 支援許多規則陳述式的巢狀化,但不支援所有規則陳述式。例如,您無法在另一個陳述式內巢狀化規則群組陳述式。您需要在某些案例中使用巢狀,例如縮小範圍陳述式和邏輯陳述式。以下規則陳述式列出和規則詳細資訊,說明每個類別和規則的巢狀功能和需求。 主控台中規則的視覺化編輯器僅支援規則陳述式的一個巢狀層級。例如,您可以在邏輯AND或OR規則內巢狀化許多類型的陳述式,但您無法巢狀化另一個 AND或 OR規則,因為這需要第二層級的巢狀化。若要實作多個巢狀層級,請透過主控台中的 JSON 規則編輯器或透過 APIs 提供 JSON 中的規則定義。 **Topics** + [ # 在 中調整規則陳述式設定 AWS WAF ](waf-rule-statement-fields.md) + [ # 在 中使用縮小範圍陳述式 AWS WAF ](waf-rule-scope-down-statements.md) + [ # 在 中參考可重複使用的實體 AWS WAF ](waf-rule-statement-reusable-entities.md) # 在 中調整規則陳述式設定 AWS WAF 調整規則陳述式設定 本節說明您可以在檢查 Web 請求元件的規則陳述式中指定的設定。如需用量的相關資訊,請參閱 中的個別規則陳述式[在 中使用相符規則陳述式 AWS WAF](waf-rule-statements-match.md)。 這些 Web 請求元件的子集也可以用在以速率為基礎的規則中,做為自訂請求彙總金鑰。如需相關資訊,請參閱[在 中彙總以速率為基礎的規則 AWS WAF](waf-rule-statement-type-rate-based-aggregation-options.md)。 對於請求元件設定,您可以指定元件類型本身,以及任何其他選項,具體取決於元件類型。例如,當您檢查包含文字的元件類型時,您可以在檢查之前對其套用文字轉換。 **注意** 除非另有說明,否則如果 Web 請求沒有規則陳述式中指定的請求元件, 會將請求 AWS WAF 評估為不符合規則條件。 **Contents** + [ # 在 中請求元件 AWS WAF ](waf-rule-statement-fields-list.md) + [ ## HTTP 方法 ](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-http-method) + [ ## 單一標頭 ](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-single-header) + [ ## 所有標頭 ](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-headers) + [ ## 標頭順序 ](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-header-order) + [ ## Cookie ](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-cookies) + [ ## URI 片段 ](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-uri-fragment) + [ ## URI 路徑 ](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-uri-path) + [ ## JA3 指紋 ](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-ja3-fingerprint) + [ ## JA4 指紋 ](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-ja4-fingerprint) + [ ## 查詢字串 ](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-query-string) + [ ## 單一查詢參數 ](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-single-query-param) + [ ## 所有查詢參數 ](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-all-query-params) + [ ## Body ](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-body) + [ ## JSON 內文 ](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-json-body) + [ # 在 中使用轉送的 IP 地址 AWS WAF ](waf-rule-statement-forwarded-ip-address.md) + [ # 在 中檢查 HTTP/2 虛擬標頭 AWS WAF ](waf-rule-statement-request-components-for-http2-pseudo-headers.md) + [ # 在 中使用文字轉換 AWS WAF ](waf-rule-statement-transformation.md) # 在 中請求元件 AWS WAF 請求元件選項新的 AWS WAF 請求元件 您現在可以檢查 URI fragment。新的 AWS WAF 請求元件: Headers和 Cookies 您現在可以檢查 Cookie,除了單一標頭之外,還可以檢查所有標頭。新的 AWS WAF 請求元件: Headers和 Cookies 您現在可以檢查 Web 請求中的 Cookie,除了單一標頭之外,還可以檢查 Web 請求中的所有標頭。 本節說明您可以指定用於檢查的 Web 請求元件。您可以為尋找 Web 請求內模式的比對規則陳述式指定請求元件。這些類型的陳述式包括字串比對、regex 比對、大小限制和 SQL Injection 攻擊陳述式。如需如何使用這些請求元件設定的詳細資訊,請參閱 中的個別規則陳述式 [在 中使用相符規則陳述式 AWS WAF](waf-rule-statements-match.md) 除非另有說明,否則如果 Web 請求沒有規則陳述式中指定的請求元件, 會將請求 AWS WAF 評估為不符合規則條件。 **注意** 您可以為每個需要它的規則陳述式指定單一請求元件。若要檢查請求的多個元件,請為每個元件建立規則陳述式。 AWS WAF 主控台和 API 文件為下列位置的請求元件設定提供指引: + 主控台上的**規則建置器** – 在一般規則類型的**陳述式**設定中,選擇您要在請求元件下的**檢查**對話中檢查的元件。 **** + **API 陳述式內容** – `FieldToMatch` 本節的其餘部分說明 Web 請求要檢查的部分選項。 **Topics** + [ ## HTTP 方法 ](#waf-rule-statement-request-component-http-method) + [ ## 單一標頭 ](#waf-rule-statement-request-component-single-header) + [ ## 所有標頭 ](#waf-rule-statement-request-component-headers) + [ ## 標頭順序 ](#waf-rule-statement-request-component-header-order) + [ ## Cookie ](#waf-rule-statement-request-component-cookies) + [ ## URI 片段 ](#waf-rule-statement-request-component-uri-fragment) + [ ## URI 路徑 ](#waf-rule-statement-request-component-uri-path) + [ ## JA3 指紋 ](#waf-rule-statement-request-component-ja3-fingerprint) + [ ## JA4 指紋 ](#waf-rule-statement-request-component-ja4-fingerprint) + [ ## 查詢字串 ](#waf-rule-statement-request-component-query-string) + [ ## 單一查詢參數 ](#waf-rule-statement-request-component-single-query-param) + [ ## 所有查詢參數 ](#waf-rule-statement-request-component-all-query-params) + [ ## Body ](#waf-rule-statement-request-component-body) + [ ## JSON 內文 ](#waf-rule-statement-request-component-json-body) ## HTTP 方法 HTTP 方法 檢查 HTTP 方法是否有請求。HTTP 方法表示 Web 請求請求要求您受保護資源執行的操作類型,例如 `POST`或 `GET`。 ## 單一標頭 單一標頭 檢查請求中的單一具名標頭。 對於此選項,您可以指定標頭名稱,例如 `User-Agent`或 `Referer`。名稱的字串比對不區分大小寫,會在從請求標頭和規則修剪前後空格後執行。 ## 所有標頭 所有標頭所有標頭規格不區分大小寫 將所有標頭規格變更為不區分大小寫。這符合單一標頭行為。 檢查所有請求標頭,包括 Cookie。您可以套用篩選條件來檢查所有標頭的子集。 針對此選項,您提供下列規格: + **比對模式** – 用來在標頭索引鍵中取得這些模式之 inspection. AWS WAF looks 標頭子集的篩選條件。 比對模式設定可以是下列其中一項: + **全部** – 符合所有金鑰。評估所有標頭的規則檢查條件。 + **排除標頭** – 僅檢查其索引鍵不符合您在此處指定之任何字串的標頭。金鑰的字串比對不區分大小寫。比對會在從請求標頭和比對規則修剪開頭和結尾空格後執行。 + **包含的標頭** – 僅檢查金鑰與您在此處指定的其中一個字串相符的標頭。金鑰的字串比對不區分大小寫。比對會在從請求標頭和比對規則修剪開頭和結尾空格後執行。 + **比對範圍** – AWS WAF 應該使用規則檢查條件進行檢查的標頭部分。您可以指定**金鑰**、**值**或**全部**,以檢查金鑰和值是否相符。 **全部**不需要在索引鍵中找到相符項目,以及在值中找到相符項目。它需要在索引鍵或值或兩者中找到相符項目。若要在金鑰和值中要求比對,請使用邏輯`AND`陳述式來結合兩個比對規則,其中一個規則會檢查金鑰,另一個規則則會檢查值。 + **過大處理** – AWS WAF 應如何處理標頭資料大於 AWS WAF 的請求。 最多 AWS WAF 可以檢查請求標頭的前 8 KB (8,192 位元組) 和前 200 個標頭。內容最多可 AWS WAF 達第一個限制可供檢查。您可以選擇繼續檢查,或略過檢查並將請求標記為符合或不符合規則。如需處理過大內容的詳細資訊,請參閱 [在 中過大 Web 請求元件 AWS WAF](waf-oversize-request-components.md)。 ## 標頭順序 標頭順序新的 AWS WAF 請求元件: Header order 您現在可以比對請求中標頭名稱的排序清單。 檢查包含請求標頭名稱清單的字串,其順序如 AWS WAF 接收以供檢查的 Web 請求中所示。 AWS WAF 會產生字串,然後使用該字串做為欄位來比對其檢查中的元件。 會將字串中的標頭名稱與冒號 AWS WAF 分隔,且沒有新增空格,例如 `host:user-agent:accept:authorization:referer`。 針對此選項,您提供下列規格: + **過大處理** – AWS WAF 應如何處理標頭資料超過 AWS WAF 可檢查數量或更大的請求。 最多 AWS WAF 可以檢查請求標頭的前 8 KB (8,192 個位元組) 和前 200 個標頭。內容最多可 AWS WAF 達第一個限制可供檢查。您可以選擇繼續檢查可用的標頭,或略過檢查並將請求標記為符合或不符合規則。如需處理過大內容的詳細資訊,請參閱 [在 中過大 Web 請求元件 AWS WAF](waf-oversize-request-components.md)。 ## Cookie Cookie 檢查所有請求 Cookie。您可以套用篩選條件來檢查所有 Cookie 的子集。 針對此選項,您提供下列規格: + **比對模式** – 用來取得一部分 Cookie 進行檢查的篩選條件。 會在 Cookie 金鑰中 AWS WAF 尋找這些模式。 比對模式設定可以是下列其中一項: + **全部** – 比對所有金鑰。評估所有 Cookie 的規則檢查條件。 + **排除的 Cookie** – 僅檢查金鑰與您在此處指定的任何字串不相符的 Cookie。金鑰的字串比對區分大小寫,而且必須完全正確。 + **包含的 Cookie** – 僅檢查金鑰與您在此處指定的其中一個字串相符的 Cookie。金鑰的字串比對區分大小寫,而且必須完全正確。 + **比對範圍** – AWS WAF 應使用規則檢查條件檢查的 Cookie 部分。您可以同時為**金鑰**和**值**指定金鑰、值或**全部**。 **全部**不需要在索引鍵中找到相符項目,以及在值中找到相符項目。它需要在索引鍵或值或兩者中找到相符項目。若要在金鑰和值中要求比對,請使用邏輯`AND`陳述式來結合兩個比對規則,其中一個規則會檢查金鑰,另一個規則則會檢查值。 + **過大處理** – AWS WAF 應如何處理 Cookie 資料大於 AWS WAF 可檢查的請求。 最多 AWS WAF 可以檢查請求 Cookie 的前 8 KB (8,192 位元組) 和前 200 個 Cookie。內容最多可 AWS WAF 達第一個限制可供檢查。您可以選擇繼續檢查,或略過檢查並將請求標記為符合或不符合規則。如需處理過大內容的詳細資訊,請參閱 [在 中過大 Web 請求元件 AWS WAF](waf-oversize-request-components.md)。 ## URI 片段 URI 片段 **注意** Uri Fragment 檢查僅適用於 CloudFront 分佈和 Application Load Balancer。 檢查遵循 "\$1" 符號的 URL 部分,提供資源的其他資訊,例如 \$1section2。如需詳細資訊,請參閱[統一資源識別符 (URI):一般語法](https://tools.ietf.org/html/rfc3986#section-3)。 如果您不搭配此選項使用文字轉換, AWS WAF 不會正規化 URI 片段,並完全依照在請求中從用戶端接收到的 URI 片段進行檢查。如需文字轉換的資訊,請參閱 [在 中使用文字轉換 AWS WAF](waf-rule-statement-transformation.md)。 **規則陳述式要求** 您必須為此規則陳述式提供備用行為。如果 URI 缺少片段或相關聯的服務不是 Application Load Balancer 或 CloudFront,則備用行為是您想要 AWS WAF 指派給 Web 請求的比對狀態。如果您選擇比對, 會將請求 AWS WAF 視為比對規則陳述式,並將規則動作套用至請求。如果您選擇不相符, 會將請求 AWS WAF 視為不符合規則陳述式。 ## URI 路徑 URI 路徑 檢查識別資源的 URL 部分,例如 `/images/daily-ad.jpg`。如需詳細資訊,請參閱[統一資源識別符 (URI):一般語法](https://tools.ietf.org/html/rfc3986#section-3)。 如果您不搭配此選項使用文字轉換, AWS WAF 不會正規化 URI,並完全依照在請求中從用戶端接收 URI 的方式進行檢查。如需文字轉換的資訊,請參閱 [在 中使用文字轉換 AWS WAF](waf-rule-statement-transformation.md)。 ## JA3 指紋 JA3 指紋AWS WAF 新增 JA3 指紋的檢查 您現在可以針對 Amazon CloudFront 分佈和 Application Load Balancer,對 Web 請求的 JA3 指紋執行完全相符。 檢查請求的 JA3 指紋。 **注意** JA3 指紋檢查僅適用於 Amazon CloudFront 分佈和 Application Load Balancer。 JA3 指紋是從傳入請求的 TLS Client Hello 衍生的 32 個字元雜湊。此指紋可做為用戶端 TLS 組態的唯一識別符。 會針對具有足夠 TLS Client Hello 資訊以進行計算的每個請求 AWS WAF ,計算並記錄此指紋。幾乎所有 Web 請求都包含此資訊。 **如何取得用戶端的 JA3 指紋** 您可以從保護套件 (Web ACL) 日誌取得用戶端請求的 JA3 指紋。如果 AWS WAF 能夠計算指紋,它會將其包含在日誌中。如需記錄欄位的資訊,請參閱 [保護套件 (Web ACL) 流量的日誌欄位](logging-fields.md)。 **規則陳述式要求** 您只能在設定為完全符合您提供的字串的字串比對陳述式內檢查 JA3 指紋。在字串比對陳述式規格中提供來自日誌的 JA3 指紋字串,以符合具有相同 TLS 組態的任何未來請求。如需字串比對陳述式的詳細資訊,請參閱 [字串比對規則陳述式](waf-rule-statement-type-string-match.md)。 您必須為此規則陳述式提供備用行為。如果 無法計算 JA3 指紋,則備用行為是您想要 AWS WAF 指派給 Web 請求 AWS WAF 的比對狀態。如果您選擇比對, AWS WAF 會將請求視為比對規則陳述式,並將規則動作套用至請求。如果您選擇不相符, 會將請求 AWS WAF 視為不符合規則陳述式。 若要使用此比對選項,您必須記錄保護套件 (Web ACL) 流量。如需相關資訊,請參閱[記錄 AWS WAF 保護套件 (Web ACL) 流量](logging.md)。 ## JA4 指紋 JA4 指紋AWS WAF 新增 JA4 指紋的檢查 您現在可以針對 Amazon CloudFront 分佈和 Application Load Balancer,對 Web 請求的 JA4 指紋執行完全相符。AWS WAF 支援新的 JA4 欄位比對 您可以根據進階 JavaScript 指紋 (JA4) 特性偵測和封鎖流量,並使用 JA4 指紋做為 WAF 速率型規則中支援的請求金鑰之一。 檢查請求的 JA4 指紋。 **注意** JA4 指紋檢查僅適用於 Amazon CloudFront 分佈和 Application Load Balancer。 JA4 指紋是從傳入請求的 TLS Client Hello 衍生的 36 個字元雜湊。此指紋可做為用戶端 TLS 組態的唯一識別符。JA4 指紋是 JA3 指紋的延伸,可能會導致某些瀏覽器產生較少的唯一指紋。 會為每個具有足夠 TLS Client Hello 資訊的請求 AWS WAF 計算並記錄此指紋。幾乎所有 Web 請求都包含此資訊。 **如何取得用戶端的 JA4 指紋** 您可以從保護套件 (Web ACL) 日誌取得用戶端請求的 JA4 指紋。如果 AWS WAF 能夠計算指紋,它會將其包含在日誌中。如需記錄欄位的資訊,請參閱 [保護套件 (Web ACL) 流量的日誌欄位](logging-fields.md)。 **規則陳述式要求** 您只能在設定為完全符合您提供的字串的字串比對陳述式內檢查 JA4 指紋。在字串比對陳述式規格中提供來自日誌的 JA4 指紋字串,以符合任何未來具有相同 TLS 組態的請求。如需字串比對陳述式的詳細資訊,請參閱 [字串比對規則陳述式](waf-rule-statement-type-string-match.md)。 您必須為此規則陳述式提供備用行為。如果 無法計算 JA4 指紋,則備用行為是您想要 AWS WAF 指派給 Web 請求 AWS WAF 的比對狀態。如果您選擇比對, AWS WAF 會將請求視為比對規則陳述式,並將規則動作套用至請求。如果您選擇不相符, 會將請求 AWS WAF 視為不符合規則陳述式。 若要使用此比對選項,您必須記錄保護套件 (Web ACL) 流量。如需相關資訊,請參閱[記錄 AWS WAF 保護套件 (Web ACL) 流量](logging.md)。 ## 查詢字串 查詢字串 檢查`?`字元後面出現的 URL 部分,如果有的話。 **注意** 對於跨網站指令碼比對陳述式,我們建議您選擇**所有查詢參數**,而不是**查詢字串**。選擇**所有查詢參數**會將 10 WCUs 新增至基本成本。 ## 單一查詢參數 單一查詢參數 檢查您已定義為查詢字串一部分的單一查詢參數。 AWS WAF 會檢查您指定的參數值。 針對此選項,您也可以指定**查詢引數**。例如,如果 URL 為 `www.xyz.com?UserName=abc&SalesRegion=seattle`,您可以`SalesRegion`為查詢引數指定 `UserName`或 。引數名稱的長度上限為 30 個字元。名稱不區分大小寫,因此如果您指定 `UserName`, 會 AWS WAF 比對 的所有變化`UserName`,包括 `username`和 `UsERName`。 如果查詢字串包含您所指定查詢引數的多個執行個體, 會使用OR邏輯 AWS WAF 檢查相符項目的所有值。例如,在 URL `www.xyz.com?SalesRegion=boston&SalesRegion=seattle` 中, AWS WAF 會評估您針對 `boston` 和 `seattle` 指定的名稱。如果其中一個相符,則檢查會是相符。 ## 所有查詢參數 所有查詢參數 檢查請求中的所有查詢參數。這類似於單一查詢參數元件選擇,但會 AWS WAF 檢查查詢字串中所有引數的值。例如,如果 URL 為 `www.xyz.com?UserName=abc&SalesRegion=seattle`,則 AWS WAF 會在 `UserName` 或 `SalesRegion` 的值符合比對檢查準則時觸發比對。 選擇此選項會將 10 WCUs 新增至基本成本。 ## Body Body 檢查請求內文,評估為純文字。您也可以使用JSON內容類型將內文評估為 JSON。 請求內文是緊接請求標頭的請求部分。它包含 Web 請求所需的任何其他資料,例如來自表單的資料。 + 在 主控台中,您可以透過選取**內容類型**選擇**純文字**,在**請求選項**選擇**內文**下選取此選項。 + 在 API 中,在規則的`FieldToMatch`規格中,您可以指定 `Body`以純文字形式檢查請求內文。 對於 Application Load Balancer 和 AWS AppSync, AWS WAF 可以檢查請求內文的前 8 KB。對於 CloudFront、API Gateway、Amazon Cognito、App Runner 和 Verified Access,預設 AWS WAF 可以檢查前 16 KB,而且您可以將保護套件 (Web ACL) 組態中的限制提高到 64 KB。如需詳細資訊,請參閱[在 中管理主體檢查的考量事項 AWS WAF](web-acl-setting-body-inspection-limit.md)。 您必須為此元件類型指定過大處理。過大處理定義 AWS WAF 如何處理內文資料大於 AWS WAF 可檢查的請求。您可以選擇繼續檢查,或略過檢查並將請求標記為符合或不符合規則。如需處理過大內容的詳細資訊,請參閱 [在 中過大 Web 請求元件 AWS WAF](waf-oversize-request-components.md)。 您也可以將內文評估為剖析的 JSON。如需詳細資訊,請參閱以下章節。 ## JSON 內文 JSON 內文釐清 JSON 內文剖析的運作方式 更新 JSON 內文檢查的涵蓋範圍,以釐清 AWS WAF 如何處理剖析和內文剖析後援行為。檢查 Web 請求內文做為剖析的 JSON 新增將 Web 請求內文檢查為已剖析和篩選 JSON 的選項。這是現有選項以外的選項,可將 Web 請求內文檢查為純文字。 檢查請求內文,評估為 JSON。您也可以將內文評估為純文字。 請求內文是緊接請求標頭的請求部分。它包含 Web 請求所需的任何其他資料,例如來自表單的資料。 + 在主控台中,您可以透過選取**內容類型**選擇 **JSON**,在**請求選項**選擇**內文**下選取此選項。 + 在 API 的規則`FieldToMatch`規格中,您可以指定 `JsonBody`。 對於 Application Load Balancer 和 AWS AppSync, AWS WAF 可以檢查請求內文的前 8 KB。根據預設,對於 CloudFront、API Gateway、Amazon Cognito、App Runner 和 Verified Access, AWS WAF 可以檢查前 16 KB,而且您可以將保護套件 (Web ACL) 組態中的限制提高到 64 KB。如需詳細資訊,請參閱[在 中管理主體檢查的考量事項 AWS WAF](web-acl-setting-body-inspection-limit.md)。 您必須為此元件類型指定過大處理。過大處理定義 AWS WAF 如何處理內文資料大於 AWS WAF 可檢查的請求。您可以選擇繼續檢查,或略過檢查並將請求標記為符合或不符合規則。如需處理過大內容的詳細資訊,請參閱 [在 中過大 Web 請求元件 AWS WAF](waf-oversize-request-components.md)。 選擇此選項會將比對陳述式的基本成本 WCUs加倍。例如,如果比對陳述式基本成本為 5 WCUs而沒有 JSON 剖析,則使用 JSON 剖析會將成本加倍為 10 WCUs。 對於此選項,您可以提供其他規格,如下節所述。 **AWS WAF 如何處理 JSON 內文檢查** 當 將 Web 請求內文 AWS WAF 檢查為 JSON 時,它會執行步驟來剖析內文,並擷取 JSON 元素以進行檢查。 會根據您的組態選擇 AWS WAF 執行這些步驟。 下列列出 AWS WAF 執行的步驟。 1. **剖析內文內容** – AWS WAF 剖析 Web 請求內文的內容,以擷取 JSON 元素進行檢查。 AWS WAF 會盡力剖析內文的整個內容,但剖析可能會因內容中的各種錯誤狀態而失敗。範例包括無效的字元、重複的金鑰、截斷,以及根節點不是物件或陣列的內容。 選項內**文剖析後援行為**會決定如果無法完整剖析 JSON 內文, AWS WAF 該怎麼辦: + **None (預設行為)** - 評估 AWS WAF 內容直到遇到剖析錯誤為止。 + **評估為字串** - 檢查內文為純文字。 會將您為 JSON 檢查定義的文字轉換和檢查條件 AWS WAF 套用至內文文字字串。 + **相符** - 將 Web 請求視為符合規則陳述式。 會將規則動作 AWS WAF 套用至請求。 + **不相符** - 將 Web 請求視為不符合規則陳述式。 **注意** 此備用行為只會在剖析 JSON 字串 AWS WAF 時發生錯誤時觸發。 **剖析無法完全驗證 JSON** AWS WAF 剖析不會完全驗證輸入 JSON 字串,因此即使 JSON 無效,剖析也會成功。 例如, 會 AWS WAF 剖析下列無錯誤的無效 JSON: + 缺失逗號:`{"key1":"value1""key2":"value2"}` + 缺失冒號:`{"key1":"value1","key2""value2"}` + 額外冒號:`{"key1"::"value1","key2""value2"}` 對於剖析成功但結果不是完全有效 JSON 的這類案例,評估中後續步驟的結果可能會有所不同。擷取可能會遺漏一些元素,或者規則評估可能會有非預期的結果。我們建議您驗證應用程式中收到的 JSON,並視需要處理無效的 JSON。 1. **擷取 JSON 元素** – 根據您的設定 AWS WAF 識別要檢查的 JSON 元素子集: + 選項 **JSON 比對範圍**指定 JSON 中 AWS WAF 應檢查的元素類型。 您可以同時為**金鑰**和**值**指定金鑰、值或**全部**。 **全部**不需要在索引鍵中找到相符項目,以及在值中找到相符項目。它需要在索引鍵或值或兩者中找到相符項目。若要在金鑰和值中要求相符項目,請使用邏輯`AND`陳述式來結合兩個相符規則,一個規則會檢查金鑰,另一個規則則會檢查值。 + **要檢查的選項 內容**指定如何篩選設定為您要 AWS WAF 檢查之子集的元素。 您必須指定下列其中一項: + **完整 JSON 內容** - 評估所有元素。 + **僅包含的元素** - 僅評估路徑符合您提供的 JSON 指標條件的元素。請勿使用此選項來指示 JSON 中的所有**路徑。請改用**完整 JSON 內容**。 如需 JSON 指標語法的相關資訊,請參閱網際網路工程任務小組 (IETF) 文件 [JavaScript 物件標記法 (JSON) 指標](https://tools.ietf.org/html/rfc6901)。 例如,在 主控台中,您可以提供下列項目: ``` /dogs/0/name /dogs/1/name ``` 在 API 或 CLI 中,您可以提供下列項目: ``` "IncludedPaths": ["/dogs/0/name", "/dogs/1/name"] ``` 例如,假設**要檢查設定的內容**是**僅包含的元素**,而包含的元素設定是 `/a/b`。 對於下列範例 JSON 內文: ``` { "a":{ "c":"d", "b":{ "e":{ "f":"g" } } } } ``` AWS WAF 會檢查每個 **JSON 比對範圍**設定的元素集如下所示。請注意`b`,金鑰 是包含元素路徑的一部分,因此不會進行評估。 + **全部**:`e`、 `f,`和 `g`。 + **金鑰**: `e`和 `f`。 + **值**:`g`。 1. **檢查 JSON 元素集** – 將您指定的任何文字轉換 AWS WAF 套用至擷取的 JSON 元素,然後將產生的元素集與規則陳述式的比對條件相符。這與其他 Web 請求元件的轉換和評估行為相同。如果任何擷取的 JSON 元素相符,表示 Web 請求符合規則。 # 在 中使用轉送的 IP 地址 AWS WAF 使用轉送的 IP 地址在 Web 請求中指定 IP 地址位置 新增使用您指定 HTTP 標頭之 IP 地址的選項,而不是使用 Web 請求原始伺服器。替代標頭通常是 `X-Forwarded-For`(XFF),但您可以指定任何標頭名稱。您可以使用此選項進行 IP 集比對、地理比對和以速率為基礎的規則計數彙總。 本節適用於使用 Web 請求 IP 地址的規則陳述式。根據預設, AWS WAF 會使用來自 Web 請求原始伺服器的 IP 地址。不過,如果 Web 請求通過一或多個代理或負載平衡器,Web 請求原始伺服器將包含最後一個代理的地址,而不是用戶端的原始地址。在這種情況下,來源用戶端地址通常會在另一個 HTTP 標頭中轉送。此標頭通常是 `X-Forwarded-For`(XFF),但可以是不同的標頭。 **使用 IP 地址的規則陳述式** 使用 IP 地址的規則陳述式如下: + [IP 集合比對](waf-rule-statement-type-ipset-match.md) - 檢查 IP 地址是否與 IP 集中定義的地址相符。 + [地理比對](waf-rule-statement-type-geo-match.md) - 使用 IP 地址來判斷原始國家/地區和區域,並將原始國家/地區與國家/地區清單比對。 + [ASN 比對](waf-rule-statement-type-asn-match.md) - 使用 IP 地址來判斷自治系統編號 (ASN),並將 ASN 與 ASNs清單比對。 + [使用以速率為基礎的規則陳述式](waf-rule-statement-type-rate-based.md) - 可以依其 IP 地址彙總請求,以確保個別 IP 地址不會以過高的速率傳送請求。您可以單獨使用 IP 地址彙總,或與其他彙總金鑰結合使用。 您可以指示 從 `X-Forwarded-For`標頭或另一個 HTTP 標頭使用任何這些規則陳述式的 AWS WAF 轉送 IP 地址,而不是使用 Web 請求的原始伺服器。如需如何提供規格的詳細資訊,請參閱個別規則陳述式類型的指引。 **注意** 如果缺少標頭, 會 AWS WAF 評估使用該標頭的任何陳述式為「不相符」。如果您使用 NOT 陳述式搭配 "No match" 結果, 會將評估 AWS WAF 轉換為 "Match"。缺少標頭不會觸發備用行為 - 只有無效的標頭值才會觸發。 **備用行為** 當您使用轉送的 IP 地址時,如果請求在指定位置沒有有效的 IP 地址,您會指出 AWS WAF 要指派給 Web 請求的比對狀態: + **MATCH** - 將 Web 請求視為符合規則陳述式。 會將規則動作 AWS WAF 套用至請求。 + **NO MATCH** - 將 Web 請求視為不符合規則陳述式。 **機器人 AWS WAF 控制中使用的 IP 地址** Bot Control 受管規則群組會使用來自 的 IP 地址來驗證機器人 AWS WAF。如果您使用 Bot Control,而且已驗證透過代理或負載平衡器路由的機器人,則需要使用自訂規則明確允許它們。例如,您可以設定自訂 IP 集比對規則,使用轉送的 IP 地址來偵測和允許已驗證的機器人。您可以使用 規則,以多種方式自訂機器人管理。如需詳細資訊和範例,請參閱 [AWS WAF 機器人控制](waf-bot-control.md)。 **使用轉送 IP 地址的一般考量** 在使用轉送的 IP 地址之前,請注意下列一般注意事項: + 代理可以沿途修改標頭,代理可能會以不同的方式處理標頭。 + 攻擊者可能會更改 標頭的內容,以嘗試繞過 AWS WAF 檢查。 + 標頭內的 IP 地址可能格式錯誤或無效。 + 您指定的標頭可能完全不存在於請求中。 **搭配 使用轉送 IP 地址的考量 AWS WAF** 下列清單說明在 中使用轉送 IP 地址的要求和注意事項 AWS WAF: + 對於任何單一規則,您可以為轉送的 IP 地址指定一個標頭。標頭規格不區分大小寫。 + 對於以速率為基礎的規則陳述式,任何巢狀範圍陳述式都不會繼承轉送的 IP 組態。為使用轉送 IP 地址的每個陳述式指定組態。 + 對於地理比對、ASN 比對和以速率為基礎的規則, AWS WAF 會使用 標頭中的第一個地址。例如,如果標頭包含 `10.1.1.1, 127.0.0.0, 10.10.10.10` AWS WAF 使用 `10.1.1.1` + 對於 IP 集比對,您可以指出要比對標頭中的第一個、最後一個或任何地址。如果您指定任何 , 會 AWS WAF 檢查標頭中的所有地址是否相符,最多 10 個地址。如果標頭包含超過 10 個地址, 會 AWS WAF 檢查最後 10 個地址。 + 包含多個地址的標頭必須在地址之間使用逗號分隔符號。如果請求使用逗號以外的分隔符號, AWS WAF 會將標頭中的 IP 地址視為格式錯誤。 + 如果標頭內的 IP 地址格式錯誤或無效, AWS WAF 會根據您在轉送 IP 組態中指定的備用行為,將 Web 請求指定為符合規則或不相符。 + 如果您指定的標頭不存在於請求中, AWS WAF 則 不會將規則套用至請求。這表示 AWS WAF 不會套用規則動作,也不會套用備用行為。 + 針對 IP 地址使用轉送 IP 標頭的規則陳述式不會使用 Web 請求原始伺服器報告的 IP 地址。 **搭配 使用轉送 IP 地址的最佳實務 AWS WAF** 當您使用轉送的 IP 地址時,請使用下列最佳實務: + 在啟用轉送 IP 組態之前,請仔細考慮請求標頭的所有可能狀態。您可能需要使用多個規則來取得您想要的行為。 + 若要檢查多個轉送 IP 標頭或檢查 Web 請求原始伺服器和轉送 IP 標頭,請為每個 IP 地址來源使用一個規則。 + 若要封鎖具有無效標頭的 Web 請求,請設定規則動作來封鎖和設定要符合之轉送 IP 組態的備用行為。 **轉送 IP 地址的範例 JSON** 下列地理比對陳述式只有在 `X-Forwarded-For` 標頭包含的 IP 原始國家/地區為 時才會相符`US`: ``` { "Name": "XFFTestGeo", "Priority": 0, "Action": { "Block": {} }, "VisibilityConfig": { "SampledRequestsEnabled": true, "CloudWatchMetricsEnabled": true, "MetricName": "XFFTestGeo" }, "Statement": { "GeoMatchStatement": { "CountryCodes": [ "US" ], "ForwardedIPConfig": { "HeaderName": "x-forwarded-for", "FallbackBehavior": "MATCH" } } } } ``` 下列以速率為基礎的規則會根據 `X-Forwarded-For`標頭中的第一個 IP 彙總請求。規則只會計算符合巢狀地理比對陳述式的請求,而且只會封鎖符合地理比對陳述式的請求。巢狀地理比對陳述式也會使用 `X-Forwarded-For`標頭來判斷 IP 地址是否指出 的原始國家/地區`US`。如果存在,或者如果標頭存在但格式不正確,則地理比對陳述式會傳回相符項目。 ``` { "Name": "XFFTestRateGeo", "Priority": 0, "Action": { "Block": {} }, "VisibilityConfig": { "SampledRequestsEnabled": true, "CloudWatchMetricsEnabled": true, "MetricName": "XFFTestRateGeo" }, "Statement": { "RateBasedStatement": { "Limit": "100", "AggregateKeyType": "FORWARDED_IP", "ScopeDownStatement": { "GeoMatchStatement": { "CountryCodes": [ "US" ], "ForwardedIPConfig": { "HeaderName": "x-forwarded-for", "FallbackBehavior": "MATCH" } } }, "ForwardedIPConfig": { "HeaderName": "x-forwarded-for", "FallbackBehavior": "MATCH" } } } } ``` # 在 中檢查 HTTP/2 虛擬標頭 AWS WAF 檢查 HTTP/2 虛擬標頭如何檢查 HTTP/2 虛擬標頭 新增將 HTTP/2 虛擬標頭映射至其對應 Web 請求元件的區段。 本節說明如何使用 AWS WAF 檢查 HTTP/2 虛擬標頭。 支援 HTTP/2 流量的受保護 AWS 資源不會將 HTTP/2 虛擬標頭轉送至 AWS WAF 進行檢查,但會在 AWS WAF 檢查的 Web 請求元件中提供虛擬標頭的內容。 您可以使用 僅 AWS WAF 檢查下表中列出的虛擬標頭。 **HTTP/2 虛擬標頭內容映射至 Web 請求元件** | HTTP/2 虛擬標頭 | 要檢查的 Web 請求元件 | 文件 | | --- | --- | --- | | `:method` | HTTP 方法 | [HTTP 方法](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-http-method) | | `:authority` | `Host` 標頭 | [單一標頭](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-single-header) [所有標頭](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-headers) | | `:path` URI 路徑 | URI 路徑 | [URI 路徑](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-uri-path) | | `:path` 查詢 | 查詢字串 | [查詢字串](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-query-string) [單一查詢參數](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-single-query-param) [所有查詢參數](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-all-query-params) | # 在 中使用文字轉換 AWS WAF 使用文字轉換AWS WAF HTML 實體解碼文字轉換 擴充 HTML 實體解碼文字轉換的功能。AWS WAF 其他文字轉換選項 文字轉換的擴展選項,您可以在檢查之前套用到 Web 請求元件。 本節說明如何在檢查請求之前提供 AWS WAF 要套用的轉換。 在尋找模式或設定限制條件的陳述式中,您可以在檢查請求之前提供 AWS WAF 要套用的轉換。轉換會將 Web 請求重新格式化,以避免攻擊者用來試圖略過 AWS WAF的某些異常格式。 當您搭配 JSON 內文請求元件選擇使用時, AWS WAF 會在剖析和擷取元素以從 JSON 檢查之後套用轉換。如需詳細資訊,請參閱[JSON 內文](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-json-body)。 如果您提供多個轉換,您也可以設定讓 AWS WAF 套用它們的順序。 **WCUs** – 每個文字轉換都是 10 WCUs。 AWS WAF 主控台和 API 文件也提供下列位置中這些設定的指引: + 主控台上的**規則建置器** – **文字轉換**。當您使用請求元件時,此選項可供使用。 + **API 陳述式內容** – `TextTransformations`文字轉換的選項 每個轉換清單會顯示主控台和 API 規格,後面接著描述。 Base64 decode – `BASE64_DECODE` AWS WAF 解碼 Base64-encoded字串。 Base64 decode extension – `BASE64_DECODE_EXT` AWS WAF 解碼 Base64-encoded字串,但使用忽略無效字元的寬容實作。 Command line – `CMD_LINE` 此選項可緩解攻擊者可能注入作業系統命令列命令,並使用異常格式來掩飾部分或全部命令的情況。 使用此選項可執行下列轉換: + 刪除以下字元:`\ " ' ^` + 刪除以下字元前的空格:`/ (` + 將以下字元取代為空格:`, ;` + 將數個空格取代為一個空格 + 將大寫字母 `A-Z` 轉換成小寫字母 `a-z` Compress whitespace – `COMPRESS_WHITE_SPACE` AWS WAF 壓縮空格的方式是將多個空格取代為一個空格,並將下列字元取代為空格字元 (ASCII 32): + Formfeed (ASCII 12) + Tab (ASCII 9) + Newline (ASCII 10) + 歸位運送 (ASCII 13) + 垂直標籤 (ASCII 11) + 非中斷空間 (ASCII 160) CSS decode – `CSS_DECODE` AWS WAF 解碼使用 CSS 2.x 逸出規則 編碼的字元。 `syndata.html#characters`此函數在解碼過程中最多使用兩個位元組,因此它可以幫助您發現使用 CSS 編碼進行編碼的 ASCII 字元 (這些字元通常不會被編碼)。它在反擊逃脫方面也很有用,後者是反斜線和非十六進位字元的組合。例如,`javascript` 的 `ja\vascript`。 Escape sequences decode – `ESCAPE_SEQ_DECODE` AWS WAF 解碼下列 ANSI C 逸出序列:`\a`、`\b`、`\f`、`\n`、`\r``\t`、、`\v`、`\\``\?`、`\'`、`\"`、、 `\xHH` (十六進位)、`\0OOO`(八進位)。無效的編碼會保留在輸出中。 Hex decode – `HEX_DECODE` AWS WAF 會將十六進位字元字串解碼為二進位。 HTML entity decode – `HTML_ENTITY_DECODE` AWS WAF 會將以十六進位格式`&#xhhhh;`或十進位格式表示的字元`&#nnnn;`取代為對應的字元。 AWS WAF 會以未編碼的字元取代下列 HTML 編碼的字元。此清單使用小寫 HTML 編碼,但處理方式不區分大小寫,例如`"`,`&QuOt;`且視為相同。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/waf-rule-statement-transformation.html) JS decode – `JS_DECODE` AWS WAF 解碼 JavaScript 逸出序列。如果`\uHHHH`程式碼在 的完整寬度 ASCII 程式碼範圍內`FF01-FF5E`,則會使用較高的位元組來偵測和調整較低的位元組。如果不是,則只會使用較低的位元組,並將較高的位元組歸零,而這可能導致資訊遺失。 Lowercase – `LOWERCASE` AWS WAF 將大寫字母 (A-Z) 轉換為小寫 (a-z)。 MD5 – `MD5` AWS WAF 從輸入中的資料計算 MD5 雜湊。計算出的雜湊是原始二進位形式。 None – `NONE` AWS WAF 會檢查 Web 請求是否收到,而不會進行任何文字轉換。 Normalize path – `NORMALIZE_PATH` AWS WAF 透過移除不在輸入開頭的多個斜線、目錄自我參考和目錄回溯參考來標準化輸入字串。 Normalize path Windows – `NORMALIZE_PATH_WIN` AWS WAF 轉換反斜線字元以轉送斜線,然後使用`NORMALIZE_PATH`轉換處理產生的字串。 Remove nulls – `REMOVE_NULLS` AWS WAF 會從輸入中移除所有`NULL`位元組。 Replace comments – `REPLACE_COMMENTS` AWS WAF 會以單一空格取代每次出現的 C 樣式註解 (/\$1 ... \$1/)。它不會壓縮多個連續的出現次數。它以空格 (ASCII 0x20) 取代未終止的註解。它不會變更註解的獨立終止 (\$1/)。 Replace nulls – `REPLACE_NULLS` AWS WAF 會以空格字元 (ASCII 0x20) `NULL` 取代輸入中的每個位元組。 SQL hex decode – `SQL_HEX_DECODE` AWS WAF 解碼 SQL 十六進位資料。例如,將 (`0x414243`) AWS WAF 解碼為 (`ABC`)。 URL decode – `URL_DECODE` AWS WAF 解碼 URL 編碼的值。 URL decode Unicode – `URL_DECODE_UNI` 與 類似`URL_DECODE`,但支援 Microsoft 特定`%u`編碼。如果代碼是在 `FF01-FF5E` 的全形 ASCII 碼範圍內,則使用較高的位元組來偵測和調整較低的位元組。否則,只會使用較低的位元組,而較高的位元組會歸零。 UTF8 to Unicode – `UTF8_TO_UNICODE` AWS WAF 將所有 UTF-8 字元序列轉換為 Unicode。這有助於標準化輸入,並將非英文語言的偽陽性和偽陰性降至最低。 # 在 中使用縮小範圍陳述式 AWS WAF 使用縮小範圍陳述式受管規則群組的範圍縮減陳述式 您現在可以使用縮小範圍陳述式搭配受管規則群組,就像使用速率型陳述式一樣。 本節說明縮小範圍陳述式及其運作方式。 縮小範圍陳述式是一種可巢狀規則陳述式,您可以在受管規則群組陳述式或速率型陳述式中新增,以縮小包含規則評估的一組請求。包含規則只會評估最先符合範圍縮小陳述式的請求。 + **受管規則群組陳述式** – 如果您將縮小範圍陳述式新增至受管規則群組陳述式, 會將不符合縮小範圍陳述式的任何請求 AWS WAF 評估為不符合規則群組。只有符合縮小範圍陳述式的請求才會針對規則群組進行評估。對於定價基於評估請求數量的受管規則群組,縮小範圍陳述式有助於包含成本。 如需受管規則群組陳述式的詳細資訊,請參閱 [在 中使用受管規則群組陳述式 AWS WAF](waf-rule-statement-type-managed-rule-group.md)。 + **速率型規則陳述**式 – 沒有範圍縮小陳述式速率的速率型規則陳述式會限制規則評估的所有請求。如果您只想要控制特定類別請求的速率,請將縮小範圍陳述式新增至速率型規則。例如,若要僅追蹤和控制來自特定地理區域的請求率,您可以在地理比對陳述式中指定該地理區域,並將其新增至以速率為基礎的規則作為縮小範圍陳述式。 如需速率型規則陳述式的詳細資訊,請參閱 [在 中使用以速率為基礎的規則陳述式 AWS WAF](waf-rule-statement-type-rate-based.md)。 您可以在縮小範圍陳述式中使用任何可巢狀規則。如需可用的陳述式,請參閱 [在 中使用相符規則陳述式 AWS WAF](waf-rule-statements-match.md)和 [在 中使用邏輯規則陳述式 AWS WAF](waf-rule-statements-logical.md)。縮小範圍陳述式WCUs 是您在其中定義之規則陳述式所需的 WCUs。使用縮小範圍陳述式無需額外費用。 您可以在一般規則中使用陳述式時,以相同的方式設定縮小範圍陳述式。例如,您可以將文字轉換套用至您正在檢查的 Web 請求元件,也可以指定轉送的 IP 地址做為 IP 地址。這些組態僅適用於縮小範圍陳述式,且不會繼承為包含受管規則群組或速率型規則陳述式的 。 例如,如果您將文字轉換套用至範圍縮小陳述式中的查詢字串,範圍縮小陳述式會在套用轉換之後檢查查詢字串。如果請求符合縮小範圍陳述式條件, AWS WAF 則 會將 Web 請求傳遞至包含其原始狀態的規則,而不包含縮小範圍陳述式的轉換。包含縮小範圍陳述式的規則可能會套用自己的文字轉換,但不會繼承縮小範圍陳述式中的任何內容。 您不能使用縮小範圍陳述式來指定包含規則陳述式的任何請求檢查組態。您不能使用縮小範圍陳述式做為包含規則陳述式的 Web 請求前置處理器。縮小範圍陳述式的唯一角色是判斷哪些請求會傳遞至包含規則陳述式以進行檢查。 # 在 中參考可重複使用的實體 AWS WAF 參考可重複使用的實體 本節說明可重複使用實體的運作方式 AWS WAF。 有些規則使用可重複使用且由您 AWS或 AWS Marketplace 賣方在 Web ACLs 外部管理的實體。更新可重複使用的實體時, AWS WAF 會將更新傳播至您的規則。例如,如果您在保護套件 (Web ACL) 中使用 AWS 受管規則規則群組,當 AWS 更新規則群組時, 會將變更 AWS 傳播到您的 Web ACL,以更新其行為。如果您在規則中使用 IP 集合陳述式,當您更新集合時, 會將變更 AWS WAF 傳播到所有參考它的規則,因此使用這些規則的任何保護套件 (Web ACLs) 都會隨著您的變更保持up-to-date狀態。 以下是您可以在規則陳述式中使用的可重複使用的實體。 + **IP 集** – 您可以建立和管理自己的 IP 集。在主控台上,您可以從導覽窗格存取這些項目。如需管理 IP 集合的相關資訊,請參閱 [中的 IP 集和 regex 模式集 AWS WAF](waf-referenced-set-managing.md)。 + **Regex 比對集** – 您可以建立和管理自己的 regex 比對集。在主控台上,您可以從導覽窗格存取這些項目。如需管理規則運算式模式集的相關資訊,請參閱 [中的 IP 集和 regex 模式集 AWS WAF](waf-referenced-set-managing.md)。 + **AWS 受管規則規則群組** – AWS 管理這些規則群組。在 主控台上,當您將受管規則群組新增至保護套件 (Web ACL) 時,即可使用這些規則群組。如需這些項目的詳細資訊,請參閱[AWS 受管規則規則群組清單](aws-managed-rule-groups-list.md)。 + **AWS Marketplace 受管規則群組** – AWS Marketplace 賣方管理這些規則群組,您可以訂閱這些規則群組以使用這些規則群組。若要管理您的訂閱,請在主控台的導覽窗格中選擇 **AWS Marketplace**。當您將 AWS Marketplace 受管規則群組新增至保護套件 (Web ACL) 時,會列出受管規則群組。對於您尚未訂閱的規則群組,您也可以 AWS Marketplace 在該頁面上找到 的連結。如需 AWS Marketplace 賣方受管規則群組的詳細資訊,請參閱 [AWS Marketplace 規則群組](marketplace-rule-groups.md)。 + **您自己的規則群組** – 您可以管理自己的規則群組,通常當您需要一些無法透過受管規則群組使用的行為時。在主控台上,您可以從導覽窗格存取這些項目。如需詳細資訊,請參閱[管理您自己的規則群組](waf-user-created-rule-groups.md)。 **刪除參考集或規則群組** 當您刪除參考的實體時, 會 AWS WAF 檢查它目前是否在保護套件 (Web ACL) 中使用。如果 AWS WAF 發現實體正在使用中,它會警告您。 AWS WAF 幾乎總是能夠判斷保護套件 (Web ACL) 是否正在參考實體。但是在極少數的情況下,它也可能無法判斷。如果您需要確定要刪除的實體未在使用中,請在 Web ACL 中檢查它,然後再刪除它。 # 在 中使用相符規則陳述式 AWS WAF 使用相符規則陳述式 本節說明什麼是配對陳述式及其運作方式。 比對陳述式會將 Web 請求或其原始伺服器與您提供的條件進行比較。對於此類型的許多陳述式, AWS WAF 會比較符合內容請求的特定元件。 相符陳述式是可巢狀的。您可以在邏輯規則陳述式中巢狀化任何這些陳述式,而且您可以在縮小範圍陳述式中使用它們。如需邏輯規則陳述式的詳細資訊,請參閱 [在 中使用邏輯規則陳述式 AWS WAF](waf-rule-statements-logical.md)。如需縮小範圍陳述式的資訊,請參閱 [在 中使用縮小範圍陳述式 AWS WAF](waf-rule-scope-down-statements.md)。 此表格說明您可以新增至規則的一般比對陳述式,並提供一些準則來計算每個規則的保護套件 (Web ACL) 容量單位 (WCU) 用量。如需 WCU 的相關資訊,請參閱 [中的 Web ACL 容量單位 WCUs) AWS WAF](aws-waf-capacity-units.md)。 | 比對陳述式 | Description | WCU | | --- | --- | --- | | [地理比對](waf-rule-statement-type-geo-match.md) | 檢查請求的來源國家/地區,並套用來源國家/地區和區域的標籤。 | 1 | | [ASN 比對](waf-rule-statement-type-asn-match.md) | 針對與 IP 地址和地址範圍相關聯的 ASN 檢查請求。 | 1 | | [IP 集合比對](waf-rule-statement-type-ipset-match.md) | 針對一組 IP 地址和地址範圍檢查請求。 | 1 表示大多數情況。如果您將陳述式設定為使用具有轉送 IP 地址的標頭,並在 的標頭中指定位置Any,則將 WCUs 增加 4。 | | [標籤比對規則陳述式](waf-rule-statement-type-label-match.md) | 檢查請求是否有由相同保護套件 (Web ACL) 中其他規則新增的標籤。 | 1 | | [Regex 比對規則陳述式](waf-rule-statement-type-regex-match.md) | 將 regex 模式與指定的請求元件進行比較。 | 3,作為基本成本。 如果您使用請求元件 **所有查詢參數**,請新增 10 WCUs。如果您使用請求元件 **JSON 內文**,請將基本成本 WCUs加倍。針對您套用的每個**文字轉換**,新增 10 WCUs。 | | [規則運算式模式集](waf-rule-statement-type-regex-pattern-set-match.md) | 將規則運算式模式與指定的請求元件比較。 | 每個模式集 25 個,以基本成本表示。 如果您使用請求元件 **所有查詢參數**,請新增 10 WCUs。如果您使用請求元件 **JSON 內文**,請將基本成本 WCUs加倍。針對您套用的每個**文字轉換**,新增 10 WCUs。 | | [大小約束](waf-rule-statement-type-size-constraint-match.md) | 針對指定的請求元件檢查大小約束。 | 1,作為基本成本。 如果您使用請求元件 **所有查詢參數**,請新增 10 WCUs。如果您使用請求元件 **JSON 內文**,請將基本成本 WCUs加倍。針對您套用的每個**文字轉換**,新增 10 WCUs。 | | [SQLi 攻擊](waf-rule-statement-type-sqli-match.md) | 檢查指定請求元件中的惡意 SQL 程式碼。 | 20,作為基本成本。如果您使用請求元件 **所有查詢參數**,請新增 10 WCUs。如果您使用請求元件 **JSON 內文**,請將基本成本 WCUs加倍。針對您套用的每個**文字轉換**,新增 10 WCUs。 | | [字串比對](waf-rule-statement-type-string-match.md) | 比較字串與指定的請求元件。 | 基本成本取決於字串比對的類型,且介於 1 到 10 之間。如果您使用請求元件 **所有查詢參數**,請新增 10 WCUs。如果您使用請求元件 **JSON 內文**,請將基本成本 WCUs加倍。針對您套用的每個**文字轉換**,新增 10 WCUs。 | | [XSS 指令碼攻擊](waf-rule-statement-type-xss-match.md) | 檢查指定請求元件中的跨網站指令碼攻擊。 | 40,作為基本成本。如果您使用請求元件 **所有查詢參數**,請新增 10 WCUs。如果您使用請求元件 **JSON 內文**,請將基本成本 WCUs加倍。針對您套用的每個**文字轉換**,新增 10 WCUs。 | # 地理比對規則陳述式 地理比對地理比對陳述式現在會將標籤新增至國家和區域的請求 您現在可以將地理比對與標籤比對結合,在區域層級管理地理請求原始伺服器。 本節說明什麼是地理比對陳述式及其運作方式。 使用地理或地理比對陳述式,根據原始國家/地區和區域來管理 Web 請求。地理比對陳述式會將標籤新增至 Web 請求,指出來源國家/地區和來源區域。無論陳述式條件是否符合請求,它都會新增這些標籤。地理比對陳述式也會針對請求的原始國家/地區執行比對。 ## 如何使用地理比對陳述式 您可以使用地理比對陳述式進行國家或地區比對,如下所示: + **國家**/地區 — 您可以使用地理比對規則本身,僅根據請求的來源國家/地區來管理請求。規則陳述式符合國家/地區代碼。您也可以遵循地理比對規則,並在原始國家/地區標籤上使用符合的標籤比對規則。 **注意** 若要篩選來自香港的流量,請使用地理比對陳述式`HK`中的 ISO 3166-1 alpha-2 國家/地區代碼。 + **區域** — 使用地理比對規則,後面接著標籤比對規則,根據其來源區域來管理請求。您無法單獨使用地理比對規則來比對區域代碼。 如需使用標籤比對規則的詳細資訊,請參閱 [標籤比對規則陳述式](waf-rule-statement-type-label-match.md)和 [中的 Web 請求標籤 AWS WAF](waf-labels.md)。 ## 地理比對陳述式的運作方式 使用地理比對陳述式, AWS WAF 管理每個 Web 請求,如下所示: 1. **確定請求的國家和區域代碼** — 根據請求的 IP 地址 AWS WAF 確定請求的國家和區域。根據預設, AWS WAF 會使用 Web 請求原始伺服器的 IP 地址。您可以在規則陳述式設定中啟用轉送的 IP 組態`X-Forwarded-For`, AWS WAF 指示 使用來自替代請求標頭的 IP 地址,例如 。 AWS WAF 決定使用 MaxMind GeoIP 資料庫的請求位置。MaxMind 在國家/地區層級報告非常高的資料準確性,但準確性會根據國家/地區和 IP 類型等因素而有所不同。如需 MaxMind 的詳細資訊,請參閱 [MaxMind IP 地理位置](https://support.maxmind.com/hc/en-us/sections/4407519834267-IP-Geolocation)。如果您認為任何 GeoIP 資料不正確,您可以在 [MaxMind Correct GeoIP2 Data](https://support.maxmind.com/hc/en-us/articles/4408252036123-GeoIP-Correction) 向 Maxmind 提交更正請求。 AWS WAF 使用國際標準化組織 (ISO) 3166 標準中的 alpha-2 國家和區域代碼。您可以在下列位置找到代碼: + 在 ISO 網站上,您可以在 [ISO Online Browsing Platform (OBP)](https://www.iso.org/obp/ui#home) 搜尋國家/地區代碼。 + 在維基百科,國家/地區代碼列於 [ISO 3166-2](https://en.wikipedia.org/wiki/ISO_3166-2)。 國家/地區的區域代碼列於 URL `https://en.wikipedia.org/wiki/ISO_3166-2:`。例如,美國區域位於 [ISO 3166-2:US](https://en.wikipedia.org/wiki/ISO_3166-2:US),烏克蘭區域位於 [ISO 3166-2:UA](https://en.wikipedia.org/wiki/ISO_3166-2:UA)。 1. **決定要新增至請求的國家/地區標籤和區域標籤** — 這些標籤指出地理比對陳述式是使用原始 IP 還是轉送 IP 組態。 + **原始 IP** 國家/地區標籤為 `awswaf:clientip:geo:country:`。美國的範例:`awswaf:clientip:geo:country:US`。 區域標籤為 `awswaf:clientip:geo:region:-`。美國奧勒岡州的範例:`awswaf:clientip:geo:region:US-OR`。 + **轉送的 IP** 國家/地區標籤為 `awswaf:forwardedip:geo:country:`。美國的範例:`awswaf:forwardedip:geo:country:US`。 區域標籤為 `awswaf:forwardedip:geo:region:-`。美國奧勒岡州的範例:`awswaf:forwardedip:geo:region:US-OR`。 如果請求指定的 IP 地址無法使用國家/地區或區域代碼,則 AWS WAF 會在 `XX`標籤中使用 來取代 值。例如,下列標籤適用於無法使用國家/地區碼的用戶端 IP:`awswaf:clientip:geo:country:XX`而下列標籤適用於轉送 IP,其國家/地區為美國,但其區域碼無法使用:`awswaf:forwardedip:geo:region:US-XX`。 1. **根據規則條件評估請求的國家/地區代碼** 地理比對陳述式會將國家和區域標籤新增至其檢查的所有請求,無論它是否找到相符項目。 **注意** AWS WAF 在規則的 Web 請求評估結束時新增任何標籤。因此,您針對地理比對陳述式中的標籤使用的任何標籤比對,都必須在包含地理比對陳述式的規則以外的個別規則中定義。 如果您只想要檢查區域值,則可以使用 Count動作和單一國家/地區代碼比對來撰寫地理比對規則,然後撰寫區域標籤的標籤比對規則。您必須提供地理比對規則的國家/地區代碼來評估,即使是此方法也是如此。您可以指定不太可能成為網站流量來源的國家/地區,以減少記錄和計數指標。 ## CloudFront 分佈和 CloudFront 地理限制功能 對於 CloudFront 分佈,如果您使用 CloudFront 地理限制功能,請注意該功能不會轉送封鎖的請求 AWS WAF。它會將允許的請求轉送至 AWS WAF。如果您想要根據地理位置加上您可以在其中指定的其他條件來封鎖請求 AWS WAF,請使用 AWS WAF 地理比對陳述式,請勿使用 CloudFront 地理限制功能。 ## 規則陳述式特性 **可巢狀** – 您可以巢狀此陳述式類型。 **WCUs ** – 1 個 WCU。 **設定** – 此陳述式使用以下設定: + **國家/地區代碼** – 要比較地理比對的國家/地區代碼陣列。這些必須是來自 ISO 3166 國際標準 alpha-2 國家 ISO 代碼的兩個字元國家/地區代碼,例如 `["US","CN"]`。 + **(選用) 轉送 IP 組態** – 根據預設, AWS WAF 會使用 Web 請求原始伺服器中的 IP 地址來判斷原始國家/地區。或者,您可以將規則設定為在 HTTP 標頭中使用轉送的 IP,例如 `X-Forwarded-For` 。 AWS WAF 會使用標頭中的第一個 IP 地址。使用此組態,您也可以指定後援行為,以套用至標頭中 IP 地址格式不正確的 Web 請求。備用行為會將請求的相符結果設定為相符或不相符。如需詳細資訊,請參閱[使用轉送的 IP 地址](waf-rule-statement-forwarded-ip-address.md)。 ## 尋找此規則陳述式的位置 + 主控台上的**規則建置器** – 針對**請求選項**,選擇**來自所在國家/地區的原始伺服器**。 + **API** – [GeoMatchStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_GeoMatchStatement.html) ## 範例 您可以使用地理比對陳述式來管理來自特定國家或地區的請求。例如,如果您想要封鎖來自某些國家/地區的請求,但仍允許來自這些國家/地區的一組特定 IP 地址的請求,您可以建立將 動作設為 的規則,Block並建立下列巢狀陳述式,如虛擬程式碼所示: + AND 陳述式 + 列出您要封鎖的國家/地區的地理比對陳述式 + NOT 陳述式 + IP 集合陳述式,指定您要允許通過的 IP 地址 或者,如果您想要封鎖某些國家/地區的某些區域,但仍允許來自這些國家/地區的其他區域的請求,您可以先定義地理比對規則,並將 動作設為 Count。然後,定義符合新增地理比對標籤的標籤比對規則,並視需要處理請求。 下列虛擬程式碼說明此方法的範例: 1. Geo 比對陳述式列出具有您要封鎖之區域的國家/地區,但動作設為 Count。無論相符狀態為何,這都會標記每個 Web 請求,也可讓您計算感興趣的國家/地區的指標。 1. `AND` 具有封鎖動作的 陳述式 + 標籤比對陳述式,指定您要封鎖之國家/地區的標籤 + `NOT` 陳述式 + 標籤比對陳述式,指定您要允許透過哪些國家/地區的區域標籤 下列 JSON 清單顯示先前虛擬程式碼中所述的兩個規則的實作。這些規則會封鎖來自美國的所有流量,但來自奧勒岡州和華盛頓州的流量除外。地理比對陳述式會將國家和區域標籤新增至其檢查的所有請求。標籤比對規則會在地理比對規則之後執行,因此可以比對地理比對規則剛新增的國家和區域標籤。地理比對陳述式使用轉送 IP 地址,因此標籤比對也會指定轉送 IP 標籤。 ``` { "Name": "geoMatchForLabels", "Priority": 10, "Statement": { "GeoMatchStatement": { "CountryCodes": [ "US" ], "ForwardedIPConfig": { "HeaderName": "X-Forwarded-For", "FallbackBehavior": "MATCH" } } }, "Action": { "Count": {} }, "VisibilityConfig": { "SampledRequestsEnabled": true, "CloudWatchMetricsEnabled": true, "MetricName": "geoMatchForLabels" } }, { "Name": "blockUSButNotOROrWA", "Priority": 11, "Statement": { "AndStatement": { "Statements": [ { "LabelMatchStatement": { "Scope": "LABEL", "Key": "awswaf:forwardedip:geo:country:US" } }, { "NotStatement": { "Statement": { "OrStatement": { "Statements": [ { "LabelMatchStatement": { "Scope": "LABEL", "Key": "awswaf:forwardedip:geo:region:US-OR" } }, { "LabelMatchStatement": { "Scope": "LABEL", "Key": "awswaf:forwardedip:geo:region:US-WA" } } ] } } } } ] } }, "Action": { "Block": {} }, "VisibilityConfig": { "SampledRequestsEnabled": true, "CloudWatchMetricsEnabled": true, "MetricName": "blockUSButNotOROrWA" } } ``` 另一個範例是,您可以將地理比對與以速率為基礎的規則結合,為特定國家或地區的使用者排定資源的優先順序。您可以為用於區分使用者的每個地理比對或標籤比對陳述式建立不同的速率型陳述式。為偏好的國家或地區的使用者設定較高的速率限制,並為其他使用者設定較低的速率限制。 下列 JSON 清單顯示地理比對規則,後面接著速率型規則,以限制來自美國的流量速率。這些規則允許來自奧勒岡州的流量以比來自國家/地區其他任何地方的流量更高的速率傳入。 ``` { "Name": "geoMatchForLabels", "Priority": 190, "Statement": { "GeoMatchStatement": { "CountryCodes": [ "US" ] } }, "Action": { "Count": {} }, "VisibilityConfig": { "SampledRequestsEnabled": true, "CloudWatchMetricsEnabled": true, "MetricName": "geoMatchForLabels" } }, { "Name": "rateLimitOregon", "Priority": 195, "Statement": { "RateBasedStatement": { "Limit": 3000, "AggregateKeyType": "IP", "ScopeDownStatement": { "LabelMatchStatement": { "Scope": "LABEL", "Key": "awswaf:clientip:geo:region:US-OR" } } } }, "Action": { "Block": {} }, "VisibilityConfig": { "SampledRequestsEnabled": true, "CloudWatchMetricsEnabled": true, "MetricName": "rateLimitOregon" } }, { "Name": "rateLimitUSNotOR", "Priority": 200, "Statement": { "RateBasedStatement": { "Limit": 100, "AggregateKeyType": "IP", "ScopeDownStatement": { "AndStatement": { "Statements": [ { "LabelMatchStatement": { "Scope": "LABEL", "Key": "awswaf:clientip:geo:country:US" } }, { "NotStatement": { "Statement": { "LabelMatchStatement": { "Scope": "LABEL", "Key": "awswaf:clientip:geo:region:US-OR" } } } } ] } } } }, "Action": { "Block": {} }, "VisibilityConfig": { "SampledRequestsEnabled": true, "CloudWatchMetricsEnabled": true, "MetricName": "rateLimitUSNotOR" } } ``` # IP 集合比對規則陳述式 IP 集合比對 本節說明什麼是 IP 集比對陳述式及其運作方式。 IP 集合比對陳述式會根據一組 IP 地址和地址範圍來檢查 Web 請求的 IP 地址。使用此選項以根據請求源自的 IP 地址來允許或封鎖 Web 請求。根據預設, AWS WAF 會使用來自 Web 請求原始伺服器的 IP 地址,但您可以`X-Forwarded-For`改為將規則設定為使用 HTTP 標頭。 AWS WAF 支援除 以外的所有 IPv4 和 IPv6 CIDR 範圍`/0`。如需 CIDR 符號表示法的詳細資訊,請參閱 Wikipedia 項目[無類別域間路由](https://en.wikipedia.org/wiki/Classless_Inter-Domain_Routing)。一個 IP 集合最多可容納 10,000 個 IP 地址或 IP 地址範圍進行檢查。 **注意** 每個 IP 集合比對規則都會參考一個 IP 集合,您可以獨立於規則而建立和維護。您可以在多個規則中使用單一 IP 集,當您更新參考集時, AWS WAF 會自動更新所有參考規則。 如需建立和管理 IP 集的資訊,請參閱 [在 中建立和管理 IP 集 AWS WAF](waf-ip-set-managing.md)。 當您在規則群組或保護套件 (Web ACL) 中新增或更新規則時,請選擇選項 **IP 集**,然後選取您要使用的 IP 集名稱。 ## 規則陳述式特性 **可巢**狀 – 您可以巢狀此陳述式類型。 **WCUs** – 大多數 1 個 WCU。如果您將陳述式設定為使用轉送 IP 地址並指定 的位置ANY,請將 WCU 用量增加 4。 此陳述式使用以下設定: + **IP 集規格** – 從清單中選擇您要使用的 IP 集,或建立新的 IP 集。 + **(選用) 轉送 IP 組態** – 替代轉送 IP 標頭名稱,用於取代請求原始伺服器。您可以指定要比對標頭中的第一個、最後一個或任何地址。您也可以指定後援行為,以套用至指定標頭中 IP 地址格式不正確的 Web 請求。備用行為會將請求的相符結果設定為相符或不相符。如需詳細資訊,請參閱[使用轉送的 IP 地址](waf-rule-statement-forwarded-ip-address.md)。 ## 尋找此規則陳述式的位置 **尋找此規則陳述式的位置** + 主控台上的**規則建置器** – 針對**請求選項**,選擇**來自 IP 地址的來源**。 + 在主控台上**新增我自己的規則和規則群組**頁面 – 選擇 **IP 集**選項。 + **API** – [IPSetReferenceStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_IPSetReferenceStatement.html) # 自治系統編號 (ASN) 比對規則陳述式 ASN 比對AWS WAF 新增 ASN 比對陳述式 您現在可以根據原始 IP 地址的自治系統編號 (ASN) 來比對 Web 請求。 中的 ASN 比對規則陳述式 AWS WAF 可讓您根據與請求 IP 地址相關聯的自治系統編號 (ASN) 來檢查 Web 流量。ASNs是指派給大型網際網路網路的唯一識別符,由網際網路服務供應商、企業、大學或政府機構等組織管理。透過使用 ASN 比對陳述式,您可以允許或封鎖來自特定網路組織的流量,而無需管理個別 IP 地址。相較於以 IP 為基礎的規則,此方法提供更穩定且更有效率的方法來控制存取,因為 ASNs變更的頻率低於 IP 範圍。 ASN 比對特別適用於封鎖來自已知有問題網路的流量,或僅允許來自信任合作夥伴網路的存取等案例。ASN 比對陳述式提供透過選用的轉送 IP 組態來判斷用戶端 IP 地址的彈性,使其與各種網路設定相容,包括使用內容交付網路 (CDNs) 或反向代理的網路設定。 **注意** ASN 比對補充,但不取代標準身分驗證和授權控制。我們建議您實作身分驗證和授權機制,例如 IAM,以驗證應用程式中所有請求的身分。 ## ASN 比對陳述式的運作方式 AWS WAF 根據請求的 IP 地址決定請求的 ASN。根據預設, AWS WAF 會使用 Web 請求原始伺服器的 IP 地址。您可以透過在規則陳述式設定中啟用轉送的 IP 組態`X-Forwarded-For`, AWS WAF 將 設定為使用來自替代請求標頭的 IP 地址,例如 。 ASN 比對陳述式會將請求的 ASN 與規則中指定的 ASNs 清單進行比較。如果 ASN 符合清單中的 ASN,則陳述式會評估為 true,並套用相關聯的規則動作。 ### 處理未映射ASNs 如果 AWS WAF 無法判斷有效 IP 地址的 ASN,則會指派 ASN 0。您可以在規則中包含 ASN 0,以明確地處理這些案例。 ### 無效的 IP 地址的備用行為 當您將 ASN 比對陳述式設定為使用轉送的 IP 地址時,您可以為指定標頭中 IP 地址無效或遺失的請求指定*相符*或*不相符*的備用行為。 ## 規則陳述式特性 **可巢**狀 – 您可以巢狀化此陳述式類型。 **WCUs** – 1 個 WCU 此陳述式使用以下設定: + **ASN 清單** – 要比較 ASN 比對的 ASN 編號陣列。有效值的範圍從 0 到 4294967295。您可以為每個規則指定最多 100 ASNs。 + **(選用) 轉送 IP 組態** – 預設 AWS WAF 會使用 Web 請求原始伺服器中的 IP 地址來判斷 ASN。或者,您可以改為將規則設定為在 HTTP 標頭中使用轉送的 IP`X-Forwarded-For`。您可以指定是否使用 標頭中的第一個、最後一個或任何地址。使用此組態,您也可以指定後援行為,以套用至標頭中 IP 地址格式不正確的 Web 請求。備用行為會將請求的相符結果設定為相符或不相符。如需詳細資訊,請參閱[使用轉送的 IP 地址](https://docs.aws.amazon.com/waf/latest/developerguide/waf-rule-statement-forwarded-ip-address.html)。 ## 尋找此規則陳述式的位置 + 主控台上的**規則建置器** – 針對**請求選項**,選擇**來自 ASN 的原始伺服器**。 + **API** – [AsnMatchStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_AsnMatchStatement.html) ## 範例 此範例會封鎖源自 `X-Forwarded-For`標頭之兩個特定 ASNs 的請求。如果標頭中的 IP 地址格式不正確,則設定的備用行為為 `NO_MATCH`。 ``` { "Action": { "Block": {} }, "Name": "AsnMatchStatementRule", "Priority": 1, "Statement": { "AsnMatchStatement": { "AsnList": [64496, 64500] }, "ForwardedIPConfig": { "FallbackBehavior": "NO_MATCH", "HeaderName": "X-Forwarded-For" } }, "VisibilityConfig": { "CloudWatchMetricsEnabled": true, "MetricName": "AsnMatchRuleMetrics", "SampledRequestsEnabled": true } }, "VisibilityConfig": { "CloudWatchMetricsEnabled": true, "MetricName": "WebAclMetrics", "SampledRequestsEnabled": true } } ``` # 標籤比對規則陳述式 標籤比對 本節說明什麼是標籤比對陳述式及其運作方式。 標籤比對陳述式會根據字串規格檢查 Web 請求上的標籤。可供規則檢查使用的標籤是已由相同保護套件 (Web ACL) 評估中的其他規則新增至 Web 請求的標籤。 標籤不會保留在保護套件 (Web ACL) 評估之外,但您可以在 CloudWatch 中存取標籤指標,而且您可以在主控台中 AWS WAF 查看任何保護套件 (Web ACL) 的標籤資訊摘要。如需詳細資訊,請參閱[標籤指標和維度](waf-metrics.md#waf-metrics-label)及[監控和調校您的 AWS WAF 保護](web-acl-testing-activities.md)。您也可以在日誌中看到標籤。如需相關資訊,請參閱[保護套件 (Web ACL) 流量的日誌欄位](logging-fields.md)。 **注意** 標籤比對陳述式只能查看先前在保護套件 (Web ACL) 中評估之規則的標籤。如需有關 如何 AWS WAF 評估保護套件 (Web ACL) 中的規則和規則群組的資訊,請參閱 [設定規則優先順序](web-acl-processing-order.md)。 如需新增和比對標籤的詳細資訊,請參閱 [中的 Web 請求標籤 AWS WAF](waf-labels.md)。 ## 規則陳述式特性 **可巢狀** – 您可以巢狀化此陳述式類型。 **WCUs** – 1 個 WCU 此陳述式使用以下設定: + **比對範圍** – 將此設定為**標籤**以比對標籤名稱,並選擇性地比對先前的命名空間和字首。將此設定為**命名空間**,以符合部分或全部的命名空間規格,以及選擇性的前綴。 + **金鑰** – 您要比對的字串。如果您指定命名空間比對範圍,這應該只指定命名空間和選用的字首,加上結尾冒號。如果您指定標籤比對範圍,這必須包含標籤名稱,也可以選擇性地包含前面的命名空間和字首。 如需這些設定的詳細資訊,請參閱 [AWS WAF 符合標籤的規則](waf-rule-label-match.md) 和 [AWS WAF 標籤比對範例](waf-rule-label-match-examples.md)。 ## 尋找此規則陳述式的位置 + 主控台上的**規則建置器** – 針對**請求選項**,選擇**有標籤**。 + **API** – [LabelMatchStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_LabelMatchStatement.html) # Regex 比對規則陳述式 Regex 比對新增 regex 比對陳述式 您現在可以將 Web 請求與單一規則表達式進行比對。 本節說明什麼是 regex 比對陳述式及其運作方式。 regex 比對陳述式會指示 AWS WAF 將請求元件與單一規則表達式 (regex) 比對。如果請求元件與您指定的 regex 相符,Web 請求就會符合 陳述式。 對於您想要使用數學邏輯結合相符條件的情況[規則運算式模式集比對規則陳述式](waf-rule-statement-type-regex-pattern-set-match.md),此陳述式類型是 的理想替代方案。例如,如果您希望請求元件與某些規則運算式模式相符,並且不與其他規則運算式相符,您可以使用 [AND 規則陳述式](waf-rule-statement-type-and.md)和 結合規則運算式相符陳述式[NOT 規則陳述式](waf-rule-statement-type-not.md)。 AWS WAF 支援 PCRE 程式庫使用的模式語法`libpcre`,但有一些例外。程式庫記錄在 [PCRE - Perl 相容規則表達式](http://www.pcre.org/)中。如需 AWS WAF 支援的相關資訊,請參閱 [中支援的規則表達式語法 AWS WAF](waf-regex-pattern-support.md)。 ## 規則陳述式特性 **可巢狀** – 您可以巢狀化此陳述式類型。 **WCUs** – 3 WCUs,作為基本成本。如果您使用請求元件 **所有查詢參數**,請新增 10 WCUs。如果您使用請求元件 **JSON 內文**,請將基本成本 WCUs加倍。針對您套用的每個**文字轉換**,新增 10 WCUs。 此陳述式類型在 Web 請求元件上運作,且需要下列請求元件設定: + **請求元件** – 要檢查的 Web 請求部分,例如查詢字串或內文。 **警告** 如果您檢查請求元件**內**文、**JSON 內文**、**標頭**或 **Cookie**,請閱讀有關 AWS WAF 可檢查多少內容的限制[在 中過大 Web 請求元件 AWS WAF](waf-oversize-request-components.md)。 如需 Web 請求元件的詳細資訊,請參閱 [在 中調整規則陳述式設定 AWS WAF](waf-rule-statement-fields.md)。 + **選用文字轉換** – AWS WAF 您想要在檢查請求元件之前對請求元件執行的轉換。例如,您可以將 轉換為小寫或標準化空格。如果您指定多個轉換, 會依列出的順序 AWS WAF 處理它們。如需相關資訊,請參閱[在 中使用文字轉換 AWS WAF](waf-rule-statement-transformation.md)。 ## 尋找此規則陳述式的位置 + 主控台上的**規則建置器** – 針對**相符類型**,選擇**相符規則表達**式。 + **API** – [RegexMatchStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_RegexMatchStatement.html) # 規則運算式模式集比對規則陳述式 規則運算式模式集 本節說明什麼是 regex 模式集比對陳述式及其運作方式。 規則表達式模式集比對會檢查您在規則表達式模式集內為規則表達式模式指定的 Web 請求部分。 AWS WAF 支援 PCRE 程式庫使用的模式語法`libpcre`,但有一些例外。程式庫記錄在 [PCRE - Perl 相容規則表達式](http://www.pcre.org/)中。如需 AWS WAF 支援的相關資訊,請參閱 [中支援的規則表達式語法 AWS WAF](waf-regex-pattern-support.md)。 **注意** 每個規則運算式模式集比對規則都會參考一個規則運算式模式集,您可以獨立於規則而建立和維護。您可以在多個規則中使用單一規則運算式模式集,當您更新參考集時, AWS WAF 會自動更新所有參考規則集。 如需建立和管理規則運算式模式集的相關資訊,請參閱 [在 中建立和管理 regex 模式集 AWS WAF](waf-regex-pattern-set-managing.md)。 regex 模式集比對陳述式 AWS WAF 會指示 搜尋您選擇的請求元件內集合中的任何模式。如果請求元件符合集合中的任何模式,則 Web 請求將比對模式集規則陳述式。 如果您想要使用邏輯合併 regex 模式比對,例如,要比對某些規則表達式,而不是比對其他表達式,請考慮使用 [Regex 比對規則陳述式](waf-rule-statement-type-regex-match.md)。 ## 規則陳述式特性 **可巢狀** – 您可以巢狀化此陳述式類型。 **WCUs** – 25 WCUs,作為基本成本。如果您使用請求元件 **所有查詢參數**,請新增 10 WCUs。如果您使用請求元件 **JSON 內文**,請將基本成本 WCUs加倍。針對您套用的每個**文字轉換**,新增 10 WCUs。 此陳述式類型在 Web 請求元件上運作,且需要下列請求元件設定: + **請求元件** – 要檢查的 Web 請求部分,例如查詢字串或內文。 **警告** 如果您檢查請求元件**內**文、**JSON 內文**、**標頭**或 **Cookie**,請閱讀有關 AWS WAF 可檢查多少內容的限制[在 中過大 Web 請求元件 AWS WAF](waf-oversize-request-components.md)。 如需 Web 請求元件的詳細資訊,請參閱 [在 中調整規則陳述式設定 AWS WAF](waf-rule-statement-fields.md)。 + **選用文字轉換** – AWS WAF 您想要在檢查請求元件之前對請求元件執行的轉換。例如,您可以將 轉換為小寫或標準化空格。如果您指定多個轉換, 會依列出的順序 AWS WAF 處理它們。如需相關資訊,請參閱[在 中使用文字轉換 AWS WAF](waf-rule-statement-transformation.md)。 此陳述式需要下列設定: + Regex 模式集規格 – 從清單中選擇您要使用的 regex 模式集,或建立新的模式集。 ## 尋找此規則陳述式的位置 + 主控台上的**規則建置器** – 針對**相符類型**,從規則表達式集中選擇**字串相符條件** > 相符模式。 **** + **API** – [RegexPatternSetReferenceStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_RegexPatternSetReferenceStatement.html) # 大小約束規則陳述式 大小約束 本節說明什麼是大小限制陳述式及其運作方式。 大小限制陳述式會將 Web 請求元件 AWS WAF 接收的位元組數目與您提供的數目進行比較,並根據您的比較條件進行比對。 比較條件是大於 (>) 或小於 (<) 的運算子。例如,您可以比對大小大於 100 個位元組的查詢字串請求。 如果您檢查 URI 路徑,路徑`/`中的任何 都會計為一個字元。例如,URI 路徑長度`/logo.jpg`為九個字元。 **注意** 此陳述式只會檢查 Web 請求元件的大小。它不會檢查元件的內容。 ## 規則陳述式特性 **可巢狀** – 您可以巢狀化此陳述式類型。 **WCUs** – 1 個 WCU,作為基本成本。如果您使用請求元件 **所有查詢參數**,請新增 10 WCUs。如果您使用請求元件 **JSON 內文**,請將基本成本 WCUs加倍。針對您套用的每個**文字轉換**,新增 10 WCUs。 此陳述式類型在 Web 請求元件上運作,且需要下列請求元件設定: + **請求元件** – 要檢查的 Web 請求部分,例如查詢字串或內文。如需 Web 請求元件的詳細資訊,請參閱 [在 中調整規則陳述式設定 AWS WAF](waf-rule-statement-fields.md)。 套用任何轉換後,大小限制陳述式只會檢查元件的大小。它不會檢查元件的內容。 + **選用文字轉換** – 在檢查其大小之前 AWS WAF ,您想要在請求元件上執行的轉換。例如,您可以壓縮空格或解碼 HTML 實體。如果您指定多個轉換, 會依列出的順序 AWS WAF 處理它們。如需相關資訊,請參閱[在 中使用文字轉換 AWS WAF](waf-rule-statement-transformation.md)。 此外,此陳述式需要下列設定: + **大小比對條件** – 這表示用來比較您提供的大小與您所選請求元件的數值比較運算子。從清單中選擇運算子。 + **大小** – 要在比較中使用的大小設定,以位元組為單位。 ## 尋找此規則陳述式的位置 + 主控台上的**規則建置器** – 針對**相符類型**,在**大小相符條件**下,選擇您要使用的條件。 + **API** – [SizeConstraintStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_SizeConstraintStatement.html) # SQL Injection 攻擊規則陳述式 SQLi 攻擊SQLi 規則陳述式的敏感度層級選項 您現在可以提高 SQL Injection 規則陳述式的敏感度。這不會變更現有陳述式的行為,其敏感度層級預設為 LOW。 本節說明什麼是 SQL Injection 規則陳述式及其運作方式。 SQL Injection 規則陳述式會檢查是否有惡意 SQL 程式碼。攻擊者會將惡意 SQL 程式碼插入 Web 請求,以執行修改資料庫或從中擷取資料等動作。 ## 規則陳述式特性 **可巢狀** – 您可以巢狀化此陳述式類型。 **WCUs** – 基本成本取決於規則陳述式的敏感度等級設定:Low成本 20,High成本 30。 如果您使用請求元件 **所有查詢參數**,請新增 10 WCUs。如果您使用請求元件 **JSON 內文**,請將基本成本 WCUs加倍。針對您套用的每個**文字轉換**,新增 10 WCUs。 此陳述式類型在 Web 請求元件上運作,且需要下列請求元件設定: + **請求元件** – 要檢查的 Web 請求部分,例如查詢字串或內文。 **警告** 如果您檢查請求元件**內**文、**JSON 內文**、**標頭**或 **Cookie**,請閱讀有關 AWS WAF 可檢查多少內容的限制[在 中過大 Web 請求元件 AWS WAF](waf-oversize-request-components.md)。 如需 Web 請求元件的詳細資訊,請參閱 [在 中調整規則陳述式設定 AWS WAF](waf-rule-statement-fields.md)。 + **選用文字轉換** – AWS WAF 您想要在檢查請求元件之前對請求元件執行的轉換。例如,您可以將 轉換為小寫或標準化空格。如果您指定多個轉換, 會依列出的順序 AWS WAF 處理它們。如需相關資訊,請參閱[在 中使用文字轉換 AWS WAF](waf-rule-statement-transformation.md)。 此外,此陳述式需要下列設定: + **敏感度層級** – 此設定會調整 SQL Injection 比對條件的敏感度。選項包括 LOW 和 HIGH. 預設設定為 LOW。 HIGH 設定會偵測更多 SQL Injection 攻擊,而 是建議設定。由於敏感度較高,此設定會產生更多誤報,特別是當您的 Web 請求通常包含不尋常的字串時。在保護套件 (Web ACL) 測試和調校期間,您可能需要執行更多工作來緩解誤報。如需相關資訊,請參閱[測試和調校您的 AWS WAF 保護](web-acl-testing.md)。 較低的設定提供較不嚴格的 SQL 注入偵測,這也會導致較少的誤報。 對於具有其他 SQL 注入攻擊保護或容錯能力較低的資源, LOW 可能是更好的選擇。 ## 尋找此規則陳述式的位置 + 主控台上的**規則建置器** – 針對**相符類型**,選擇**攻擊比對條件** > **包含 SQL 注入攻擊**。 + **API** – [SqliMatchStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_SqliMatchStatement.html) # 字串比對規則陳述式 字串比對 本節說明什麼是字串比對陳述式及其運作方式。 字串比對陳述式指出您想要在請求中 AWS WAF 搜尋的字串、在請求中要搜尋的位置,以及如何搜尋。例如,您可以在請求中任何查詢字串的開頭尋找特定字串,或是在請求的 `User-agent` 標頭中尋找完全相符項目。通常,字串包含可列印 ASCII 字元,但您可以使用十六進位 0x00 到 0xFF 的任何字元 (小數 0 到 255)。 ## 規則陳述式特性 **可巢狀** – 您可以巢狀化此陳述式類型。 **WCUs** – 基本成本取決於您使用的配對類型。 + **完全符合字串** – 2 + **開頭為字串** – 2 + **結尾為字串** – 2 + **包含字串** – 10 + **包含單字** – 10 如果您使用請求元件 **所有查詢參數**,請新增 10 WCUs。如果您使用請求元件 **JSON 內文**,請將基本成本 WCUs加倍。針對您套用的每個**文字轉換**,新增 10 WCUs。 此陳述式類型在 Web 請求元件上運作,且需要下列請求元件設定: + **請求元件** – 要檢查的 Web 請求部分,例如查詢字串或內文。 **警告** 如果您檢查請求元件**內**文、**JSON 內文**、**標頭**或 **Cookie**,請閱讀有關 AWS WAF 可檢查多少內容的限制[在 中過大 Web 請求元件 AWS WAF](waf-oversize-request-components.md)。 如需 Web 請求元件的詳細資訊,請參閱 [在 中調整規則陳述式設定 AWS WAF](waf-rule-statement-fields.md)。 + **選用文字轉換** – AWS WAF 您想要在檢查請求元件之前對請求元件執行的轉換。例如,您可以將 轉換為小寫或標準化空格。如果您指定多個轉換, 會依列出的順序 AWS WAF 處理它們。如需相關資訊,請參閱[在 中使用文字轉換 AWS WAF](waf-rule-statement-transformation.md)。 此外,此陳述式需要下列設定: + **要比對的字串** – 這是您要與指定請求元件 AWS WAF 比較的字串。通常,字串包含可列印 ASCII 字元,但您可以使用十六進位 0x00 到 0xFF 的任何字元 (小數 0 到 255)。 + **字串比對條件** – 這表示您要 AWS WAF 執行的搜尋類型。 + **完全符合字串** – 字串和請求元件的值相同。 + **以字串開頭** – 字串會出現在請求元件的開頭。 + **以字串結尾** – 字串會出現在請求元件的結尾。 + **包含字串** – 字串會出現在請求元件的任何位置。 + **包含單字** – 您指定的字串必須出現在請求元件中。 對於此選項,您指定的字串必須只包含英數字元或底線 (A-Z、a-z、0-9 或 \$1)。 下列其中一項必須為 true,才能比對請求: + 該字串與請求元件的數值 (如標頭值) 完全相符。 + 該字串位於請求元件的開頭,後面加上非英數字元或底線 (\$1) 的字元,例如 `BadBot;`。 + 該字串位於請求元件的尾端,前面加上非英數字元或底線 (\$1) 的字元,例如 `;BadBot`。 + 該字串位於請求元件的中間,前後加上非英數字元或底線 (\$1) 的字元,例如 `-BadBot;`。 ## 尋找此規則陳述式的位置 + 主控台上的**規則建置器** – 針對**比對類型**,選擇**字串比對條件**,然後填入您要比對的字串。 + **API** – [ByteMatchStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_ByteMatchStatement.html) # 跨網站指令碼攻擊規則陳述式 XSS 指令碼攻擊 本節說明什麼是 XSS (跨網站指令碼) 攻擊陳述式及其運作方式。 XSS 攻擊陳述式會檢查 Web 請求元件中是否有惡意指令碼。在 XSS 攻擊中,攻擊者會使用良性網站中的漏洞做為工具,將惡意用戶端網站指令碼注入其他合法的 Web 瀏覽器。 ## 規則陳述式特性 **可巢狀** – 您可以巢狀此陳述式類型。 **WCUs** – 40 WCUs,作為基本成本。如果您使用請求元件 **所有查詢參數**,請新增 10 WCUs。如果您使用請求元件 **JSON 內文**,請將基本成本 WCUs加倍。針對您套用的每個**文字轉換**,新增 10 WCUs。 此陳述式類型在 Web 請求元件上運作,且需要下列請求元件設定: + **請求元件** – 要檢查的 Web 請求部分,例如查詢字串或內文。 **警告** 如果您檢查請求元件**內**文、**JSON 內文**、**標頭**或 **Cookie**,請閱讀有關 AWS WAF 可檢查多少內容的限制[在 中過大 Web 請求元件 AWS WAF](waf-oversize-request-components.md)。 如需 Web 請求元件的詳細資訊,請參閱 [在 中調整規則陳述式設定 AWS WAF](waf-rule-statement-fields.md)。 + **選用文字轉換** – AWS WAF 您想要在檢查請求元件之前對請求元件執行的轉換。例如,您可以將 轉換為小寫或標準化空格。如果您指定多個轉換, 會依列出的順序 AWS WAF 處理它們。如需相關資訊,請參閱[在 中使用文字轉換 AWS WAF](waf-rule-statement-transformation.md)。 ## 尋找此規則陳述式的位置 + 主控台上的**規則建置器** – 針對**相符類型**,選擇**攻擊比對條件** > **包含 XSS 注入攻擊**。 + **API** – [XssMatchStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_XssMatchStatement.html) # 在 中使用邏輯規則陳述式 AWS WAF 使用邏輯規則陳述式 本節說明什麼是邏輯規則陳述式及其運作方式。 使用邏輯規則陳述式來合併其他陳述式或否定其結果。每個邏輯規則陳述式至少需要一個巢狀化的陳述式。 若要邏輯合併或否定規則陳述式結果,您可以在邏輯規則陳述式下巢狀化陳述式。 邏輯規則陳述式是可巢狀的。您可以將它們巢狀到其他邏輯規則陳述式中,並在縮小範圍陳述式中使用它們。如需縮小範圍陳述式的資訊,請參閱 [在 中使用縮小範圍陳述式 AWS WAF](waf-rule-scope-down-statements.md)。 **注意** 主控台上的視覺化編輯器支援一個層級的規則陳述式巢狀,這適用於許多需求。若要巢狀更多關卡,請在主控台上編輯規則的 JSON 表示法,或使用 APIs。 此表格說明邏輯規則陳述式,並提供計算每個 的保護套件 (Web ACL) 容量單位 (WCU) 用量的準則。如需 WCU 的相關資訊,請參閱 [中的 Web ACL 容量單位 WCUs) AWS WAF](aws-waf-capacity-units.md)。 | 邏輯陳述式 | Description | WCU | | --- | --- | --- | | [AND 邏輯](waf-rule-statement-type-and.md) | 結合巢狀陳述式與AND邏輯。 | 以巢狀化陳述式為基礎 | | [NOT 邏輯](waf-rule-statement-type-not.md) | 否定巢狀化陳述式的結果。 | 以巢狀化陳述式為基礎 | | [OR 邏輯](waf-rule-statement-type-or.md) | 結合巢狀陳述式與OR邏輯。 | 以巢狀化陳述式為基礎 | # AND 規則陳述式 AND 邏輯 AND 規則陳述式結合了巢狀陳述式與邏輯AND操作,因此所有巢狀陳述式都必須相符,AND陳述式才能相符。這至少需要兩個巢狀陳述式。 ## 規則陳述式特性 **可巢狀** – 您可以巢狀此陳述式類型。 **WCUs** – 取決於巢狀陳述式。 ## 尋找此規則陳述式的位置 + 主控台上的**規則建置器** – **如果請求**,請選擇**符合所有陳述式 (AND)**,然後填入巢狀陳述式。 + **API** – [AndStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_AndStatement.html) ## 範例 以下清單顯示使用 AND和 NOT 邏輯規則陳述式來消除 SQL Injection 攻擊陳述式相符項目的誤報。在此範例中,假設我們可以撰寫單一位元組比對陳述式,以符合導致誤報的請求。 AND 陳述式會比對不符合位元組比對陳述式且符合 SQL Injection 攻擊陳述式的請求。 ``` { "Name": "SQLiExcludeFalsePositives", "Priority": 0, "Statement": { "AndStatement": { "Statements": [ { "NotStatement": { "Statement": { "ByteMatchStatement": { "SearchString": "string identifying a false positive", "FieldToMatch": { "Body": { "OversizeHandling": "MATCH" } }, "TextTransformations": [ { "Priority": 0, "Type": "NONE" } ], "PositionalConstraint": "CONTAINS" } } } }, { "SqliMatchStatement": { "FieldToMatch": { "Body": { "OversizeHandling": "MATCH" } }, "TextTransformations": [ { "Priority": 0, "Type": "NONE" } ] } } ] } }, "Action": { "Block": {} }, "VisibilityConfig": { "SampledRequestsEnabled": true, "CloudWatchMetricsEnabled": true, "MetricName": "SQLiExcludeFalsePositives" } } ``` 使用主控台規則視覺化編輯器,您可以在 或 陳述NOT式下巢狀化非邏輯陳述式OR或AND陳述式。NOT 陳述式的巢狀化會顯示在先前的範例中。 使用主控台規則視覺化編輯器,您可以在邏輯規則陳述式下巢狀化最可巢狀的陳述式,例如先前範例中顯示的陳述式。您無法使用視覺化編輯器來巢狀化 OR或 AND陳述式。若要設定此類型的巢狀,您需要以 JSON 提供規則陳述式。例如,下列 JSON 規則清單包含 OR陳述式的巢狀AND陳述式。 ``` { "Name": "match_rule", "Priority": 0, "Statement": { "AndStatement": { "Statements": [ { "LabelMatchStatement": { "Scope": "LABEL", "Key": "awswaf:managed:aws:bot-control:bot:category:monitoring" } }, { "NotStatement": { "Statement": { "LabelMatchStatement": { "Scope": "LABEL", "Key": "awswaf:managed:aws:bot-control:bot:name:pingdom" } } } }, { "OrStatement": { "Statements": [ { "GeoMatchStatement": { "CountryCodes": [ "JM", "JP" ] } }, { "ByteMatchStatement": { "SearchString": "JCountryString", "FieldToMatch": { "Body": {} }, "TextTransformations": [ { "Priority": 0, "Type": "NONE" } ], "PositionalConstraint": "CONTAINS" } } ] } } ] } }, "Action": { "Block": {} }, "VisibilityConfig": { "SampledRequestsEnabled": true, "CloudWatchMetricsEnabled": true, "MetricName": "match_rule" } } ``` # NOT 規則陳述式 NOT 邏輯 NOT 規則陳述式在邏輯上否定單一巢狀陳述式的結果,因此巢狀陳述式必須與NOT陳述式不相符,反之亦然。這需要一個巢狀化陳述式。 例如,如果您想要封鎖不是來自特定國家/地區的請求,請建立動作設定為封鎖的NOT陳述式,並巢狀指定國家/地區的地理比對陳述式。 ## 規則陳述式特性 **可巢狀** – 您可以巢狀化此陳述式類型。 **WCUs** – 取決於巢狀陳述式。 ## 尋找此規則陳述式的位置 + 主控台上的**規則建置器** – 對於**如果請求**,請選擇**不符合陳述式 (NOT)**,然後填入巢狀陳述式。 + **API** – [NotStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_NotStatement.html) # OR 規則陳述式 OR 邏輯 OR 規則陳述式結合了巢狀陳述式與OR邏輯,因此其中一個巢狀陳述式必須符合,OR陳述式才能相符。這至少需要兩個巢狀陳述式。 例如,如果您想要封鎖來自特定國家/地區的請求或包含特定查詢字串的請求,您可以建立 OR陳述式,並在其中巢狀化一個國家/地區的地理比對陳述式,以及查詢字串的字串比對陳述式。 如果您想要封鎖*不是*來自特定國家/地區或包含特定查詢字串的請求,您可以修改先前的OR陳述式,將地理比對陳述式巢狀在NOT陳述式內的一個層級。此巢狀層級需要您使用 JSON 格式,因為主控台僅支援一個巢狀層級。 ## 規則陳述式特性 **可巢狀** – 您可以巢狀化此陳述式類型。 **WCUs** – 取決於巢狀陳述式。 ## 尋找此規則陳述式的位置 + 主控台上的**規則建置器** – **如果請求**,請選擇**至少符合其中一個陳述式 (OR)**,然後填入巢狀陳述式。 + **API** – [OrStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_OrStatement.html) **範例** 下列清單顯示使用 OR來結合其他兩個陳述式。如果其中一個巢狀OR陳述式相符,則陳述式為相符。 ``` { "Name": "neitherOfTwo", "Priority": 1, "Action": { "Block": {} }, "VisibilityConfig": { "SampledRequestsEnabled": true, "CloudWatchMetricsEnabled": true, "MetricName": "neitherOfTwo" }, "Statement": { "OrStatement": { "Statements": [ { "GeoMatchStatement": { "CountryCodes": [ "CA" ] } }, { "IPSetReferenceStatement": { "ARN": "arn:aws:wafv2:us-east-1:111111111111:regional/ipset/test-ip-set-22222222/33333333-4444-5555-6666-777777777777" } } ] } } } ``` 使用主控台規則視覺化編輯器,您可以在邏輯規則陳述式下巢狀化最可巢狀的陳述式,但無法使用視覺化編輯器來巢狀化 OR或 AND陳述式。若要設定此類型的巢狀,您需要以 JSON 提供規則陳述式。例如,下列 JSON 規則清單包含 OR陳述式的巢狀AND陳述式。 ``` { "Name": "match_rule", "Priority": 0, "Statement": { "AndStatement": { "Statements": [ { "LabelMatchStatement": { "Scope": "LABEL", "Key": "awswaf:managed:aws:bot-control:bot:category:monitoring" } }, { "NotStatement": { "Statement": { "LabelMatchStatement": { "Scope": "LABEL", "Key": "awswaf:managed:aws:bot-control:bot:name:pingdom" } } } }, { "OrStatement": { "Statements": [ { "GeoMatchStatement": { "CountryCodes": [ "JM", "JP" ] } }, { "ByteMatchStatement": { "SearchString": "JCountryString", "FieldToMatch": { "Body": {} }, "TextTransformations": [ { "Priority": 0, "Type": "NONE" } ], "PositionalConstraint": "CONTAINS" } } ] } } ] } }, "Action": { "Block": {} }, "VisibilityConfig": { "SampledRequestsEnabled": true, "CloudWatchMetricsEnabled": true, "MetricName": "match_rule" } } ``` # 在 中使用以速率為基礎的規則陳述式 AWS WAF 使用以速率為基礎的規則陳述式AWS WAF 新增 ASN 做為自訂金鑰彙總選項 您現在可以使用自訂金鑰彙總來限制來自特定自治系統編號 (ASNs) 的請求。AWS WAF 速率型規則的可設定評估時段 您現在可以將速率型規則用來計算請求數的時間範圍設定為 1、2、5 或 10 分鐘。預設值為 5,這是此版本之前的唯一選項。擴展以速率為基礎的規則選項 您現在可以根據 IP 地址以外的彙總金鑰對限制 Web 請求進行評分,也可以使用金鑰組合進行彙總。您也可以對符合縮小範圍陳述式的所有請求進行評分,而無需進一步彙總。更正以速率為基礎的規則如何執行速率限制的資訊 針對具有縮小範圍陳述式的規則,僅針對符合規則縮小範圍陳述式的速率限制請求進行評分。我們說明 限制套用至任何速率有限 IP 地址的所有請求。規則群組內的速率型 AWS WAF 規則 您現在可以在規則群組中定義以速率為基礎的 AWS WAF 規則。在 中 AWS Firewall Manager,此功能完全支援 AWS WAF 政策。 本節說明什麼是以速率為基礎的規則陳述式及其運作方式。 以速率為基礎的規則會計算傳入請求,並在速率太快時限制請求。此規則會根據您的條件彙總請求,並根據規則的評估時段、請求限制和動作設定,計數和速率會限制彙總分組。 **注意** 您也可以使用 Bot Control AWS 受管規則規則群組的目標保護層級來評分限制 Web 請求。使用此受管規則群組會產生額外費用。如需詳細資訊,請參閱[速率型規則和目標機器人控制規則中速率限制的選項](waf-rate-limiting-options.md)。 AWS WAF 會針對您使用的速率型規則的每個執行個體分別追蹤和管理 Web 請求。例如,如果您在兩個 Web ACLs 中提供相同的以速率為基礎的規則設定,則兩個規則陳述式中的每一個都代表以速率為基礎的規則的個別執行個體,並且每個 都會取得自己的追蹤和管理 AWS WAF。如果您在規則群組內定義以速率為基礎的規則,然後在多個位置使用該規則群組,則每次使用都會建立以速率為基礎的規則的個別執行個體,以取得自己的追蹤和管理 AWS WAF。 **不可巢狀化** – 您無法將此陳述式類型巢狀在其他陳述式中。您可以直接將其包含在保護套件 (Web ACL) 或規則群組中。 **縮小範圍陳述式** – 此規則類型可以採用縮小範圍陳述式,以縮小規則追蹤的請求範圍和速率限制。縮小範圍陳述式可以是選用或必要,視您的其他規則組態設定而定。本節涵蓋詳細資訊。如需縮小範圍陳述式的一般資訊,請參閱 [在 中使用縮小範圍陳述式 AWS WAF](waf-rule-scope-down-statements.md)。 **WCUs** – 2,作為基本成本。針對您指定的每個自訂彙總金鑰,新增 30 WCUs。如果您在規則中使用縮小範圍陳述式,請計算並新增該陳述WCUs。 **尋找此規則陳述式的位置** + 保護套件中的**規則建置器** (Web ACL),在主控台上 – 在**規則**下,針對**類型**,選擇以**速率為基礎的規則**。 + **API** – [RateBasedStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_RateBasedStatement.html) **Topics** + [ # 中的以速率為基礎的規則高階設定 AWS WAF ](waf-rule-statement-type-rate-based-high-level-settings.md) + [ # 中的以速率為基礎的規則警告 AWS WAF ](waf-rule-statement-type-rate-based-caveats.md) + [ # 在 中彙總以速率為基礎的規則 AWS WAF ](waf-rule-statement-type-rate-based-aggregation-options.md) + [ # 以速率為基礎的規則彙總執行個體和計數 ](waf-rule-statement-type-rate-based-aggregation-instances.md) + [ # 將速率限制套用至 中的請求 AWS WAF ](waf-rule-statement-type-rate-based-request-limiting.md) + [ # 中的以速率為基礎的規則範例 AWS WAF ](waf-rule-statement-type-rate-based-examples.md) + [ # 列出速率受到以速率為基礎的規則限制的 IP 地址 ](listing-managed-ips.md) # 中的以速率為基礎的規則高階設定 AWS WAF 以速率為基礎的規則高階設定 以速率為基礎的規則陳述式使用以下高階設定: + **評估時段** – 應包含在其請求計數中的時間 AWS WAF 量,以秒為單位,從目前時間回顧。例如,對於 120 的設定,當 AWS WAF 檢查速率時,它會計算目前時間前 2 分鐘的請求。有效設定為 60 (1 分鐘)、120 (2 分鐘)、300 (5 分鐘) 和 600 (10 分鐘),預設為 300 (5 分鐘)。 此設定不會決定檢查 AWS WAF 速率的頻率,但會在每次檢查時回溯多久。 會經常 AWS WAF 檢查速率,時間與評估時段設定無關。 + **速率限制** – 符合條件的請求數目上限, AWS WAF 應只追蹤指定的評估時段。允許的最低限制設定為 10。違反此限制時, 會將規則動作設定 AWS WAF 套用至符合您條件的其他請求。 AWS WAF 會在您設定的限制附近套用速率限制,但不保證完全符合限制。如需詳細資訊,請參閱[以速率為基礎的規則警告](waf-rule-statement-type-rate-based-caveats.md)。 + **請求彙總** – 在以速率為基礎的規則計數和速率限制的 Web 請求上使用的彙總條件。您設定的速率限制會套用至每個彙總執行個體。如需詳細資訊,請參閱 [彙總以速率為基礎的規則](waf-rule-statement-type-rate-based-aggregation-options.md) 和 [彙總執行個體和計數](waf-rule-statement-type-rate-based-aggregation-instances.md)。 + **動作** – 對規則速率限制的請求採取的動作。您可以使用 以外的任何規則動作Allow。這是照常在規則層級設定,但有一些限制和行為是針對以速率為基礎的規則。如需規則動作的一般資訊,請參閱 [在 中使用規則動作 AWS WAF](waf-rule-action.md)。如需速率限制的特定資訊,請參閱本節[將速率限制套用至 中的請求 AWS WAF](waf-rule-statement-type-rate-based-request-limiting.md)中的 。 + **檢查範圍和速率限制** – 您可以新增縮小範圍陳述式,縮小以速率為基礎的陳述式追蹤的請求範圍和速率限制。如果您指定縮小範圍陳述式,則規則只會彙總、計數和速率限制符合縮小範圍陳述式的請求。如果您選擇請求彙總選項**全部計數**,則需要縮小範圍陳述式。如需縮小範圍陳述式的詳細資訊,請參閱 [使用縮小範圍陳述式](waf-rule-scope-down-statements.md)。 + **(選用) 轉送 IP 組態** – 只有當您在請求彙總**的 標頭中指定 IP 地址**時,才會使用此組態,無論是單獨使用或做為自訂金鑰設定的一部分。 AWS WAF 會擷取指定標頭中的第一個 IP 地址,並使用該地址做為彙總值。此用途的常見標頭為 `X-Forwarded-For`,但您可以指定任何標頭。如需詳細資訊,請參閱[使用轉送的 IP 地址](waf-rule-statement-forwarded-ip-address.md)。 # 中的以速率為基礎的規則警告 AWS WAF 以速率為基礎的規則警告 本節列出使用速率型規則的注意事項。 AWS WAF 速率限制旨在控制高請求率,並以最有效率且最有效的方式保護應用程式的可用性。它不適用於精確的請求速率限制。 + AWS WAF 使用演算法估計目前的請求率,該演算法更重視最近的請求。因此, AWS WAF 會在您設定的限制附近套用速率限制,但不保證完全符合限制。 + 每次 AWS WAF 預估請求速率時, 都會回 AWS WAF 頭查看在設定的評估時段內傳入的請求數量。由於這一點和傳播延遲等其他因素,在 AWS WAF 偵測和速率限制請求之前,請求可能以太高的速率傳入最多幾分鐘。同樣地,在 偵測到降低並停止速率限制動作之前 AWS WAF ,請求速率可以低於限制一段時間。通常,此延遲低於 30 秒。 + 如果您在使用中的規則中變更任何速率限制設定,變更會重設規則的速率限制計數。這最多可暫停規則的速率限制活動一分鐘。速率限制設定是評估時段、速率限制、請求彙總設定、轉送 IP 組態和檢查範圍。 # 在 中彙總以速率為基礎的規則 AWS WAF 彙總以速率為基礎的規則JA3 和 JA4 指紋的速率型規則彙總 您現在可以在自訂彙總金鑰中指定速率型規則的 JA3 指紋和 JA4 指紋。URI 路徑上的以速率為基礎的規則彙總 您現在可以在自訂彙總金鑰中指定速率型規則的 URI 路徑。 本節說明彙總請求的選項。 根據預設,速率型規則會根據請求 IP 地址彙總和速率限制請求。您可以設定規則以使用各種其他彙總金鑰和金鑰組合。例如,您可以根據轉送的 IP 地址、HTTP 方法或查詢引數進行彙總。您也可以指定彙總金鑰組合,例如 IP 地址和 HTTP 方法,或兩個不同 Cookie 的值。 **注意** 您在彙總金鑰中指定的所有請求元件都必須存在於 Web 請求中,才能評估請求或受到規則限制的速率。 您可以使用下列彙總選項來設定速率型規則。 + **來源 IP 地址** – 僅使用來自 Web 請求來源的 IP 地址彙總。 來源 IP 地址可能不包含原始用戶端的地址。如果 Web 請求通過一或多個代理或負載平衡器,這將包含最後一個代理的地址。 + **標頭中的 IP 地址** – 僅使用 HTTP 標頭中的用戶端地址彙總。這也稱為轉送 IP 地址。 使用此組態,您也可以指定後援行為,以套用至標頭中 IP 地址格式不正確的 Web 請求。備用行為會將請求的相符結果設定為相符或不相符。對於不匹配,以速率為基礎的規則不計算請求或限制請求的速率。為了進行比對,以速率為基礎的規則會將請求與指定標頭中 IP 地址格式不正確的其他請求分組。 使用此選項時請小心,因為代理可能會以不一致的方式處理標頭,也可以修改標頭來繞過檢查。如需其他資訊和最佳實務,請參閱 [在 中使用轉送的 IP 地址 AWS WAF](waf-rule-statement-forwarded-ip-address.md)。 + **ASN** – 使用與來源 IP 地址相關聯的自治系統編號 (ASN) 彙總 做為彙總金鑰。這可能不是原始用戶端的地址。如果 Web 請求經過一或多個代理或負載平衡器,這會包含最後一個代理的地址。 如果 AWS WAF 無法從 IP 地址衍生 ASN,它會將 ASN 計為 ASN 0。如果您不想將速率限制套用至未映射ASNs,您可以建立排除 ASN 0 請求的縮小範圍規則。 + **標頭中的 ASN** – 使用與 HTTP 標頭中的用戶端 IP 地址相關聯的 ASN 彙總。這也稱為轉送 IP 地址。使用此組態,您也可以指定後援行為,以套用至 IP 地址無效或格式不正確的 Web 請求。備用行為會將請求的相符結果設定為相符或不相符。如果您在轉送的 IP 組態中將備用行為設定為相符, AWS WAF 會將無效的 IP 地址視為相符值。這可讓 AWS WAF 繼續評估以速率為基礎的規則複合索引鍵的任何剩餘部分。對於不匹配,以速率為基礎的規則不計算請求或限制請求的速率。 使用此選項時請小心,因為代理可能會以不一致的方式處理標頭,並且可以修改標頭來繞過檢查。如需其他資訊和最佳實務,請參閱 [在 中使用轉送的 IP 地址 AWS WAF](waf-rule-statement-forwarded-ip-address.md)。 + **全部計數** – 計數和速率會限制符合規則縮小範圍陳述式的所有請求。此選項需要縮小範圍陳述式。這通常用於限制一組特定請求,例如具有特定標籤的所有請求或來自特定地理區域的所有請求。 + **自訂金鑰** – 使用一或多個自訂彙總金鑰進行彙總。若要將任一 IP 地址選項與其他彙總金鑰合併,請在自訂金鑰下在此處定義它們。 自訂彙總金鑰是 中所述 Web 請求元件選項的子集[在 中請求元件 AWS WAF](waf-rule-statement-fields-list.md)。 金鑰選項如下。除非另有說明,否則您可以使用 選項多次,例如兩個標頭或三個標籤命名空間。 + **標籤命名空間** – 使用標籤命名空間做為彙總索引鍵。每個具有指定標籤命名空間的不同完整標籤名稱都有助於彙總執行個體。如果您只使用一個標籤命名空間做為自訂金鑰,則每個標籤名稱都會完整定義彙總執行個體。 速率型規則只會使用由保護套件 (Web ACL) 中事先評估的規則新增至請求的標籤。 如需標籤命名空間和名稱的資訊,請參閱 [中的標籤語法和命名需求 AWS WAF](waf-rule-label-requirements.md)。 + **標頭** – 使用具名標頭做為彙總金鑰。標頭中的每個不同值都有助於彙總執行個體。 標頭會進行選用的文字轉換。請參閱 [在 中使用文字轉換 AWS WAF](waf-rule-statement-transformation.md)。 + **Cookie** – 使用具名 Cookie 做為彙總金鑰。Cookie 中的每個不同值都有助於彙總執行個體。 Cookie 會進行選用的文字轉換。請參閱 [在 中使用文字轉換 AWS WAF](waf-rule-statement-transformation.md)。 + **查詢引數** – 在請求中使用單一查詢引數做為彙總索引鍵。具名查詢引數的每個不同值都有助於彙總執行個體。 查詢引數會進行選用的文字轉換。請參閱 [在 中使用文字轉換 AWS WAF](waf-rule-statement-transformation.md)。 + **查詢字串** – 使用請求中的整個查詢字串做為彙總索引鍵。每個不同的查詢字串都有助於彙總執行個體。您可以使用此金鑰類型一次。 查詢字串會進行選用的文字轉換。請參閱 [在 中使用文字轉換 AWS WAF](waf-rule-statement-transformation.md)。 + **URI 路徑** – 使用請求中的 URI 路徑做為彙總索引鍵。每個不同的 URI 路徑都有助於彙總執行個體。您可以使用此金鑰類型一次。 URI 路徑會進行選用的文字轉換。請參閱 [在 中使用文字轉換 AWS WAF](waf-rule-statement-transformation.md)。 + **JA3 指紋** – 使用請求中的 JA3 指紋做為彙總金鑰。每個不同的 JA3 指紋都有助於彙總執行個體。您可以使用此金鑰類型一次。 + **JA4 指紋** – 使用請求中的 JA4 指紋做為彙總金鑰。每個不同的 JA4 指紋都有助於彙總執行個體。您可以使用此金鑰類型一次。 + **HTTP 方法** – 使用請求的 HTTP 方法做為彙總金鑰。每個不同的 HTTP 方法都有助於彙總執行個體。您可以使用此金鑰類型一次。 + **IP 地址** – 使用來自 Web 請求原始伺服器的 IP 地址結合其他金鑰進行彙總。 這可能不會包含原始用戶端的地址。如果 Web 請求通過一或多個代理或負載平衡器,這將包含最後一個代理的地址。 + **標頭中的 IP 地址** – 使用 HTTP 標頭中的用戶端地址搭配其他金鑰進行彙總。這也稱為轉送 IP 地址。 使用此選項時請小心,因為代理可能會以不一致的方式處理標頭,並且可以修改標頭來繞過檢查。如需其他資訊和最佳實務,請參閱 [在 中使用轉送的 IP 地址 AWS WAF](waf-rule-statement-forwarded-ip-address.md)。 # 以速率為基礎的規則彙總執行個體和計數 彙總執行個體和計數 本節說明以速率為基礎的規則如何評估 Web 請求。 當以速率為基礎的規則使用您的彙總條件評估 Web 請求時,規則為指定彙總金鑰尋找的每個唯一值集會定義唯一的*彙總執行個體*。 + **多個索引鍵** – 如果您已定義多個自訂索引鍵,則每個索引鍵的值都有助於彙總執行個體定義。值的每個唯一組合都會定義彙總執行個體。 + **單一金鑰** – 如果您已在自訂金鑰或選取其中一個單一 IP 地址選項中選擇單一金鑰,則金鑰的每個唯一值都會定義彙總執行個體。 + **全部計數 - 無索引鍵** – 如果您已選取彙總選項**全部計數**,則規則評估的所有請求都屬於規則的單一彙總執行個體。此選項需要縮小範圍陳述式。 速率型規則會針對其識別的每個彙總執行個體分別計算 Web 請求。 例如,假設以速率為基礎的規則評估具有下列 IP 地址和 HTTP 方法值的 Web 請求: + IP 地址 10.1.1.1、HTTP 方法 POST + IP 地址 10.1.1.1,HTTP 方法 GET + IP 地址 127.0.0.0,HTTP 方法 POST + IP 地址 10.1.1.1,HTTP 方法 GET 規則會根據您的彙總條件建立不同的彙總執行個體。 + 如果彙總條件只是 IP 地址,則每個個別 IP 地址都是彙總執行個體,並分別 AWS WAF 計算每個 IP 地址的請求。我們範例的彙總執行個體和請求計數如下: + IP 地址 10.1.1.1:計數 3 + IP 地址 127.0.0.0:計數 1 + 如果彙總條件是 HTTP 方法,則每個個別 HTTP 方法都是彙總執行個體。我們範例的彙總執行個體和請求計數如下: + HTTP 方法 POST:計數 2 + HTTP 方法 GET:計數 2 + 如果彙總條件是 IP 地址和 HTTP 方法,則每個 IP 地址和每個 HTTP 方法都有助於合併彙總執行個體。我們範例的彙總執行個體和請求計數如下: + IP 地址 10.1.1.1,HTTP 方法 POST:計數 1 + IP 地址 10.1.1.1,HTTP 方法 GET:計數 2 + IP 地址 127.0.0.0,HTTP 方法 POST:計數 1 # 將速率限制套用至 中的請求 AWS WAF 套用速率限制 本節說明速率限制行為如何適用於以速率為基礎的規則。 AWS WAF 用於對以速率為基礎的規則限制請求進行評分的條件與 AWS WAF 用於彙總規則請求的條件相同。如果您為規則定義縮小範圍陳述式,則 AWS WAF 只有符合縮小範圍陳述式的彙總、計數和速率限制請求。 導致以速率為基礎的規則將其規則動作設定套用至特定 Web 請求的比對條件如下: + 如果已定義,則 Web 請求符合規則的範圍縮小陳述式。 + Web 請求屬於請求計數目前超過規則限制的彙總執行個體。 **如何 AWS WAF 套用規則動作** 當以速率為基礎的規則將速率限制套用至請求時,它會套用規則動作,如果您已在動作規格中定義任何自訂處理或標籤,則規則會套用這些動作。此請求處理與比對規則將其動作設定套用至比對 Web 請求的方式相同。速率型規則只會對其主動速率限制的請求套用標籤或執行其他動作。 您可以使用 以外的任何規則動作Allow。如需規則動作的一般資訊,請參閱 [在 中使用規則動作 AWS WAF](waf-rule-action.md)。 下列清單說明速率限制如何針對每個動作運作。 + **Block** – AWS WAF 封鎖請求並套用您定義的任何自訂封鎖行為。 + **Count** – AWS WAF 計算請求、套用您定義的任何自訂標頭或標籤,並繼續評估請求的保護套件 (Web ACL)。 此動作不會限制請求的速率。它只會計算超過限制的請求。 + **CAPTCHA 或 Challenge** – AWS WAF 根據請求字符的狀態Count,以 Block或 的形式處理請求。 此動作不會限制具有有效字符的請求速率。它會限制超出限制且也缺少有效字符的請求速率。 + 如果請求沒有有效、未過期的字符,動作會封鎖請求,並將 CAPTCHA 拼圖或瀏覽器挑戰傳回給用戶端。 如果最終使用者或用戶端瀏覽器成功回應,用戶端會收到有效的字符,並自動重新傳送原始請求。如果彙總執行個體的速率限制仍然有效,則具有有效、未過期字符的新請求將套用該動作,如下一個項目符號所述。 + 如果請求具有有效、未過期的字符, CAPTCHA或 Challenge動作會驗證字符,並且不會對請求採取任何動作,類似於 Count動作。以速率為基礎的規則會將請求評估傳回至保護套件 (Web ACL),而不採取任何終止動作,且保護套件 (Web ACL) 會繼續評估請求。 如需其他資訊,請參閱 [CAPTCHA 和 Challenge 中的 AWS WAF](waf-captcha-and-challenge.md)。 **如果您只對 IP 地址或轉送 IP 地址進行評分** 當您將規則設定為僅對轉送 IP 地址的 IP 地址進行速率限制時,您可以擷取規則目前速率限制的 IP 地址清單。如果您使用的是縮小範圍陳述式,速率限制的請求只是 IP 清單中符合縮小範圍陳述式的請求。如需擷取 IP 地址清單的資訊,請參閱 [列出速率受到以速率為基礎的規則限制的 IP 地址](listing-managed-ips.md)。 # 中的以速率為基礎的規則範例 AWS WAF 以速率為基礎的規則範例 本節說明各種常見速率型規則使用案例的範例組態。 每個範例都會提供使用案例的說明,然後在自訂設定規則的 JSON 清單中顯示解決方案。 **注意** 這些範例中顯示的 JSON 清單是在主控台中建立,方法是設定規則,然後使用**規則 JSON 編輯器**進行編輯。 **Topics** + [ # 速率限制對登入頁面的請求 ](waf-rate-based-example-limit-login-page.md) + [ # 速率限制來自任何 IP 地址、使用者代理程式對的登入頁面請求 ](waf-rate-based-example-limit-login-page-keys.md) + [ # 速率限制缺少特定標頭的請求 ](waf-rate-based-example-limit-missing-header.md) + [ # 速率限制具有特定標籤的請求 ](waf-rate-based-example-limit-labels.md) + [ # 速率限制具有指定標籤命名空間之標籤的請求 ](waf-rate-based-example-limit-label-aggregation.md) + [ # 速率限制具有特定 ASNs請求 ](waf-rate-based-example-limit-asn.md) # 速率限制對登入頁面的請求 速率限制對登入頁面的請求 若要限制您網站上登入頁面的請求數量,而不影響您網站其餘部分的流量,您可以建立速率型規則,其範圍縮小陳述式會將請求比對至您的登入頁面,並將請求彙總設為**全部計數**。 速率型規則會計算單一彙總執行個體中登入頁面的所有請求,並在請求超過限制時,將規則動作套用至符合縮小範圍陳述式的所有請求。 下列 JSON 清單顯示此規則組態的範例。計數所有彙總選項會在 JSON 中列為設定 `CONSTANT`。此範例符合以 開頭的登入頁面`/login`。 ``` { "Name": "test-rbr", "Priority": 0, "Action": { "Block": {} }, "VisibilityConfig": { "SampledRequestsEnabled": true, "CloudWatchMetricsEnabled": true, "MetricName": "test-rbr" }, "Statement": { "RateBasedStatement": { "Limit": 1000, "EvaluationWindowSec": 300, "AggregateKeyType": "CONSTANT", "ScopeDownStatement": { "ByteMatchStatement": { "FieldToMatch": { "UriPath": {} }, "PositionalConstraint": "STARTS_WITH", "SearchString": "/login", "TextTransformations": [ { "Type": "NONE", "Priority": 0 } ] } } } } } ``` # 速率限制來自任何 IP 地址、使用者代理程式對的登入頁面請求 速率限制來自任何 IP 地址、使用者代理程式對的登入頁面請求 若要限制 IP 地址登入頁面的請求數量,超出限制的使用者代理程式對,請將請求彙總設定為**自訂金鑰**,並提供彙總條件。 下列 JSON 清單顯示此規則組態的範例。在此範例中,我們已將每個 IP 地址、使用者代理程式對的 5 分鐘內限制為 100 個請求。 ``` { "Name": "test-rbr", "Priority": 0, "Action": { "Block": {} }, "VisibilityConfig": { "SampledRequestsEnabled": true, "CloudWatchMetricsEnabled": true, "MetricName": "test-rbr" }, "Statement": { "RateBasedStatement": { "Limit": 100, "EvaluationWindowSec": 300, "AggregateKeyType": "CUSTOM_KEYS", "CustomKeys": [ { "Header": { "Name": "User-Agent", "TextTransformations": [ { "Priority": 0, "Type": "NONE" } ] } }, { "IP": {} } ], "ScopeDownStatement": { "ByteMatchStatement": { "FieldToMatch": { "UriPath": {} }, "PositionalConstraint": "STARTS_WITH", "SearchString": "/login", "TextTransformations": [ { "Type": "NONE", "Priority": 0 } ] } } } } } ``` # 速率限制缺少特定標頭的請求 速率限制缺少特定標頭的請求 若要限制缺少特定標頭的請求數量,您可以使用**計數所有**彙總選項搭配縮小範圍陳述式。使用邏輯`NOT`陳述式設定縮小範圍陳述式,其中包含僅在標頭存在且具有值時傳回 true 的陳述式。 下列 JSON 清單顯示此規則組態的範例。 ``` { "Name": "test-rbr", "Priority": 0, "Action": { "Block": {} }, "VisibilityConfig": { "SampledRequestsEnabled": true, "CloudWatchMetricsEnabled": true, "MetricName": "test-rbr" }, "Statement": { "RateBasedStatement": { "Limit": 1000, "AggregateKeyType": "CONSTANT", "EvaluationWindowSec": 300, "ScopeDownStatement": { "NotStatement": { "Statement": { "SizeConstraintStatement": { "FieldToMatch": { "SingleHeader": { "Name": "user-agent" } }, "ComparisonOperator": "GT", "Size": 0, "TextTransformations": [ { "Type": "NONE", "Priority": 0 } ] } } } } } } } ``` # 速率限制具有特定標籤的請求 速率限制具有特定標籤的請求 若要限制各種類別的請求數量,您可以將速率限制與將標籤新增至請求的任何規則或規則群組結合。若要這樣做,您可以設定保護套件 (Web ACL),如下所示: + 新增新增標籤的規則或規則群組,並加以設定,使其不會封鎖或允許您想要對限制進行評分的請求。如果您使用受管規則群組,您可能需要覆寫 的一些規則群組規則動作Count,才能達成此行為。 + 將速率型規則新增至您的保護套件 (Web ACL),其優先順序數字設定高於標籤規則和規則群組。 會以數字順序 AWS WAF 評估規則,從最低開始,因此您的速率型規則將在標籤規則之後執行。使用規則縮小範圍陳述式和標籤彙總中的標籤比對組合,在標籤上設定速率限制。 下列範例使用 Amazon IP 評價清單 AWS 受管規則規則群組。規則群組規則`AWSManagedIPDDoSList`會偵測並標記已知 IPs正主動參與 DDoS 活動的請求。規則的 動作在規則群組定義Count中設定為 。如需規則群組的詳細資訊,請參閱 [Amazon IP 評價清單受管規則群組](aws-managed-rule-groups-ip-rep.md#aws-managed-rule-groups-ip-rep-amazon)。 下列保護套件 (Web ACL) JSON 清單使用 IP 評價規則群組,後面接著標籤比對速率型規則。速率型規則使用縮小範圍陳述式來篩選由規則群組規則標記的請求。以速率為基礎的規則陳述式會彙總 ,並依其 IP 地址限制篩選的請求。 ``` { "Name": "test-web-acl", "Id": ... "ARN": ... "DefaultAction": { "Allow": {} }, "Description": "", "Rules": [ { "Name": "AWS-AWSManagedRulesAmazonIpReputationList", "Priority": 0, "Statement": { "ManagedRuleGroupStatement": { "VendorName": "AWS", "Name": "AWSManagedRulesAmazonIpReputationList" } }, "OverrideAction": { "None": {} }, "VisibilityConfig": { "SampledRequestsEnabled": true, "CloudWatchMetricsEnabled": true, "MetricName": "AWS-AWSManagedRulesAmazonIpReputationList" } }, { "Name": "test-rbr", "Priority": 1, "Statement": { "RateBasedStatement": { "Limit": 100, "EvaluationWindowSec": 300, "AggregateKeyType": "IP", "ScopeDownStatement": { "LabelMatchStatement": { "Scope": "LABEL", "Key": "awswaf:managed:aws:amazon-ip-list:AWSManagedIPDDoSList" } } } }, "Action": { "Block": {} }, "VisibilityConfig": { "SampledRequestsEnabled": true, "CloudWatchMetricsEnabled": true, "MetricName": "test-rbr" } } ], "VisibilityConfig": { "SampledRequestsEnabled": true, "CloudWatchMetricsEnabled": true, "MetricName": "test-web-acl" }, "Capacity": 28, "ManagedByFirewallManager": false, "RetrofittedByFirewallManager": false, "LabelNamespace": "awswaf:0000000000:webacl:test-web-acl:" } ``` # 速率限制具有指定標籤命名空間之標籤的請求 速率限制具有指定標籤命名空間之標籤的請求 **注意** Bot Control 受管規則群組中的常見層級規則會為各種類別的機器人新增標籤,但只會封鎖來自未驗證機器人的請求。如需這些規則的詳細資訊,請參閱 [機器人控制規則清單](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-rules)。 如果您使用 Bot Control 受管規則群組,則可以為來自個別已驗證機器人的請求新增速率限制。若要這樣做,您可以新增在 Bot Control 規則群組之後執行的速率型規則,並依其機器人名稱標籤彙總請求。您可以指定**標籤命名空間**彙總金鑰,並將命名空間金鑰設定為 `awswaf:managed:aws:bot-control:bot:name:`。具有指定命名空間的每個唯一標籤都會定義彙總執行個體。例如,標籤`awswaf:managed:aws:bot-control:bot:name:axios`和`awswaf:managed:aws:bot-control:bot:name:curl`每個標籤都會定義彙總執行個體。 下列保護套件 (Web ACL) JSON 清單顯示此組態。此範例中的規則會將任何單一機器人彙總執行個體的請求限制在兩分鐘內 1,000 個。 ``` { "Name": "test-web-acl", "Id": ... "ARN": ... "DefaultAction": { "Allow": {} }, "Description": "", "Rules": [ { "Name": "AWS-AWSManagedRulesBotControlRuleSet", "Priority": 0, "Statement": { "ManagedRuleGroupStatement": { "VendorName": "AWS", "Name": "AWSManagedRulesBotControlRuleSet", "ManagedRuleGroupConfigs": [ { "AWSManagedRulesBotControlRuleSet": { "InspectionLevel": "COMMON" } } ] } }, "OverrideAction": { "None": {} }, "VisibilityConfig": { "SampledRequestsEnabled": true, "CloudWatchMetricsEnabled": true, "MetricName": "AWS-AWSManagedRulesBotControlRuleSet" } }, { "Name": "test-rbr", "Priority": 1, "Statement": { "RateBasedStatement": { "Limit": 1000, "EvaluationWindowSec": 120, "AggregateKeyType": "CUSTOM_KEYS", "CustomKeys": [ { "LabelNamespace": { "Namespace": "awswaf:managed:aws:bot-control:bot:name:" } } ] } }, "Action": { "Block": {} }, "VisibilityConfig": { "SampledRequestsEnabled": true, "CloudWatchMetricsEnabled": true, "MetricName": "test-rbr" } } ], "VisibilityConfig": { "SampledRequestsEnabled": true, "CloudWatchMetricsEnabled": true, "MetricName": "test-web-acl" }, "Capacity": 82, "ManagedByFirewallManager": false, "RetrofittedByFirewallManager": false, "LabelNamespace": "awswaf:0000000000:webacl:test-web-acl:" } ``` # 速率限制具有特定 ASNs請求 若要根據請求的 IP 地址限制來自特定自治系統編號 (ASNs) 的請求數量,請將請求彙總設定為*自訂金鑰*並提供彙總條件。 下列 JSON 顯示彙總衍生自 `X-Forwarded-For`標頭中轉送 IP 地址之 ASNs 的規則範例。如果 AWS WAF 因為 IP 地址格式錯誤而無法衍生 ASN,則備用行為會設為 `MATCH`。 ``` { "Name": "test-rbr", "Priority": 0, "Statement": { "RateBasedStatement": { "AggregateKeyType": "CUSTOM_KEYS", "CustomKeys": [ { "ASN": {} }, { "ForwardedIP": {} } ], "EvaluationWindowSec": 300, "ForwardedIPConfig": { "FallbackBehavior": "MATCH", "HeaderName": "X-Forwarded-For" }, "Limit": 2000 } }, "VisibilityConfig": { "CloudWatchMetricsEnabled": true, "MetricName": "test-rbr", "SampledRequestsEnabled": true } } ``` # 列出速率受到以速率為基礎的規則限制的 IP 地址 列出速率限制的 IP 地址移動主題:列出速率受限的 IP 地址 列出受以速率為基礎的規則限制之 IP 地址的主題現在位於以速率為基礎的規則主題下。 本節說明如何使用 CLI、 API 或任何SDKs,存取速率型規則目前限制速率的 IP 地址清單。 如果您的速率型規則僅彙總 IP 地址或轉送 IP 地址,您可以擷取規則目前速率限制的 IP 地址清單。 會將這些 IP 地址 AWS WAF 存放在規則的受管金鑰清單中。 **注意** 只有在您僅彙總 IP 地址或標頭中的 IP 地址時,才能使用此選項。如果您使用自訂金鑰請求彙總,則無法擷取速率受限 IP 地址的清單,即使您在自訂金鑰中使用其中一個 IP 地址規格。 速率型規則會將其規則動作套用至規則受管金鑰清單中符合規則縮小範圍陳述式的請求。當規則沒有縮小範圍陳述式時,它會將 動作套用至清單中 IP 地址的所有請求。規則動作Block預設為 ,但除了 之外,它可以是任何有效的規則動作Allow。使用單一速率型規則執行個體 AWS WAF 可對限制進行評分的 IP 地址數目上限為 10,000。如果超過 10,000 個地址超過速率限制, 會 AWS WAF 限制速率最高的地址。 您可以使用 CLI、API 或任何 SDKs 來存取速率型規則的受管金鑰清單。本主題涵蓋使用 CLI 和 API 進行存取。主控台目前不提供對清單的存取權。 對於 AWS WAF API,命令為 [GetRateBasedStatementManagedKeys](https://docs.aws.amazon.com/waf/latest/APIReference/API_GetRateBasedStatementManagedKeys.html)。 對於 AWS WAF CLI,命令為 [get-rate-based-statement-managed-keys](https://docs.aws.amazon.com/cli/latest/reference/wafv2/get-rate-based-statement-managed-keys.html)。 以下顯示擷取 Amazon CloudFront 分佈上保護套件 (Web ACL) 中使用的以速率為基礎的規則之速率限制 IP 地址清單的語法。 ``` aws wafv2 get-rate-based-statement-managed-keys --scope=CLOUDFRONT --region=us-east-1 --web-acl-name=WebACLName --web-acl-id=WebACLId --rule-name=RuleName ``` 以下顯示區域應用程式、Amazon API Gateway REST API、Application Load Balancer、a AWS AppSync GraphQL API、Amazon Cognito 使用者集區 AWS Amplify、 AWS App Runner 服務或 AWS Verified Access 執行個體的語法。 ``` aws wafv2 get-rate-based-statement-managed-keys --scope=REGIONAL --region=region --web-acl-name=WebACLName --web-acl-id=WebACLId --rule-name=RuleName ``` AWS WAF 會監控 Web 請求,並針對保護套件 (Web ACL)、選用規則群組和速率型規則的每個唯一組合獨立管理金鑰。例如,如果您在規則群組內定義速率型規則,然後在保護套件 (Web ACL) 中使用規則群組, AWS WAF 則監控 Web 請求並管理該保護套件 (Web ACL)、規則群組參考陳述式和速率型規則執行個體的金鑰。如果您在第二個保護套件 (Web ACL) 中使用相同的規則群組, AWS WAF 會監控 Web 請求並管理此第二個用途的金鑰,完全獨立於您的第一個。 對於您在規則群組中定義的以速率為基礎的規則,除了保護套件 (Web ACL) 名稱和規則群組內以速率為基礎的規則名稱之外,您還需要在請求中提供規則群組參考陳述式的名稱。以下顯示區域應用程式的語法,其中以速率為基礎的規則是在規則群組內定義,而規則群組用於保護套件 (Web ACL)。 ``` aws wafv2 get-rate-based-statement-managed-keys --scope=REGIONAL --region=region --web-acl-name=WebACLName --web-acl-id=WebACLId --rule-group-rule-name=RuleGroupRuleName --rule-name=RuleName ``` # 在 中使用規則群組規則陳述式 AWS WAF 使用規則群組規則陳述式 **注意** 規則群組規則陳述式不可巢狀化。 本節說明您可以在保護套件 (Web ACL) 中使用的規則群組規則陳述式。規則群組保護套件 (Web ACL) 容量單位 (WCUs) 由規則群組擁有者在建立時設定。如需 WCU 的相關資訊,請參閱 [中的 Web ACL 容量單位 WCUs) AWS WAF](aws-waf-capacity-units.md)。 | 規則群組陳述式 | Description | WCU | | --- | --- | --- | | [使用受管規則群組陳述式](waf-rule-statement-type-managed-rule-group.md) | 執行指定的受管規則群組中定義的規則。 您可以新增縮小範圍陳述式,縮小規則群組評估的請求範圍。 您無法在任何其他陳述式類型中巢狀化受管規則群組陳述式。 | 由規則群組定義,加上範圍縮小陳述式的任何其他 WCUs。 | | [使用規則群組陳述式](waf-rule-statement-type-rule-group.md) | 執行在您管理的規則群組中定義的規則。 您無法將縮小範圍陳述式新增至您自己的規則群組的規則群組參考陳述式。 您無法在任何其他陳述式類型內巢狀化規則群組陳述式 | 您可以在建立規則群組時定義規則群組的 WCU 限制。 | # 在 中使用受管規則群組陳述式 AWS WAF 使用受管規則群組陳述式 本節說明 受管規則群組規則陳述式的運作方式。 受管規則群組規則陳述式會將保護套件 (Web ACL) 規則清單中的參考新增至受管規則群組。您在主控台的規則陳述式下看不到此選項,但當您使用 Web ACL 的 JSON 格式時,您已新增的任何受管規則群組都會在保護套件 (Web ACL) 規則下顯示為此類型。 受管規則群組是 AWS 受管規則規則群組,其中大部分是免費提供給 AWS WAF 客戶,或是 AWS Marketplace 受管規則群組。當您將付費 AWS 的受管規則規則群組新增至保護套件 (Web ACL) 時,您會自動訂閱這些規則群組。您可以透過 訂閱 AWS Marketplace 受管規則群組 AWS Marketplace。如需詳細資訊,請參閱[在 中使用受管規則群組 AWS WAF](waf-managed-rule-groups.md)。 當您將規則群組新增至保護套件 (Web ACL) 時,您可以將群組中規則的動作覆寫為 Count或另一個規則動作。如需詳細資訊,請參閱[在 中覆寫規則群組動作 AWS WAF](web-acl-rule-group-override-options.md)。 您可以縮小使用規則群組 AWS WAF 評估的請求範圍。若要這樣做,您可以在規則群組陳述式中新增縮小範圍陳述式。如需縮小範圍陳述式的詳細資訊,請參閱 [在 中使用縮小範圍陳述式 AWS WAF](waf-rule-scope-down-statements.md)。這可協助您管理規則群組如何影響流量,並協助您在使用規則群組時控制與流量相關聯的成本。如需搭配 AWS WAF Bot Control 受管規則群組使用縮小範圍陳述式的資訊和範例,請參閱 [AWS WAF 機器人控制](waf-bot-control.md)。 ## 規則陳述式特性 **不可巢**狀化 – 您無法將此陳述式類型巢狀在其他陳述式中,也無法將其包含在規則群組中。您可以直接將其包含在保護套件 (Web ACL) 中。 **(選用) 縮小範圍陳述式** – 此規則類型需要選用縮小範圍陳述式,以縮小規則群組評估的請求範圍。如需詳細資訊,請參閱[在 中使用縮小範圍陳述式 AWS WAF](waf-rule-scope-down-statements.md)。 **WCUs** – 在建立時為規則群組設定 。 ## 尋找此規則陳述式的位置 + **主控台** – 在建立保護套件 (Web ACL) 的過程中,在**新增規則和規則群組**頁面上,選擇**新增受管規則群組**,然後尋找並選取您要使用的規則群組。 + **API** – [ManagedRuleGroupStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_ManagedRuleGroupStatement.html) # 在 中使用規則群組陳述式 AWS WAF 使用規則群組陳述式 本節說明規則群組規則陳述式的運作方式。 規則群組規則陳述式會將保護套件 (Web ACL) 規則清單的參考新增至您管理的規則群組。您在主控台的規則陳述式下看不到此選項,但當您使用保護套件 (Web ACL) 的 JSON 格式時,您已新增的任何規則群組都會顯示在此類型的保護套件 (Web ACL) 規則下。如需有關使用您自己的規則群組的資訊,請參閱 [管理您自己的規則群組](waf-user-created-rule-groups.md)。 當您將規則群組新增至保護套件 (Web ACL) 時,您可以將群組中規則的動作覆寫為 Count或另一個規則動作。如需詳細資訊,請參閱[在 中覆寫規則群組動作 AWS WAF](web-acl-rule-group-override-options.md)。 ## 規則陳述式特性 **不可巢**狀化 – 您無法將此陳述式類型巢狀在其他陳述式中,也無法將其包含在規則群組中。您可以直接將其包含在保護套件 (Web ACL) 中。 **WCUs** – 在建立時為規則群組設定 。 ## 尋找此規則陳述式的位置 + **主控台** – 在建立保護套件 (Web ACL) 的過程中,在**新增規則和規則群組**頁面上,選擇**新增我自己的規則和規則群組**、**規則群組**,然後新增您要使用的規則群組。 + **API** – [RuleGroupReferenceStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_RuleGroupReferenceStatement.html) # AWS WAF 規則群組 AWS WAF 規則群組 本節說明什麼是規則群組及其運作方式。 規則群組是一組可重複使用的規則,您可以新增至保護套件 (Web ACL)。如需保護套件 (Web ACLs) 的詳細資訊,請參閱 [在 中設定保護 AWS WAF](web-acl.md)。 規則群組分為下列主要類別: + 您自己的規則群組,由您建立和維護。 + 受管規則團隊為您建立和維護的 AWS 受管規則群組。 + AWS Marketplace 賣方為您建立和維護的受管規則群組。 + 由 和 Shield Advanced 等其他服務擁有 AWS Firewall Manager 和管理的規則群組。 **規則群組和保護套件之間的差異 (Web ACLs)** 規則群組和保護套件 (Web ACLs) 都包含規則,這些規則在這兩個位置都以相同的方式定義。規則群組與保護套件 (Web ACLs) 的不同之處如下: + 規則群組不能包含規則群組參考陳述式。 + 您可以在多個保護套件 (Web ACLs) 中重複使用單一規則群組,方法是將規則群組參考陳述式新增至每個保護套件 (Web ACL)。您無法重複使用保護套件 (Web ACL)。 + 規則群組沒有預設動作。在保護套件 (Web ACL) 中,您可以為包含的每個規則或規則群組設定預設動作。規則群組或保護套件 (Web ACL) 中的每個個別規則都已定義動作。 + 您不會直接將規則群組與 AWS 資源建立關聯。若要使用規則群組保護資源,請在保護套件 (Web ACL) 中使用規則群組。 + 系統會為每個保護套件 (Web ACL) 定義最大容量 5,000 個保護套件 (Web ACL) 容量單位 (WCUs)。每個規則群組都有一個 WCU 設定,必須在建立時設定。您可以使用此設定來計算使用規則群組將新增至保護套件 (Web ACL) 的額外容量需求。如需 WCUs的詳細資訊,請參閱 [中的 Web ACL 容量單位 WCUs) AWS WAF](aws-waf-capacity-units.md)。 如需規則的詳細資訊,請參閱 [AWS WAF 規則](waf-rules.md)。 本節提供建立和管理自有規則群組的指引、說明可供您使用的受管規則群組,以及提供使用受管規則群組的指引。 **Topics** + [ # 在 中使用受管規則群組 AWS WAF ](waf-managed-rule-groups.md) + [ # 管理您自己的規則群組 ](waf-user-created-rule-groups.md) + [ # AWS Marketplace 規則群組 ](marketplace-rule-groups.md) + [ # 辨識其他服務提供的規則群組 ](waf-service-owned-rule-groups.md) # 在 中使用受管規則群組 AWS WAF 使用受管規則群組已將版本控制新增至受管規則群組 受管規則群組提供者現在可以為其規則群組進行版本控制。新增受管規則群組目前預設版本設定的指標 受管規則群組版本清單現在指出哪個版本是目前的預設值。 本節說明什麼是受管規則群組及其運作方式。 受管規則群組是預先定義、ready-to-use規則的集合, AWS 和 AWS Marketplace 賣方會為您撰寫和維護這些規則。基本 AWS WAF 定價適用於您對任何受管規則群組的使用。如需 AWS WAF 定價資訊,請參閱 [AWS WAF 定價](https://aws.amazon.com/waf/pricing/)。 + *除了基本費用之外,適用於 AWS WAF Bot Control、 AWS WAF Fraud Control 帳戶接管預防 (ATP) 和 AWS WAF 詐騙控制帳戶建立詐騙預防 (ACFP) 的 AWS 受管規則規則群組*需額外付費。 AWS WAF 如需定價詳細資訊,請參閱 [AWS WAF 定價](https://aws.amazon.com/waf/pricing/)。 + *所有其他 AWS 受管規則規則群組*可供 AWS WAF 客戶免費使用。 + *AWS Marketplace 規則群組*可透過 訂閱 AWS Marketplace。每個規則群組都由 AWS Marketplace 賣方擁有和管理。如需使用 AWS Marketplace 規則群組的定價資訊,請聯絡 AWS Marketplace 賣方。 有些受管規則群組主要用於協助保護特定類型的 Web 應用程式,像是 WordPress、Joomla 或 PHP。其他則針對已知威脅或常見的 Web 應用程式漏洞提供廣泛的保護,包括 [OWASP 前 10 名](https://owasp.org/www-project-top-ten/)所列的部分漏洞。如果您受限於法規合規,例如 PCI 或 HIPAA,您可以使用受管規則群組以達到 Web 應用程式防火牆的需求。 **自動更新** 為了保持在最新狀態以了解不斷變化的威脅趨勢,不僅費時而且耗錢。當您實作和使用 時,受管規則群組可以節省您的時間 AWS WAF。許多 AWS 和 AWS Marketplace 賣方會自動更新受管規則群組,並在出現新的漏洞和威脅時提供新版本的規則群組。 在某些情況下,由於 參與多個私有揭露社群, AWS 會在公開揭露之前收到新漏洞的通知。在這些情況下, AWS 可以更新 AWS 受管規則規則群組,並在新的威脅廣為人知之前為您部署這些規則群組。 **受管規則群組中規則的限制存取** 每個受管規則群組都會提供攻擊類型的完整描述,以及其旨在防範的漏洞。為了保護規則群組提供者的智慧財產權,您無法檢視規則群組中個別規則的所有詳細資訊。此限制也有助於防止惡意使用者利用規避發佈的規則設計攻擊威脅。 **Topics** + [ # 在 中使用版本控制的受管規則群組 AWS WAF ](waf-managed-rule-groups-versioning.md) + [ # 使用受管規則群組 ](waf-using-managed-rule-groups.md) + [ # AWS 的受管規則 AWS WAF ](aws-managed-rule-groups.md) # 在 中使用版本控制的受管規則群組 AWS WAF 使用版本控制的受管規則群組 本節說明如何處理受管規則群組的版本控制。 許多受管規則群組提供者會使用版本控制來更新規則群組的選項和功能。通常,受管規則群組的特定版本是靜態的。有時候,供應商可能需要更新部分或全部受管規則群組的靜態版本,例如,以回應新興的安全威脅。 當您在保護套件 (Web ACL) 中使用版本控制的受管規則群組時,您可以選取預設版本,並讓提供者管理您使用的靜態版本,也可以選取特定的靜態版本。 **找不到您想要的版本?** 如果您在規則群組的版本清單中沒有看到版本,則版本可能已排程為過期或已過期。版本排定過期後, AWS WAF 就無法再讓您為規則群組選擇該版本。 **AWS 受管規則規則群組的 SNS 通知** AWS 受管規則規則群組都提供版本控制和 SNS 更新通知,但 IP 評價規則群組除外。提供通知的 AWS 受管規則規則群組都使用相同的 SNS 主題 Amazon Resource Name (ARN)。若要註冊 SNS 通知,請參閱 [收到新版本和更新的通知](waf-using-managed-rule-groups-sns-topic.md)。 **Topics** + [ # 受管規則群組的版本生命週期 ](waf-managed-rule-groups-versioning-lifecycle.md) + [ # 受管規則群組的版本過期 ](waf-managed-rule-groups-versioning-expiration.md) + [ # 處理受管規則群組版本的最佳實務 ](waf-managed-rule-groups-best-practice.md) # 受管規則群組的版本生命週期 版本生命週期 供應商會處理受管規則群組靜態版本的下列生命週期階段: + **發行和更新** – 受管規則群組提供者會透過 Amazon Simple Notification Service (Amazon SNS) 主題的通知,宣布其受管規則群組即將推出和新的靜態版本。供應商也可能使用 主題來傳達有關其規則群組的其他重要資訊,例如緊急必要更新。 您可以訂閱規則群組的主題,並設定接收通知的方式。如需更多資訊,請參閱[收到新版本和更新的通知](waf-using-managed-rule-groups-sns-topic.md)。 + **過期排程** – 受管規則群組提供者會為過期排程規則群組的較舊版本。排程過期的版本無法新增至您的保護套件 (Web ACL) 規則。排定版本過期後, 會使用 Amazon CloudWatch 中的倒數指標 AWS WAF 追蹤過期。 + **版本過期** – 如果您將保護套件 (Web ACL) 設定為使用受管規則群組的過期版本,則在保護套件 (Web ACL) 評估期間, AWS WAF 會使用規則群組的預設版本。此外, 會 AWS WAF 封鎖未移除規則群組或將其版本變更為未過期的保護套件 (Web ACL) 的任何更新。 如果您使用 AWS Marketplace 受管規則群組,請向提供者詢問有關版本生命週期的任何其他資訊。 # 受管規則群組的版本過期 版本過期 本節說明版本過期如何適用於版本控制的受管規則群組。 如果您使用特定版本的規則群組,請確定您不會繼續使用超過過期日期的版本。您可以透過規則群組的 SNS 通知和 Amazon CloudWatch 指標來監控版本過期。 如果您在保護套件 (Web ACL) 中使用的版本已過期, 會 AWS WAF 封鎖保護套件 (Web ACL) 的任何更新,其中不包含將規則群組移至未過期的版本。您可以將規則群組更新為可用的版本,或從保護套件 (Web ACL) 中移除。 受管規則群組的過期處理取決於規則群組提供者。對於 AWS 受管規則規則群組,過期版本會自動變更為規則群組的預設版本。對於 AWS Marketplace 規則群組,詢問提供者如何處理過期。 當提供者建立新版本的規則群組時,它會設定版本的預測生命週期。雖然版本未排定過期,但 Amazon CloudWatch 指標值會設定為預測的生命週期設定,而在 CloudWatch 中,您會看到指標的固定值。在提供者排定指標過期後,指標值每天都會減少,直到過期當天達到零為止。如需監控過期的資訊,請參閱 [追蹤版本過期](waf-using-managed-rule-groups-expiration.md)。 # 處理受管規則群組版本的最佳實務 受管規則群組版本的最佳實務 當您使用版本控制的受管規則群組時,請遵循此最佳實務指南來處理版本控制。 當您在保護套件 (Web ACL) 中使用受管規則群組時,您可以選擇使用規則群組的特定靜態版本,也可以選擇使用預設版本: + **預設版本** – AWS WAF 一律將預設版本設定為供應商目前建議的靜態版本。當提供者更新其建議的靜態版本時, AWS WAF 會自動更新保護套件中規則群組的預設版本設定 (Web ACL)。 當您使用受管規則群組的預設版本時,請執行下列最佳實務: + **訂閱通知** – 訂閱通知以取得規則群組的變更,並留意這些變更。大多數供應商會傳送新靜態版本和預設版本變更的進階通知。這些可讓您先檢查新靜態版本的效果,再 AWS 切換預設版本。如需更多資訊,請參閱[收到新版本和更新的通知](waf-using-managed-rule-groups-sns-topic.md)。 + **檢閱靜態版本設定的效果,並在將預設值設為靜態版本之前視需要進行調整** – 在將預設值設為新的靜態版本之前,請檢閱靜態版本對 Web 請求監控和管理的效果。新的靜態版本可能會有要檢閱的新規則。尋找誤報或其他非預期行為,以防您需要修改規則群組的使用方式。您可以設定規則來計算,例如,在您了解要如何處理新行為時,阻止它們封鎖流量。如需詳細資訊,請參閱[測試和調校您的 AWS WAF 保護](web-acl-testing.md)。 + **靜態版本** – 如果您選擇使用靜態版本,則當您準備好採用新版本的規則群組時,必須手動更新版本設定。 當您使用受管規則群組的靜態版本時,請執行下列最佳實務: + **將您的版本保持在最新**狀態 – 讓您的受管規則群組盡可能靠近最新版本。發行新版本時,請進行測試、視需要調整設定,並及時實作。如需測試的相關資訊,請參閱 [測試和調校您的 AWS WAF 保護](web-acl-testing.md)。 + **訂閱通知** – 訂閱規則群組變更的通知,讓您知道提供者何時發佈新的靜態版本。大多數供應商會提供版本變更的進階通知。此外,您的提供者可能需要更新您用來關閉安全漏洞或其他緊急原因的靜態版本。如果您訂閱供應商的通知,您會知道發生了什麼事。如需詳細資訊,請參閱[收到新版本和更新的通知](waf-using-managed-rule-groups-sns-topic.md)。 + **避免版本過期** – 不允許靜態版本在您使用時過期。處理過期版本的供應商可能會有所不同,可能包括強制升級至可用的版本,或可能造成非預期後果的其他變更。追蹤 AWS WAF 過期指標並設定警示,讓您有足夠的天數成功升級至支援的版本。如需詳細資訊,請參閱[追蹤版本過期](waf-using-managed-rule-groups-expiration.md)。 # 使用受管規則群組 本節提供存取和管理受管規則群組的指引。 當您將受管規則群組新增至保護套件 (Web ACL) 時,您可以選擇與您自己的規則群組相同的組態選項,以及其他設定。 透過 主控台,您可以在在保護套件 (Web ACLs) 中新增和編輯規則的過程中存取受管規則群組資訊。透過 APIs和命令列界面 (CLI),您可以直接請求受管規則群組資訊。 當您在保護套件 (Web ACL) 中使用受管規則群組時,您可以編輯下列設定: + **版本** – 只有在規則群組進行版本控制時,才能使用此功能。如需詳細資訊,請參閱[在 中使用版本控制的受管規則群組 AWS WAF](waf-managed-rule-groups-versioning.md)。 + **覆寫規則動作** – 您可以將規則群組中規則的動作覆寫為任何動作。將它們設定為 Count有助於在使用規則群組來管理您的 Web 請求之前測試規則群組。如需詳細資訊,請參閱[規則群組規則動作覆寫](web-acl-rule-group-override-options.md#web-acl-rule-group-override-options-rules)。 + **縮小範圍陳述式** – 您可以新增縮小範圍陳述式,以篩選出您不想使用規則群組評估的 Web 請求。如需詳細資訊,請參閱[在 中使用縮小範圍陳述式 AWS WAF](waf-rule-scope-down-statements.md)。 + **覆寫規則群組動作** – 您可以覆寫規則群組評估所產生的動作,並Count僅將其設定為 。此選項不常用。它不會改變 如何 AWS WAF 評估規則群組中的規則。如需詳細資訊,請參閱[規則群組傳回動作覆寫至 Count](web-acl-rule-group-override-options.md#web-acl-rule-group-override-options-rule-group)。 **編輯保護套件中的受管規則群組設定 (Web ACL)** + **主控台** + (選項) 當您將受管規則群組新增至保護套件 (Web ACL) 時,您可以選擇**編輯**以檢視和編輯設定。 + (選項) 將受管規則群組新增至保護套件 (Web ACL) 之後,請從**保護套件 (Web ACLs**頁面選擇您剛建立的保護套件 (Web ACL)。這會帶您前往保護套件 (Web ACL) 編輯頁面。 + 選擇 **Rules (規則)**。 + 選取規則群組,然後選擇**編輯**以檢視和編輯設定。 + **APIs和 CLI** – 在主控台之外,您可以在建立和更新保護套件 (Web ACL) 時管理受管規則群組設定。 # 擷取受管規則群組的清單 擷取受管規則群組的清單 您可以擷取可在保護套件 (Web ACLs) 中使用的受管規則群組清單。此清單包含下列項目: + 所有 AWS 受管規則規則群組。 + 您已訂閱的 AWS Marketplace 規則群組。 **注意** 如需訂閱 AWS Marketplace 規則群組的資訊,請參閱 [AWS Marketplace 規則群組](marketplace-rule-groups.md)。 當您擷取受管規則群組的清單時,您取得的清單取決於您使用的界面: + **主控台** – 透過主控台,您可以查看所有受管規則群組,包括您尚未訂閱的 AWS Marketplace 規則群組。對於您尚未訂閱的介面,介面會提供您可以遵循的連結來訂閱。 + **APIs和 CLI** – 在主控台之外,您的請求只會傳回可供您使用的規則群組。 **擷取受管規則群組的清單** + **主控台** – 在建立 Web ACL 的過程中,在**新增規則和規則群組**頁面上,選擇**新增受管規則群組**。在最上層,會列出提供者名稱。展開每個提供者清單,以查看受管規則群組的清單。對於版本控制規則群組,此層級顯示的資訊適用於預設版本。當您將受管規則群組新增至保護套件 (Web ACL) 時,主控台會根據命名方案 列出規則群組`-`。 + **API** – + `ListAvailableManagedRuleGroups` + **CLI** – + `aws wafv2 list-available-managed-rule-groups --scope=` # 擷取受管規則群組中的規則 擷取受管規則群組的規則 您可以擷取受管規則群組中的規則清單。API 和 CLI 呼叫會傳回您可以在 JSON 模型中或透過其參考的規則規格 AWS CloudFormation。 **擷取受管規則群組中的規則清單** + **主控台** + (選項) 當您將受管規則群組新增至保護套件 (Web ACL) 時,您可以選擇**編輯**以檢視規則。 + (選項) 將受管規則群組新增至保護套件 (Web ACL) 之後,請從**保護套件 (Web ACLs**頁面選擇您剛建立的保護套件 (Web ACL)。這會帶您前往保護套件 (Web ACL) 編輯頁面。 + 選擇 **Rules (規則)**。 + 選取您要查看規則清單的規則群組,然後選擇**編輯**。 AWS WAF 顯示規則群組中的規則清單。 + **API** – `DescribeManagedRuleGroup` + **CLI** – `aws wafv2 describe-managed-rule-group --scope= --vendor-name --name ` # 擷取受管規則群組的可用版本 擷取受管規則群組的版本 受管規則群組的可用版本是尚未排定過期的版本。清單指出哪個版本是規則群組的目前預設版本。 **擷取受管規則群組可用版本的清單** + **主控台** + (選項) 當您將受管規則群組新增至保護套件 (Web ACL) 時,請選擇**編輯**以查看規則群組的資訊。展開**版本**下拉式清單以查看可用版本的清單。 + (選項) 將受管規則群組新增至保護套件 (Web ACL) 之後,請在保護套件 (Web ACL) 上選擇**編輯**,然後選取並編輯規則群組規則。展開**版本**下拉式清單以查看可用版本的清單。 + **API** – + `ListAvailableManagedRuleGroupVersions` + **CLI** – + `aws wafv2 list-available-managed-rule-group-versions --scope= --vendor-name --name ` # 透過主控台將受管規則群組新增至保護套件 (Web ACL) 本節說明如何透過主控台將受管規則群組新增至保護套件 (Web ACL)。本指南適用於所有 AWS 受管規則規則群組,以及您訂閱的 AWS Marketplace 規則群組。 **生產流量風險** 在生產流量的保護套件 (Web ACL) 中部署變更之前,請先在預備或測試環境中進行測試和調校,直到您對流量的潛在影響感到滿意為止。然後,使用生產流量在計數模式中測試和調整更新的規則,然後再啟用它們。如需準則,請參閱[測試和調校您的 AWS WAF 保護](web-acl-testing.md)。 **注意** 在保護套件 (Web ACL) 中使用超過 1,500 WCUs 會產生超出基本保護套件 (Web ACL) 價格的成本。如需詳細資訊,請參閱 [中的 Web ACL 容量單位 WCUs) AWS WAF](aws-waf-capacity-units.md) 和 [AWS WAF 定價](https://aws.amazon.com/waf/pricing/)。 **透過主控台將受管規則群組新增至保護套件 (Web ACL)** **透過主控台將受管規則群組新增至 Web ACL** 1. 登入 AWS 管理主控台 並在 https://[https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2) 開啟 AWS WAF 主控台。 1. 在導覽窗格中選擇**保護套件 (Web ACLs)**。 1. 在**保護套件 (Web ACLs**頁面的保護套件 (Web ACLs) 清單中,選取您要新增規則群組的目標。這會帶您前往單一保護套件 (Web ACL) 的 頁面。 1. 在保護套件 (Web ACL) 的頁面中,選擇**規則**索引標籤。 1. 在**規則**窗格中,選擇**新增規則**,然後選擇**新增受管規則群組**。 1. 在**新增受管規則群組**頁面中,展開規則群組廠商的選擇,以查看可用的規則群組清單。 1. 針對您要新增的每個規則群組,選擇**新增至保護套件 (Web ACL)**。如果您想要變更規則群組的保護套件 (Web ACL) 組態,請選擇**編輯**、進行變更,然後選擇**儲存規則**。如需 選項的相關資訊,請參閱 的版本控制指引,[在 中使用版本控制的受管規則群組 AWS WAF](waf-managed-rule-groups-versioning.md)以及 的保護套件 (Web ACL) 中使用受管規則群組的指引[在 中使用受管規則群組陳述式 AWS WAF](waf-rule-statement-type-managed-rule-group.md)。 1. 在**新增受管規則群組**頁面底部,選擇**新增規則**。 1. 在**設定規則優先順序**頁面中,視需要調整規則執行的順序,然後選擇**儲存**。如需詳細資訊,請參閱[設定規則優先順序](web-acl-processing-order.md)。 在您的保護套件 (Web ACL) 頁面中,您已新增的受管規則群組會列在**規則**索引標籤下。 在將 AWS WAF 保護用於生產流量之前,測試和調校保護的任何變更。如需相關資訊,請參閱[測試和調校您的 AWS WAF 保護](web-acl-testing.md)。 **更新期間的暫時性不一致** 當您建立或變更保護套件 (Web ACL) 或其他 AWS WAF 資源時,變更會花費少量的時間傳播到存放資源的所有區域。傳播時間可以是幾秒鐘到幾分鐘。 以下是您在變更傳播期間可能注意到的暫時不一致的範例: + 建立保護套件 (Web ACL) 之後,如果您嘗試將其與資源建立關聯,您可能會收到例外狀況,指出保護套件 (Web ACL) 無法使用。 + 將規則群組新增至保護套件 (Web ACL) 之後,新的規則群組規則可能會在使用保護套件 (Web ACL) 的一個區域中生效,而不會在另一個區域中生效。 + 變更規則動作設定後,您可能會在某些地方看到舊動作,在其他地方看到新動作。 + 將 IP 地址新增至封鎖規則中使用的 IP 集之後,新的地址可能會在某個區域中遭到封鎖,同時仍允許在另一個區域中封鎖。 # 收到受管規則群組新版本和更新的通知 收到新版本和更新的通知 本節說明如何接收新版本和更新的 Amazon SNS 通知。 受管規則群組提供者會使用 SNS 通知來宣告規則群組變更,例如即將推出的新版本和緊急安全性更新。 **如何訂閱 SNS 通知** 若要訂閱規則群組的通知,請在美國東部 (維吉尼亞北部) us-east-1 區域中為規則群組的 Amazon SNS 主題 ARN 建立 Amazon SNS Amazon SNS 訂閱。 如需有關如何訂閱的資訊,請參閱 [Amazon Simple Notification Service 開發人員指南](https://docs.aws.amazon.com/sns/latest/dg/)。 **注意** 僅在 us-east-1 區域中建立 SNS 主題的訂閱。 版本控制的 AWS 受管規則規則群組都使用相同的 SNS 主題 Amazon Resource Name (ARN)。如需 AWS 受管規則規則群組通知的詳細資訊,請參閱 [部署通知](waf-managed-rule-groups-deployments-notifications.md)。 **在何處尋找受管規則群組的 Amazon SNS 主題 ARN** AWS 受管規則規則群組使用單一 SNS 主題 ARN,因此您可以從其中一個規則群組擷取主題 ARN,並訂閱該 ARN,以取得所有提供 SNS 通知之 AWS 受管規則規則群組的通知。 + **主控台** + (選項) 當您將受管規則群組新增至保護套件 (Web ACL) 時,請選擇**編輯**以查看規則群組的資訊,其中包含規則群組的 Amazon SNS 主題 ARN。 + (選項) 將受管規則群組新增至保護套件 (Web ACL) 之後,請選擇保護套件上的**編輯** (Web ACL),然後選取並編輯規則群組規則,以查看規則群組的 Amazon SNS 主題 ARN。 + **API** – `DescribeManagedRuleGroup` + **CLI** – `aws wafv2 describe-managed-rule-group --scope= --vendor-name --name ` 如需 Amazon SNS 通知格式和如何篩選所收到通知的一般資訊,請參閱《Amazon Simple Notification Service 開發人員指南》中的[剖析訊息格式](https://docs.aws.amazon.com/sns/latest/dg/sns-message-and-json-formats.html)和 [Amazon SNS 訂閱篩選條件政策 Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-subscription-filter-policies.html)。 # 追蹤規則群組的版本過期 追蹤版本過期 本節說明如何透過 Amazon CloudWatch 監控受管規則群組的過期排程。 如果您使用特定版本的規則群組,請確定您不會繼續使用超過過期日期的版本。 **提示** 註冊受管規則群組的 Amazon SNS 通知,並保持受管規則群組版本的最新狀態。您將受益於來自規則群組up-to-date保護,並保持在過期前。如需相關資訊,請參閱[收到新版本和更新的通知](waf-using-managed-rule-groups-sns-topic.md)。 **透過 Amazon CloudWatch 監控受管規則群組的過期排程** 1. 在 CloudWatch 中,尋找受管規則群組 AWS WAF 的過期指標。這些指標具有下列指標名稱和維度: + 指標名稱:DaysToExpiry + 指標維度:Region、Vendor、 ManagedRuleGroup和 Version 如果您的保護套件 (Web ACL) 中有評估流量的受管規則群組,則您會取得其指標。指標不適用於您未使用的規則群組。 1. 針對您感興趣的指標設定警示,以便及時通知您切換到規則群組的較新版本。 如需有關使用 Amazon CloudWatch 指標和設定警示的資訊,請參閱 [Amazon CloudWatch 使用者指南](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/)。 # JSON 和 YAML 中的範例受管規則群組組態 JSON 和 YAML 中的範例組態 本節提供範例受管規則群組組態。 API 和 CLI 呼叫會傳回受管規則群組中所有規則的清單,您可以在 JSON 模型中或透過這些規則群組參考 AWS CloudFormation。 **JSON** 您可以使用 JSON 在規則陳述式中參考和修改受管規則群組。下列清單顯示 JSON 格式的 AWS 受管規則規則群組 `AWSManagedRulesCommonRuleSet`。RuleActionOverrides 規格會列出動作已覆寫至 的規則Count。 ``` { "Name": "AWS-AWSManagedRulesCommonRuleSet", "Priority": 0, "Statement": { "ManagedRuleGroupStatement": { "VendorName": "AWS", "Name": "AWSManagedRulesCommonRuleSet", "RuleActionOverrides": [ { "ActionToUse": { "Count": {} }, "Name": "NoUserAgent_HEADER" } ], "ExcludedRules": [] } }, "OverrideAction": { "None": {} }, "VisibilityConfig": { "SampledRequestsEnabled": true, "CloudWatchMetricsEnabled": true, "MetricName": "AWS-AWSManagedRulesCommonRuleSet" } } ``` **YAML** 您可以使用 YAML 範本,在規則陳述 CloudFormation 式中參考和修改受管規則群組。下列清單顯示 CloudFormation 範本中的 AWS 受管規則規則群組 `AWSManagedRulesCommonRuleSet`。RuleActionOverrides 規格會列出動作已覆寫至 的規則Count。 ``` Name: AWS-AWSManagedRulesCommonRuleSet Priority: 0 Statement: ManagedRuleGroupStatement: VendorName: AWS Name: AWSManagedRulesCommonRuleSet RuleActionOverrides: - ActionToUse: Count: {} Name: NoUserAgent_HEADER ExcludedRules: [] OverrideAction: None: {} VisibilityConfig: SampledRequestsEnabled: true CloudWatchMetricsEnabled: true MetricName: AWS-AWSManagedRulesCommonRuleSet ``` # AWS 的受管規則 AWS WAF AWS 的受管規則 AWS WAF 本節說明什麼 AWS WAF 是 的 AWS 受管規則。 AWS 的受管規則 AWS WAF 是一項受管服務,可針對應用程式漏洞或其他不需要的流量提供保護。您可以選擇從每個 Web ACL 的 AWS 受管規則中選取一或多個規則群組,直到最大保護套件 (Web ACL) 容量單位 (WCU) 限制為止。 **緩解誤報和測試規則群組變更** 在生產環境中使用任何受管規則群組之前,請先根據 中的指引,在非生產環境中進行測試[測試和調校您的 AWS WAF 保護](web-acl-testing.md)。當您將規則群組新增至保護套件 (Web ACL)、測試規則群組的新版本,以及每當規則群組未視需要處理您的 Web 流量時,請遵循測試和調校指引。 **共同的安全責任** AWS 受管規則旨在保護您免受常見的 Web 威脅。根據文件使用時, AWS 受管規則規則群組會為您的應用程式新增另一層安全性。不過, AWS 受管規則規則群組並非旨在取代您的安全責任,這取決於您選擇的 AWS 資源。請參閱 [共同責任模型](https://aws.amazon.com/compliance/shared-responsibility-model/),以確保您在 中的資源 AWS 受到適當保護。 **重要** AWS 受管規則旨在保護您免受常見的 Web 威脅。根據文件使用時, AWS 受管規則規則群組會為您的應用程式新增另一層安全性。不過, AWS 受管規則規則群組並非旨在取代您的安全責任,這取決於您選擇的 AWS 資源。請參閱 [共同責任模型](https://aws.amazon.com/compliance/shared-responsibility-model/),以確保您在 中的資源 AWS 受到適當保護。 # AWS 受管規則規則群組清單 更新 AWS WAF 機器人控制的閾值 已更新 `TGT_TokenReuseIpLow`和 的閾值`TGT_TokenReuseIpMedium`。已更新 的 AWS 受管規則 AWS WAF 新增 AWS 受管規則中每個規則的文件 AWS WAF。已更新 的 AWS 受管規則 AWS WAF 所有 AWS 受管規則規則群組現在都支援標記。規則描述包含標籤規格。 本節提供可用的 AWS 受管規則規則群組清單。 本節說明 AWS 受管規則規則群組的最新版本。當您將受管規則群組新增至保護套件 (Web ACL) 時,您會在主控台上看到這些內容。透過 API,您可以呼叫 來擷取此清單以及您訂閱的 AWS Marketplace 規則群組`ListAvailableManagedRuleGroups`。 **注意** 如需擷取 AWS 受管規則規則群組版本的資訊,請參閱 [擷取受管規則群組的可用版本](waf-using-managed-rule-groups-versions.md)。 所有 AWS 受管規則規則群組都支援標記,本節中的規則清單包含標籤規格。您可以透過 API 呼叫 來擷取受管規則群組的標籤`DescribeManagedRuleGroup`。這些標籤會列在回應的 AvailableLabels 屬性中。如需標籤的相關資訊,請參閱 [中的 Web 請求標籤 AWS WAF](waf-labels.md)。 在將 AWS WAF 保護用於生產流量之前,測試和調校保護的任何變更。如需相關資訊,請參閱[測試和調校您的 AWS WAF 保護](web-acl-testing.md)。 **Contents** + [ # 基準規則群組 ](aws-managed-rule-groups-baseline.md) + [ ## 核心規則集 (CRS) 受管規則群組 ](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) + [ ## 管理員保護受管規則群組 ](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-admin) + [ ## 已知錯誤輸入受管規則群組 ](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs) + [ # 使用案例特定的規則群組 ](aws-managed-rule-groups-use-case.md) + [ ## SQL 資料庫受管規則群組 ](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-sql-db) + [ ## Linux 作業系統受管規則群組 ](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-linux-os) + [ ## POSIX 作業系統受管規則群組 ](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-posix-os) + [ ## Windows 作業系統受管規則群組 ](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-windows-os) + [ ## PHP 應用程式受管規則群組 ](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-php-app) + [ ## WordPress 應用程式受管規則群組 ](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-wordpress-app) + [ # IP 評價規則群組 ](aws-managed-rule-groups-ip-rep.md) + [ ## Amazon IP 評價清單受管規則群組 ](aws-managed-rule-groups-ip-rep.md#aws-managed-rule-groups-ip-rep-amazon) + [ ## 匿名 IP 清單受管規則群組 ](aws-managed-rule-groups-ip-rep.md#aws-managed-rule-groups-ip-rep-anonymous) + [ # AWS WAF 詐騙控制帳戶建立詐騙預防 (ACFP) 規則群組 ](aws-managed-rule-groups-acfp.md) + [ ## 使用此規則群組的考量事項 ](aws-managed-rule-groups-acfp.md#aws-managed-rule-groups-acfp-using) + [ ## 此規則群組新增的標籤 ](aws-managed-rule-groups-acfp.md#aws-managed-rule-groups-acfp-labels) + [ ### 字符標籤 ](aws-managed-rule-groups-acfp.md#aws-managed-rule-groups-acfp-labels-token) + [ ### ACFP 標籤 ](aws-managed-rule-groups-acfp.md#aws-managed-rule-groups-acfp-labels-rg) + [ ## 帳戶建立詐騙預防規則清單 ](aws-managed-rule-groups-acfp.md#aws-managed-rule-groups-acfp-rules) + [ # AWS WAF 詐騙控制帳戶接管預防 (ATP) 規則群組 ](aws-managed-rule-groups-atp.md) + [ ## 使用此規則群組的考量事項 ](aws-managed-rule-groups-atp.md#aws-managed-rule-groups-atp-using) + [ ## 此規則群組新增的標籤 ](aws-managed-rule-groups-atp.md#aws-managed-rule-groups-atp-labels) + [ ### 字符標籤 ](aws-managed-rule-groups-atp.md#aws-managed-rule-groups-atp-labels-token) + [ ### ATP 標籤 ](aws-managed-rule-groups-atp.md#aws-managed-rule-groups-atp-labels-rg) + [ ## 帳戶接管預防規則清單 ](aws-managed-rule-groups-atp.md#aws-managed-rule-groups-atp-rules) + [ # AWS WAF 機器人控制規則群組 ](aws-managed-rule-groups-bot.md) + [ ## 保護層級 ](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-prot-levels) + [ ## 使用此規則群組的考量事項 ](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-using) + [ ## 此規則群組新增的標籤 ](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-labels) + [ ### 字符標籤 ](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-labels-token) + [ ### 機器人控制標籤 ](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-labels-rg) + [ ## 機器人控制規則清單 ](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-rules) + [ # AWS WAF 分散式阻斷服務 (DDoS) 預防規則群組 ](aws-managed-rule-groups-anti-ddos.md) + [ ## 使用此規則群組的考量事項 ](aws-managed-rule-groups-anti-ddos.md#aws-managed-rule-groups-anti-ddos-using) + [ ## 此規則群組新增的標籤 ](aws-managed-rule-groups-anti-ddos.md#aws-managed-rule-groups-anti-ddos-labels) + [ ### 字符標籤 ](aws-managed-rule-groups-anti-ddos.md#aws-managed-rule-groups-anti-ddos-labels-token) + [ ### 反 DDoS 標籤 ](aws-managed-rule-groups-anti-ddos.md#aws-managed-rule-groups-anti-ddos-labels-rg) + [ ## 反 DDoS 規則清單 ](aws-managed-rule-groups-anti-ddos.md#aws-managed-rule-groups-anti-ddos-rules) # 基準規則群組 基準管理的規則群組可針對各種常見威脅提供一般防護。選擇這些規則群組中的一或多個,以建立資源的基準保護。 ## 核心規則集 (CRS) 受管規則群組 核心規則集 (CRS) VendorName:`AWS`、Name:`AWSManagedRulesCommonRuleSet`、WCU:700 **注意** 本文件涵蓋此受管規則群組的最新版本。我們會在 的 changelog 日誌中報告版本變更[AWS 受管規則變更日誌](aws-managed-rule-groups-changelog.md)。如需其他版本的資訊,請使用 API 命令 [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)。 我們為 AWS 受管規則規則群組中的規則發佈的資訊,旨在為您提供使用規則所需的內容,而不會給予不法份子規避規則所需的內容。 如果您需要比此處更多的資訊,請聯絡 [AWS 支援 中心](https://console.aws.amazon.com/support/home#/)。 核心規則集 (CRS) 規則群組包含通常適用於 Web 應用程式的規則。這可以防止各種漏洞遭到利用,包括 OWASP 出版品中所述的一些高風險和常見漏洞,例如 [OWASP 前 10 名](https://owasp.org/www-project-top-ten/)。考慮將此規則群組用於任何 AWS WAF 使用案例。 此受管規則群組會將標籤新增至其評估的 Web 請求,這些請求可供保護套件 (Web ACL) AWS WAF 中在此規則群組之後執行的規則使用。 也會將標籤記錄到 Amazon CloudWatch 指標。如需標籤和標籤指標的一般資訊,請參閱 [Web 請求標籤](waf-labels.md)和 [標籤指標和維度](waf-metrics.md#waf-metrics-label)。 | 規則名稱 | 描述和標籤 | | --- | --- | | NoUserAgent\$1HEADER | 檢查是否有缺少 HTTP `User-Agent`標頭的請求。 規則動作:Block 標籤: `awswaf:managed:aws:core-rule-set:NoUserAgent_Header` | | UserAgent\$1BadBots\$1HEADER | 檢查指出請求是錯誤機器人的常見`User-Agent`標頭值。範例模式包括 `nessus` 和 `nmap`。如需機器人管理,另請參閱 [AWS WAF 機器人控制規則群組](aws-managed-rule-groups-bot.md)。 規則動作:Block 標籤: `awswaf:managed:aws:core-rule-set:BadBots_Header` | | SizeRestrictions\$1QUERYSTRING | 檢查是否有超過 2,048 個位元組的 URI 查詢字串。 規則動作:Block 標籤: `awswaf:managed:aws:core-rule-set:SizeRestrictions_QueryString` | | SizeRestrictions\$1Cookie\$1HEADER | 檢查是否有超過 10,240 個位元組的 Cookie 標頭。 規則動作:Block 標籤: `awswaf:managed:aws:core-rule-set:SizeRestrictions_Cookie_Header` | | SizeRestrictions\$1BODY | 檢查請求內文是否超過 8 KB (8,192 位元組)。 規則動作:Block 標籤: `awswaf:managed:aws:core-rule-set:SizeRestrictions_Body` | | SizeRestrictions\$1URIPATH | 檢查是否有超過 1,024 個位元組的 URI 路徑。 規則動作:Block 標籤: `awswaf:managed:aws:core-rule-set:SizeRestrictions_URIPath` | | EC2MetaDataSSRF\$1BODY | 檢查 是否嘗試從請求內文滲透 Amazon EC2 中繼資料。 此規則只會檢查請求內文,直到保護套件 (Web ACL) 和資源類型的內文大小限制為止。對於 Application Load Balancer 和 AWS AppSync,限制固定為 8 KB。對於 CloudFront、API Gateway、Amazon Cognito、App Runner 和 Verified Access,預設限制為 16 KB,而且您可以在保護套件 (Web ACL) 組態中將限制提高到 64 KB。此規則使用 `Continue`選項來處理過大的內容。如需詳細資訊,請參閱[在 中過大 Web 請求元件 AWS WAF](waf-oversize-request-components.md)。 規則動作:Block 標籤: `awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_Body` | | EC2MetaDataSSRF\$1COOKIE | 檢查 是否嘗試從請求 Cookie 滲透 Amazon EC2 中繼資料。 規則動作:Block 標籤: `awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_Cookie` | | EC2MetaDataSSRF\$1URIPATH | 檢查是否有嘗試從請求 URI 路徑滲透 Amazon EC2 中繼資料。 規則動作:Block 標籤: `awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_URIPath` | | EC2MetaDataSSRF\$1QUERYARGUMENTS | 檢查 是否嘗試從請求查詢引數滲透 Amazon EC2 中繼資料。 規則動作:Block 標籤: `awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_QueryArguments` | | GenericLFI\$1QUERYARGUMENTS | 檢查查詢引數中是否存在本機檔案包含 (LFI) 漏洞。範例包括使用 `../../` 之類技術的路徑遍訪嘗試。 規則動作:Block 標籤: `awswaf:managed:aws:core-rule-set:GenericLFI_QueryArguments` | | GenericLFI\$1URIPATH | 檢查 URI 路徑中是否存在本機檔案包含 (LFI) 漏洞。範例包括使用 `../../` 之類技術的路徑遍訪嘗試。 規則動作:Block 標籤: `awswaf:managed:aws:core-rule-set:GenericLFI_URIPath` | | GenericLFI\$1BODY | 檢查要求主體中是否存在本機檔案包含 (LFI) 漏洞。範例包括使用 `../../` 之類技術的路徑遍訪嘗試。 此規則只會檢查請求內文,直到保護套件 (Web ACL) 和資源類型的內文大小限制為止。對於 Application Load Balancer 和 AWS AppSync,限制固定為 8 KB。對於 CloudFront、API Gateway、Amazon Cognito、App Runner 和 Verified Access,預設限制為 16 KB,而且您可以在保護套件 (Web ACL) 組態中將限制提高到 64 KB。此規則使用 `Continue`選項來處理過大的內容。如需詳細資訊,請參閱[在 中過大 Web 請求元件 AWS WAF](waf-oversize-request-components.md)。 規則動作:Block 標籤: `awswaf:managed:aws:core-rule-set:GenericLFI_Body` | | RestrictedExtensions\$1URIPATH | 檢查 URI 路徑是否包含不安全讀取或執行之系統副檔名的請求。範例模式包括 `.log` 和 `.ini` 之類的副檔名。 規則動作:Block 標籤: `awswaf:managed:aws:core-rule-set:RestrictedExtensions_URIPath` | | RestrictedExtensions\$1QUERYARGUMENTS | 檢查查詢引數是否包含不安全讀取或執行之系統副檔名的請求。範例模式包括 `.log` 和 `.ini` 之類的副檔名。 規則動作:Block 標籤: `awswaf:managed:aws:core-rule-set:RestrictedExtensions_QueryArguments` | | GenericRFI\$1QUERYARGUMENTS | 透過嵌入包含 IPv4 地址的 URLs (遠端檔案包含)。範例包括模式,例如 `http://`、`ftps://`、、 `https://` `ftp://`和 `file://`,在入侵嘗試中具有 IPv4 主機標頭。 規則動作:Block 標籤: `awswaf:managed:aws:core-rule-set:GenericRFI_QueryArguments` | | GenericRFI\$1BODY | 透過嵌入包含 IPv4 地址URLs,檢查請求內文是否嘗試在 Web 應用程式中利用 RFI (遠端檔案包含)。範例包括模式,例如 `http://`、`ftps://`、、 `https://` `ftp://`和 `file://`,在入侵嘗試中具有 IPv4 主機標頭。 此規則只會檢查請求內文,直到保護套件 (Web ACL) 和資源類型的內文大小限制為止。對於 Application Load Balancer 和 AWS AppSync,限制固定為 8 KB。對於 CloudFront、API Gateway、Amazon Cognito、App Runner 和 Verified Access,預設限制為 16 KB,而且您可以在保護套件 (Web ACL) 組態中將限制提高到 64 KB。此規則使用 `Continue`選項來處理過大的內容。如需詳細資訊,請參閱[在 中過大 Web 請求元件 AWS WAF](waf-oversize-request-components.md)。 規則動作:Block 標籤: `awswaf:managed:aws:core-rule-set:GenericRFI_Body` | | GenericRFI\$1URIPATH | 透過嵌入包含 IPv4 地址URLs,檢查 URI 路徑是否嘗試在 Web 應用程式中利用 RFI (遠端檔案包含)。範例包括模式,例如 `http://`、`ftps://`、、 `https://` `ftp://`和 `file://`,在入侵嘗試中具有 IPv4 主機標頭。 規則動作:Block 標籤: `awswaf:managed:aws:core-rule-set:GenericRFI_URIPath` | | CrossSiteScripting\$1COOKIE | 使用內建 檢查 Cookie 標頭的值是否有常見的跨網站指令碼 (XSS) 模式 AWS WAF [跨網站指令碼攻擊規則陳述式](waf-rule-statement-type-xss-match.md)。範例模式包括 `` 之類的指令碼。 AWS WAF 日誌中的規則比對詳細資訊不會填入此規則群組的 2.0 版。 規則動作:Block 標籤: `awswaf:managed:aws:core-rule-set:CrossSiteScripting_Cookie` | | CrossSiteScripting\$1QUERYARGUMENTS | 使用內建 檢查查詢引數的值是否有常見的跨網站指令碼 (XSS) 模式 AWS WAF [跨網站指令碼攻擊規則陳述式](waf-rule-statement-type-xss-match.md)。範例模式包括 `` 之類的指令碼。 AWS WAF 日誌中的規則比對詳細資訊不會填入此規則群組的 2.0 版。 規則動作:Block 標籤: `awswaf:managed:aws:core-rule-set:CrossSiteScripting_QueryArguments` | | CrossSiteScripting\$1BODY | 使用內建 檢查請求內文是否有常見的跨網站指令碼 (XSS) 模式 AWS WAF [跨網站指令碼攻擊規則陳述式](waf-rule-statement-type-xss-match.md)。範例模式包括 `` 之類的指令碼。 AWS WAF 日誌中的規則比對詳細資訊不會填入此規則群組的 2.0 版。 此規則只會檢查請求內文,直到保護套件 (Web ACL) 和資源類型的內文大小限制為止。對於 Application Load Balancer 和 AWS AppSync,限制固定為 8 KB。對於 CloudFront、API Gateway、Amazon Cognito、App Runner 和 Verified Access,預設限制為 16 KB,而且您可以在保護套件 (Web ACL) 組態中將限制提高到 64 KB。此規則使用 `Continue`選項來處理過大的內容。如需詳細資訊,請參閱[在 中過大 Web 請求元件 AWS WAF](waf-oversize-request-components.md)。 規則動作:Block 標籤: `awswaf:managed:aws:core-rule-set:CrossSiteScripting_Body` | | CrossSiteScripting\$1URIPATH | 使用內建 檢查 URI 路徑的值是否有常見的跨網站指令碼 (XSS) 模式 AWS WAF [跨網站指令碼攻擊規則陳述式](waf-rule-statement-type-xss-match.md)。範例模式包括 `` 之類的指令碼。 AWS WAF 日誌中的規則比對詳細資訊不會填入此規則群組的 2.0 版。 規則動作:Block 標籤: `awswaf:managed:aws:core-rule-set:CrossSiteScripting_URIPath` | ## 管理員保護受管規則群組 管理員保護 VendorName:`AWS`、Name:`AWSManagedRulesAdminProtectionRuleSet`、WCU:100 **注意** 本文件涵蓋此受管規則群組的最新版本。我們會在 的 changelog 日誌中報告版本變更[AWS 受管規則變更日誌](aws-managed-rule-groups-changelog.md)。如需其他版本的資訊,請使用 API 命令 [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)。 我們為 AWS 受管規則規則群組中的規則發佈的資訊,旨在為您提供使用規則所需的內容,而不會給予不法份子規避規則所需的內容。 如果您需要比此處更多的資訊,請聯絡 [AWS 支援 中心](https://console.aws.amazon.com/support/home#/)。 管理員保護規則群組包含的規則可讓您封鎖對公開的管理頁面的外部存取。如果您執行第三方軟體,或想要降低惡意行為者取得應用程式系統管理存取權的風險,這可能會很有用。 此受管規則群組會將標籤新增至其評估的 Web 請求,這些請求可供保護套件 (Web ACL) AWS WAF 中在此規則群組之後執行的規則使用。 也會將標籤記錄到 Amazon CloudWatch 指標。如需標籤和標籤指標的一般資訊,請參閱 [Web 請求標籤](waf-labels.md)和 [標籤指標和維度](waf-metrics.md#waf-metrics-label)。 | 規則名稱 | 描述和標籤 | | --- | --- | | AdminProtection\$1URIPATH | 檢查通常保留用於管理 Web 伺服器或應用程式的 URI 路徑。範例模式包括 `sqlmanager`。 規則動作:Block 標籤: `awswaf:managed:aws:admin-protection:AdminProtection_URIPath` | ## 已知錯誤輸入受管規則群組 已知錯誤輸入 VendorName:`AWS`、Name:`AWSManagedRulesKnownBadInputsRuleSet`、WCU:200 **注意** 本文件涵蓋此受管規則群組的最新版本。我們會在 的 changelog 日誌中報告版本變更[AWS 受管規則變更日誌](aws-managed-rule-groups-changelog.md)。如需其他版本的相關資訊,請使用 API 命令 [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)。 我們為 AWS 受管規則規則群組中的規則發佈的資訊,旨在為您提供使用規則所需的內容,而不會給予不法份子規避規則所需的內容。 如果您需要比此處更多的資訊,請聯絡 [AWS 支援 中心](https://console.aws.amazon.com/support/home#/)。 已知錯誤輸入規則群組包含的規則可封鎖已知無效且與利用或發現的漏洞相關的請求模式。這有助於降低惡意行為者發現易受攻擊應用程式的風險。 此受管規則群組會將標籤新增至其評估的 Web 請求,這些請求可供保護套件 (Web ACL) AWS WAF 中此規則群組之後執行的規則使用。 也會將標籤記錄到 Amazon CloudWatch 指標。如需標籤和標籤指標的一般資訊,請參閱 [Web 請求標籤](waf-labels.md)和 [標籤指標和維度](waf-metrics.md#waf-metrics-label)。 | 規則名稱 | 描述和標籤 | | --- | --- | | JavaDeserializationRCE\$1HEADER | 檢查 HTTP 請求標頭的金鑰和值是否有表示 Java 還原序列化遠端命令執行 (RCE) 嘗試的模式,例如 Spring Core 和 Cloud Function RCE 漏洞 (CVE-2022-22963、CVE-2022-22965)。範例模式包括 `(java.lang.Runtime).getRuntime().exec("whoami")`。 此規則只會檢查請求標頭的前 8 KB 或前 200 個標頭,以先達到限制為準,並使用 `Continue`選項處理過大的內容。如需詳細資訊,請參閱[在 中過大 Web 請求元件 AWS WAF](waf-oversize-request-components.md)。 規則動作:Block 標籤: `awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_Header` | | JavaDeserializationRCE\$1BODY | 檢查請求內文是否有表示 Java 還原序列化遠端命令執行 (RCE) 嘗試的模式,例如 Spring Core 和 Cloud Function RCE 漏洞 (CVE-2022-22963、CVE-2022-22965)。範例模式包括 `(java.lang.Runtime).getRuntime().exec("whoami")`。 此規則只會檢查請求內文,直到保護套件 (Web ACL) 和資源類型的內文大小限制為止。對於 Application Load Balancer 和 AWS AppSync,限制固定為 8 KB。對於 CloudFront、API Gateway、Amazon Cognito、App Runner 和 Verified Access,預設限制為 16 KB,而且您可以在保護套件 (Web ACL) 組態中將限制提高到 64 KB。此規則使用 `Continue`選項來處理過大的內容。如需詳細資訊,請參閱[在 中過大 Web 請求元件 AWS WAF](waf-oversize-request-components.md)。 規則動作:Block 標籤: `awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_Body` | | JavaDeserializationRCE\$1URIPATH | 檢查請求 URI 是否有表示 Java 還原序列化遠端命令執行 (RCE) 嘗試的模式,例如 Spring Core 和 Cloud Function RCE 漏洞 (CVE-2022-22963、CVE-2022-22965)。範例模式包括 `(java.lang.Runtime).getRuntime().exec("whoami")`。 規則動作:Block 標籤: `awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_URIPath` | | JavaDeserializationRCE\$1QUERYSTRING | 檢查請求查詢字串是否有表示 Java 還原序列化遠端命令執行 (RCE) 嘗試的模式,例如 Spring Core 和 Cloud Function RCE 漏洞 (CVE-2022-22963、CVE-2022-22965)。範例模式包括 `(java.lang.Runtime).getRuntime().exec("whoami")`。 規則動作:Block 標籤: `awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_QueryString` | | Host\$1localhost\$1HEADER | 檢查要求中的主機標頭是否有模式指出 localhost。範例模式包括 `localhost`。 規則動作:Block 標籤: `awswaf:managed:aws:known-bad-inputs:Host_Localhost_Header` | | PROPFIND\$1METHOD | 檢查要求中的 HTTP 方法是否有 `PROPFIND`,這是類似 `HEAD` 的方法,但有滲透 XML 物件的額外意圖。 規則動作:Block 標籤: `awswaf:managed:aws:known-bad-inputs:Propfind_Method` | | ExploitablePaths\$1URIPATH | 檢查 URI 路徑是否有存取可利用 Web 應用程式路徑的嘗試。範例模式包括 `web-inf` 之類的路徑。 規則動作:Block 標籤: `awswaf:managed:aws:known-bad-inputs:ExploitablePaths_URIPath` | | Log4JRCE\$1HEADER | 檢查請求標頭的金鑰和值是否存在 Log4j 漏洞 ([CVE-2021-44228](https://www.cve.org/CVERecord?id=CVE-2021-44228)、[CVE-2021-45046](https://www.cve.org/CVERecord?id=CVE-2021-45046)、[CVE-2021-45105](https://www.cve.org/CVERecord?id=CVE-2021-45105)),並防止遠端程式碼執行 (RCE) 嘗試。範例模式包括 `${jndi:ldap://example.com/}`。 此規則只會檢查請求標頭的前 8 KB 或前 200 個標頭,以先達到限制為準,並使用 `Continue`選項處理過大的內容。如需詳細資訊,請參閱[在 中過大 Web 請求元件 AWS WAF](waf-oversize-request-components.md)。 規則動作:Block 標籤: `awswaf:managed:aws:known-bad-inputs:Log4JRCE_Header` | | Log4JRCE\$1QUERYSTRING | 檢查查詢字串是否有 Log4j 漏洞 ([CVE-2021-44228](https://www.cve.org/CVERecord?id=CVE-2021-44228)、[CVE-2021-45046](https://www.cve.org/CVERecord?id=CVE-2021-45046)、[CVE-2021-45105](https://www.cve.org/CVERecord?id=CVE-2021-45105)),並防止遠端程式碼執行 (RCE) 嘗試。範例模式包括 `${jndi:ldap://example.com/}`。 規則動作:Block 標籤: `awswaf:managed:aws:known-bad-inputs:Log4JRCE_QueryString` | | Log4JRCE\$1BODY | 檢查內文是否有 Log4j 漏洞 ([CVE-2021-44228](https://www.cve.org/CVERecord?id=CVE-2021-44228)、[CVE-2021-45046](https://www.cve.org/CVERecord?id=CVE-2021-45046)、[CVE-2021-45105](https://www.cve.org/CVERecord?id=CVE-2021-45105)),並防止遠端程式碼執行 (RCE) 嘗試。範例模式包括 `${jndi:ldap://example.com/}`。 此規則只會檢查請求內文,直到保護套件 (Web ACL) 和資源類型的內文大小限制為止。對於 Application Load Balancer 和 AWS AppSync,限制固定為 8 KB。對於 CloudFront、API Gateway、Amazon Cognito、App Runner 和 Verified Access,預設限制為 16 KB,而且您可以在保護套件 (Web ACL) 組態中將限制提高到 64 KB。此規則使用 `Continue`選項來處理過大的內容。如需詳細資訊,請參閱[在 中過大 Web 請求元件 AWS WAF](waf-oversize-request-components.md)。 規則動作:Block 標籤: `awswaf:managed:aws:known-bad-inputs:Log4JRCE_Body` | | Log4JRCE\$1URIPATH | 檢查 URI 路徑是否存在 Log4j 漏洞 ([CVE-2021-44228](https://www.cve.org/CVERecord?id=CVE-2021-44228)、[CVE-2021-45046](https://www.cve.org/CVERecord?id=CVE-2021-45046)、[CVE-2021-45105](https://www.cve.org/CVERecord?id=CVE-2021-45105)),並防止遠端程式碼執行 (RCE) 嘗試。範例模式包括 `${jndi:ldap://example.com/}`。 規則動作:Block 標籤: `awswaf:managed:aws:known-bad-inputs:Log4JRCE_URIPath` | | ReactJSRCE\$1BODY | 檢查請求內文是否有表示存在 CVE-2025-55182 的模式。 此規則只會檢查請求內文,直到保護套件 (Web ACL) 和資源類型的內文大小限制為止。對於 Application Load Balancer 和 AWS AppSync,限制固定為 8 KB。對於 CloudFront、API Gateway、Amazon Cognito、App Runner 和 AWS Verified Access,預設限制為 16 KB,您可以在保護套件 (Web ACL) 組態中將限制提高到 64 KB。此規則使用 `CONTINUE`選項來處理過大的內容。如需詳細資訊,請參閱[在 中過大 Web 請求元件 AWS WAF](waf-oversize-request-components.md)。 規則動作:Block 標籤: `awswaf:managed:aws:known-bad-inputs:ReactJSRCE_Body` | # 使用案例特定的規則群組 使用案例特定的規則群組可為許多不同的 AWS WAF 使用案例提供增量保護。選擇套用至應用程式的規則群組。 ## SQL 資料庫受管規則群組 SQL 資料庫 VendorName:`AWS`、Name:`AWSManagedRulesSQLiRuleSet`、WCU:200 **注意** 本文件涵蓋此受管規則群組的最新版本。我們會在 的 changelog 日誌中報告版本變更[AWS 受管規則變更日誌](aws-managed-rule-groups-changelog.md)。如需其他版本的資訊,請使用 API 命令 [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)。 我們為 AWS 受管規則規則群組中的規則發佈的資訊,旨在為您提供使用規則所需的內容,而不會給予不法份子規避規則所需的內容。 如果您需要比此處更多的資訊,請聯絡 [AWS 支援 中心](https://console.aws.amazon.com/support/home#/)。 SQL 資料庫規則群組包含的規則,可封鎖與 SQL 資料庫利用相關的請求模式,例如 SQL Injection 攻擊。這有助於防止未經授權查詢的遠端注入。如果您的應用程式會與 SQL 資料庫互動,請評估此規則群組以供使用。 此受管規則群組會將標籤新增至其評估的 Web 請求,這些請求可供保護套件 (Web ACL) AWS WAF 中在此規則群組之後執行的規則使用。 也會將標籤記錄到 Amazon CloudWatch 指標。如需標籤和標籤指標的一般資訊,請參閱 [Web 請求標籤](waf-labels.md)和 [標籤指標和維度](waf-metrics.md#waf-metrics-label)。 | 規則名稱 | 描述和標籤 | | --- | --- | | SQLi\$1QUERYARGUMENTS | 使用內建的 AWS WAF [SQL Injection 攻擊規則陳述式](waf-rule-statement-type-sqli-match.md),並將敏感度等級設為 Low,以檢查所有查詢參數的值是否有符合惡意 SQL 程式碼的模式。 規則動作:Block 標籤: `awswaf:managed:aws:sql-database:SQLi_QueryArguments` | | SQLiExtendedPatterns\$1QUERYARGUMENTS | 檢查所有查詢參數的值是否有符合惡意 SQL 程式碼的模式。此規則檢查的模式未涵蓋在規則 內`SQLi_QUERYARGUMENTS`。 規則動作:Block 標籤: `awswaf:managed:aws:sql-database:SQLiExtendedPatterns_QueryArguments` | | SQLi\$1BODY | 使用內建的 AWS WAF [SQL Injection 攻擊規則陳述式](waf-rule-statement-type-sqli-match.md),並將敏感度等級設為 Low,以檢查請求內文是否有符合惡意 SQL 程式碼的模式。 此規則只會檢查請求內文,直到保護套件 (Web ACL) 和資源類型的內文大小限制為止。對於 Application Load Balancer 和 AWS AppSync,限制固定為 8 KB。對於 CloudFront、API Gateway、Amazon Cognito、App Runner 和 Verified Access,預設限制為 16 KB,而且您可以在保護套件 (Web ACL) 組態中將限制提高到 64 KB。此規則使用 `Continue`選項來處理過大的內容。如需詳細資訊,請參閱[在 中過大 Web 請求元件 AWS WAF](waf-oversize-request-components.md)。 規則動作:Block 標籤: `awswaf:managed:aws:sql-database:SQLi_Body` | | SQLiExtendedPatterns\$1BODY | 檢查請求內文是否有符合惡意 SQL 程式碼的模式。此規則檢查的模式未涵蓋在規則 內`SQLi_BODY`。 此規則只會檢查請求內文,直到保護套件 (Web ACL) 和資源類型的內文大小限制為止。對於 Application Load Balancer 和 AWS AppSync,限制固定為 8 KB。對於 CloudFront、API Gateway、Amazon Cognito、App Runner 和 Verified Access,預設限制為 16 KB,而且您可以在保護套件 (Web ACL) 組態中將限制提高到 64 KB。此規則使用 `Continue`選項來處理過大的內容。如需詳細資訊,請參閱[在 中過大 Web 請求元件 AWS WAF](waf-oversize-request-components.md)。 規則動作:Block 標籤: `awswaf:managed:aws:sql-database:SQLiExtendedPatterns_Body` | | SQLi\$1COOKIE | 使用內建的 AWS WAF [SQL Injection 攻擊規則陳述式](waf-rule-statement-type-sqli-match.md),並將敏感度等級設為 Low,以檢查請求 Cookie 標頭是否有符合惡意 SQL 程式碼的模式。 規則動作:Block 標籤: `awswaf:managed:aws:sql-database:SQLi_Cookie` | | SQLi\$1URIPATH | 使用內建的 AWS WAF [SQL Injection 攻擊規則陳述式](waf-rule-statement-type-sqli-match.md),並將敏感度等級設為 Low,以檢查請求 Cookie 標頭是否有符合惡意 SQL 程式碼的模式。 規則動作:Block 標籤: `awswaf:managed:aws:sql-database:SQLi_URIPath` | ## Linux 作業系統受管規則群組 Linux 作業系統 VendorName:`AWS`、Name:`AWSManagedRulesLinuxRuleSet`、WCU:200 **注意** 本文件涵蓋此受管規則群組的最新版本。我們會在 的 changelog 日誌中報告版本變更[AWS 受管規則變更日誌](aws-managed-rule-groups-changelog.md)。如需其他版本的資訊,請使用 API 命令 [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)。 我們為 AWS 受管規則規則群組中的規則發佈的資訊,旨在為您提供使用規則所需的內容,而不會給予不法份子規避規則所需的內容。 如果您需要比此處更多的資訊,請聯絡 [AWS 支援 中心](https://console.aws.amazon.com/support/home#/)。 Linux 作業系統規則群組包含的規則會封鎖與利用 Linux 特定漏洞攻擊相關的請求模式,包括 Linux 特定本機檔案包含 (LFI) 攻擊。這有助於防止公開檔案內容的攻擊,或執行攻擊者不應存取的程式碼。如果應用程式的任何部分在 Linux 上執行,則應該評估此規則群組。您應該使用此規則群組結合 [POSIX 作業系統](#aws-managed-rule-groups-use-case-posix-os) 規則群組。 此受管規則群組會將標籤新增至其評估的 Web 請求,這些請求可供保護套件 (Web ACL) AWS WAF 中在此規則群組之後執行的規則使用。 也會將標籤記錄到 Amazon CloudWatch 指標。如需標籤和標籤指標的一般資訊,請參閱 [Web 請求標籤](waf-labels.md)和 [標籤指標和維度](waf-metrics.md#waf-metrics-label)。 | 規則名稱 | 描述和標籤 | | --- | --- | | LFI\$1URIPATH | 檢查要求路徑是否有入侵 Web 應用程式中的本機檔案包含 (LFI) 弱點的嘗試。範例模式包括 `/proc/version` 之類的檔案,其可以對攻擊者提供作業系統訊息。 規則動作:Block 標籤: `awswaf:managed:aws:linux-os:LFI_URIPath` | | LFI\$1QUERYSTRING | 檢查 querystring 的值是否有嘗試利用 Web 應用程式中的本機檔案包含 (LFI) 漏洞。範例模式包括 `/proc/version` 之類的檔案,其可以對攻擊者提供作業系統訊息。 規則動作:Block 標籤: `awswaf:managed:aws:linux-os:LFI_QueryString` | | LFI\$1HEADER | 檢查請求標頭是否有嘗試利用 Web 應用程式中的本機檔案包含 (LFI) 漏洞。範例模式包括 `/proc/version` 之類的檔案,其可以對攻擊者提供作業系統訊息。 此規則只會檢查請求標頭的前 8 KB 或前 200 個標頭,以先達到限制為準,並使用 `Continue`選項來處理過大的內容。如需詳細資訊,請參閱[在 中過大 Web 請求元件 AWS WAF](waf-oversize-request-components.md)。 規則動作:Block 標籤: `awswaf:managed:aws:linux-os:LFI_Header` | ## POSIX 作業系統受管規則群組 POSIX 作業系統 VendorName:`AWS`、Name:`AWSManagedRulesUnixRuleSet`、WCU:100 **注意** 本文件涵蓋此受管規則群組的最新版本。我們會在 的 changelog 日誌中報告版本變更[AWS 受管規則變更日誌](aws-managed-rule-groups-changelog.md)。如需其他版本的資訊,請使用 API 命令 [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)。 我們為 AWS 受管規則規則群組中的規則發佈的資訊,旨在為您提供使用規則所需的內容,而不會給予不法份子規避規則所需的內容。 如果您需要比此處更多的資訊,請聯絡 [AWS 支援 中心](https://console.aws.amazon.com/support/home#/)。 POSIX 作業系統規則群組包含的規則會封鎖與利用 POSIX 和類似 POSIX 作業系統特定漏洞相關的請求模式,包括本機檔案包含 (LFI) 攻擊。這有助於防止公開檔案內容的攻擊,或執行攻擊者不應存取的程式碼。如果應用程式的任何部分在類似 POSIX 或類似 POSIX 的作業系統,包括 Linux、AIX、HP-UX、macOS、Solaris、FreeBSD 和 OpenBSD 上執行,則應該評估此規則群組。 此受管規則群組會將標籤新增至其評估的 Web 請求,這些請求可供保護套件 (Web ACL) AWS WAF 中在此規則群組之後執行的規則使用。 也會將標籤記錄到 Amazon CloudWatch 指標。如需標籤和標籤指標的一般資訊,請參閱 [Web 請求標籤](waf-labels.md)和 [標籤指標和維度](waf-metrics.md#waf-metrics-label)。 | 規則名稱 | 描述和標籤 | | --- | --- | | UNIXShellCommandsVariables\$1QUERYSTRING | 檢查查詢字串的值是否有嘗試利用在 Unix 系統上執行的 Web 應用程式中的命令注入、LFI 和路徑周遊漏洞。範例包括 `echo $HOME` 和 `echo $PATH` 之類的模式。 規則動作:Block 標籤: `awswaf:managed:aws:posix-os:UNIXShellCommandsVariables_QueryString` | | UNIXShellCommandsVariables\$1BODY | 檢查要求主體是否有入侵在 Unix 系統上執行之 Web 應用程式中的命令注入、LFI 和路徑遍訪弱點的嘗試。範例包括 `echo $HOME` 和 `echo $PATH` 之類的模式。 此規則只會檢查請求內文,直到保護套件 (Web ACL) 和資源類型的內文大小限制為止。對於 Application Load Balancer 和 AWS AppSync,限制固定為 8 KB。對於 CloudFront、API Gateway、Amazon Cognito、App Runner 和 Verified Access,預設限制為 16 KB,而且您可以在保護套件 (Web ACL) 組態中將限制提高到 64 KB。此規則使用 `Continue`選項來處理過大的內容。如需詳細資訊,請參閱[在 中過大 Web 請求元件 AWS WAF](waf-oversize-request-components.md)。 規則動作:Block 標籤: `awswaf:managed:aws:posix-os:UNIXShellCommandsVariables_Body` | | UNIXShellCommandsVariables\$1HEADER | 檢查所有請求標頭是否嘗試利用在 Unix 系統上執行的 Web 應用程式中的命令注入、LFI 和路徑周遊漏洞。範例包括 `echo $HOME` 和 `echo $PATH` 之類的模式。 此規則只會檢查請求標頭的前 8 KB 或前 200 個標頭,以先達到限制為準,並使用 `Continue`選項來處理過大的內容。如需詳細資訊,請參閱[在 中過大 Web 請求元件 AWS WAF](waf-oversize-request-components.md)。 規則動作:Block 標籤: `awswaf:managed:aws:posix-os:UNIXShellCommandsVariables_Header` | ## Windows 作業系統受管規則群組 Windows 作業系統 VendorName:`AWS`、Name:`AWSManagedRulesWindowsRuleSet`、WCU:200 **注意** 本文件涵蓋此受管規則群組的最新版本。我們會在 的 changelog 日誌中報告版本變更[AWS 受管規則變更日誌](aws-managed-rule-groups-changelog.md)。如需其他版本的資訊,請使用 API 命令 [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)。 我們為 AWS 受管規則規則群組中的規則發佈的資訊,旨在為您提供使用規則所需的內容,而不會給予不法份子規避規則所需的內容。 如果您需要比此處更多的資訊,請聯絡 [AWS 支援 中心](https://console.aws.amazon.com/support/home#/)。 Windows 作業系統規則群組包含的規則會封鎖與利用 Windows 特定漏洞相關的請求模式,例如 PowerShell 命令的遠端執行。這有助於防止利用允許攻擊者執行未經授權的命令或執行惡意程式碼的漏洞。如果應用程式的任何部分在 Windows 作業系統上執行,請評估此規則群組。 此受管規則群組會將標籤新增至其評估的 Web 請求,這些請求可供保護套件 (Web ACL) AWS WAF 中在此規則群組之後執行的規則使用。 也會將標籤記錄到 Amazon CloudWatch 指標。如需標籤和標籤指標的一般資訊,請參閱 [Web 請求標籤](waf-labels.md)和 [標籤指標和維度](waf-metrics.md#waf-metrics-label)。 | 規則名稱 | 描述和標籤 | | --- | --- | | WindowsShellCommands\$1COOKIE | 在 Web 應用程式中檢查 WindowsShell 命令注入嘗試的請求 Cookie 標頭。比對模式代表 WindowsShell 命令。範例模式包括 `\|\|nslookup`和 `;cmd`。 規則動作:Block 標籤: `awswaf:managed:aws:windows-os:WindowsShellCommands_Cookie` | | WindowsShellCommands\$1QUERYARGUMENTS | 檢查 Web 應用程式中 WindowsShell 命令注入嘗試的所有查詢參數的值。比對模式代表 WindowsShell 命令。範例模式包括 `\|\|nslookup`和 `;cmd`。 規則動作:Block 標籤: `awswaf:managed:aws:windows-os:WindowsShellCommands_QueryArguments` | | WindowsShellCommands\$1BODY | 在 Web 應用程式中檢查 WindowsShell 命令注入嘗試的請求內文。比對模式代表 WindowsShell 命令。範例模式包括 `\|\|nslookup`和 `;cmd`。 此規則只會檢查請求內文,直到保護套件 (Web ACL) 和資源類型的內文大小限制為止。對於 Application Load Balancer 和 AWS AppSync,限制固定為 8 KB。對於 CloudFront、API Gateway、Amazon Cognito、App Runner 和 Verified Access,預設限制為 16 KB,而且您可以在保護套件 (Web ACL) 組態中將限制提高到 64 KB。此規則使用 `Continue`選項來處理過大的內容。如需詳細資訊,請參閱[在 中過大 Web 請求元件 AWS WAF](waf-oversize-request-components.md)。 規則動作:Block 標籤: `awswaf:managed:aws:windows-os:WindowsShellCommands_Body` | | PowerShellCommands\$1COOKIE | 在 Web 應用程式中檢查請求 Cookie 標頭是否有 PowerShell 命令注入嘗試。比對模式代表 PowerShell 命令。例如 `Invoke-Expression`。 規則動作:Block 標籤: `awswaf:managed:aws:windows-os:PowerShellCommands_Cookie` | | PowerShellCommands\$1QUERYARGUMENTS | 檢查 Web 應用程式中 PowerShell 命令注入嘗試的所有查詢參數的值。比對模式代表 PowerShell 命令。例如 `Invoke-Expression`。 規則動作:Block 標籤: `awswaf:managed:aws:windows-os:PowerShellCommands_QueryArguments` | | PowerShellCommands\$1BODY | 在 Web 應用程式中檢查 PowerShell 命令注入嘗試的請求內文。比對模式代表 PowerShell 命令。例如 `Invoke-Expression`。 此規則只會檢查請求內文,直到保護套件 (Web ACL) 和資源類型的內文大小限制為止。對於 Application Load Balancer 和 AWS AppSync,限制固定為 8 KB。對於 CloudFront、API Gateway、Amazon Cognito、App Runner 和 Verified Access,預設限制為 16 KB,而且您可以在保護套件 (Web ACL) 組態中將限制提高到 64 KB。此規則使用 `Continue`選項來處理過大的內容。如需詳細資訊,請參閱[在 中過大 Web 請求元件 AWS WAF](waf-oversize-request-components.md)。 規則動作:Block 標籤: `awswaf:managed:aws:windows-os:PowerShellCommands_Body` | ## PHP 應用程式受管規則群組 PHP 應用程式 VendorName:`AWS`、Name:`AWSManagedRulesPHPRuleSet`、WCU:100 **注意** 本文件涵蓋此受管規則群組的最新版本。我們會在 的 changelog 日誌中報告版本變更[AWS 受管規則變更日誌](aws-managed-rule-groups-changelog.md)。如需其他版本的資訊,請使用 API 命令 [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)。 我們為 AWS 受管規則規則群組中的規則發佈的資訊,旨在為您提供使用規則所需的內容,而不會給予不法份子規避規則所需的內容。 如果您需要比此處更多的資訊,請聯絡 [AWS 支援 中心](https://console.aws.amazon.com/support/home#/)。 PHP 應用程式規則群組包含的規則會封鎖與利用 PHP 程式設計語言特定漏洞相關的請求模式,包括注入不安全的 PHP 函數。這有助於防止利用允許攻擊者從遠端執行程式碼或未經授權的命令的漏洞。如果您的應用程式與其互動的任何伺服器上安裝 PHP,請評估此規則群組。 此受管規則群組會將標籤新增至其評估的 Web 請求,這些請求可供保護套件 (Web ACL) AWS WAF 中在此規則群組之後執行的規則使用。 也會將標籤記錄到 Amazon CloudWatch 指標。如需標籤和標籤指標的一般資訊,請參閱 [Web 請求標籤](waf-labels.md)和 [標籤指標和維度](waf-metrics.md#waf-metrics-label)。 | 規則名稱 | 描述和標籤 | | --- | --- | | PHPHighRiskMethodsVariables\$1HEADER | 檢查所有標頭是否有 PHP 指令碼程式碼注入嘗試。範例模式包括 `fsockopen` 之類的函數和 `$_GET` 超全域變數。 此規則只會檢查請求標頭的前 8 KB 或前 200 個標頭,以先達到限制為準,並使用 `Continue`選項來處理過大的內容。如需詳細資訊,請參閱[在 中過大 Web 請求元件 AWS WAF](waf-oversize-request-components.md)。 規則動作:Block 標籤: `awswaf:managed:aws:php-app:PHPHighRiskMethodsVariables_Header` | | PHPHighRiskMethodsVariables\$1QUERYSTRING | 檢查請求 URL `?`中第一個 之後的所有項目,尋找 PHP 指令碼程式碼注入嘗試。範例模式包括 `fsockopen` 之類的函數和 `$_GET` 超全域變數。 規則動作:Block 標籤: `awswaf:managed:aws:php-app:PHPHighRiskMethodsVariables_QueryString` | | PHPHighRiskMethodsVariables\$1BODY | 檢查要求主體是否有 PHP 指令碼程式碼注入嘗試。範例模式包括 `fsockopen` 之類的函數和 `$_GET` 超全域變數。 此規則只會檢查請求內文,直到保護套件 (Web ACL) 和資源類型的內文大小限制為止。對於 Application Load Balancer 和 AWS AppSync,限制固定為 8 KB。對於 CloudFront、API Gateway、Amazon Cognito、App Runner 和 Verified Access,預設限制為 16 KB,而且您可以在保護套件 (Web ACL) 組態中將限制提高到 64 KB。此規則使用 `Continue`選項來處理過大的內容。如需詳細資訊,請參閱[在 中過大 Web 請求元件 AWS WAF](waf-oversize-request-components.md)。 規則動作:Block 標籤: `awswaf:managed:aws:php-app:PHPHighRiskMethodsVariables_Body` | | PHPHighRiskMethodsVariables\$1URIPATH | 檢查 PHP 指令碼程式碼注入嘗試的請求路徑。範例模式包括 `fsockopen` 之類的函數和 `$_GET` 超全域變數。 規則動作:Block 標籤: `awswaf:managed:aws:php-app:PHPHighRiskMethodsVariables_URIPath` | ## WordPress 應用程式受管規則群組 WordPress 應用程式 VendorName:`AWS`、Name:`AWSManagedRulesWordPressRuleSet`、WCU:100 **注意** 本文件涵蓋此受管規則群組的最新版本。我們會在 的 changelog 日誌中報告版本變更[AWS 受管規則變更日誌](aws-managed-rule-groups-changelog.md)。如需其他版本的資訊,請使用 API 命令 [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)。 我們為 AWS 受管規則規則群組中的規則發佈的資訊,旨在為您提供使用規則所需的內容,而不會給予不法份子規避規則所需的內容。 如果您需要比此處更多的資訊,請聯絡 [AWS 支援 中心](https://console.aws.amazon.com/support/home#/)。 WordPress 應用程式群組包含的規則會封鎖與利用 WordPress 網站特定漏洞相關的請求模式。如果您正在執行 WordPress,您應該評估此規則群組。此規則群組應結合 [SQL 資料庫](#aws-managed-rule-groups-use-case-sql-db) 和 [PHP 應用程式](#aws-managed-rule-groups-use-case-php-app) 規則群組使用。 此受管規則群組會將標籤新增至其評估的 Web 請求,這些請求可供保護套件 (Web ACL) AWS WAF 中在此規則群組之後執行的規則使用。 也會將標籤記錄到 Amazon CloudWatch 指標。如需標籤和標籤指標的一般資訊,請參閱 [Web 請求標籤](waf-labels.md)和 [標籤指標和維度](waf-metrics.md#waf-metrics-label)。 | 規則名稱 | 描述和標籤 | | --- | --- | | WordPressExploitableCommands\$1QUERYSTRING | 檢查請求查詢字串是否有可能在有弱點的安裝或外掛程式中遭入侵的高風險 WordPress 命令。範例模式包括 `do-reset-wordpress` 之類的命令。 規則動作:Block 標籤: `awswaf:managed:aws:wordpress-app:WordPressExploitableCommands_QUERYSTRING` | | WordPressExploitablePaths\$1URIPATH | 檢查要求 URI 路徑是否有 WordPress 檔案,如 `xmlrpc.php`,其已知具有易於入侵的漏洞。 規則動作:Block 標籤: `awswaf:managed:aws:wordpress-app:WordPressExploitablePaths_URIPATH` | # IP 評價規則群組 IP 評價規則群組會根據其來源 IP 地址封鎖請求。 **注意** 這些規則使用來自 Web 請求原始伺服器的來源 IP 地址。如果您有流經一或多個代理或負載平衡器的流量,Web 請求原始伺服器將包含最後一個代理的地址,而不是用戶端的原始地址。 如果您要減少暴露於機器人流量、利用嘗試,或是對內容強制執行地理限制,請選擇一或多個這些規則群組。如需機器人管理,另請參閱 [AWS WAF 機器人控制規則群組](aws-managed-rule-groups-bot.md)。 此類別中的規則群組不提供版本控制或 SNS 更新通知。 ## Amazon IP 評價清單受管規則群組 Amazon IP 評價清單 VendorName:`AWS`、Name:`AWSManagedRulesAmazonIpReputationList`、WCU:25 **注意** 我們為 AWS 受管規則規則群組中的規則發佈的資訊,旨在為您提供使用規則所需的內容,而不會給予不法份子規避規則所需的內容。 如果您需要比此處更多的資訊,請聯絡 [AWS 支援 中心](https://console.aws.amazon.com/support/home#/)。 Amazon IP 評價清單規則群組包含以 Amazon 內部威脅情報為基礎的規則。如果您要封鎖通常與 Bot 或其他威脅相關聯的 IP 地址,這會很有用。封鎖這些 IP 地址有助於減輕 Bot,並降低惡意行為者發現易受攻擊應用程式的風險。 此受管規則群組會將標籤新增至其評估的 Web 請求,這些請求可供保護套件 (Web ACL) AWS WAF 中此規則群組之後執行的規則使用。 也會將標籤記錄到 Amazon CloudWatch 指標。如需標籤和標籤指標的一般資訊,請參閱 [Web 請求標籤](waf-labels.md)和 [標籤指標和維度](waf-metrics.md#waf-metrics-label)。 | 規則名稱 | 描述和標籤 | | --- | --- | | AWSManagedIPReputationList | 檢查已識別為主動從事惡意活動的 IP 地址。 AWS WAF 會從各種來源收集 IP 地址清單,包括 MadPot,這是 Amazon 用來保護客戶免受網路攻擊的威脅情報工具。如需 MadPot 的詳細資訊,請參閱 [https://www.aboutamazon.com/news/aws/amazon-madpot-stops-cybersecurity-crime](https://www.aboutamazon.com/news/aws/amazon-madpot-stops-cybersecurity-crime)。 規則動作:Block 標籤: `awswaf:managed:aws:amazon-ip-list:AWSManagedIPReputationList` | | AWSManagedReconnaissanceList | 檢查來自對資源執行偵察之 IP AWS 地址的連線。 規則動作:Block 標籤: `awswaf:managed:aws:amazon-ip-list:AWSManagedReconnaissanceList` | | AWSManagedIPDDoSList | 檢查已識別為主動參與 DDoS 活動的 IP 地址。 規則動作:Count 標籤: `awswaf:managed:aws:amazon-ip-list:AWSManagedIPDDoSList` | ## 匿名 IP 清單受管規則群組 匿名 IP 清單 VendorName:`AWS`、Name:`AWSManagedRulesAnonymousIpList`、WCU:50 **注意** 我們為 AWS 受管規則規則群組中的規則發佈的資訊,旨在為您提供使用規則所需的內容,而不會給予不法份子規避規則所需的內容。 如果您需要比此處更多的資訊,請聯絡 [AWS 支援 中心](https://console.aws.amazon.com/support/home#/)。 匿名 IP 清單規則群組包含規則,以封鎖來自允許混淆檢視器身分之服務的請求。這些包括來自 VPNs、代理、Tor 節點和 Web 託管供應商的請求。如果您要篩除可能會嘗試從您應用程式隱藏自身身分的檢視器,則此規則群組相當有用。封鎖這些服務的 IP 地址能協助降低機器人,以及迴避地理區域限制的問題。 此受管規則群組會將標籤新增至其評估的 Web 請求,這些請求可供保護套件 (Web ACL) AWS WAF 中此規則群組之後執行的規則使用。 也會將標籤記錄到 Amazon CloudWatch 指標。如需標籤和標籤指標的一般資訊,請參閱 [Web 請求標籤](waf-labels.md)和 [標籤指標和維度](waf-metrics.md#waf-metrics-label)。 | 規則名稱 | 描述和標籤 | | --- | --- | | AnonymousIPList | 檢查 IP 位址清單是否有已知會使用戶端資訊匿名化的來源,例如 TOR 節點、暫時代理伺服器和其他遮罩服務。 規則動作:Block 標籤: `awswaf:managed:aws:anonymous-ip-list:AnonymousIPList` | | HostingProviderIPList | 檢查來自 Web 託管和雲端提供者的 IP 地址清單,這些地址較不可能來源最終使用者流量。IP 清單不包含 AWS IP 地址。 規則動作:Block 標籤: `awswaf:managed:aws:anonymous-ip-list:HostingProviderIPList` | # AWS WAF 詐騙控制帳戶建立詐騙預防 (ACFP) 規則群組 帳戶建立詐騙預防規則群組已更新 ACFP 受管規則群組 更正規則 `VolumetricIPSuccessfulResponse`和 的標籤資訊`VolumetricSessionSuccessfulResponse`。新的 ACFP 受管規則群組 使用新的規則群組`AWSManagedRulesACFPRuleSet`來偵測和封鎖詐騙帳戶建立嘗試。 本節說明 AWS WAF 詐騙控制帳戶建立詐騙預防 (ACFP) 受管規則群組的功能。 VendorName:`AWS`、Name:`AWSManagedRulesACFPRuleSet`、WCU:50 **注意** 本文件涵蓋此受管規則群組的最新版本。我們會在 的 changelog 日誌中報告版本變更[AWS 受管規則變更日誌](aws-managed-rule-groups-changelog.md)。如需其他版本的資訊,請使用 API 命令 [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)。 我們為 AWS 受管規則規則群組中的規則發佈的資訊,旨在為您提供使用規則所需的內容,而不會給予不法份子規避規則所需的內容。 如果您需要比此處更多的資訊,請聯絡 [AWS 支援 中心](https://console.aws.amazon.com/support/home#/)。 AWS WAF 詐騙控制帳戶建立詐騙預防 (ACFP) 受管規則群組標籤和管理可能是詐騙帳戶建立嘗試一部分的請求。規則群組會透過檢查用戶端傳送到應用程式註冊和帳戶建立端點的帳戶建立請求來執行此操作。 ACFP 規則群組會以各種方式檢查帳戶建立嘗試,為您提供潛在惡意互動的可見性和控制。規則群組使用請求字符來收集有關用戶端瀏覽器和建立帳戶請求時人類互動程度的資訊。規則群組透過依 IP 地址和用戶端工作階段彙總請求,以及依提供的帳戶資訊彙總實體地址和電話號碼,來偵測和管理大量帳戶建立嘗試。此外,規則群組會使用已遭入侵的登入資料來偵測和封鎖新帳戶的建立,這有助於保護應用程式和新使用者的安全狀態。 ## 使用此規則群組的考量事項 使用此規則群組 此規則群組需要自訂組態,其中包含應用程式帳戶註冊和帳戶建立路徑的規格。除非另有說明,否則此規則群組中的規則會檢查用戶端傳送至這兩個端點的所有請求。若要設定和實作此規則群組,請參閱 中的指引[AWS WAF 詐騙控制帳戶建立詐騙預防 (ACFP)](waf-acfp.md)。 **注意** 當您使用此受管規則群組時,需支付額外費用。如需詳細資訊,請參閱[AWS WAF 定價](https://aws.amazon.com/waf/pricing/)。 此規則群組是 中智慧型威脅緩解保護的一部分 AWS WAF。如需相關資訊,請參閱[中的智慧型威脅防禦 AWS WAF](waf-managed-protections.md)。 若要降低成本,並確保您視需要管理 Web 流量,請根據 中的指引使用此規則群組[中的智慧型威脅防禦最佳實務 AWS WAF](waf-managed-protections-best-practices.md)。 此規則群組不適用於 Amazon Cognito 使用者集區。您無法將使用此規則群組的保護套件 (Web ACL) 與使用者集區建立關聯,也無法將此規則群組新增至已與使用者集區建立關聯的保護套件 (Web ACL)。 ## 此規則群組新增的標籤 此規則群組新增的標籤 此受管規則群組會將標籤新增至其評估的 Web 請求,這些請求可供保護套件 (Web ACL) AWS WAF 中在此規則群組之後執行的規則使用。 也會將標籤記錄到 Amazon CloudWatch 指標。如需標籤和標籤指標的一般資訊,請參閱 [Web 請求標籤](waf-labels.md)和 [標籤指標和維度](waf-metrics.md#waf-metrics-label)。 ### 字符標籤 字符標籤 此規則群組使用 AWS WAF 字符管理,根據其 AWS WAF 字符的狀態檢查和標記 Web 請求。 AWS WAF 使用字符進行用戶端工作階段追蹤和驗證。 如需字符和字符管理的資訊,請參閱 [用於 AWS WAF 智慧型威脅緩解的字符](waf-tokens.md)。 如需此處所述的標籤元件資訊,請參閱 [中的標籤語法和命名需求 AWS WAF](waf-rule-label-requirements.md)。 **用戶端工作階段標籤** 標籤`awswaf:managed:token:id:identifier`包含 AWS WAF 字符管理用來識別用戶端工作階段的唯一識別符。如果用戶端取得新的字符,例如在捨棄正在使用的字符之後,識別符可能會變更。 **注意** AWS WAF 不會報告此標籤的 Amazon CloudWatch 指標。 **瀏覽器指紋標籤** 標籤`awswaf:managed:token:fingerprint:fingerprint-identifier`包含強大的瀏覽器指紋識別符,權 AWS WAF 杖管理會從各種用戶端瀏覽器訊號運算。此識別符在多個字符擷取嘗試中保持不變。指紋識別符對單一用戶端來說不是唯一的。 **注意** AWS WAF 不會報告此標籤的 Amazon CloudWatch 指標。 **字符狀態標籤:標籤命名空間字首** 字符狀態標籤會報告字符的狀態,以及其中包含的挑戰和 CAPTCHA 資訊。 每個字符狀態標籤都以下列其中一個命名空間字首開頭: + `awswaf:managed:token:` – 用來報告字符的一般狀態,以及報告字符挑戰資訊的狀態。 + `awswaf:managed:captcha:` – 用來報告字符 CAPTCHA 資訊的狀態。 **字符狀態標籤:標籤名稱** 在字首後面,標籤的其餘部分提供詳細的字符狀態資訊: + `accepted` – 請求字符存在且包含下列項目: + 有效的挑戰或 CAPTCHA 解決方案。 + 未過期的挑戰或 CAPTCHA 時間戳記。 + 適用於保護套件的網域規格 (Web ACL)。 範例:標籤`awswaf:managed:token:accepted`指出 Web 請求的權杖具有有效的挑戰解決方案、未過期的挑戰時間戳記,以及有效的網域。 + `rejected` – 請求字符存在,但不符合接受條件。 除了拒絕的標籤之外,字符管理還會新增自訂標籤命名空間和名稱,以指出原因。 + `rejected:not_solved` – 字符缺少挑戰或 CAPTCHA 解決方案。 + `rejected:expired` – 權杖的挑戰或 CAPTCHA 時間戳記已過期,取決於您的保護套件 (Web ACL) 設定的權杖豁免時間。 + `rejected:domain_mismatch` – 字符的網域不符合您的保護套件 (Web ACL) 字符網域組態。 + `rejected:invalid` – AWS WAF 無法讀取指定的字符。 範例:標籤 `awswaf:managed:captcha:rejected`和 `awswaf:managed:captcha:rejected:expired`一起指出請求沒有有效的 CAPTCHA 解決方法,因為字符中的 CAPTCHA 時間戳記已超過保護套件 (Web ACL) 中設定的 CAPTCHA 字符豁免時間。 + `absent` – 請求沒有字符或字符管理器無法讀取。 範例:標籤`awswaf:managed:captcha:absent`表示請求沒有字符。 ### ACFP 標籤 ACFP 標籤 此規則群組會產生具有命名空間字首的標籤,`awswaf:managed:aws:acfp:`後面接著自訂命名空間和標籤名稱。規則群組可能會將多個標籤新增至請求。 您可以透過 API 呼叫 來擷取規則群組的所有標籤`DescribeManagedRuleGroup`。這些標籤會列在回應的 `AvailableLabels` 屬性中。 ## 帳戶建立詐騙預防規則清單 規則清單 本節列出 中的 ACFP 規則,`AWSManagedRulesACFPRuleSet`以及規則群組規則新增至 Web 請求的標籤。 此規則群組中的所有規則都需要 Web 請求字符,前兩個 `UnsupportedCognitoIDP`和 除外`AllRequests`。如需字符提供的資訊說明,請參閱 [AWS WAF 字符特性](waf-tokens-details.md)。 除非另有說明,否則此規則群組中的規則會檢查用戶端傳送至您在規則群組組態中提供的帳戶註冊和帳戶建立頁面路徑的所有請求。如需設定此規則群組的詳細資訊,請參閱 [AWS WAF 詐騙控制帳戶建立詐騙預防 (ACFP)](waf-acfp.md)。 **注意** 本文件涵蓋此受管規則群組的最新版本。我們會在 的 changelog 日誌中報告版本變更[AWS 受管規則變更日誌](aws-managed-rule-groups-changelog.md)。如需其他版本的資訊,請使用 API 命令 [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)。 我們為 AWS 受管規則規則群組中的規則發佈的資訊,旨在為您提供使用規則所需的內容,而不會給予不法份子規避規則所需的內容。 如果您需要比此處更多的資訊,請聯絡 [AWS 支援 中心](https://console.aws.amazon.com/support/home#/)。 | 規則名稱 | 描述和標籤 | | --- | --- | | UnsupportedCognitoIDP | 檢查傳送至 Amazon Cognito 使用者集區的 Web 流量。ACFP 不適用於 Amazon Cognito 使用者集區,此規則有助於確保不會使用其他 ACFP 規則群組規則來評估使用者集區流量。 規則動作:Block 標籤: `awswaf:managed:aws:acfp:unsupported:cognito_idp`和 `awswaf:managed:aws:acfp:UnsupportedCognitoIDP` | | AllRequests | 將規則動作套用至存取註冊頁面路徑的請求。您在設定規則群組時設定註冊頁面路徑。 根據預設,此規則會將 Challenge 套用至 請求。透過套用此動作,規則可確保用戶端在規則群組中的其餘規則評估任何請求之前,先取得挑戰字符。 確保您的最終使用者在提交帳戶建立請求之前載入註冊頁面路徑。 權杖會由用戶端應用程式整合 SDKs 和規則動作 CAPTCHA和 新增至請求Challenge。為了取得最有效率的權杖,我們強烈建議您使用應用程式整合 SDKs。如需詳細資訊,請參閱[中的用戶端應用程式整合 AWS WAF](waf-application-integration.md)。 規則動作:Challenge 標籤:無 | | RiskScoreHigh | 檢查具有 IP 地址或其他被視為高度可疑因素的帳戶建立請求。此評估通常基於多個促成因素,您可以在規則群組新增至請求的`risk_score`標籤中看到這些因素。 規則動作:Block 標籤: `awswaf:managed:aws:acfp:risk_score:high`和 `awswaf:managed:aws:acfp:RiskScoreHigh` 此規則也可能套用 `medium`或`low`風險分數標籤到請求。 如果 AWS WAF 無法成功評估 Web 請求的風險分數,則規則會新增標籤 `awswaf:managed:aws:acfp:risk_score:evaluation_failed ` 此外,規則會新增包含風險分數評估狀態`awswaf:managed:aws:acfp:risk_score:contributor:`的命名空間標籤,以及特定風險分數貢獻者的結果,例如 IP 評價和遭竊的登入資料評估。 | | SignalCredentialCompromised | 搜尋遭竊的登入資料資料庫,尋找在帳戶建立請求中提交的登入資料。 此規則可確保新用戶端以正面的安全狀態初始化其帳戶。 您可以新增自訂封鎖回應,向最終使用者描述問題,並告訴他們如何繼續。如需相關資訊,請參閱[ACFP 範例:針對遭到入侵的登入資料進行自訂回應](waf-acfp-control-example-compromised-credentials.md)。 規則動作:Block 標籤: `awswaf:managed:aws:acfp:signal:credential_compromised`和 `awswaf:managed:aws:acfp:SignalCredentialCompromised` 規則群組會套用下列相關標籤,但不對其採取任何動作,因為並非所有建立帳戶的請求都會有登入資料: `awswaf:managed:aws:acfp:signal:missing_credential` | | SignalClientHumanInteractivityAbsentLow | 檢查帳戶建立請求的字符是否有資料指出與應用程式有異常的人類互動。人類互動是透過滑鼠移動和按鍵等互動來偵測。如果頁面具有 HTML 表單,則人工互動包括與表單的互動。 此規則只會檢查帳戶建立路徑的請求,而且只有在您已實作應用程式整合 SDKs 時才會進行評估。開發套件實作被動擷取人類互動,並將資訊存放在請求字符中。如需詳細資訊,請參閱[AWS WAF 字符特性](waf-tokens-details.md)及[中的用戶端應用程式整合 AWS WAF](waf-application-integration.md)。 規則動作:CAPTCHA 標籤:無。規則會根據不同的因素來決定相符項目,因此沒有適用於每個可能相符案例的個別標籤。 規則群組可以將下列一或多個標籤套用至請求: `awswaf:managed:aws:acfp:signal:client:human_interactivity:low\|medium\|high` `awswaf:managed:aws:acfp:SignalClientHumanInteractivityAbsentLow\|Medium\|High` `awswaf:managed:aws:acfp:signal:client:human_interactivity:insufficient_data` `awswaf:managed:aws:acfp:signal:form_detected`. | | AutomatedBrowser | 檢查用戶端瀏覽器是否可能自動化的指標。 規則動作:Block 標籤: `awswaf:managed:aws:acfp:signal:automated_browser`和 `awswaf:managed:aws:acfp:AutomatedBrowser` | | BrowserInconsistency | 檢查請求的字符是否有不一致的瀏覽器查詢資料。如需詳細資訊,請參閱[AWS WAF 字符特性](waf-tokens-details.md)。 規則動作:CAPTCHA 標籤: `awswaf:managed:aws:acfp:signal:browser_inconsistency`和 `awswaf:managed:aws:acfp:BrowserInconsistency` | | VolumetricIpHigh | 檢查從個別 IP 地址傳送的大量帳戶建立請求。在 10 分鐘的時段內,大量超過 20 個請求。 此規則套用的閾值可能因延遲而略有不同。對於高磁碟區,在套用規則動作之前,有些請求可能會使其超過限制。 規則動作:CAPTCHA 標籤: `awswaf:managed:aws:acfp:aggregate:volumetric:ip:creation:high`和 `awswaf:managed:aws:acfp:VolumetricIpHigh` 規則會將下列標籤套用至具有中等磁碟區 (每 10 分鐘超過 15 個請求) 和低磁碟區 (每 10 分鐘超過 10 個請求) 的請求,但不會對這些請求採取任何動作: `awswaf:managed:aws:acfp:aggregate:volumetric:ip:creation:medium`和 `awswaf:managed:aws:acfp:aggregate:volumetric:ip:creation:low`。 | | VolumetricSessionHigh | 檢查從個別用戶端工作階段傳送的大量帳戶建立請求。在 30 分鐘的時段內,大量超過 10 個請求。 此規則套用的閾值可能因延遲而略有不同。在套用規則動作之前,有些請求可能會使其超過限制。 規則動作:Block 標籤: `awswaf:managed:aws:acfp:aggregate:volumetric:session:creation:high`和 `awswaf:managed:aws:acfp:VolumetricSessionHigh` 規則群組會將下列標籤套用至具有中等磁碟區 (超過每 30 分鐘 5 個請求) 和低磁碟區 (超過每 30 分鐘 1 個請求) 的請求,但不對其採取任何動作: `awswaf:managed:aws:acfp:aggregate:volumetric:session:creation:medium`和 `awswaf:managed:aws:acfp:aggregate:volumetric:session:creation:low`。 | | AttributeUsernameTraversalHigh | 檢查使用不同使用者名稱的單一用戶端工作階段是否有高速率的帳戶建立請求。高評估的閾值是在 30 分鐘內超過 10 個請求。 此規則套用的閾值可能因延遲而略有不同。在套用規則動作之前,有些請求可能會使其超過限制。 規則動作:Block 標籤: `awswaf:managed:aws:acfp:aggregate:attribute:username_traversal:creation:high`和 `awswaf:managed:aws:acfp:AttributeUsernameTraversalHigh` 規則群組會將下列標籤套用至使用者名稱周遊請求的中等磁碟區 (超過每 30 分鐘 5 個請求) 和低磁碟區 (超過每 30 分鐘 1 個請求) 的請求,但不對其採取任何動作: `awswaf:managed:aws:acfp:aggregate:attribute:username_traversal:creation:medium`和 `awswaf:managed:aws:acfp:aggregate:attribute:username_traversal:creation:low`。 | | VolumetricPhoneNumberHigh | 檢查是否有大量使用相同電話號碼的帳戶建立請求。高評估的閾值是在 30 分鐘內超過 10 個請求。 此規則套用的閾值可能因延遲而略有不同。在套用規則動作之前,有些請求可能會使其超過限制。 規則動作:Block 標籤: `awswaf:managed:aws:acfp:aggregate:volumetric:phone_number:high`和 `awswaf:managed:aws:acfp:VolumetricPhoneNumberHigh` 規則群組會將下列標籤套用至具有中等磁碟區 (每 30 分鐘超過 5 個請求) 和低磁碟區 (每 30 分鐘超過 1 個請求) 的請求,但不對其採取任何動作: `awswaf:managed:aws:acfp:aggregate:volumetric:phone_number:medium`和 `awswaf:managed:aws:acfp:aggregate:volumetric:phone_number:low`。 | | VolumetricAddressHigh | 檢查是否有大量使用相同實體地址的帳戶建立請求。高評估的閾值為每個 30 分鐘時段超過 100 個請求。 此規則套用的閾值可能因延遲而略有不同。在套用規則動作之前,有些請求可能會使其超過限制。 規則動作:Block 標籤: `awswaf:managed:aws:acfp:aggregate:volumetric:address:high`和 `awswaf:managed:aws:acfp:VolumetricAddressHigh` | | VolumetricAddressLow | 檢查使用相同實體地址的低和中量帳戶建立請求。中評估的閾值是每 30 分鐘時段超過 50 個請求,而低評估則是每 30 分鐘時段超過 10 個請求。 此規則會套用中或低磁碟區的動作。 此規則套用的閾值可能因延遲而略有不同。在套用規則動作之前,有些請求可能會使其超過限制。 規則動作:CAPTCHA 標籤: `awswaf:managed:aws:acfp:aggregate:volumetric:address:low\|medium`和 `awswaf:managed:aws:acfp:VolumetricAddressLow\|Medium` | | VolumetricIPSuccessfulResponse | 檢查單一 IP 地址是否有大量的成功帳戶建立請求。此規則會將受保護資源的成功回應彙總到帳戶建立請求。高評估的閾值為每個 10 分鐘時段超過 10 個請求。 此規則有助於防止大量帳戶建立嘗試。其閾值低於規則 `VolumetricIpHigh`,僅計算請求。 如果您已設定規則群組來檢查回應內文或 JSON 元件, AWS WAF 可以檢查這些元件類型的前 65,536 個位元組 (64 KB) 是否有成功或失敗指標。 此規則會根據來自受保護資源的成功和失敗回應,以及來自相同 IP 地址的最近登入嘗試,將規則動作和標籤套用至來自 IP 地址的新 Web 請求。您可以在設定規則群組時,定義如何計算成功和失敗次數。 AWS WAF 只會在保護 Amazon CloudFront 分佈的保護套件 (Web ACLs) 中評估此規則。 此規則套用的閾值可能因延遲而略有不同。用戶端可能會傳送比規則在後續嘗試中開始比對之前允許的更成功的帳戶建立嘗試。 規則動作:Block 標籤: `awswaf:managed:aws:acfp:aggregate:volumetric:ip:successful_creation_response:high`和 `awswaf:managed:aws:acfp:VolumetricIPSuccessfulResponse` 規則群組也會將下列相關標籤套用至請求,而沒有任何相關聯的動作。所有計數都適用於 10 分鐘的時段。`awswaf:managed:aws:acfp:aggregate:volumetric:ip:successful_creation_response:medium`對於 5 個以上的成功請求,`awswaf:managed:aws:acfp:aggregate:volumetric:ip:successful_creation_response:low`對於 1 個以上的成功請求,`awswaf:managed:aws:acfp:aggregate:volumetric:ip:failed_creation_response:high`對於 10 個以上的失敗請求,`awswaf:managed:aws:acfp:aggregate:volumetric:ip:failed_creation_response:medium`對於 5 個以上的失敗請求,以及對於 1 個`awswaf:managed:aws:acfp:aggregate:volumetric:ip:failed_creation_response:low`以上的失敗請求。 | | VolumetricSessionSuccessfulResponse | 檢查從受保護資源到從單一用戶端工作階段傳送的帳戶建立請求的成功回應數量是否很低。這有助於防止大量帳戶建立嘗試。低評估的閾值是每 30 分鐘時段 1 個以上的請求。 這有助於防止大量帳戶建立嘗試。此規則使用的閾值低於只`VolumetricSessionHigh`追蹤請求的規則 。 如果您已設定規則群組來檢查回應內文或 JSON 元件, AWS WAF 可以檢查這些元件類型的前 65,536 個位元組 (64 KB) 是否有成功或失敗指標。 此規則會根據來自受保護資源的成功和失敗回應,以及來自相同用戶端工作階段的最近登入嘗試,將規則動作和標籤套用至來自用戶端工作階段的新 Web 請求。您可以在設定規則群組時,定義如何計算成功和失敗次數。 AWS WAF 只會在保護 Amazon CloudFront 分佈的保護套件 (Web ACLs) 中評估此規則。 此規則套用的閾值可能因延遲而略有不同。用戶端傳送失敗的帳戶建立嘗試次數可能超過規則在後續嘗試中開始比對之前允許的次數。 規則動作:Block 標籤: `awswaf:managed:aws:acfp:aggregate:volumetric:session:successful_creation_response:low`和 `awswaf:managed:aws:acfp:VolumetricSessionSuccessfulResponse` 規則群組也會將下列相關標籤套用至請求。所有計數都適用於 30 分鐘的時段。`awswaf:managed:aws:acfp:aggregate:volumetric:session:successful_creation_response:high`對於 10 個以上的成功請求,`awswaf:managed:aws:acfp:aggregate:volumetric:session:successful_creation_response:medium`對於 5 個以上的成功請求,`awswaf:managed:aws:acfp:aggregate:volumetric:session:failed_creation_response:high`對於 10 個以上的失敗請求,`awswaf:managed:aws:acfp:aggregate:volumetric:session:failed_creation_response:medium`對於 5 個以上的失敗請求,以及對於 1 個`awswaf:managed:aws:acfp:aggregate:volumetric:session:failed_creation_response:low`以上的失敗請求。 | | VolumetricSessionTokenReuseIp | 檢查帳戶建立請求是否在超過 5 個不同的 IP 地址中使用單一字符。 此規則套用的閾值可能因延遲而略有不同。在套用規則動作之前,有些請求可能會使其超過限制。 規則動作:Block 標籤: `awswaf:managed:aws:acfp:aggregate:volumetric:session:creation:token_reuse:ip`和 `awswaf:managed:aws:acfp:VolumetricSessionTokenReuseIp` | # AWS WAF 詐騙控制帳戶接管預防 (ATP) 規則群組 帳戶接管預防規則群組更新的 ATP 受管規則群組 更正規則 `VolumetricIpFailedLoginResponseHigh`和 的標籤資訊`VolumetricSessionFailedLoginResponseHigh`。 本節說明 AWS WAF 詐騙控制帳戶接管預防 (ATP) 受管規則群組的功能。 VendorName:`AWS`、Name:`AWSManagedRulesATPRuleSet`、WCU:50 **注意** 本文件涵蓋此受管規則群組的最新版本。我們會在 的 changelog 日誌中報告版本變更[AWS 受管規則變更日誌](aws-managed-rule-groups-changelog.md)。如需其他版本的資訊,請使用 API 命令 [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)。 我們為 AWS 受管規則規則群組中的規則發佈的資訊,旨在為您提供使用規則所需的內容,而不會給予不法份子規避規則所需的內容。 如果您需要比此處更多的資訊,請聯絡 [AWS 支援 中心](https://console.aws.amazon.com/support/home#/)。 AWS WAF 詐騙控制帳戶接管預防 (ATP) 受管規則群組標籤和管理可能屬於惡意帳戶接管嘗試一部分的請求。規則群組會透過檢查用戶端傳送至應用程式登入端點的登入嘗試來執行此操作。 + **請求檢查** – ATP 可讓您查看和控制使用遭竊登入資料的異常登入嘗試和登入嘗試,以防止可能導致詐騙活動的帳戶接管。ATP 會針對其遭竊的登入資料資料庫檢查電子郵件和密碼組合,該資料庫會在深色 Web 上發現新的洩漏登入資料時定期更新。ATP 會依 IP 地址和用戶端工作階段彙總資料,以偵測和封鎖傳送過多可疑請求的用戶端。 + **回應檢查** – 對於 CloudFront 分佈,除了檢查傳入的登入請求之外,ATP 規則群組還會檢查應用程式的登入嘗試回應,以追蹤成功和失敗率。使用此資訊,ATP 可以暫時封鎖登入失敗次數過多的用戶端工作階段或 IP 地址。 會以非同步方式 AWS WAF 執行回應檢查,因此這不會增加 Web 流量的延遲。 ## 使用此規則群組的考量事項 使用此規則群組 此規則群組需要特定組態。若要設定和實作此規則群組,請參閱 中的指引[AWS WAF 詐騙控制帳戶接管預防 (ATP)](waf-atp.md)。 此規則群組是 中智慧型威脅緩解保護的一部分 AWS WAF。如需相關資訊,請參閱[中的智慧型威脅防禦 AWS WAF](waf-managed-protections.md)。 **注意** 當您使用此受管規則群組時,需支付額外費用。如需詳細資訊,請參閱[AWS WAF 定價](https://aws.amazon.com/waf/pricing/)。 若要降低成本,並確保您視需要管理 Web 流量,請根據 中的指引使用此規則群組[中的智慧型威脅防禦最佳實務 AWS WAF](waf-managed-protections-best-practices.md)。 此規則群組不適用於 Amazon Cognito 使用者集區。您無法將使用此規則群組的保護套件 (Web ACL) 與使用者集區建立關聯,也無法將此規則群組新增至已與使用者集區建立關聯的保護套件 (Web ACL)。 ## 此規則群組新增的標籤 此規則群組新增的標籤 此受管規則群組會將標籤新增至其評估的 Web 請求,這些請求可供保護套件 (Web ACL) AWS WAF 中在此規則群組之後執行的規則使用。 也會將標籤記錄到 Amazon CloudWatch 指標。如需標籤和標籤指標的一般資訊,請參閱 [Web 請求標籤](waf-labels.md)和 [標籤指標和維度](waf-metrics.md#waf-metrics-label)。 ### 字符標籤 字符標籤 此規則群組使用 AWS WAF 字符管理,根據其 AWS WAF 字符的狀態檢查和標記 Web 請求。 AWS WAF 使用字符進行用戶端工作階段追蹤和驗證。 如需字符和字符管理的資訊,請參閱 [用於 AWS WAF 智慧型威脅緩解的字符](waf-tokens.md)。 如需此處所述的標籤元件資訊,請參閱 [中的標籤語法和命名需求 AWS WAF](waf-rule-label-requirements.md)。 **用戶端工作階段標籤** 標籤`awswaf:managed:token:id:identifier`包含 AWS WAF 字符管理用來識別用戶端工作階段的唯一識別符。如果用戶端取得新的字符,例如在捨棄正在使用的字符之後,識別符可能會變更。 **注意** AWS WAF 不會報告此標籤的 Amazon CloudWatch 指標。 **瀏覽器指紋標籤** 標籤`awswaf:managed:token:fingerprint:fingerprint-identifier`包含強大的瀏覽器指紋識別符,權 AWS WAF 杖管理會從各種用戶端瀏覽器訊號運算。此識別符在多個字符擷取嘗試中保持不變。指紋識別符對單一用戶端來說不是唯一的。 **注意** AWS WAF 不會報告此標籤的 Amazon CloudWatch 指標。 **字符狀態標籤:標籤命名空間字首** 字符狀態標籤會報告字符的狀態,以及其中包含的挑戰和 CAPTCHA 資訊。 每個字符狀態標籤都以下列其中一個命名空間字首開頭: + `awswaf:managed:token:` – 用來報告字符的一般狀態,以及報告字符挑戰資訊的狀態。 + `awswaf:managed:captcha:` – 用來報告字符 CAPTCHA 資訊的狀態。 **字符狀態標籤:標籤名稱** 在字首後面,標籤的其餘部分提供詳細的字符狀態資訊: + `accepted` – 請求字符存在且包含下列項目: + 有效的挑戰或 CAPTCHA 解決方案。 + 未過期的挑戰或 CAPTCHA 時間戳記。 + 適用於保護套件的網域規格 (Web ACL)。 範例:標籤`awswaf:managed:token:accepted`指出 Web 請求的權杖具有有效的挑戰解決方案、未過期的挑戰時間戳記,以及有效的網域。 + `rejected` – 請求字符存在,但不符合接受條件。 除了拒絕的標籤之外,字符管理還會新增自訂標籤命名空間和名稱,以指出原因。 + `rejected:not_solved` – 字符缺少挑戰或 CAPTCHA 解決方案。 + `rejected:expired` – 權杖的挑戰或 CAPTCHA 時間戳記已過期,取決於您的保護套件 (Web ACL) 設定的權杖豁免時間。 + `rejected:domain_mismatch` – 字符的網域不符合您的保護套件 (Web ACL) 字符網域組態。 + `rejected:invalid` – AWS WAF 無法讀取指定的字符。 範例:標籤 `awswaf:managed:captcha:rejected`和 `awswaf:managed:captcha:rejected:expired`一起指出請求沒有有效的 CAPTCHA 解決方法,因為字符中的 CAPTCHA 時間戳記已超過保護套件 (Web ACL) 中設定的 CAPTCHA 字符豁免時間。 + `absent` – 請求沒有字符或字符管理器無法讀取。 範例:標籤`awswaf:managed:captcha:absent`表示請求沒有字符。 ### ATP 標籤 ATP 標籤 ATP 受管規則群組會產生具有命名空間字首的標籤,`awswaf:managed:aws:atp:`後面接著自訂命名空間和標籤名稱。 除了規則清單中記下的標籤之外,規則群組還可能會新增下列任何標籤: + `awswaf:managed:aws:atp:signal:credential_compromised` – 表示在請求中提交的登入資料位於遭竊的登入資料資料庫中。 + `awswaf:managed:aws:atp:aggregate:attribute:suspicious_tls_fingerprint` – 僅適用於受保護的 Amazon CloudFront 分佈。表示用戶端工作階段已傳送多個使用可疑 TLS 指紋的請求。 + `awswaf:managed:aws:atp:aggregate:volumetric:session:token_reuse:ip` – 表示在超過 5 個不同的 IP 地址中使用單一字符。此規則套用的閾值可能因延遲而略有不同。在套用標籤之前,有些請求可能會使其超過限制。 您可以透過 API 呼叫 來擷取規則群組的所有標籤`DescribeManagedRuleGroup`。這些標籤會列在回應的 `AvailableLabels` 屬性中。 ## 帳戶接管預防規則清單 規則清單 本節列出 中的 ATP 規則,`AWSManagedRulesATPRuleSet`以及規則群組規則新增至 Web 請求的標籤。 **注意** 本文件涵蓋此受管規則群組的最新版本。我們會在 的 changelog 日誌中報告版本變更[AWS 受管規則變更日誌](aws-managed-rule-groups-changelog.md)。如需其他版本的資訊,請使用 API 命令 [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)。 我們為 AWS 受管規則規則群組中的規則發佈的資訊,旨在為您提供使用規則所需的內容,而不會給予不法份子規避規則所需的內容。 如果您需要比此處更多的資訊,請聯絡 [AWS 支援 中心](https://console.aws.amazon.com/support/home#/)。 | 規則名稱 | 描述和標籤 | | --- | --- | | UnsupportedCognitoIDP | 檢查傳送至 Amazon Cognito 使用者集區的 Web 流量。ATP 不適用於 Amazon Cognito 使用者集區,此規則有助於確保不會使用其他 ATP 規則群組規則來評估使用者集區流量。 規則動作:Block 標籤: `awswaf:managed:aws:atp:unsupported:cognito_idp`和 `awswaf:managed:aws:atp:UnsupportedCognitoIDP` | | VolumetricIpHigh | 檢查從個別 IP 地址傳送的大量請求。在 10 分鐘的時段內,大量超過 20 個請求。 此規則套用的閾值可能因延遲而略有不同。對於高磁碟區,在套用規則動作之前,有些請求可能會使其超過限制。 規則動作:Block 標籤: `awswaf:managed:aws:atp:aggregate:volumetric:ip:high`和 `awswaf:managed:aws:atp:VolumetricIpHigh` 規則群組會將下列標籤套用至具有中等磁碟區 (每 10 分鐘超過 15 個請求) 和低磁碟區 (每 10 分鐘超過 10 個請求) 的請求,但不對其採取任何動作: `awswaf:managed:aws:atp:aggregate:volumetric:ip:medium`和 `awswaf:managed:aws:atp:aggregate:volumetric:ip:low`。 | | VolumetricSession | 檢查從個別用戶端工作階段傳送的大量請求。閾值為每個 30 分鐘時段超過 20 個請求。 此檢查僅適用於 Web 請求具有字符的情況。權杖會由應用程式整合 SDKs 和規則動作 CAPTCHA和 新增至請求Challenge。如需詳細資訊,請參閱[用於 AWS WAF 智慧型威脅緩解的字符](waf-tokens.md)。 此規則套用的閾值可能因延遲而略有不同。在套用規則動作之前,有些請求可能會使其超過限制。 規則動作:Block 標籤: `awswaf:managed:aws:atp:aggregate:volumetric:session`和 `awswaf:managed:aws:atp:VolumetricSession` | | AttributeCompromisedCredentials | 檢查來自使用遭竊憑證之相同用戶端工作階段的多個請求。 規則動作:Block 標籤: `awswaf:managed:aws:atp:aggregate:attribute:compromised_credentials`和 `awswaf:managed:aws:atp:AttributeCompromisedCredentials` | | AttributeUsernameTraversal | 檢查來自使用使用者名稱周遊之相同用戶端工作階段的多個請求。 規則動作:Block 標籤: `awswaf:managed:aws:atp:aggregate:attribute:username_traversal`和 `awswaf:managed:aws:atp:AttributeUsernameTraversal` | | AttributePasswordTraversal | 檢查是否有多個使用密碼周遊的相同使用者名稱的請求。 規則動作:Block 標籤: `awswaf:managed:aws:atp:aggregate:attribute:password_traversal`和 `awswaf:managed:aws:atp:AttributePasswordTraversal` | | AttributeLongSession | 檢查來自使用長期工作階段之相同用戶端工作階段的多個請求。閾值是超過 6 小時的流量,每 30 分鐘至少有一個登入請求。 此檢查僅適用於 Web 請求具有字符的情況。權杖會由應用程式整合 SDKs 和規則動作 CAPTCHA和 新增至請求Challenge。如需詳細資訊,請參閱[用於 AWS WAF 智慧型威脅緩解的字符](waf-tokens.md)。 規則動作:Block 標籤: `awswaf:managed:aws:atp:aggregate:attribute:long_session`和 `awswaf:managed:aws:atp:AttributeLongSession` | | TokenRejected | 檢查是否有字符管理拒絕的 AWS WAF 字符請求。 此檢查僅適用於 Web 請求具有字符的情況。權杖會由應用程式整合 SDKs 和規則動作 CAPTCHA和 新增至請求Challenge。如需詳細資訊,請參閱[用於 AWS WAF 智慧型威脅緩解的字符](waf-tokens.md)。 規則動作:Block 標籤:無。若要檢查權杖是否遭拒,請使用標籤比對規則來比對標籤:`awswaf:managed:token:rejected`。 | | SignalMissingCredential | 檢查是否有憑證缺少使用者名稱或密碼的請求。 規則動作:Block 標籤: `awswaf:managed:aws:atp:signal:missing_credential`和 `awswaf:managed:aws:atp:SignalMissingCredential` | | VolumetricIpFailedLoginResponseHigh | 檢查最近登入嘗試失敗率太高的 IP 地址。在 10 分鐘內,來自 IP 地址的高磁碟區超過 10 個失敗的登入請求。 如果您已設定規則群組來檢查回應內文或 JSON 元件, AWS WAF 可以檢查這些元件類型的前 65,536 個位元組 (64 KB) 是否有成功或失敗指標。 此規則會根據來自受保護資源的成功和失敗回應,以及來自相同 IP 地址的最近登入嘗試,將規則動作和標籤套用至來自 IP 地址的新 Web 請求。您可以在設定規則群組時,定義如何計算成功和失敗次數。 AWS WAF 只會在保護 Amazon CloudFront 分佈的保護套件 (Web ACLs) 中評估此規則。 此規則套用的閾值可能因延遲而略有不同。用戶端傳送失敗的登入嘗試次數可能超過規則在後續嘗試時開始比對之前允許的次數。 規則動作:Block 標籤: `awswaf:managed:aws:atp:aggregate:volumetric:ip:failed_login_response:high`和 `awswaf:managed:aws:atp:VolumetricIpFailedLoginResponseHigh` 規則群組也會將下列相關標籤套用至請求,而沒有任何相關聯的動作。所有計數都適用於 10 分鐘的時段。`awswaf:managed:aws:atp:aggregate:volumetric:ip:failed_login_response:medium`對於超過 5 個失敗的請求,`awswaf:managed:aws:atp:aggregate:volumetric:ip:failed_login_response:low`對於超過 1 個失敗`awswaf:managed:aws:atp:aggregate:volumetric:ip:successful_login_response:low`的請求,`awswaf:managed:aws:atp:aggregate:volumetric:ip:successful_login_response:high`對於超過 10 個成功的請求,`awswaf:managed:aws:atp:aggregate:volumetric:ip:successful_login_response:medium`對於超過 5 個成功的請求,以及對於超過 1 個成功的請求。 | | VolumetricSessionFailedLoginResponseHigh | 檢查最近登入嘗試失敗率太高的用戶端工作階段。在 30 分鐘內,來自用戶端工作階段的高磁碟區超過 10 個失敗的登入請求。 如果您已設定規則群組來檢查回應內文或 JSON 元件, AWS WAF 可以檢查這些元件類型的前 65,536 個位元組 (64 KB) 是否有成功或失敗指標。 此規則會根據從受保護資源到來自相同用戶端工作階段最近登入嘗試的成功和失敗回應,將規則動作和標籤套用至來自用戶端工作階段的新 Web 請求。您可以在設定規則群組時,定義如何計算成功和失敗次數。 AWS WAF 只會在保護 Amazon CloudFront 分佈的保護套件 (Web ACLs) 中評估此規則。 此規則套用的閾值可能因延遲而略有不同。用戶端傳送失敗的登入嘗試次數可能超過規則在後續嘗試時開始比對之前允許的次數。 此檢查僅適用於 Web 請求具有字符的情況。權杖會由應用程式整合 SDKs 和規則動作 CAPTCHA和 新增至請求Challenge。如需詳細資訊,請參閱[用於 AWS WAF 智慧型威脅緩解的字符](waf-tokens.md)。 規則動作:Block 標籤: `awswaf:managed:aws:atp:aggregate:volumetric:session:failed_login_response:high`和 `awswaf:managed:aws:atp:VolumetricSessionFailedLoginResponseHigh` 規則群組也會將下列相關標籤套用至請求,而沒有任何相關聯的動作。所有計數都適用於 30 分鐘的時段。`awswaf:managed:aws:atp:aggregate:volumetric:session:failed_login_response:medium`對於超過 5 個失敗的請求,`awswaf:managed:aws:atp:aggregate:volumetric:session:failed_login_response:low`對於超過 1 個失敗的請求,`awswaf:managed:aws:atp:aggregate:volumetric:session:successful_login_response:high`對於超過 10 個成功的請求,`awswaf:managed:aws:atp:aggregate:volumetric:session:successful_login_response:medium`對於超過 5 個成功的請求,以及`awswaf:managed:aws:atp:aggregate:volumetric:session:successful_login_response:low`對於超過 1 個成功的請求。 | # AWS WAF 機器人控制規則群組 機器人控制規則群組AI 代理器 Bot Control 受管規則群組的新 Web 身分驗證標籤。 Bot Control 受管規則群組現在支援 Web Bot Authentication (WBA) 作為存取 CloudFront 分佈的機器人和 AI 代理器的密碼編譯驗證方法。此功能可讓合法 AI 爬蟲程式和代理程式證明其身分,而不需要傳統的挑戰回應機制。Bot Control 受管規則群組已移除請求 CSP 的訊號標籤 Bot Control 受管規則群組已移除指示雲端服務提供者 (CSP) 的訊號標籤。請求 CSP 的機器人控制受管規則群組訊號標籤 Bot Control 受管規則群組訊號標籤包含指出雲端服務提供者 (CSP) 的標籤。Bot Control 受管規則群組中的新目標防護層級 Bot Control 受管規則群組現在提供額外的目標規則,用於偵測和緩解複雜的機器人。此保護層級需額外付費。 本節說明 Bot Control 受管規則群組的功能。 VendorName:`AWS`、Name:`AWSManagedRulesBotControlRuleSet`、WCU:50 **注意** 本文件涵蓋此受管規則群組的最新靜態版本版本。我們會在 的 changelog 日誌中報告版本變更[AWS 受管規則變更日誌](aws-managed-rule-groups-changelog.md)。如需其他版本的資訊,請使用 API 命令 [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)。 我們為 AWS 受管規則規則群組中的規則發佈的資訊,旨在為您提供使用規則所需的內容,而不會給予不法份子規避規則所需的內容。 如果您需要為機器人控制請求新的機器人分類,或需要此處未涵蓋的其他資訊,請聯絡 [AWS 支援 中心](https://console.aws.amazon.com/support/home#/)。 Bot Control 受管規則群組提供規則來管理來自機器人的請求。機器人可能會消耗過多的資源、扭曲業務指標、造成停機時間,以及執行惡意活動。 ## 保護層級 保護層級 Bot Control 受管規則群組提供兩種層級的保護,您可以從中選擇: + **常見** – 偵測各種自我識別機器人,例如 Web 抓取架構、搜尋引擎和自動化瀏覽器。此層級的機器人控制保護會使用傳統機器人偵測技術來識別常見的機器人,例如靜態請求資料分析。這些規則會標記來自這些機器人的流量,並封鎖他們無法驗證的流量。 + **目標型** – 包含共同層級的保護,並為無法自我識別的複雜機器人新增目標型偵測。針對性保護會使用速率限制和 CAPTCHA 和背景瀏覽器挑戰的組合來緩解機器人活動。 + **`TGT_`** – 提供目標保護的規則具有以 開頭的名稱`TGT_`。所有目標防護都使用瀏覽器查詢、指紋和行為啟發式等偵測技術來識別錯誤的機器人流量。 + **`TGT_ML_`** – 使用機器學習的目標保護規則具有以 開頭的名稱`TGT_ML_`。這些規則使用網站流量統計資料的自動化機器學習分析來偵測指示分散式、協調機器人活動的異常行為。 AWS WAF 會分析網站流量的統計資料,例如時間戳記、瀏覽器特性和先前造訪的 URL,以改善 Bot Control 機器學習模型。預設會啟用機器學習功能,但您可以在規則群組組態中停用這些功能。停用機器學習時, AWS WAF 不會評估這些規則。 目標保護層級和速率 AWS WAF 型規則陳述式都提供速率限制。如需兩個選項的比較,請參閱 [速率型規則和目標機器人控制規則中速率限制的選項](waf-rate-limiting-options.md)。 ## 使用此規則群組的考量事項 使用此規則群組 此規則群組是 中智慧型威脅防禦保護的一部分 AWS WAF。如需相關資訊,請參閱[中的智慧型威脅防禦 AWS WAF](waf-managed-protections.md)。 **注意** 當您使用此受管規則群組時,需支付額外費用。如需詳細資訊,請參閱[AWS WAF 定價](https://aws.amazon.com/waf/pricing/)。 若要降低您的成本,並確保您視需要管理 Web 流量,請根據 中的指引使用此規則群組[中的智慧型威脅防禦最佳實務 AWS WAF](waf-managed-protections-best-practices.md)。 我們會定期更新目標防護層級 ML 型規則的機器學習 (ML) 模型,以改善機器人預測。ML 型規則的名稱開頭為 `TGT_ML_`。如果您注意到這些規則所做的機器人預測突然發生重大變更,請透過您的客戶經理聯絡我們,或在 [AWS 支援 Center](https://console.aws.amazon.com/support/home#/) 開立案例。 ## 此規則群組新增的標籤 此規則群組新增的標籤 此受管規則群組會將標籤新增至其評估的 Web 請求,這些請求可供保護套件 (Web ACL) AWS WAF 中此規則群組之後執行的規則使用。 也會將標籤記錄到 Amazon CloudWatch 指標。如需標籤和標籤指標的一般資訊,請參閱 [Web 請求標籤](waf-labels.md)和 [標籤指標和維度](waf-metrics.md#waf-metrics-label)。 ### 字符標籤 字符標籤 此規則群組使用 AWS WAF 字符管理,根據其 AWS WAF 字符的狀態來檢查和標記 Web 請求。 AWS WAF 使用字符進行用戶端工作階段追蹤和驗證。 如需字符和字符管理的資訊,請參閱 [用於 AWS WAF 智慧型威脅緩解的字符](waf-tokens.md)。 如需此處所述的標籤元件資訊,請參閱 [中的標籤語法和命名需求 AWS WAF](waf-rule-label-requirements.md)。 **用戶端工作階段標籤** 標籤`awswaf:managed:token:id:identifier`包含 AWS WAF 字符管理用來識別用戶端工作階段的唯一識別符。如果用戶端取得新的字符,例如在捨棄正在使用的字符之後,識別符可能會變更。 **注意** AWS WAF 不會報告此標籤的 Amazon CloudWatch 指標。 **瀏覽器指紋標籤** 標籤`awswaf:managed:token:fingerprint:fingerprint-identifier`包含強大的瀏覽器指紋識別符,權 AWS WAF 杖管理會從各種用戶端瀏覽器訊號運算。此識別符在多次字符擷取嘗試中保持不變。指紋識別符對單一用戶端來說不是唯一的。 **注意** AWS WAF 不會報告此標籤的 Amazon CloudWatch 指標。 **字符狀態標籤:標籤命名空間字首** 字符狀態標籤會報告字符的狀態,以及其中包含的挑戰和 CAPTCHA 資訊。 每個字符狀態標籤都以下列其中一個命名空間字首開頭: + `awswaf:managed:token:` – 用來報告字符的一般狀態,以及報告字符挑戰資訊的狀態。 + `awswaf:managed:captcha:` – 用來報告字符 CAPTCHA 資訊的狀態。 **字符狀態標籤:標籤名稱** 在字首後面,標籤的其餘部分提供詳細的字符狀態資訊: + `accepted` – 請求字符存在且包含下列項目: + 有效的挑戰或 CAPTCHA 解決方案。 + 未過期的挑戰或 CAPTCHA 時間戳記。 + 適用於保護套件的網域規格 (Web ACL)。 範例:標籤`awswaf:managed:token:accepted`指出 Web 請求的權杖具有有效的挑戰解決方案、未過期的挑戰時間戳記,以及有效的網域。 + `rejected` – 請求字符存在,但不符合接受條件。 除了拒絕的標籤之外,字符管理還會新增自訂標籤命名空間和名稱,以指出原因。 + `rejected:not_solved` – 字符缺少挑戰或 CAPTCHA 解決方案。 + `rejected:expired` – 權杖的挑戰或 CAPTCHA 時間戳記已過期,根據您的保護套件 (Web ACL) 設定的權杖豁免時間而定。 + `rejected:domain_mismatch` – 字符的網域不符合您的保護套件 (Web ACL) 字符網域組態。 + `rejected:invalid` – AWS WAF 無法讀取指定的字符。 範例:標籤 `awswaf:managed:captcha:rejected`和 `awswaf:managed:captcha:rejected:expired`一起表示請求沒有有效的 CAPTCHA 解決方法,因為字符中的 CAPTCHA 時間戳記已超過保護套件 (Web ACL) 中設定的 CAPTCHA 字符豁免時間。 + `absent` – 請求沒有字符或字符管理器無法讀取。 範例:標籤`awswaf:managed:captcha:absent`指出請求沒有字符。 ### 機器人控制標籤 機器人控制標籤 Bot Control 受管規則群組會產生具有命名空間字首的標籤,`awswaf:managed:aws:bot-control:`後面接著自訂命名空間和標籤名稱。規則群組可能會將多個標籤新增至請求。 每個標籤都會反映 Bot Control 規則調查結果: + `awswaf:managed:aws:bot-control:bot:` – 與請求相關聯之機器人的相關資訊。 + `awswaf:managed:aws:bot-control:bot:name:` – 機器人名稱,如果有的話,例如,自訂命名空間 `bot:name:slurp`、 `bot:name:googlebot`和 `bot:name:pocket_parser`。 + `awswaf:managed:aws:bot-control:bot:name:` – 使用 WBA 簽章中的 RFC 產品字符識別特定機器人。這用於為特定機器人建立精細的自訂規則。例如,允許 `GoogleBot` 但速率限制其他爬蟲程式。 + `awswaf:managed:aws:bot-control:bot:category:` – 機器人的類別,如 和 AWS WAF`bot:category:search_engine` 所定義`bot:category:content_fetcher`。 + `awswaf:managed:aws:bot-control:bot:account:` –僅適用於使用 Amazon Bedrock Agent Core 的機器人。此標籤包含不透明雜湊,可唯一識別擁有代理 AWS 的帳戶。使用此標籤來建立自訂規則,以允許、封鎖或限制特定 AWS 帳戶的機器人,而不會在日誌中公開帳戶 IDs。 + `awswaf:managed:aws:bot-control:bot:web_bot_auth:` – 在對請求執行 Web Bot Authentication (WBA) 驗證時套用。狀態尾碼表示驗證結果: + `web_bot_auth:verified` – 簽章已成功針對公有金鑰目錄進行驗證 + `web_bot_auth:invalid` – 簽章存在,但密碼編譯驗證失敗 + `web_bot_auth:expired` – Signature 使用過期的加密金鑰 + `web_bot_auth:unknown_bot` – 在金鑰目錄中找不到金鑰 ID **注意** 當`web_bot_auth:verified`標籤存在時, `CategoryAI`和 `TGT_TokenAbsent`規則不相符,允許已驗證的 WBA 主機繼續。 + `awswaf:managed:aws:bot-control:bot:organization:` – 機器人的發佈者,例如 `bot:organization:google`。 + `awswaf:managed:aws:bot-control:bot:verified` – 用來指示識別自己且 Bot Control 能夠驗證的機器人。這用於常見的所需機器人,當與類別標籤如 `bot:category:search_engine`或名稱標籤如 結合使用時非常有用`bot:name:googlebot`。 **注意** Bot Control 會使用來自 Web 請求原始伺服器的 IP 地址,協助判斷機器人是否已驗證。您無法將其設定為使用 AWS WAF 轉送的 IP 組態,以檢查不同的 IP 地址來源。如果您已驗證透過代理或負載平衡器路由的機器人,您可以新增在 Bot Control 規則群組之前執行的規則,以協助處理此問題。設定您的新規則以使用轉送的 IP 地址,並明確允許來自已驗證機器人的請求。如需使用轉送 IP 地址的詳細資訊,請參閱 [在 中使用轉送的 IP 地址 AWS WAF](waf-rule-statement-forwarded-ip-address.md)。 + `awswaf:managed:aws:bot-control:bot:vendor:` – 識別已驗證機器人的廠商或運算子。目前僅適用於 Agentcore。使用 建立自訂規則,允許或封鎖特定機器人廠商,無論個別機器人名稱為何。 + `awswaf:managed:aws:bot-control:bot:user_triggered:verified` – 用來表示類似於已驗證機器人的機器人,但最終使用者可能會直接叫用。機器人控制規則會將此類別的機器人視為未驗證的機器人。 + `awswaf:managed:aws:bot-control:bot:developer_platform:verified` – 用來表示類似於已驗證機器人的機器人,但開發人員平台用於指令碼,例如 Google Apps Script。機器人控制規則會將此類別的機器人視為未驗證的機器人。 + `awswaf:managed:aws:bot-control:bot:unverified` – 用來指示識別自己的機器人,以便將其命名和分類,但不會發佈可用於獨立驗證其身分的資訊。這些類型的機器人簽章可能是偽造的,因此會被視為未驗證。 + `awswaf:managed:aws:bot-control:targeted: ` – 用於 Bot Control 目標保護特有的標籤。 + `awswaf:managed:aws:bot-control:signal:` 和 `awswaf:managed:aws:bot-control:targeted:signal: `– 用於在某些情況下提供有關請求的其他資訊。 以下是訊號標籤的範例。這不是詳盡的清單: + `awswaf:managed:aws:bot-control:signal:cloud_service_provider:` – 指出請求的雲端服務提供者 (CSP)。CSPs 的範例包括 `aws` Amazon Web Services 基礎設施、`gcp`Google Cloud Platform (GCP) 基礎設施、`azure`Microsoft Azure 雲端服務和 Oracle Cloud `oracle` 服務。 + `awswaf:managed:aws:bot-control:targeted:signal:browser_automation_extension` – 表示偵測協助自動化的瀏覽器延伸模組,例如 Selenium IDE。 每當使用者安裝了這種類型的延伸模組時,就會新增此標籤,即使使用者未主動使用也一樣。如果您為此實作標籤比對規則,請注意在規則邏輯和動作設定中出現誤報的可能性。例如,您可以使用 CAPTCHA動作,而不是 Block,或者您可以將此標籤比對與其他標籤比對結合,以提高您使用自動化的信心。 + `awswaf:managed:aws:bot-control:signal:automated_browser` – 表示請求包含用戶端瀏覽器可能已自動化的指標。 + `awswaf:managed:aws:bot-control:targeted:signal:automated_browser` – 表示請求的 AWS WAF 權杖包含用戶端瀏覽器可能為自動化的指標。 您可以透過 API 呼叫 來擷取規則群組的所有標籤`DescribeManagedRuleGroup`。這些標籤會列在回應的 `AvailableLabels` 屬性中。 Bot Control 受管規則群組會將標籤套用至一組通常允許的可驗證機器人。規則群組不會封鎖這些已驗證的機器人。如果需要,您可以編寫使用 Bot Control 受管規則群組所套用標籤的自訂規則來封鎖它們或其中一部分。如需此 和範例的詳細資訊,請參閱 [AWS WAF 機器人控制](waf-bot-control.md)。 ## 機器人控制規則清單 規則清單 本節列出機器人控制規則。 **注意** 本文件涵蓋此受管規則群組的最新版本。我們會在 的 changelog 日誌中報告版本變更[AWS 受管規則變更日誌](aws-managed-rule-groups-changelog.md)。如需其他版本的資訊,請使用 API 命令 [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)。 我們為 AWS 受管規則規則群組中的規則發佈的資訊,旨在為您提供使用規則所需的內容,而不會給予不法份子規避規則所需的內容。 如果您需要為機器人控制請求新的機器人分類,或需要此處未涵蓋的其他資訊,請聯絡 [AWS 支援 中心](https://console.aws.amazon.com/support/home#/)。 | 規則名稱 | Description | | --- | --- | | CategoryAdvertising | 檢查用於廣告目的的機器人。例如,您可以使用需要以程式設計方式存取網站的第三方廣告服務。 規則動作,僅適用於未驗證的機器人: Block 標籤: `awswaf:managed:aws:bot-control:bot:category:advertising`和 `awswaf:managed:aws:bot-control:CategoryAdvertising` 對於已驗證的機器人,規則群組不符合此規則,且不採取任何動作,但會新增機器人名稱和類別標籤加上標籤 `awswaf:managed:aws:bot-control:bot:verified`。 | | CategoryArchiver | 檢查用於封存目的的機器人。這些機器人會爬取 Web 並擷取內容,以建立封存。 規則動作,僅適用於未驗證的機器人: Block 標籤: `awswaf:managed:aws:bot-control:bot:category:archiver`和 `awswaf:managed:aws:bot-control:CategoryArchiver` 對於已驗證的機器人,規則群組不符合此規則,且不採取任何動作,但會新增機器人名稱和類別標籤加上標籤 `awswaf:managed:aws:bot-control:bot:verified`。 | | CategoryContentFetcher | 檢查代表使用者造訪應用程式網站的機器人、擷取 RSS 摘要等內容,或驗證或驗證您的內容。 規則動作,僅適用於未驗證的機器人: Block 標籤: `awswaf:managed:aws:bot-control:bot:category:content_fetcher`和 `awswaf:managed:aws:bot-control:CategoryContentFetcher` 對於已驗證的機器人,規則群組不符合此規則,且不採取任何動作,但會新增機器人名稱和類別標籤加上標籤 `awswaf:managed:aws:bot-control:bot:verified`。 | | CategoryEmailClient | 檢查檢查電子郵件中指向應用程式網站的連結的機器人。這可能包括由企業和電子郵件供應商執行的機器人,以驗證電子郵件中的連結並標記可疑的電子郵件。 規則動作,僅適用於未驗證的機器人: Block 標籤: `awswaf:managed:aws:bot-control:bot:category:email_client`和 `awswaf:managed:aws:bot-control:CategoryEmailClient` 對於已驗證的機器人,規則群組不符合此規則,且不採取任何動作,但會新增機器人名稱和類別標籤加上標籤 `awswaf:managed:aws:bot-control:bot:verified`。 | | CategoryHttpLibrary | 檢查機器人從各種程式設計語言的 HTTP 程式庫產生的請求。這些可能包括您選擇允許或監控的 API 請求。 規則動作,僅適用於未驗證的機器人: Block 標籤: `awswaf:managed:aws:bot-control:bot:category:http_library`和 `awswaf:managed:aws:bot-control:CategoryHttpLibrary` 對於已驗證的機器人,規則群組不符合此規則,且不採取任何動作,但會新增機器人名稱和類別標籤加上標籤 `awswaf:managed:aws:bot-control:bot:verified`。 | | CategoryLinkChecker | 檢查檢查是否有機器人檢查連結是否損壞。 規則動作,僅適用於未驗證的機器人: Block 標籤: `awswaf:managed:aws:bot-control:bot:category:link_checker`和 `awswaf:managed:aws:bot-control:CategoryLinkChecker` 對於已驗證的機器人,規則群組不符合此規則,且不採取任何動作,但會新增機器人名稱和類別標籤加上標籤 `awswaf:managed:aws:bot-control:bot:verified`。 | | CategoryMiscellaneous | 檢查其他不符合其他類別的機器人。 規則動作,僅適用於未驗證的機器人: Block 標籤: `awswaf:managed:aws:bot-control:bot:category:miscellaneous`和 `awswaf:managed:aws:bot-control:CategoryMiscellaneous` 對於已驗證的機器人,規則群組不符合此規則,且不採取任何動作,但會新增機器人名稱和類別標籤加上標籤 `awswaf:managed:aws:bot-control:bot:verified`。 | | CategoryMonitoring | 檢查用於監控目的的機器人。例如,您可以使用機器人監控服務來定期 ping 應用程式網站,以監控效能和運作時間等項目。 規則動作,僅適用於未驗證的機器人: Block 標籤: `awswaf:managed:aws:bot-control:bot:category:monitoring`和 `awswaf:managed:aws:bot-control:CategoryMonitoring` 對於已驗證的機器人,規則群組不符合此規則,且不採取任何動作,但會新增機器人名稱和類別標籤加上標籤 `awswaf:managed:aws:bot-control:bot:verified`。 | | CategoryPagePreview | 在簡訊平台、社交媒體或協同合作工具上共用內容時,檢查產生頁面預覽和連結預覽的機器人。 規則動作,僅適用於未驗證的機器人: Block 標籤: `awswaf:managed:aws:bot-control:bot:category:page_preview`和 `awswaf:managed:aws:bot-control:CategoryPagePreview` 對於已驗證的機器人,規則群組不符合此規則,且不採取任何動作,但會新增機器人名稱和類別標籤加上標籤 `awswaf:managed:aws:bot-control:bot:verified`。 | | CategoryScrapingFramework | 檢查來自 Web 抓取架構的機器人,這些架構用於自動從網站爬取和擷取內容。 規則動作,僅適用於未驗證的機器人: Block 標籤: `awswaf:managed:aws:bot-control:bot:category:scraping_framework`和 `awswaf:managed:aws:bot-control:CategoryScrapingFramework` 對於已驗證的機器人,規則群組不符合此規則,且不採取任何動作,但會新增機器人名稱和類別標籤加上標籤 `awswaf:managed:aws:bot-control:bot:verified`。 | | CategorySearchEngine | 檢查搜尋引擎機器人,哪些網路爬取網站編製內容索引,並使資訊可用於搜尋引擎結果。 規則動作,僅適用於未驗證的機器人: Block 標籤: `awswaf:managed:aws:bot-control:bot:category:search_engine`和 `awswaf:managed:aws:bot-control:CategorySearchEngine` 對於已驗證的機器人,規則群組不符合此規則,且不採取任何動作,但會新增機器人名稱和類別標籤加上標籤 `awswaf:managed:aws:bot-control:bot:verified`。 | | CategorySecurity | 檢查掃描 Web 應用程式是否有漏洞或執行安全稽核的機器人。例如,您可以使用第三方安全廠商來掃描、監控或稽核 Web 應用程式的安全性。 規則動作,僅適用於未驗證的機器人: Block 標籤: `awswaf:managed:aws:bot-control:bot:category:security`和 `awswaf:managed:aws:bot-control:CategorySecurity` 對於已驗證的機器人,規則群組不符合此規則,且不採取任何動作,但會新增機器人名稱和類別標籤加上標籤 `awswaf:managed:aws:bot-control:bot:verified`。 | | CategorySeo | 檢查用於搜尋引擎最佳化的機器人。例如,您可以使用搜尋引擎工具來編目您的網站,以協助您改善搜尋引擎排名。 規則動作,僅適用於未驗證的機器人: Block 標籤: `awswaf:managed:aws:bot-control:bot:category:seo`和 `awswaf:managed:aws:bot-control:CategorySeo` 對於已驗證的機器人,規則群組不符合此規則,且不採取任何動作,但會新增機器人名稱和類別標籤加上標籤 `awswaf:managed:aws:bot-control:bot:verified`。 | | CategorySocialMedia | 檢查社交媒體平台所使用的機器人,以便在使用者共用您的內容時提供內容摘要。 規則動作,僅適用於未驗證的機器人: Block 標籤: `awswaf:managed:aws:bot-control:bot:category:social_media`和 `awswaf:managed:aws:bot-control:CategorySocialMedia` 對於已驗證的機器人,規則群組不符合此規則,且不採取任何動作,但會新增機器人名稱和類別標籤加上標籤 `awswaf:managed:aws:bot-control:bot:verified`。 | | CategoryWebhooks | 檢查透過 HTTP 回呼將自動通知和資料更新從一個應用程式交付到另一個應用程式的機器人。 規則動作,僅適用於未驗證的機器人: Block 標籤: `awswaf:managed:aws:bot-control:bot:category:webhooks`和 `awswaf:managed:aws:bot-control:CategoryWebhooks` 對於已驗證的機器人,規則群組不符合此規則,且不採取任何動作,但會新增機器人名稱和類別標籤加上標籤 `awswaf:managed:aws:bot-control:bot:verified`。 | | CategoryAI | 檢查人工智慧 (AI) 機器人。 此規則會將 動作套用至所有相符項目,無論機器人是否經過驗證。 規則動作:Block 標籤: `awswaf:managed:aws:bot-control:bot:category:ai`和 `awswaf:managed:aws:bot-control:CategoryAI` 對於已驗證的機器人,規則群組符合此規則並採取 動作。它還會新增機器人名稱和類別標籤、規則標籤,以及標籤 `awswaf:managed:aws:bot-control:bot:verified`。 | | SignalAutomatedBrowser | 檢查未來自已驗證機器人的請求,是否有可能自動化用戶端瀏覽器的指標。自動化瀏覽器可用於測試或抓取。例如,您可以使用這些類型的瀏覽器來監控或驗證您的應用程式網站。 規則動作:Block 標籤: `awswaf:managed:aws:bot-control:signal:automated_browser`和 `awswaf:managed:aws:bot-control:SignalAutomatedBrowser` 對於已驗證的機器人,規則群組不符合此規則,且不會套用任何訊號或規則標籤。 | | SignalKnownBotDataCenter | 檢查未來自已驗證機器人的請求,是否有通常由機器人使用的資料中心指標。 規則動作:Block 標籤: `awswaf:managed:aws:bot-control:signal:known_bot_data_center`和 `awswaf:managed:aws:bot-control:SignalKnownBotDataCenter` 對於已驗證的機器人,規則群組不符合此規則,且不會套用任何訊號或規則標籤。 | | SignalNonBrowserUserAgent | 檢查不是來自已驗證機器人的請求,是否有似乎不是來自 Web 瀏覽器的使用者代理程式字串。此類別可以包含 API 請求。 規則動作:Block 標籤: `awswaf:managed:aws:bot-control:signal:non_browser_user_agent`和 `awswaf:managed:aws:bot-control:SignalNonBrowserUserAgent` 對於已驗證的機器人,規則群組不符合此規則,且不會套用任何訊號或規則標籤。 | | TGT\$1VolumetricIpTokenAbsent | 檢查過去 5 分鐘內未來自已驗證機器人且來自單一用戶端的 5 個或更多請求的請求,這些請求不包含有效的挑戰字符。如需字符的相關資訊,請參閱 [用於 AWS WAF 智慧型威脅緩解的字符](waf-tokens.md)。 如果來自相同用戶端的請求最近缺少字符,則此規則可能符合具有字符的請求。 此規則套用的閾值可能因延遲而略有不同。 此規則處理遺失字符的方式與字符標籤不同:`awswaf:managed:token:absent`。字符標籤會標記沒有字符的個別請求。此規則會維護每個用戶端 IP 缺少權杖的請求計數,並與超過限制的用戶端相符。 規則動作:Challenge 標籤: `awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:ip:token_absent`和 `awswaf:managed:aws:bot-control:TGT_VolumetricIpTokenAbsent` | | TGT\$1TokenAbsent | 檢查未來自未包含有效挑戰字符之已驗證機器人的請求。如需字符的相關資訊,請參閱 [用於 AWS WAF 智慧型威脅緩解的字符](waf-tokens.md)。 規則動作:Count 標籤: `awswaf:managed:aws:bot-control:TGT_TokenAbsent` | | TGT\$1VolumetricSession | 檢查是否有異常大量的請求,這些請求不是來自 5 分鐘內來自單一用戶端工作階段的已驗證機器人。評估是根據與使用歷史流量模式 AWS WAF 維護之標準容積基準的比較。 此檢查僅適用於 Web 請求具有字符的情況。權杖會由應用程式整合 SDKs 和規則動作 CAPTCHA和 新增至請求Challenge。如需詳細資訊,請參閱[用於 AWS WAF 智慧型威脅緩解的字符](waf-tokens.md)。 此規則在您啟用後可能需要 5 分鐘才會生效。Bot Control 透過比較目前的流量與 AWS WAF 運算的流量基準來識別 Web 流量中的異常行為。 規則動作:CAPTCHA 標籤: `awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:session:high`和 `awswaf:managed:aws:bot-control:TGT_VolumetricSession` 規則群組會將下列標籤套用至高於最低閾值的中等磁碟區和較低磁碟區請求。對於這些層級,無論用戶端是否已驗證: `awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:session:medium`和 ,規則都不會採取任何動作`awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:session:low`。 | | TGT\$1VolumetricSessionMaximum | 檢查是否有異常大量的請求,這些請求不是來自 5 分鐘內來自單一用戶端工作階段的已驗證機器人。評估是根據與使用歷史流量模式 AWS WAF 維護之標準容積基準的比較。 此規則表示評估的最大可信度。 此檢查僅適用於 Web 請求具有字符的情況。權杖會由應用程式整合 SDKs 和規則動作 CAPTCHA和 新增至請求Challenge。如需詳細資訊,請參閱[用於 AWS WAF 智慧型威脅緩解的字符](waf-tokens.md)。 此規則在您啟用後可能需要 5 分鐘才會生效。Bot Control 透過比較目前的流量與 AWS WAF 運算的流量基準來識別 Web 流量中的異常行為。 規則動作:Block 標籤: `awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:session:maximum`和 `awswaf:managed:aws:bot-control:TGT_VolumetricSessionMaximum` | | TGT\$1SignalAutomatedBrowser | 檢查未來自已驗證機器人之請求的字符,是否有可能自動化用戶端瀏覽器的指標。如需詳細資訊,請參閱[AWS WAF 字符特性](waf-tokens-details.md)。 此檢查僅適用於 Web 請求具有字符的情況。權杖會由應用程式整合 SDKs 和規則動作 CAPTCHA和 新增至請求Challenge。如需詳細資訊,請參閱[用於 AWS WAF 智慧型威脅緩解的字符](waf-tokens.md)。 規則動作:CAPTCHA 標籤: `awswaf:managed:aws:bot-control:targeted:signal:automated_browser`和 `awswaf:managed:aws:bot-control:TGT_SignalAutomatedBrowser` | | TGT\$1SignalBrowserAutomationExtension | 檢查不是來自已驗證機器人的請求,這些機器人指出存在協助自動化的瀏覽器延伸模組,例如 Selenium IDE。每當使用者安裝這種類型的延伸模組時,即使使用者未主動使用,此規則都會相符。 此檢查僅適用於 Web 請求具有字符的情況。權杖會由應用程式整合 SDKs 和規則動作 CAPTCHA和 新增至請求Challenge。如需詳細資訊,請參閱[用於 AWS WAF 智慧型威脅緩解的字符](waf-tokens.md)。 規則動作:CAPTCHA 標籤: `awswaf:managed:aws:bot-control:targeted:signal:browser_automation_extension`和 `awswaf:managed:aws:bot-control:TGT_SignalBrowserAutomationExtension` | | TGT\$1SignalBrowserInconsistency | 檢查來自已驗證機器人的請求是否有不一致的瀏覽器查詢資料。如需詳細資訊,請參閱[AWS WAF 字符特性](waf-tokens-details.md)。 此檢查僅適用於 Web 請求具有字符的情況。權杖會由應用程式整合 SDKs 和規則動作 CAPTCHA和 新增至請求Challenge。如需詳細資訊,請參閱[用於 AWS WAF 智慧型威脅緩解的字符](waf-tokens.md)。 規則動作:CAPTCHA 標籤: `awswaf:managed:aws:bot-control:targeted:signal:browser_inconsistency`和 `awswaf:managed:aws:bot-control:TGT_SignalBrowserInconsistency` | | TGT\$1ML\$1CoordinatedActivityLow, TGT\$1ML\$1CoordinatedActivityMedium, TGT\$1ML\$1CoordinatedActivityHigh | 檢查來自已驗證機器人的請求是否有與分散式、協調機器人活動一致的異常行為。規則層級表示一組請求是協同攻擊參與者的可信度層級。 只有在規則群組設定為使用機器學習 (ML) 時,才會執行這些規則。如需設定此選項的詳細資訊,請參閱 [將 AWS WAF Bot Control 受管規則群組新增至 Web ACL](waf-bot-control-rg-using.md)。 這些規則套用的閾值可能因延遲而略有不同。在套用規則動作之前,有些請求可能會使其超過限制。 AWS WAF 透過網站流量統計資料的機器學習分析來執行此檢查。 會每幾分鐘 AWS WAF 分析一次 Web 流量,並最佳化分析,以偵測分散在許多 IP 地址的低強度、長時間機器人。 這些規則可能會在極少數的請求上相符,然後再判斷是否正在進行協調式攻擊。因此,如果您只看到一兩個相符項目,則結果可能是誤報。不過,如果您看到這些規則出現許多相符項目,則表示您可能正遭受協調式攻擊。 在您使用 ML 選項啟用 Bot Control 目標規則之後,這些規則最多可能需要 24 小時才會生效。Bot Control 會將目前的流量與已計算的 AWS WAF 流量基準進行比較,以識別 Web 流量中的異常行為。當您使用 Bot Control 目標規則搭配 ML 選項時, AWS WAF 只會計算基準,而且最多可能需要 24 小時才能建立有意義的基準。 我們會定期更新這些規則的機器學習模型,以改善機器人預測。如果您注意到這些規則所做的機器人預測突然發生重大變更,請聯絡您的客戶經理或在 [AWS 支援 Center](https://console.aws.amazon.com/support/home#/) 開立案例。 規則動作: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-bot.html) 標籤: `awswaf:managed:aws:bot-control:targeted:aggregate:coordinated_activity:low\|medium\|high`和 `awswaf:managed:aws:bot-control:TGT_ML_CoordinatedActivityLow\|Medium\|High` | | TGT\$1TokenReuseIpLow, TGT\$1TokenReuseIpMedium, TGT\$1TokenReuseIpHigh | 檢查未來自已驗證機器人的請求,以在過去 5 分鐘內在多個 IPs 中使用單一字符。每個層級都有不同 IPs 的數量限制: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-bot.html) 這些規則套用的閾值可能因延遲而略有不同。在套用規則動作之前,少數請求可能會使其超過限制。 規則動作: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-bot.html) 標籤: `awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:session:token_reuse:ip:low\|medium\|high`和 `awswaf:managed:aws:bot-control:TGT_TokenReuseIpLow\|Medium\|High` | | TGT\$1TokenReuseCountryLow, TGT\$1TokenReuseCountryMedium, TGT\$1TokenReuseCountryHigh | 檢查未來自已驗證機器人的請求,以在過去 5 分鐘內跨多個國家使用單一字符。每個層級都有不同國家/地區的數量限制: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-bot.html) 這些規則套用的閾值可能因延遲而略有不同。在套用規則動作之前,少數請求可能會使其超過限制。 規則動作: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-bot.html) 標籤: `awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:session:token_reuse:country:low\|medium\|high`和 `awswaf:managed:aws:bot-control:TGT_TokenReuseCountryLow\|Medium\|High` | | TGT\$1TokenReuseAsnLow, TGT\$1TokenReuseAsnMedium, TGT\$1TokenReuseAsnHigh | 檢查未來自已驗證機器人的請求,是否在過去 5 分鐘內跨多個聯網自動系統編號 (ASNs) 使用單一字符。每個層級都有不同 ASNs 的數量限制: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-bot.html) 這些規則套用的閾值可能因延遲而略有不同。在套用規則動作之前,少數請求可能會使其超過限制。 規則動作: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-bot.html) 標籤: `awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:session:token_reuse:asn:low\|medium\|high`和 `awswaf:managed:aws:bot-control:TGT_TokenReuseAsnLow\|Medium\|High` | # AWS WAF 分散式阻斷服務 (DDoS) 預防規則群組 反 DDoS 規則群組的新 Anti-DDoS 受管規則群組 AWS WAF `AWSManagedRulesAntiDDoSRuleSet` 透過偵測、標記和挑戰疑似參與 DDoS 攻擊的請求來保護您的資源。 本節說明 AWS WAF 受管規則群組,用於防範分散式阻斷服務 (DDoS) 攻擊。 VendorName:`AWS`、Name:`AWSManagedRulesAntiDDoSRuleSet`、WCU:50 **注意** 本文件涵蓋此受管規則群組的最新版本。我們會在 的 changelog 日誌中報告版本變更[AWS 受管規則變更日誌](aws-managed-rule-groups-changelog.md)。如需其他版本的資訊,請使用 API 命令 [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)。 我們為 AWS 受管規則規則群組中的規則發佈的資訊,旨在為您提供使用規則所需的內容,而不會給予不法份子規避規則所需的內容。 如果您需要比此處更多的資訊,請聯絡 [AWS 支援 中心](https://console.aws.amazon.com/support/home#/)。 反 DDoS 受管規則群組提供規則,可偵測和管理正在參與或可能正在參與 DDoS 攻擊的請求。此外,規則群組會標記它在可能事件期間評估的所有請求。 ## 使用此規則群組的考量事項 使用此規則群組 此規則群組為進入 DDoS 攻擊中資源的 Web 請求提供軟式和硬式緩解。若要偵測不同的威脅層級,您可以將這兩種緩解類型的敏感度調整為高、中或低可疑層級。 + **軟性緩解** – 規則群組可以傳送靜音瀏覽器挑戰,以回應可處理挑戰間質的請求。如需執行挑戰需求的相關資訊,請參閱 [CAPTCHA 和 Challenge動作行為](waf-captcha-and-challenge-actions.md)。 + **硬性緩解** – 規則群組可以完全封鎖請求。 如需規則群組如何運作以及如何設定規則群組的詳細資訊,請參閱 [使用反 DDoS 受管規則群組的進階 AWS WAF 反 DDoS 保護](waf-anti-ddos-advanced.md)。 **注意** 當您使用此受管規則群組時,需支付額外費用。如需詳細資訊,請參閱[AWS WAF 定價](https://aws.amazon.com/waf/pricing/)。 此規則群組是 中智慧型威脅緩解保護的一部分 AWS WAF。如需相關資訊,請參閱[中的智慧型威脅防禦 AWS WAF](waf-managed-protections.md)。 為了將成本降至最低並最佳化流量管理,請根據最佳實務準則使用此規則群組。請參閱 [中的智慧型威脅防禦最佳實務 AWS WAF](waf-managed-protections-best-practices.md)。 ## 此規則群組新增的標籤 此規則群組新增的標籤 此受管規則群組會將標籤新增至其評估的 Web 請求,這些請求可供保護套件 (Web ACL) AWS WAF 中此規則群組之後執行的規則使用。 也會將標籤記錄到 Amazon CloudWatch 指標。如需標籤和標籤指標的一般資訊,請參閱 [Web 請求標籤](waf-labels.md)和 [標籤指標和維度](waf-metrics.md#waf-metrics-label)。 ### 字符標籤 字符標籤 此規則群組使用 AWS WAF 字符管理,根據其 AWS WAF 字符的狀態檢查和標記 Web 請求。 AWS WAF 使用字符進行用戶端工作階段追蹤和驗證。 如需字符和字符管理的資訊,請參閱 [用於 AWS WAF 智慧型威脅緩解的字符](waf-tokens.md)。 如需此處所述的標籤元件資訊,請參閱 [中的標籤語法和命名需求 AWS WAF](waf-rule-label-requirements.md)。 **用戶端工作階段標籤** 標籤`awswaf:managed:token:id:identifier`包含 AWS WAF 字符管理用來識別用戶端工作階段的唯一識別符。如果用戶端取得新的字符,例如在捨棄正在使用的字符之後,識別符可能會變更。 **注意** AWS WAF 不會報告此標籤的 Amazon CloudWatch 指標。 **瀏覽器指紋標籤** 標籤`awswaf:managed:token:fingerprint:fingerprint-identifier`包含強大的瀏覽器指紋識別符,權 AWS WAF 杖管理會從各種用戶端瀏覽器訊號運算。此識別符在多個字符擷取嘗試中保持不變。指紋識別符對單一用戶端來說不是唯一的。 **注意** AWS WAF 不會報告此標籤的 Amazon CloudWatch 指標。 **字符狀態標籤:標籤命名空間字首** 字符狀態標籤會報告字符的狀態,以及其中包含的挑戰和 CAPTCHA 資訊。 每個字符狀態標籤都以下列其中一個命名空間字首開頭: + `awswaf:managed:token:` – 用來報告字符的一般狀態,以及報告字符挑戰資訊的狀態。 + `awswaf:managed:captcha:` – 用來報告字符 CAPTCHA 資訊的狀態。 **字符狀態標籤:標籤名稱** 在字首後面,標籤的其餘部分提供詳細的字符狀態資訊: + `accepted` – 請求字符存在並包含下列項目: + 有效的挑戰或 CAPTCHA 解決方案。 + 未過期的挑戰或 CAPTCHA 時間戳記。 + 適用於保護套件 (Web ACL) 的網域規格。 範例:標籤`awswaf:managed:token:accepted`指出 Web 請求的權杖具有有效的挑戰解決方案、未過期的挑戰時間戳記,以及有效的網域。 + `rejected` – 請求字符存在,但不符合接受條件。 除了拒絕的標籤之外,字符管理還會新增自訂標籤命名空間和名稱,以指出原因。 + `rejected:not_solved` – 字符缺少挑戰或 CAPTCHA 解決方案。 + `rejected:expired` – 權杖的挑戰或 CAPTCHA 時間戳記已過期,視您的保護套件 (Web ACL) 設定的權杖豁免時間而定。 + `rejected:domain_mismatch` – 字符的網域不符合您的保護套件 (Web ACL) 字符網域組態。 + `rejected:invalid` – AWS WAF 無法讀取指定的字符。 範例:標籤 `awswaf:managed:captcha:rejected`和 `awswaf:managed:captcha:rejected:expired`一起表示請求沒有有效的 CAPTCHA 解決方法,因為字符中的 CAPTCHA 時間戳記已超過保護套件 (Web ACL) 中設定的 CAPTCHA 字符豁免時間。 + `absent` – 請求沒有字符或字符管理器無法讀取。 範例:標籤`awswaf:managed:captcha:absent`表示請求沒有字符。 ### 反 DDoS 標籤 反 DDoS 標籤 Anti-DDoS 受管規則群組會產生具有命名空間字首的標籤,`awswaf:managed:aws:anti-ddos:`後面接著任何自訂命名空間和標籤名稱。每個標籤都會反映反 DDoS 調查結果的某些層面。 除了個別規則新增的標籤之外,規則群組還可能將下列多個標籤新增至請求。 + `awswaf:managed:aws:anti-ddos:event-detected` – 表示請求將傳送至受管規則群組偵測到 DDoS 事件的受保護資源。當資源的流量與資源的流量基準有顯著偏差時,受管規則群組會偵測事件。 規則群組會在資源處於此狀態時,將此標籤新增至資源的每個請求,因此合法流量和攻擊流量會取得此標籤。 + `awswaf:managed:aws:anti-ddos:ddos-request` – 表示請求來自疑似參與事件的來源。 除了一般標籤之外,規則群組還會新增下列標籤,指出可信度層級。 `awswaf:managed:aws:anti-ddos:low-suspicion-ddos-request` – 表示可能的 DDoS 攻擊請求。 `awswaf:managed:aws:anti-ddos:medium-suspicion-ddos-request` – 表示非常可能的 DDoS 攻擊請求。 `awswaf:managed:aws:anti-ddos:high-suspicion-ddos-request` – 表示非常可能的 DDoS 攻擊請求。 + `awswaf:managed:aws:anti-ddos:challengeable-request` – 表示請求 URI 能夠處理Challenge動作。受管規則群組會將此套用至 URI 未豁免的任何請求。如果 URIs符合規則群組的豁免 URI 規則表達式,則會豁免 URI。 如需可以接受無提示瀏覽器挑戰之請求需求的相關資訊,請參閱 [CAPTCHA 和 Challenge動作行為](waf-captcha-and-challenge-actions.md)。 您可以透過 API 呼叫 來擷取規則群組的所有標籤`DescribeManagedRuleGroup`。這些標籤會列在回應的 `AvailableLabels` 屬性中。 Anti-DDoS 受管規則群組會將標籤套用至請求,但不一定會對其採取行動。請求管理取決於規則群組判斷是否參與攻擊的可信度。如果需要,您可以新增在規則群組之後執行的標籤比對規則,來管理規則群組標籤的請求。如需此 和範例的詳細資訊,請參閱 [AWS WAF 分散式阻斷服務 (DDoS) 預防](waf-anti-ddos.md)。 ## 反 DDoS 規則清單 規則清單 本節列出反 DDoS 規則。 **注意** 本文件涵蓋此受管規則群組的最新版本。我們會在 的 changelog 日誌中報告版本變更[AWS 受管規則變更日誌](aws-managed-rule-groups-changelog.md)。如需其他版本的資訊,請使用 API 命令 [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)。 我們為 AWS 受管規則規則群組中的規則發佈的資訊,旨在為您提供使用規則所需的內容,而不會給予不法份子規避規則所需的內容。 如果您需要比此處更多的資訊,請聯絡 [AWS 支援 中心](https://console.aws.amazon.com/support/home#/)。 | 規則名稱 | Description | | --- | --- | | ChallengeAllDuringEvent | 比對具有目前受到攻擊`awswaf:managed:aws:anti-ddos:challengeable-request`之任何受保護資源標籤的請求。 規則動作:Challenge 您只能將此規則動作覆寫為 Allow或 Count。Allow 不建議使用 。對於任何規則動作設定,規則只會比對具有 `challengeable-request`標籤的請求。 此規則的組態會影響下一個規則的評估,`ChallengeDDoSRequests`. AWS WAF only 只會在受管規則群組的 Web ACL 組態中Count,此規則的動作覆寫設定為 時評估該規則。 如果您的工作負載容易受到未預期的請求量變更影響,我們建議您保留 的預設動作設定,以挑戰所有具有挑戰性的請求Challenge。對於較不敏感的應用程式,您可以將此規則的動作設定為 ,Count然後使用規則 調整Challenge回應的敏感度`ChallengeDDoSRequests`。 標籤: `awswaf:managed:aws:anti-ddos:ChallengeAllDuringEvent` | | ChallengeDDoSRequests | 在資源受到攻擊的期間,比對符合或超過規則群組所設定之挑戰敏感度設定的受保護資源請求。 規則動作:Challenge 您只能將此規則動作覆寫為 Allow或 Count。Allow 不建議使用 。無論如何,規則只會比對具有 `challengeable-request`標籤的請求。 AWS WAF 只有在您覆寫先前規則 Count中的 動作時,才會評估此規則`ChallengeAllDuringEvent`。 標籤: `awswaf:managed:aws:anti-ddos:ChallengeDDoSRequests` | | DDoSRequests | 在資源受到攻擊的期間,比對符合或超過規則群組所設定區塊敏感度設定的受保護資源請求。 規則動作:Block 標籤: `awswaf:managed:aws:anti-ddos:DDoSRequests` | # 版本控制的 AWS 受管規則規則群組的部署 版本控制的 AWS 受管規則規則群組的部署新增了版本控制 AWS 受管規則規則群組部署的章節 新增章節,記錄版本控制的 AWS 受管規則規則群組的部署。本節包含如何在發行候選部署期間命名預設版本的相關資訊。 本節介紹 AWS 如何將更新部署到 AWS 受管規則規則群組。 AWS 在三個標準部署中,將變更部署至其版本控制的 AWS 受管規則規則群組:發行候選版本、靜態版本和預設版本。此外, AWS 有時可能需要釋出例外狀況部署或復原預設版本部署。 **注意** 本節僅適用於版本控制的 AWS 受管規則規則群組。唯一未進行版本控制的規則群組是 IP 評價規則群組。 **Topics** + [ # AWS 受管規則規則群組部署的通知 ](waf-managed-rule-groups-deployments-notifications.md) + [ # AWS 受管規則的標準部署概觀 ](waf-managed-rule-groups-deployments-standard.md) + [ # AWS 受管規則的一般版本狀態 ](waf-managed-rule-groups-typical-version-states.md) + [ # 發佈 AWS 受管規則的候選部署 ](waf-managed-rule-groups-deployments-release-candidate.md) + [ # AWS 受管規則的靜態版本部署 ](waf-managed-rule-groups-deployments-static-version.md) + [ # AWS 受管規則的預設版本部署 ](waf-managed-rule-groups-deployments-default-version.md) + [ # AWS 受管規則的例外狀況部署 ](waf-managed-rule-groups-deployments-exceptions.md) + [ # AWS 受管規則的預設部署轉返 ](waf-managed-rule-groups-deployments-default-rollbacks.md) # AWS 受管規則規則群組部署的通知 部署通知 本節說明 Amazon SNS 通知如何與 AWS 受管規則規則群組搭配使用。 版本控制的 AWS 受管規則規則群組都提供部署的 SNS 更新通知,而且它們都使用相同的 SNS 主題 Amazon Resource Name (ARN)。唯一未進行版本控制的規則群組是 IP 評價規則群組。 對於影響您保護的部署,例如預設版本的變更, AWS 會提供 SNS 通知,通知您計劃的部署,並讓您知道部署何時開始。對於不會影響您保護的部署,例如版本候選和靜態版本部署, AWS 可能會在部署開始後或甚至完成之後通知您。完成新靜態版本的部署時, 會在 的變更日誌中 AWS 更新本指南,[AWS 受管規則變更日誌](aws-managed-rule-groups-changelog.md)並在 的文件歷史記錄頁面中更新本指南[文件歷史紀錄](doc-history.md)。 若要接收為 AWS 受管規則規則群組 AWS 提供的所有更新,請從本指南的任何 HTML 頁面訂閱 RSS 摘要,並訂閱 AWS 受管規則規則群組的 SNS 主題。如需訂閱 SNS 通知的資訊,請參閱 [收到受管規則群組新版本和更新的通知](waf-using-managed-rule-groups-sns-topic.md)。 **SNS 通知的內容** Amazon SNS 通知中的欄位一律包含主旨、訊息和 MessageAttributes。其他欄位取決於訊息的類型,以及通知的受管規則群組。以下顯示 的通知清單範例`AWSManagedRulesCommonRuleSet`。 ``` { "Type": "Notification", "MessageId": "4286b830-a463-5e61-bd15-e1ae72303868", "TopicArn": "arn:aws:sns:us-west-2:123456789012:MyTopic", "Subject": "New version available for rule group AWSManagedRulesCommonRuleSet", "Message": "Welcome to AWSManagedRulesCommonRuleSet version 1.5! We've updated the regex specification in this version to improve protection coverage, adding protections against insecure deserialization. For details about this change, see http://updatedPublicDocs.html. Look for more exciting updates in the future! ", "Timestamp": "2021-08-24T11:12:19.810Z", "SignatureVersion": "1", "Signature": "EXAMPLEHXgJm...", "SigningCertURL": "https://sns.us-west-2.amazonaws.com/SimpleNotificationService-f3ecfb7224c7233fe7bb5f59f96de52f.pem", "SubscribeURL": "https://sns.us-west-2.amazonaws.com/?Action=ConfirmSubscription&TopicArn=arn:aws:sns:us-west-2:123456789012:MyTopic&Token=2336412f37...", "MessageAttributes": { "major_version": { "Type": "String", "Value": "v1" }, "managed_rule_group": { "Type": "String", "Value": "AWSManagedRulesCommonRuleSet" } } } ``` # AWS 受管規則的標準部署概觀 標準部署概觀 AWS 使用三個標準部署階段推出新的 AWS 受管規則功能:發行候選版本、靜態版本和預設版本。 下圖說明這些標準部署。以下各節將詳細說明每個項目。 ![\[四個垂直泳道顯示不同的標準部署階段。最左側的泳道會顯示預設版本設定為建議的靜態版本 1.4。第二個泳道顯示預設設定為發行候選 (RC) 版本,用於測試和調校。RC 版本包含 1.4 規則和 RC 規則。備註指出在測試之後,預設值會傳回至建議的靜態版本。第三個泳道顯示從版本候選版本中的規則建立靜態 1.5 版。第四個泳道顯示預設版本設定為新的建議靜態版本 1.5。\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/images/amr-rg-versions-flowchart-diagram.png) # AWS 受管規則的一般版本狀態 典型版本狀態 一般而言,版本控制的受管規則群組有許多未過期的靜態版本,預設版本會指向 AWS 建議的靜態版本。下圖顯示典型靜態版本集和預設版本設定的範例。 ![\[堆疊三個靜態版本 Version_1.2、Version_1.3 和 Version_1.4,其中 Version_1.4 位於最上方。Version_1.4 有兩個規則:RuleA 和 RuleB,兩者都具有生產動作。預設版本指標指向 Version_1.4。\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/images/amr-rg-versions-diagram.png) 靜態版本中大多數規則的生產動作是 Block,但可能設定為不同。如需規則動作設定的詳細資訊,請參閱 中每個規則群組的規則清單[AWS 受管規則規則群組清單](aws-managed-rule-groups-list.md)。 # 發佈 AWS 受管規則的候選部署 發行候選部署 本節說明暫時發行候選部署的運作方式。 當 AWS 有受管規則群組的候選規則變更集時,它會在暫時發行候選部署中對其進行測試。 會根據生產流量 AWS 評估計數模式中的候選規則,並執行最終調校活動,包括緩解誤報。 會針對使用規則群組預設版本的所有客戶,以這種方式 AWS 測試發行候選規則。發行候選部署不適用於使用規則群組靜態版本的客戶。 如果您使用預設版本,則發行候選部署不會改變規則群組管理 Web 流量的方式。在測試候選規則時,您可能會注意到下列事項: + 預設版本名稱從 變更為 `Default (using Version_X.Y)` `Default (using Version_X.Y_PLUS_RC_COUNT)`。 + Amazon CloudWatch 中的其他計數指標名稱`RC_COUNT`為 。這些是由版本候選規則產生。 AWS 會測試發行候選版本約一週,然後移除它,並將預設版本重設為目前建議的靜態版本。 AWS 會針對發行候選部署執行下列步驟: 1. **建立發行候選**版本 – 根據目前建議的靜態版本 AWS 新增發行候選版本,這是預設值指向的版本。 版本候選項目的名稱是附加 的靜態版本名稱`_PLUS_RC_COUNT`。例如,如果目前建議的靜態版本為 `Version_2.1`,則發行候選版本會命名為 `Version_2.1_PLUS_RC_COUNT`。 發行候選版本包含下列規則: + 完全從目前建議的靜態版本複製的規則,不會變更規則組態。 + 使用規則動作設定為 Count且名稱以 結尾,來候選新規則`_RC_COUNT`。 大多數候選規則為已存在於規則群組中的規則提供建議的改進。這些規則的名稱是附加 的現有規則名稱`_RC_COUNT`。 1. **將預設版本設定為發行候選版本,然後測試** – 將預設版本 AWS 設定為指向新的發行候選版本,以針對您的生產流量執行測試。測試通常需要大約一週的時間。 您會看到預設版本的名稱從僅指出靜態版本的名稱變更,例如 `Default (using Version_1.4)`,變更為指出靜態版本和發行候選規則的名稱,例如 `Default (using Version_1.4_PLUS_RC_COUNT)`。此命名方案可讓您識別您用來管理 Web 流量的靜態版本。 下圖顯示目前範例規則群組版本的狀態。 ![\[圖頂端有三個堆疊靜態版本,頂端為 Version_1.4。與靜態版本堆疊分開的是版本 Version_1.4_PLUS_RC_COUNT。此版本包含來自 Version_1.4 的規則,也包含兩個發行候選規則 RuleB_RC_COUNT 和 RuleZ_RC_COUNT,兩者都具有計數動作。預設版本指標指向 Version_1.4_PLUS_RC_COUNT。\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/images/amr-rg-versions-rc-diagram.png) 發行候選規則一律使用 Count動作設定,因此不會改變規則群組管理 Web 流量的方式。 發行候選規則會產生 Amazon CloudWatch 計數指標, AWS 用於驗證行為並識別誤報。 會視需要 AWS 進行調整,以調整發行候選計數規則的行為。 發行候選版本不是靜態版本,您無法從靜態規則群組版本清單中選擇。您只能在預設版本規格中查看發行候選版本的名稱。 1. **將預設版本傳回建議的靜態版本** – 測試版本候選規則之後, 會將預設版本 AWS 設回目前建議的靜態版本。預設版本名稱設定會捨棄`_PLUS_RC_COUNT`結尾,且規則群組會停止為發行候選規則產生 CloudWatch 計數指標。這是無提示的變更,與預設版本復原的部署不同。 下圖顯示測試發行候選項目完成後,範例規則群組版本的狀態。 ![\[這是典型的版本狀態圖。三個靜態版本 Version_1.2、Version_1.3 和 Version_1.4 會與頂部的 Version_1.4 堆疊。Version_1.4 有兩個規則:RuleA 和 RuleB,兩者都具有生產動作。預設版本指標指向 Version_1.4。\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/images/amr-rg-versions-rc-complete-diagram.png) **時間和通知** AWS 會視需要部署發行候選版本,以測試規則群組的改進。 + **SNS** – 在部署開始時 AWS 傳送 SNS 通知。通知指出測試版本候選項目的預估時間。測試完成時, 會以 AWS 無提示的方式將預設值傳回靜態版本設定,而不需要第二次通知。 + **變更日誌** – AWS 不會更新此部署類型的變更日誌或本指南的其他部分。 # AWS 受管規則的靜態版本部署 靜態版本部署 當 AWS 判斷發行候選項目為規則群組提供寶貴的變更時, AWS 會根據發行候選項目部署規則群組的新靜態版本。此部署不會變更規則群組的預設版本。 新的靜態版本包含來自 版本候選項目的下列規則: + 來自先前靜態版本的規則,在發行候選規則之間沒有替代候選項目。 + 發行候選規則,變更如下: + AWS 透過移除發行候選詞尾 來變更規則名稱`_RC_COUNT`。 + AWS 會將規則動作從 Count 變更為其生產規則動作。 對於取代先前現有規則的版本候選規則,這會取代新靜態版本中先前規則的功能。 下圖說明從 發行候選版本建立新的靜態版本。 ![\[圖頂端是版本候選版本 Version_1.4_PLUS_RC_COUNT,其規則與先前版本候選部署圖中的規則相同。版本包含來自 Version_1.4 的規則,也包含具有計數動作的發行候選規則 RuleB_RC_COUNT 和 RuleZ_RC_COUNT。下圖下方是靜態版本 Version_1.5,其中包含規則 RuleA、RuleB 和 RuleZ,全部都具有生產動作。從 RC 版本到 Version_1.5 的箭頭,表示從 Version_1.4 規則複製 RuleA,並從版本候選規則複製 RuleB 和 RuleZ。版本_1.5 中的所有規則都有生產動作。\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/images/amr-rg-versions-create-static-diagram.png) 部署之後,新的靜態版本可供您進行測試,並在需要時用於您的保護。您可以在 的規則群組規則清單中檢閱新的和更新的規則動作和描述[AWS 受管規則規則群組清單](aws-managed-rule-groups-list.md)。 靜態版本在部署後是不可變的,而且只會在 AWS 過期時變更。如需版本生命週期的相關資訊,請參閱 [在 中使用版本控制的受管規則群組 AWS WAF](waf-managed-rule-groups-versioning.md)。 **時間和通知** AWS 會視需要部署新的靜態版本,以部署規則群組功能的改善。部署靜態版本不會影響預設版本設定。 + **SNS** – 在部署完成時 AWS 傳送 SNS 通知。 + **變更日誌** – 部署在 AWS WAF 可用的地方完成後, 會視需要 AWS 更新本指南中的規則群組定義,然後在 AWS 受管規則群組變更日誌和文件歷史記錄頁面中宣告版本。 # AWS 受管規則的預設版本部署 預設版本部署 當 AWS 判斷新的靜態版本與目前的預設值相比,為規則群組提供更好的保護時, 會將預設版本 AWS 更新為新的靜態版本。在將多個靜態版本提升為規則群組的預設版本之前, AWS 可能會發行多個靜態版本。 下圖顯示將預設版本設定 AWS 移至新的靜態版本之後,範例規則群組版本的狀態。 ![\[這類似於典型的版本狀態圖,但堆疊頂端有 Version_1.5,且預設指標指向它。\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/images/amr-rg-versions-new-default-diagram.png) 在將此變更部署到預設版本之前, AWS 會提供通知,以便您可以測試和準備即將到來的變更。如果您使用預設版本,則無法採取任何動作,並在更新期間保留在其中。如果您想要延遲切換到新版本,在預設版本部署的計劃開始之前,您可以明確地將規則群組設定為使用預設設定的靜態版本。 **時間和通知** AWS 當 為規則群組建議與目前正在使用之規則群組不同的靜態版本時, 會更新預設版本。 + **SNS** – 在目標部署日之前至少一週 AWS 傳送 SNS 通知,然後在部署當天的部署開始時傳送另一個通知。每個通知都包含規則群組名稱、預設版本要更新的靜態版本、部署日期,以及執行更新之每個 AWS 區域的部署排程時間。 + **變更日誌** – AWS 不會更新此部署類型的變更日誌或本指南的其他部分。 # AWS 受管規則的例外狀況部署 例外狀況部署 AWS 可能會略過標準部署階段,以快速部署可解決重大安全風險的更新。例外狀況部署可能涉及任何標準部署類型,而且可能會快速跨 AWS 區域推出。 AWS 會盡可能為例外狀況部署提供提前通知。 **時間和通知** AWS 只會在需要時執行例外狀況部署。 + **SNS** – 盡可能在目標部署日之前 AWS 傳送 SNS 通知,然後在部署開始時傳送另一個 SNS 通知。每個通知都包含規則群組名稱、正在進行的變更,以及部署日期。 + **變更日誌** – 如果部署適用於靜態版本,則在 AWS WAF 可用位置完成部署之後, 會視需要 AWS 更新本指南中的規則群組定義,然後在 AWS 受管規則群組變更日誌和文件歷史記錄頁面中宣告版本。 # AWS 受管規則的預設部署轉返 預設部署轉返 在某些情況下, AWS 可能會將預設版本回復為先前的設定。所有 AWS 區域的復原通常需要不到 10 分鐘的時間。 AWS 只會執行轉返來緩解靜態版本中的重大問題,例如無法接受的高誤報層級。 在復原預設版本設定之後, 會 AWS 加速發生問題的靜態版本過期,以及發行新的靜態版本來解決問題。 **時間和通知** AWS 只會在需要時執行預設版本轉返。 + **SNS** – 在復原時 AWS 傳送單一 SNS 通知。通知包含規則群組名稱、預設版本設定為的版本,以及部署日期。此部署類型非常快速,因此通知不會提供區域的時間資訊。 + **變更日誌** – AWS 不會更新此部署類型的變更日誌或本指南的其他部分。 # AWS 受管規則變更日誌 AWS 受管規則變更日誌已更新 的 AWS 受管規則 AWS WAF 發行 PHP 應用程式規則群組的靜態 2.2 版。已更新 的 AWS 受管規則 AWS WAF 已發行具有擴展機器人偵測功能的機器人控制規則群組靜態版本 5.0。已更新 的 AWS 受管規則 AWS WAF 已發行 POSIX 作業系統規則群組的 3.2 靜態版本。已更新 的 AWS 受管規則 AWS WAF 已發行已知錯誤輸入規則群組的靜態 1.25 版。已更新 的 AWS 受管規則 AWS WAF 發行 POSIX 作業系統規則群組的 3.1 靜態版本。已更新 的 AWS 受管規則 AWS WAF 發行了已知錯誤輸入規則群組的靜態 1.24 版。已更新 的 AWS 受管規則 AWS WAF 已更新 Bot Control 規則群組,支援跨廣告、AI、內容擷取和社交媒體等多個類別進行擴展機器人偵測。已更新 的 AWS 受管規則 AWS WAF 已將對 AI 代理程式 Web Bot 身分驗證的支援新增至 Bot Control 規則群組。已更新 的 AWS 受管規則 AWS WAF 更新了核心或通用規則集 (CRS)。已更新 的 AWS 受管規則 AWS WAF 更新了核心或通用規則集 (CRS)。已更新 的 AWS 受管規則 AWS WAF 更新了核心或通用規則集 (CRS)。已更新 的 AWS 受管規則 AWS WAF 已更新 AWS WAF 機器人控制規則集。已更新 的 AWS 受管規則 AWS WAF 更新了核心或通用規則集 (CRS)。已更新 的 AWS 受管規則 AWS WAF 已更新 SQLi 資料庫規則群組。已更新 的 AWS 受管規則 AWS WAF 已更新 Linux 作業系統規則群組。已更新 的 AWS 受管規則 AWS WAF 已更新 Bot Control 規則群組。已更新 的 AWS 受管規則 AWS WAF 已更新 SQLi 資料庫規則群組。已更新 的 AWS 受管規則 AWS WAF 更新核心規則集 (CRS) 規則群組。已更新 的 AWS 受管規則 AWS WAF 已更新機器人控制、ATP 和 ACFP 受管規則群組。已更新 的 AWS 受管規則 AWS WAF 已更新 Linux 作業系統規則群組。已更新 的 AWS 受管規則 AWS WAF 更新核心規則集 (CRS) 規則群組。已更新 的 AWS 受管規則 AWS WAF 已更新 Windows 作業系統規則群組。已更新 的 AWS 受管規則 AWS WAF 已更新 WordPress 應用程式規則群組。已更新 的 AWS 受管規則 AWS WAF 已更新 Linux 作業系統規則群組。已更新 的 AWS 受管規則 AWS WAF 更新核心規則集 (CRS) 規則群組。已更新 的 AWS 受管規則 AWS WAF 更新 PHP 應用程式和 Windows 作業系統規則群組。已更新 的 AWS 受管規則 AWS WAF 已更新 Linux 作業系統規則群組。已更新 的 AWS 受管規則 AWS WAF Bot Control、ATP 和 ACFP 受管規則群組現在已進行版本控制,並提供版本更新的 SNS 通知,與其他版本控制的 AWS 受管規則相同。已更新 的 AWS 受管規則 AWS WAF 已更新 POSIX 作業系統規則群組 `AWSManagedRulesUnixRuleSet`。已更新 的 AWS 受管規則 AWS WAF 更新核心規則集 (CRS) 規則群組。已更新 的 AWS 受管規則 AWS WAF 已更新 SQLi 資料庫規則群組。已更新 的 AWS 受管規則 AWS WAF 更新已知的錯誤輸入和 POSIX 作業系統規則群組。已更新 的 AWS 受管規則 AWS WAF 已更新 Windows 作業系統規則群組。已更新 的 AWS 受管規則 AWS WAF 已更新 IP 評價規則群組。已更新 的 AWS 受管規則 AWS WAF 更新已知的錯誤輸入規則群組。已更新 的 AWS 受管規則 AWS WAF 更新已知的錯誤輸入規則群組。已更新 的 AWS 受管規則 AWS WAF 更新核心規則集 (CRS) 規則群組。已更新 的 AWS 受管規則 AWS WAF 已更新下列規則群組: AWS WAF Bot Control。已更新 的 AWS 受管規則 AWS WAF 已更新 Bot Control 規則群組。已更新 的 AWS 受管規則 AWS WAF 更新核心規則集 (CRS) 規則群組。已更新 的 AWS 受管規則 AWS WAF 更新核心規則集 (CRS) 規則群組。已更新 的 AWS 受管規則 AWS WAF 已更新 POSIX 作業系統規則群組 `AWSManagedRulesUnixRuleSet`。已更新 的 AWS 受管規則 AWS WAF 更新核心規則集 (CRS) 規則群組。的例外狀況部署 AWS 受管規則 AWS WAF 更新已知錯誤輸入規則群組的兩個靜態版本,並更新預設版本以指向最新的靜態版本。已更新 的 AWS 受管規則 AWS WAF 已更新下列規則群組: AWS WAF Bot Control。已更新 的 AWS 受管規則 AWS WAF 已更新 AWS WAF Bot Control 規則群組。已更新 的 AWS 受管規則 AWS WAF 更新核心規則集 (CRS) 規則群組。已更新 的 AWS 受管規則 AWS WAF 已更新規則群組 `AWSManagedRulesACFPRuleSet`。已更新 的 AWS 受管規則 AWS WAF 已更新 Linux 作業系統規則集。已更新 的 AWS 受管規則 AWS WAF 更新核心規則集 (CRS) 規則群組。已更新 的 AWS 受管規則 AWS WAF 已更新 PHP 應用程式規則群組。已更新 的 AWS 受管規則 AWS WAF 更新規則群組`AWSManagedRulesATPRuleSet`,在保護 Amazon CloudFront 分佈ACLs 中新增登入回應檢查。已更新 的 AWS 受管規則 AWS WAF 更新核心規則集。已更新 的 AWS 受管規則 AWS WAF 已更新 Linux 作業系統規則集。已更新 的 AWS 受管規則 AWS WAF 更新核心規則集。已更新 的 AWS 受管規則 AWS WAF 更新已知的錯誤輸入規則群組。已更新 的 AWS 受管規則 AWS WAF 更新已知的錯誤輸入規則群組。已更新 的 AWS 受管規則 AWS WAF 更正本文件中為下列規則群組提供的標籤名稱:POSIX 作業系統、PHP 應用程式、WordPress 應用程式。已更新 的 AWS 受管規則 AWS WAF 已更新下列規則群組:IP 評價。已更新 的 AWS 受管規則 AWS WAF 已更新下列規則群組:已知輸入錯誤。已更新 的 AWS 受管規則 AWS WAF 已更新下列規則群組:`AWSManagedRulesATPRuleSet`。已更新 的 AWS 受管規則 AWS WAF 已更新下列規則群組:核心規則集 (CRS)。已更新 的 AWS 受管規則 AWS WAF 已更新下列規則群組:核心規則集 (CRS)。已更新 的 AWS 受管規則 AWS WAF 已更新下列規則群組: AWS WAF Bot Control。已更新 的 AWS 受管規則 AWS WAF 已更新下列規則群組:已知輸入錯誤。已更新 的 AWS 受管規則 AWS WAF 已更新下列規則群組:已知輸入錯誤。已更新 的 AWS 受管規則 AWS WAF 已更新下列規則群組:IP 評價清單。已更新 的 AWS 受管規則 AWS WAF 已更新 AWS WAF 詐騙控制帳戶接管預防 (ATP) 規則群組 `AWSManagedRulesATPRuleSet`。已更新 的 AWS 受管規則 AWS WAF 已更新下列規則群組:已知輸入錯誤。已更新 的 AWS 受管規則 AWS WAF 已更新下列規則群組:核心規則集 (CRS)、SQLi 資料庫。已更新 的 AWS 受管規則 AWS WAF 已更新下列規則群組:已知輸入錯誤。已更新 的 AWS 受管規則 AWS WAF 已更新下列規則群組:已知輸入錯誤。已更新 的 AWS 受管規則 AWS WAF 已更新下列規則群組:已知輸入錯誤。已更新 的 AWS 受管規則 AWS WAF 已更新下列規則群組:核心規則集 (CRS)、Windows 作業系統、Linux 作業系統和 IP 評價清單。已更新 的 AWS 受管規則 AWS WAF 更新核心規則集 (CRS) 規則群組。已更新 的 AWS 受管規則 AWS WAF 已更新 AWS WAF Bot Control 規則群組。已更新 的 AWS 受管規則 AWS WAF 已更新對 IP 評價清單標籤的支援,並移除 Amazon IP 評價清單規則名稱的尾碼。已更新 的 AWS 受管規則 AWS WAF 已更新下列規則群組:核心規則集 (CRS)、管理員保護、已知錯誤輸入和 Linux 作業系統。已更新 的 AWS 受管規則 AWS WAF 已更新 Windows 作業系統規則集。已更新 的 AWS 受管規則 AWS WAF 已更新規則集 PHP 應用程式和 POSIX 作業系統。已更新 的 AWS 受管規則 AWS WAF 更新核心規則集。已更新 的 AWS 受管規則 AWS WAF 已更新 Linux 作業系統規則群組。 本節列出自 2019 年 11 月發行 AWS WAF 以來 的 AWS 受管規則變更。 **注意** 此變更日誌會報告 AWS 受管規則中規則和規則群組的變更 AWS WAF。 對於 [IP 評價規則群組](aws-managed-rule-groups-ip-rep.md),此變更日誌會報告規則和規則群組的變更,並報告規則使用的 IP 地址清單來源的重大變更。由於這些清單的動態性質,它不會報告 IP 地址清單本身的變更。如果您對 IP 地址清單有任何疑問,請聯絡您的客戶經理或在 [AWS 支援 Center](https://console.aws.amazon.com/support/home#/) 開立案例。 | 規則群組和規則 | Description | Date | | --- | --- | --- | | [PHP 應用程式受管規則群組](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-php-app) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 此規則群組已發行靜態 2.2 版。 改善偵測並新增`PHPHighRiskMethodsVariables_URIPATH`規則。 | 2026-03-24 | | [AWS WAF 機器人控制規則群組](aws-managed-rule-groups-bot.md) 新規則: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 發佈此規則群組的靜態版本 5.0。 新增超過 400 個跨多個類別的新機器人,包括兩個具有各自規則的新機器人類別:頁面預覽和 Webhook。 **主要改進項目** 提高機器人偵測訊號和一般機器人模式比對的準確性,進而產生更精確的流量分類。 此更新會變更受管規則群組如何排定機器人偵測的優先順序。現在會在一般模式和偵測訊號之前評估特定的未驗證機器人模式。這表示請求更有可能根據其最具體的特性來分類,而不是一般指標。 **這對您的流量意味著什麼:** 一般機器人模式現在比對頻率較低。這些模式僅適用於沒有更具體的機器人規則已識別流量時。這可減少過度分類,並確保使用最準確的可用機器人識別來標記請求。 偵測訊號,例如請求來自雲端服務提供者、已知機器人資料中心或使用非瀏覽器使用者代理程式的指標,現在會在機器人識別規則之後套用。這可確保特定機器人分類優先於一般流量訊號。 **Impact: (影響:)** 您可能會在流量日誌中看到較少的一般機器人模式標籤,因為請求現在會依特定機器人規則更準確分類。這可讓您更清楚地了解自動化流量的實際性質,並減少過於廣泛模式比對的雜訊。未驗證的機器人分類將更明顯且準確,協助您進一步了解和管理對應用程式的自動化請求。 **注意:**此版本包含來自 Version\$14.0 的`awswaf:managed:aws:bot-control:bot:web_bot_auth`標籤和規則更新,但`Web Bot Auth`功能仍然只能在 CloudFront 中使用。 | 2026-02-25 | | [POSIX 作業系統受管規則群組](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-posix-os) | 此規則群組的發行靜態版本 3.2。 改善所有規則的偵測簽章。 | 2026-01-15 | | [已知錯誤輸入受管規則群組](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 此規則群組已發行靜態版本 1.25。 更新 `ReactJSRCE_BODY`以改善偵測。 | 2025-12-08 | | [POSIX 作業系統受管規則群組](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-posix-os) | 此規則群組已發行靜態 3.1 版。 改善所有規則的偵測簽章。 | 2025-12-08 | | [已知錯誤輸入受管規則群組](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 此規則群組已發行靜態版本 1.24。 更新 `ReactJSRCE_BODY`以改善偵測。 | 2025-12-04 | | [AWS WAF 機器人控制規則群組](aws-managed-rule-groups-bot.md) 新標籤:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) 範圍:CloudFront | 部署了新的靜態版本 `AWSManagedRulesBotControlRuleSet` Version\$14.0,並支援 Web Bot Authentication (WBA) 進行密碼編譯機器人驗證。必須明確選取此版本,而且不會使用預設版本自動更新現有的部署。 新功能: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) 規則更新: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) Version\$14.0 只是靜態版本,不會變更預設版本行為。若要使用 WBA 功能,請在設定 Web ACL 時明確選取版本 \$14.0。 | 2025-11-20 | | [AWS WAF 機器人控制規則群組](aws-managed-rule-groups-bot.md) 新的已驗證機器人標籤:廣告:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)AI:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)內容擷取器:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)社交媒體:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 關鍵改進: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) Bot Control 中的機器人類別規則只會在未驗證的機器人上觸發,但也在已驗證的機器人上觸發的 CategoryAI 除外。Version\$13.3 只是靜態版本,不會變更預設版本行為。 | 2025-11-17 | | [核心規則集 (CRS) 受管規則群組](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 此規則群組已發行靜態版本 1.20。 改善伺服器端請求偽造 (SSRF) 規則的偵測簽章。 | 2025-10-02 | | [核心規則集 (CRS) 受管規則群組](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 此規則群組已發行靜態版本 1.19。 改善跨網站指令碼規則的偵測簽章。 | 2025-08-14 | | [核心規則集 (CRS) 受管規則群組](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 此規則群組已發行靜態版本 1.18。 改善跨網站指令碼規則的偵測簽章。 | 2025-06-18 | | [AWS WAF 機器人控制規則群組](aws-managed-rule-groups-bot.md) 新標籤: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 此規則群組的發行靜態版本 3.2。 新增列出的新標籤。 | 2025-05-29 | | [核心規則集 (CRS) 受管規則群組](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 此規則群組已發行靜態版本 1.17。 改善跨網站指令碼規則的偵測簽章。 | 2025-03-03 | | [SQL 資料庫受管規則群組](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-sql-db) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 此規則群組已發行靜態版本 1.3。 已將雙`URL_DECODE_UNI`文字轉換新增至列出的規則。 | 2025-01-24 | | [Linux 作業系統受管規則群組](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-linux-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 此規則群組已發行靜態 2.6 版。 新增簽章以改善偵測。 | 2025-01-24 | | [AWS WAF 機器人控制規則群組](aws-managed-rule-groups-bot.md) 機器人控制標籤中的新機器人名稱標籤: `awswaf:managed:aws:bot-control:bot::name:nytimes` | 此規則群組已發行靜態 3.1 版。 已將 New York Times 標籤新增至機器人名稱標籤清單。 | 2024-11-07 | | [核心規則集 (CRS) 受管規則群組](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 此規則群組已發行靜態版本 1.16。 改善跨網站指令碼規則的偵測簽章。 | 2024-10-16 | | [AWS WAF 機器人控制規則群組](aws-managed-rule-groups-bot.md) 新規則: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) 已刪除的規則: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) 新標籤: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) 現有規則中的其他標籤。 | 此規則群組的發行靜態版本 2.0 和 3.0。2.0 版與 3.0 版相同,但所有新規則的規則動作都設為 Count。本指南會記錄每個規則群組的最新版本。 新增列出的新規則。 已更新標籤,以便所有規則套用模式為 的標籤`awswaf:managed:aws:bot-control:`。 已將雲端服務供應商標籤新增至 Bot Control 訊號標籤。 新增由機器人類別規則檢查的新機器人名稱標籤。 | 2024-09-13 | | [AWS WAF 詐騙控制帳戶接管預防 (ATP) 規則群組](aws-managed-rule-groups-atp.md) 所有規則 | 此規則群組的發行靜態版本 1.1。 已更新標籤,以便所有規則套用模式為 的標籤`awswaf:managed:aws:atp:`。 | 2024-09-13 | | [AWS WAF 詐騙控制帳戶建立詐騙預防 (ACFP) 規則群組](aws-managed-rule-groups-acfp.md) 所有規則 | 此規則群組的發行靜態版本 1.1。 已更新標籤,以便所有規則套用模式為 的標籤`awswaf:managed:aws:acfp:`。 | 2024-09-13 | | [Linux 作業系統受管規則群組](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-linux-os) 所有規則 | 此規則群組已發行靜態 2.5 版。 新增簽章以改善偵測。 | 2024-09-02 | | [核心規則集 (CRS) 受管規則群組](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 此規則群組已發行靜態版本 1.15。 已改善一般 LFI 規則的偵測簽章。 | 2024-08-30 | | [Windows 作業系統受管規則群組](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-windows-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 此規則群組已發行靜態 2.3 版。 已調整所列規則中的偵測簽章,以減少誤報。 | 2024-08-28 | | [WordPress 應用程式受管規則群組](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-wordpress-app) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 此規則群組已發行靜態版本 1.3。 已將 JS\$1DECODE 文字轉換新增至列出的規則。 | 2024-07-15 | | [Linux 作業系統受管規則群組](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-linux-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 此規則群組已發行靜態 2.4 版。 已將 JS\$1DECODE 文字轉換新增至列出的規則。 | 2024-07-12 | | [核心規則集 (CRS) 受管規則群組](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 此規則群組已發行靜態版本 1.14。 已將 JS\$1DECODE 文字轉換新增至列出的規則。 | 2024-07-09 | | [PHP 應用程式受管規則群組](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-php-app) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 此規則群組已發行靜態 2.1 版。 已將 JS\$1DECODE 文字轉換新增至列出的規則。 | 2024-07-03 | | [Windows 作業系統受管規則群組](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-windows-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 此規則群組的發行靜態版本 2.2。 已將 JS\$1DECODE 文字轉換新增至列出的規則。 | 2024-07-03 | | [Linux 作業系統受管規則群組](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-linux-os) 所有規則 | 此規則群組已發行靜態 2.3 版。 新增簽章以改善偵測。 | 2024-06-06 | | [AWS WAF 機器人控制規則群組](aws-managed-rule-groups-bot.md) [AWS WAF 詐騙控制帳戶接管預防 (ATP) 規則群組](aws-managed-rule-groups-atp.md) [AWS WAF 詐騙控制帳戶建立詐騙預防 (ACFP) 規則群組](aws-managed-rule-groups-acfp.md) | 機器人和詐騙規則群組現在已進行版本控制。如果您使用這些規則群組,則此更新不會變更它們處理 Web 流量的方式。 此更新會將目前的規則群組版本設定為靜態版本 1.0,並將預設版本設定為指向該版本。 如需版本控制受管規則的詳細資訊,請參閱下列內容: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 2024-05-29 | | [POSIX 作業系統受管規則群組](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-posix-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 發行此規則群組的靜態版本 3.0。 已移除並將其`UNIXShellCommandsVariables_QUERYARGUMENTS`取代為 `UNIXShellCommandsVariables_QUERYSTRING`。如果您的規則符合 的標籤`UNIXShellCommandsVariables_QUERYARGUMENTS`,當您使用此版本時,請將它們切換為符合 的標籤`UNIXShellCommandsVariables_QUERYSTRING`。新標籤為 `awswaf:managed:aws:posix-os:UNIXShellCommandsVariables_QueryString`。 新增規則 `UNIXShellCommandsVariables_HEADER`,符合所有標頭。 以改善的偵測邏輯更新受管規則群組中的所有規則。 更正 標籤的記錄大小寫`UNIXShellCommandsVariables_BODY`。 | 2024-05-28 | | [核心規則集 (CRS) 受管規則群組](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 此規則群組的發行靜態版本 1.12。 新增所有跨網站指令碼規則的簽章,以改善偵測並減少誤判。 | 2024-05-21 | | [SQL 資料庫受管規則群組](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-sql-db) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 此規則群組已發行靜態版本 1.2。 已將`JS_DECODE`文字轉換新增至列出的規則。 | 2024-05-14 | | [已知錯誤輸入受管規則群組](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 此規則群組已發行靜態版本 1.22。 已將`JS_DECODE`文字轉換新增至列出的規則。 | 2024-05-08 | | [POSIX 作業系統受管規則群組](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-posix-os) | 此規則群組的發行靜態版本 2.2。 將`JS_DECODE`文字轉換新增至這兩個規則。 | 2024-05-08 | | [Windows 作業系統受管規則群組](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-windows-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 此規則群組已發行靜態 2.1 版。 新增簽章至 `PowerShellCommands_BODY` 以改善偵測。 | 2024-05-03 | | [Amazon IP 評價清單受管規則群組](aws-managed-rule-groups-ip-rep.md#aws-managed-rule-groups-ip-rep-amazon) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 更新 IP 評價清單的來源,以改善主動從事惡意活動的地址識別,並減少誤報。 此更新不涉及新版本,因為此規則群組未進行版本控制。 | 2024-03-13 | | [已知錯誤輸入受管規則群組](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs) | 此規則群組已發行靜態版本 1.21。 新增簽章以改善偵測並減少誤報。 | 2023-12-16 | | [已知錯誤輸入受管規則群組](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 此規則群組已發行靜態版本 1.20。 更新`ExploitablePaths_URIPATH`規則,為符合 Atlassian Confluence CVE-2023-22518 不當授權漏洞的請求新增偵測。此漏洞會影響 Confluence 資料中心和伺服器的所有版本。如需詳細資訊,請參閱 [NIST:國家漏洞資料庫:CVE-2023-22518 詳細資訊](https://nvd.nist.gov/vuln/detail/CVE-2023-22518)。 | 2023-12-14 | | [核心規則集 (CRS) 受管規則群組](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 此規則群組的發行靜態版本 1.11。 新增所有跨網站指令碼規則的簽章,以改善偵測並減少誤判。 | 2023-12-06 | | [AWS WAF 機器人控制規則群組](aws-managed-rule-groups-bot.md) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 將協調活動低標籤新增至規則群組的目標保護層級標籤。此標籤未與任何規則相關聯。此標籤是中、高階規則和標籤的補充。 | 2023-12-05 | | [機器人控制標籤](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-labels-rg) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 已將訊號標籤新增至規則群組,指出協助自動化的瀏覽器延伸模組偵測。此標籤並非專屬於個別規則。 | 2023-11-14 | | [核心規則集 (CRS) 受管規則群組](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 此規則群組已發行靜態版本 1.10。 更新了一項規則,以改善偵測並減少誤報。 | 2023-11-02 | | [核心規則集 (CRS) 受管規則群組](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 此規則群組已發行靜態版本 1.9。 更新規則以改善偵測並減少誤報。 | 2023-10-30 | | [POSIX 作業系統受管規則群組](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-posix-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 此規則群組已發行靜態 2.1 版。 更新查詢引數規則以改善偵測。 | 2023-10-12 | | [核心規則集 (CRS) 受管規則群組](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 此規則群組已發行靜態版本 1.8。 更新規則以改善偵測。 | 2023-10-11 | | [已知錯誤輸入受管規則群組](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 例外狀況部署:已發行此規則群組的靜態版本 1.19。更新預設版本以使用 1.19 版。 更新`ExploitablePaths_URIPATH`規則,為符合 Atlassian Confluence CVE-2023-22515 權限提升漏洞的請求新增偵測。此漏洞會影響 Atlassian Confluence 的某些版本。如需詳細資訊,請參閱 [NIST:國家漏洞資料庫:CVE-2023-22515 詳細資訊](https://nvd.nist.gov/vuln/detail/CVE-2023-22515)和 [Atlassian Support:CVE-2023-22515 的常見問答集](https://confluence.atlassian.com/kb/faq-for-cve-2023-22515-1295682188.html)。 如需此部署類型的詳細資訊,請參閱 [AWS 受管規則的例外狀況部署](waf-managed-rule-groups-deployments-exceptions.md)。 | 2023-10-04 | | [已知錯誤輸入受管規則群組](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 例外狀況部署:已發行此規則群組的靜態 1.18 版。這是此靜態版本的快速推出,以適應 1.19 版的建立和推出。 更新`Host_localhost_HEADER`規則和所有 Log4J 和 Java 還原序列化規則,以改善偵測。 如需此部署類型的詳細資訊,請參閱 [AWS 受管規則的例外狀況部署](waf-managed-rule-groups-deployments-exceptions.md)。 | 2023-10-04 | | [AWS WAF 機器人控制規則群組](aws-managed-rule-groups-bot.md) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 使用 Count動作將規則新增至規則群組。 權杖重複使用 IP 規則會偵測和計數跨 IP 地址的權杖共用。 協調活動規則使用網站流量的自動化機器學習 (ML) 分析來偵測機器人相關活動。在您的規則群組組態中,您可以選擇不使用 ML。在此版本中,目前使用目標保護層級的客戶可以選擇使用 ML。選擇退出會停用協調活動規則。 | 2023-09-06 | | [AWS WAF 機器人控制規則群組](aws-managed-rule-groups-bot.md) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 已將規則`CategoryAI`新增至規則群組。 | 2023-08-30 | | [核心規則集 (CRS) 受管規則群組](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 發行此規則群組的靜態版本 1.7。 更新限制延伸模組和 EC2 中繼資料 SSRF 規則,以改善偵測並減少誤判。 | 2023-07-26 | | [AWS WAF 詐騙控制帳戶建立詐騙預防 (ACFP) 規則群組](aws-managed-rule-groups-acfp.md) 新規則群組中的所有規則 | 新增規則群組 AWSManagedRulesACFPRuleSet。 | 2023-06-13 | | [Linux 作業系統受管規則群組](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-linux-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 此規則群組的發行靜態版本 2.2。 新增簽章以改善偵測。 | 2023-05-22 | | [核心規則集 (CRS) 受管規則群組](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 此規則群組已發行靜態版本 1.6。 更新了跨網站指令碼 (XSS) 和限制延伸規則,以改善偵測並減少誤報。 | 2023-04-28 | | [PHP 應用程式受管規則群組](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-php-app) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 此規則群組的發行靜態版本 2.0。 新增簽章以改善所有規則中的偵測。 將規則取代`PHPHighRiskMethodsVariables_QUERYARGUMENTS`為 `PHPHighRiskMethodsVariables_QUERYSTRING`,它會檢查整個查詢字串,而不只是查詢引數。 新增規則 `PHPHighRiskMethodsVariables_HEADER`,以擴展涵蓋範圍以包含所有標頭。 更新下列標籤,以符合標準 AWS 受管規則標籤: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 2023-02-27 | | [AWS WAF 詐騙控制帳戶接管預防 (ATP) 規則群組](aws-managed-rule-groups-atp.md)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 新增用於受保護 Amazon CloudFront 分佈的登入回應檢查規則。這些規則可以封鎖最近成為太多失敗登入嘗試來源的 IP 地址和用戶端工作階段的新登入嘗試。 | 2023-02-15 | | [核心規則集 (CRS) 受管規則群組](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 此規則群組已發行靜態版本 1.5。 更新了跨網站指令碼 (XSS) 篩選條件,以改善偵測。 | 2023-01-25 | | [Linux 作業系統受管規則群組](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-linux-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 此規則群組已發行靜態 2.1 版。 已移除規則`LFI_COOKIE`及其標籤 `awswaf:managed:aws:linux-os:LFI_Cookie`,並將它們取代為新規則`LFI_HEADER`及其標籤 `awswaf:managed:aws:linux-os:LFI_Header`。此變更會將檢查擴展到多個標頭。 已將文字轉換和簽章新增至所有規則,以改善偵測。 | 2022-12-15 | | [核心規則集 (CRS) 受管規則群組](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 此規則群組已發行靜態版本 1.4。 新增文字轉換至 `NoUserAgent_HEADER` 以移除所有 null 位元組。更新了跨網站指令碼規則中的篩選條件,以改善偵測。 | 2022-12-05 | | [已知錯誤輸入受管規則群組](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 此規則群組已發行靜態版本 1.17。 更新 Java 還原序列化規則,為符合 Apache CVE-2022-42889 的請求新增偵測,這是 Apache Commons Text 1.10.0 之前的 Apache Commons Text 版本中的遠端程式碼執行 (RCE) 漏洞。如需詳細資訊,請參閱 [NIST:國家漏洞資料庫:CVE-2022-42889 詳細資訊](https://nvd.nist.gov/vuln/detail/CVE-2022-42889)和 [CVE-2022-42889:1.10.0 之前的 Apache Commons Text 允許 RCE 套用到因不安全插補預設值而不受信任的輸入](https://lists.apache.org/thread/n2bd4vdsgkqh2tm14l1wyc3jyol7s1om)。 改善 中的偵測`Host_localhost_HEADER`。 | 2022-10-20 | | [已知錯誤輸入受管規則群組](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 此規則群組已發行靜態版本 1.16。 移除 1.15 版中 AWS 識別的誤報。 | 2022-10-05 | | [POSIX 作業系統受管規則群組](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-posix-os) [PHP 應用程式受管規則群組](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-php-app) [WordPress 應用程式受管規則群組](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-wordpress-app) | 更正記錄的標籤名稱。 | 2022-09-19 | | [IP 評價規則群組](aws-managed-rule-groups-ip-rep.md) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 此變更不會改變規則群組處理 Web 流量的方式。 根據 Amazon 威脅情報,新增了具有 Count動作的新規則,以檢查是否有正在參與 DDoS 活動的 IP 地址。 | 2022-08-30 | | [已知錯誤輸入受管規則群組](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 此規則群組已發行靜態版本 1.15。 移除它`Log4JRCE`並將其取代為 `Log4JRCE_HEADER`、`Log4JRCE_URI`、 `Log4JRCE_QUERYSTRING`和 `Log4JRCE_BODY`,以更精細地監控和管理誤報。 新增簽章,以改善對所有 和 `JavaDeserializationRCE*``Log4JRCE*`規則的偵測`PROPFIND_METHOD`和封鎖。 更新標籤以更正所有`JavaDeserializationRCE*`規則中的 `Host_localhost_HEADER`和 中的大寫。 已更正 的描述`JavaDeserializationRCE_HEADER`。 | 2022-08-22 | | [AWS WAF 詐騙控制帳戶接管預防 (ATP) 規則群組](aws-managed-rule-groups-atp.md)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 新增規則,以防止針對 Amazon Cognito 使用者集區 Web 流量使用帳戶接管預防受管規則群組。 | 2022-08-11 | | [核心規則集 (CRS) 受管規則群組](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) | AWS 已排定 版本`Version_1.2`和規則群組`Version_2.0`的過期時間。版本將於 2022 年 9 月 9 日過期。如需版本過期的資訊,請參閱 [在 中使用版本控制的受管規則群組 AWS WAF](waf-managed-rule-groups-versioning.md)。 | 2022-06-09 | | [核心規則集 (CRS) 受管規則群組](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 已發行此規則群組的 1.3 版。此版本會更新規則 `GenericLFI_URIPATH`和 中的比對簽章`GenericRFI_URIPATH`,以改善偵測。 | 2022-05-24 | | [AWS WAF 機器人控制規則群組](aws-managed-rule-groups-bot.md)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 已將規則`CategoryEmailClient`新增至規則群組。 | 2022-04-06 | | [已知錯誤輸入受管規則群組](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 已發行此規則群組的 1.14 版。四個`JavaDeserializtionRCE`規則會移至 Block 模式。 | 2022-03-31 | | [已知錯誤輸入受管規則群組](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 已發行此規則群組的 1.13 版。更新 Spring Core 和 Cloud Function RCE 漏洞的文字轉換。這些規則處於計數模式,以收集指標並評估相符的模式。標籤可用於封鎖自訂規則中的請求。後續版本將以區塊模式與這些規則一起部署。 | 2022-03-31 | | [已知錯誤輸入受管規則群組](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 已發行此規則群組的 1.12 版。新增 Spring Core 和 Cloud Function RCE 漏洞的簽章。這些規則處於計數模式,以收集指標並評估相符的模式。標籤可用於封鎖自訂規則中的請求。後續版本將以區塊模式與這些規則一起部署。 移除規則 `Log4JRCE_HEADER`、`Log4JRCE_QUERYSTRING`、 和 `Log4JRCE_URI`,`Log4JRCE_BODY`並將它們取代為規則 `Log4JRCE`。 | 2022-03-30 | | [IP 評價規則群組](aws-managed-rule-groups-ip-rep.md) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 更新AWSManagedReconnaissanceList規則,將動作從計數變更為區塊。 | 2022-02-15 | | [AWS WAF 詐騙控制帳戶接管預防 (ATP) 規則群組](aws-managed-rule-groups-atp.md) 新規則群組中的所有規則 | 新增規則群組 AWSManagedRulesATPRuleSet。 | 2022-02-11 | | [已知錯誤輸入受管規則群組](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 已發行此規則群組的 1.9 版。移除規則並將其`Log4JRCE`取代為規則 `Log4JRCE_HEADER`、`Log4JRCE_URI`、 `Log4JRCE_QUERYSTRING`和 `Log4JRCE_BODY`,以彈性使用此功能。新增簽章以改善偵測和封鎖。 | 2022-01-28 | | 核心規則集 (CRS) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 已發行此規則群組的 2.0 版。針對這些規則,調校偵測簽章以減少誤判。將`URL_DECODE`文字轉換取代為雙`URL_DECODE_UNI`文字轉換。新增`HTML_ENTITY_DECODE`文字轉換。 | 2022-01-10 | | 核心規則集 (CRS) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 作為此規則群組 2.0 版發行的一部分, 新增`URL_DECODE_UNI`了文字轉換。從 移除`URL_DECODE`文字轉換`RestrictedExtensions_URIPATH`。 | 2022-01-10 | | SQL 資料庫 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 已發行此規則群組的 2.0 版。以雙`URL_DECODE`文字轉換取代`URL_DECODE_UNI`文字轉換,並新增`COMPRESS_WHITE_SPACE`文字轉換。 已將更多偵測簽章新增至 `SQLiExtendedPatterns_QUERYARGUMENTS`。 已將 JSON 檢查新增至 `SQLi_BODY`。 新增規則 `SQLiExtendedPatterns_BODY`。 已移除規則 `SQLi_URIPATH`。 | 2022-01-10 | | 已知錯誤輸入 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 發佈規則的 1.8 版`Log4JRCE`,以改善標頭檢查和相符條件。 | 2021-12-17 | | 已知錯誤輸入 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 發佈規則的 1.4 版`Log4JRCE`,以調整相符條件並檢查其他標頭。發行 1.5 版來調整相符條件。 | 2021-12-11 | | 已知錯誤輸入 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 新增規則 1.2 `Log4JRCE`版,以回應 Log4j 中最近揭露的安全問題。如需詳細資訊,請參閱 [CVE-2021-44228](https://www.cve.org/CVERecord?id=CVE-2021-44228)。此規則會檢查常見 URI 路徑、查詢字串、請求內文的前 8KB,以及常見標頭。此規則使用雙`URL_DECODE_UNI`文字轉換。已發行 1.3 版`Log4JRCE`來調整相符條件並檢查其他標頭。 已移除規則 `BadAuthToken_COOKIE_AUTHORIZATION`。 | 2021-12-10 | 下表列出 2021 年 12 月之前的變更。 | 規則群組和規則 | Description | Date | | --- | --- | --- | | Amazon IP 評價清單 | `AWSManagedReconnaissanceList` | 在監控/計數模式中新增AWSManagedReconnaissanceList規則。此規則包含正在對 AWS 資源執行偵察的 IP 地址。 | 2021-11-23 | | Windows 作業系統 | `WindowsShellCommands` `PowerShellCommands` | 為 WindowsShell 命令新增了三個新規則:`WindowsShellCommands_COOKIE`、 `WindowsShellCommands_QUERYARGUMENTS`和 `WindowsShellCommands_BODY`。 新增新的 PowerShell 規則:`PowerShellCommands_COOKIE`。 透過移除字串 \$1Set1 和 \$1Set2 來重組`PowerShellComands`規則命名。 已將更全面的偵測簽章新增至 `PowerShellRules`。 已將`URL_DECODE_UNI`文字轉換新增至所有 Windows 作業系統規則。 | 2021-11-23 | | Linux 作業系統 | `LFI_URIPATH` `LFI_QUERYSTRING` `LFI_BODY` `LFI_COOKIE` | 將雙`URL_DECODE`文字轉換取代為雙 `URL_DECODE_UNI`。 新增`NORMALIZE_PATH_WIN`為第二個文字轉換。 將`LFI_BODY`規則取代為`LFI_COOKIE`規則。 為所有`LFI`規則新增了更全面的偵測簽章。 | 2021-11-23 | | 核心規則集 (CRS) | `SizeRestrictions_BODY` | 減少大小限制,以封鎖內文承載大於 8 KB 的 Web 請求。之前,限制為 10 KB。 | 2021-10-27 | | 核心規則集 (CRS) | `EC2MetaDataSSRF_BODY` `EC2MetaDataSSRF_COOKIE` `EC2MetaDataSSRF_URIPATH` `EC2MetaDataSSRF_QUERYARGUMENTS` | 新增更多偵測簽章。新增雙重 Unicode URL 解碼以改善封鎖。 | 2021-10-27 | | 核心規則集 (CRS) | `GenericLFI_QUERYARGUMENTS` `GenericLFI_URIPATH` `RestrictedExtensions_URIPATH` `RestrictedExtensions_QUERYARGUMENTS` | 新增雙重 Unicode URL 解碼以改善封鎖。 | 2021-10-27 | | 核心規則集 (CRS) | `GenericRFI_QUERYARGUMENTS` `GenericRFI_BODY` `GenericRFI_URIPATH` | 根據客戶意見回饋,更新規則簽章以減少誤報。新增雙重 Unicode URL 解碼以改善封鎖。 | 2021-10-27 | | 全部 | 所有規則 | 已將 AWS WAF 標籤的支援新增至尚未支援標籤的所有規則。 | 2021-10-25 | | Amazon IP 評價清單 | `AWSManagedIPReputationList_xxxx` | 重組 IP 評價清單、從規則名稱中移除尾碼,並新增對 AWS WAF 標籤的支援。 | 2021-05-04 | | 匿名 IP 清單 | `AnonymousIPList` `HostingProviderList` | 新增對 AWS WAF 標籤的支援。 | 2021-05-04 | | 機器人控制 | 全部 | 新增機器人控制規則集。 | 2021-04-01 | | 核心規則集 (CRS) | `GenericRFI_QUERYARGUMENTS` | 新增雙重 URL 解碼。 | 2021-03-03 | | 核心規則集 (CRS) | `RestrictedExtensions_URIPATH` | 已改善規則的組態,並新增額外的 URL 解碼。 | 2021-03-03 | | 管理員保護 | `AdminProtection_URIPATH` | 新增雙重 URL 解碼。 | 2021-03-03 | | 已知錯誤輸入 | `ExploitablePaths_URIPATH` | 已改善規則的組態,並新增額外的 URL 解碼。 | 2021-03-03 | | Linux 作業系統 | `LFI_QUERYARGUMENTS` | 已改善規則的組態,並新增額外的 URL 解碼。 | 2021-03-03 | | Windows 作業系統 | 全部 | 已改善規則的組態。 | 2020-09-23 | | PHP 應用程式 | `PHPHighRiskMethodsVariables_QUERYARGUMENTS` `PHPHighRiskMethodsVariables_BODY` | 將文字轉換從 HTML 解碼變更為 URL 解碼,以改善封鎖。 | 2020-09-16 | | POSIX 作業系統 | `UNIXShellCommandsVariables_QUERYARGUMENTS` `UNIXShellCommandsVariables_BODY` | 將文字轉換從 HTML 解碼變更為 URL 解碼,以改善封鎖。 | 2020-09-16 | | 核心規則集 | `GenericLFI_QUERYARGUMENTS` `GenericLFI_URIPATH` GenericLFI\$1BODY | 將文字轉換從 HTML 解碼變更為 URL 解碼,以改善封鎖。 | 2020-08-07 | | Linux 作業系統 | `LFI_URIPATH` `LFI_QUERYARGUMENTS` `LFI_BODY` | 將文字轉換從 HTML 實體解碼變更為 URL 解碼,以改善偵測和封鎖。 | 2020-05-19 | | 匿名 IP 清單 | 全部 | 中的新規則群組[IP 評價規則群組](aws-managed-rule-groups-ip-rep.md)可封鎖來自允許混淆檢視器身分之服務的請求,以協助緩解機器人和逃避地理限制。 | 2020-03-06 | | WordPress 應用程式 | `WordPressExploitableCommands_QUERYSTRING` | 能檢查查詢字串中可入侵字串的新規則 | 2020-03-03 | | 核心規則集 (CRS) | `SizeRestrictions_QUERYSTRING` `SizeRestrictions_Cookie_HEADER` `SizeRestrictions_BODY` `SizeRestrictions_URIPATH` | 調整大小值限制條件以改善準確性。 | 2020-03-03 | | SQL 資料庫 | `SQLi_URIPATH` | 規則現在會檢查訊息 URI。 | 2020-01-23 | | SQL 資料庫 | `SQLi_BODY` `SQLi_QUERYARGUMENTS` `SQLi_COOKIE` | 更新的文字轉換。 | 2019-12-20 | | 核心規則集 (CRS) | `CrossSiteScripting_URIPATH` `CrossSiteScripting_BODY` `CrossSiteScripting_QUERYARGUMENTS` `CrossSiteScripting_COOKIE` | 更新的文字轉換。 | 2019-12-20 | # 管理您自己的規則群組 您可以建立自己的規則群組,以重複使用在受管規則群組提供項目中找不到或您偏好自行處理的規則集合。 您建立的規則群組與保護套件 (Web ACL) 的保留規則相同,而且您以與保護套件 (Web ACL) 相同的方式將規則新增至規則群組。建立自己的規則群組時,必須為其設定不可變的容量上限。 **Topics** + [ # 建立規則群組 ](waf-rule-group-creating.md) + [ # 編輯規則群組 ](waf-rule-group-editing.md) + [ # 在保護套件中使用您的規則群組 (Web ACL) ](waf-rule-group-using.md) + [ # 刪除規則群組 ](waf-rule-group-deleting.md) + [ # 共用規則群組 ](waf-rule-group-sharing.md) # 建立規則群組 若要建立新的規則群組,請遵循此頁面上的程序。 **建立規則群組** 1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2) 開啟 AWS WAF 主控台。 1. 在導覽窗格中,選擇 **Rule groups (規則群組)**,然後選擇 **Create rule group (建立規則群組)**。 1. 輸入規則的名稱和描述。您將使用這些來識別規則集來管理它並使用它。 請勿使用以 `AWS`、`PreFM`、 `Shield`或 開頭的名稱`PostFM`。這些字串是預留的,或可能導致與其他 服務為您管理的規則群組混淆。請參閱 [辨識其他服務提供的規則群組](waf-service-owned-rule-groups.md)。 **注意** 建立規則群組後無法修改名稱。 1. 對於 **Region (區域)**,選擇您要儲存規則群組的區域。若要在保護 Amazon CloudFront 分佈的保護套件 (Web ACLs) 中使用規則群組,您必須使用 全域設定。您也可以對區域應用程式使用全域設定。 1. 選擇**下一步**。 1. 使用規則**建置器**精靈將規則新增至規則群組,就像您在保護套件 (Web ACL) 管理中一樣。唯一的差異是您無法將規則群組新增到另一個規則群組。 1. 針對**容量**,設定規則群組使用保護套件 (Web ACL) 容量單位 (WCUs的最大值。這是一個不可變的設定。如需 WCU 的相關資訊,請參閱 [中的 Web ACL 容量單位 WCUs) AWS WAF](aws-waf-capacity-units.md)。 當您將規則新增至規則群組時,**Add rules and set capacity (新增規則和設定容量)** 窗格會顯示所需的最小容量,這是根據您已新增的規則而定。您可以使用此項目和對於規則群組的未來計劃,協助評估規則群組將需要的容量。 1. 檢閱規則群組的設定,然後選擇 **Create (建立)**。 # 編輯規則群組 若要從規則群組新增或移除規則或變更組態設定,請使用此頁面上的程序存取規則群組。 **生產流量風險** 如果您變更目前在保護套件 (Web ACL) 中使用的規則群組,這些變更會影響您使用的保護套件 (Web ACL) 行為。請務必在預備或測試環境中測試和調校所有變更,直到您對流量的潛在影響感到滿意為止。然後,使用生產流量在計數模式中測試和調整更新的規則,然後再啟用它們。如需準則,請參閱[測試和調校您的 AWS WAF 保護](web-acl-testing.md)。 **編輯規則群組** 1. 登入 AWS 管理主控台 並在 https://[https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2) 開啟 AWS WAF 主控台。 1. 在導覽窗格中,選擇 **Rule groups (規則群組)**。 1. 選擇您要編輯的規則群組名稱。主控台會帶您前往規則群組的頁面。 **注意** 如果您沒有看到要編輯的規則群組,請檢查**規則群組**區段中的區域選擇。對於用於保護 Amazon CloudFront 分佈的規則群組,請使用**全域 (CloudFront)** 設定。 1. 視需要編輯規則群組。您可以編輯規則群組的可變屬性,類似於您在建立期間所做的操作。主控台會隨心所欲儲存您的變更。 **注意** 如果您變更規則的名稱,並且希望規則的指標名稱反映變更,則也必須更新指標名稱。 AWS WAF 當您變更規則名稱時, 不會自動更新規則的指標名稱。您可以使用規則 JSON 編輯器,在主控台中編輯規則時變更指標名稱。您也可以透過 APIs 和用於定義保護套件 (Web ACL) 或規則群組的任何 JSON 清單中變更這兩個名稱。 **更新期間的暫時性不一致** 當您建立或變更保護套件 (Web ACL) 或其他 AWS WAF 資源時,變更會花費少量的時間傳播到儲存資源的所有區域。傳播時間可以是幾秒鐘到幾分鐘。 以下是您在變更傳播期間可能注意到的暫時性不一致的範例: + 建立保護套件 (Web ACL) 之後,如果您嘗試將其與資源建立關聯,您可能會收到例外狀況,指出保護套件 (Web ACL) 無法使用。 + 將規則群組新增至保護套件 (Web ACL) 之後,新的規則群組規則可能會在使用保護套件 (Web ACL) 的一個區域中生效,而不會在另一個區域中生效。 + 變更規則動作設定後,您可能會在某些地方看到舊動作,在其他地方看到新動作。 + 將 IP 地址新增至封鎖規則中使用的 IP 集之後,新的地址可能會在某個區域中遭到封鎖,同時仍允許在另一個區域中封鎖。 # 在保護套件中使用您的規則群組 (Web ACL) 若要在保護套件 (Web ACL) 中使用規則群組,請將它新增至規則群組參考陳述式中的保護套件 (Web ACL)。 **生產流量風險** 在生產流量的保護套件 (Web ACL) 中部署變更之前,請先在預備或測試環境中進行測試和調校,直到您對流量的潛在影響感到滿意為止。然後,使用生產流量在計數模式中測試和調整更新的規則,然後再啟用它們。如需準則,請參閱[測試和調校您的 AWS WAF 保護](web-acl-testing.md)。 **注意** 在保護套件 (Web ACL) 中使用超過 1,500 WCUs 會產生超出基本保護套件 (Web ACL) 價格的成本。如需詳細資訊,請參閱 [中的 Web ACL 容量單位 WCUs) AWS WAF](aws-waf-capacity-units.md) 和 [AWS WAF 定價](https://aws.amazon.com/waf/pricing/)。 **使用規則群組** 1. 登入 AWS 管理主控台 並在 https://[https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2) 開啟 AWS WAF 主控台。 1. 在導覽窗格中,選擇 **Rule groups (規則群組)**。 1. 選擇您要使用的規則群組名稱。 1. 選擇**新增規則**,然後選擇**新增我自己的規則和規則群組**。 1. 選擇**規則群組**,然後從清單中選擇您的規則群組。 在保護套件 (Web ACL) 中,您可以將個別規則動作設定為 Count 或任何其他動作,以變更規則群組及其規則的行為。這可協助您執行像是測試規則群組、識別規則群組中規則的誤報,以及自訂受管規則群組如何處理您的請求。如需詳細資訊,請參閱[在 中覆寫規則群組動作 AWS WAF](web-acl-rule-group-override-options.md)。 如果您的規則群組包含以速率為基礎的陳述式,則您使用規則群組的每個保護套件 (Web ACL) 都有自己的個別速率追蹤和管理以速率為基礎的規則,與您使用規則群組的任何其他保護套件 (Web ACL) 無關。如需詳細資訊,請參閱[在 中使用以速率為基礎的規則陳述式 AWS WAF](waf-rule-statement-type-rate-based.md)。 **更新期間的暫時性不一致** 當您建立或變更保護套件 (Web ACL) 或其他 AWS WAF 資源時,變更會花費少量的時間傳播到存放資源的所有區域。傳播時間可以是幾秒鐘到幾分鐘。 以下是您在變更傳播期間可能注意到的暫時不一致的範例: + 建立保護套件 (Web ACL) 之後,如果您嘗試將其與資源建立關聯,您可能會收到例外狀況,指出保護套件 (Web ACL) 無法使用。 + 將規則群組新增至保護套件 (Web ACL) 之後,新的規則群組規則可能會在使用保護套件 (Web ACL) 的一個區域中生效,而不會在另一個區域中生效。 + 變更規則動作設定後,您可能會在某些地方看到舊動作,在其他地方看到新動作。 + 將 IP 地址新增至封鎖規則中使用的 IP 集之後,新的地址可能會在某個區域中遭到封鎖,同時仍允許在另一個區域中封鎖。 # 刪除規則群組 遵循本節中的指引來刪除規則群組。 **刪除參考的集合和規則群組** 當您刪除可在保護套件 (Web ACL) 中使用的實體,例如 IP 集、regex 模式集或規則群組時, 會 AWS WAF 檢查實體目前是否在保護套件 (Web ACL) 中使用。如果發現正在使用中, 會 AWS WAF 警告您。 AWS WAF 幾乎總是能夠判斷保護套件 (Web ACL) 是否正在參考實體。但是在極少數的情況下,它也可能無法判斷。如果您需要確定實體目前沒有任何內容正在使用,請在刪除保護套件 (Web ACLs) 之前檢查它。如果實體是參考集合,也請檢查沒有規則群組正在使用它。 **刪除規則群組** 1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2) 開啟 AWS WAF 主控台。 1. 在導覽窗格中,選擇 **Rule groups (規則群組)**。 1. 選擇您要刪除的規則群組,然後選擇 **Delete (刪除)**。 **注意** 如果您沒有看到要刪除的規則群組,請檢查**規則群組**區段中的區域選擇。對於用於保護 Amazon CloudFront 分佈的規則群組,請使用**全域 (CloudFront)** 設定。 # 共用規則群組 您可以與其他帳戶共用規則群組,以供這些帳戶使用。 **共用規則群組** 您可以與一或多個特定帳戶共用,也可以與組織中的所有帳戶共用。 若要共用規則群組,您可以使用 AWS WAF API 為您想要的規則群組共用建立政策。如需詳細資訊,請參閱《 *AWS WAF API 參考*》中的 [PutPermissionPolicy](https://docs.aws.amazon.com/waf/latest/APIReference/API_PutPermissionPolicy.html)。 **使用已與您共用的規則群組** 如果規則群組已與您的帳戶共用,您可以透過 API 存取它,而且您可以在透過 API 建立或更新保護套件 (Web ACLs) 時參考它。如需詳細資訊,請參閱 *AWS WAF API 參考*中的 [GetRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_GetRuleGroup.html)、[CreateWebACL](https://docs.aws.amazon.com/waf/latest/APIReference/API_CreateWebACL.html) 和 [UpdateWebACL](https://docs.aws.amazon.com/waf/latest/APIReference/API_UpdateWebACL.html)。與您共用的規則群組不會出現在 AWS WAF 主控台規則群組清單中。 # AWS Marketplace 規則群組 本節說明如何使用 AWS Marketplace 規則群組。 AWS Marketplace 規則群組可透過 的 AWS Marketplace 主控台進行訂閱[AWS Marketplace](https://aws.amazon.com/marketplace)。訂閱 AWS Marketplace 規則群組後,您可以在 中使用它 AWS WAF。若要在 AWS Firewall Manager AWS WAF 政策中使用 AWS Marketplace 規則群組,組織中的每個帳戶都必須訂閱該群組。 **您可以透過下列方式訂閱不同類型的規則群組 AWS Marketplace:** + AWS WAF 合作夥伴管理的規則群組 + 用戶端保護 在將 AWS WAF 保護用於生產流量之前,測試和調校保護的任何變更。如需相關資訊,請參閱[測試和調校您的 AWS WAF 保護](web-acl-testing.md)。 **AWS Marketplace 規則群組定價** AWS Marketplace 規則群組在沒有長期合約且沒有最低承諾的情況下可用。當您訂閱規則群組時,系統會根據數量向您收取每月費用 (每小時按比例分配) 和持續的請求費用。不過,只有在您將訂閱的規則群組新增至 Web ACL 並開始使用時,才會向您收取訂閱費用。如需詳細資訊,請參閱 中每個 AWS Marketplace 規則群組的[AWS WAF 定價](https://aws.amazon.com/waf/pricing/)和描述[AWS Marketplace](https://aws.amazon.com/marketplace)。 **對 AWS Marketplace 規則群組有任何疑問?** 有關賣方管理的規則群組 AWS Marketplace 以及請求變更功能的問題,請聯絡供應商的客戶支援團隊。若要尋找聯絡資訊,請參閱供應商的清單,網址為 [AWS Marketplace](https://aws.amazon.com/marketplace)。 AWS Marketplace 規則群組提供者會決定如何管理規則群組,例如如何更新規則群組,以及規則群組是否已進行版本控制。提供者也會決定規則群組的詳細資訊,包括規則、規則動作,以及規則新增至相符 Web 請求的任何標籤。 ## 訂閱 AWS Marketplace 規則群組 已將用戶端保護新增至 AWS WAF 的用戶端保護 AWS Marketplace 現已可用。您可以透過 AWS Marketplace 主控台訂閱和取消訂閱用戶端保護。 您可以在 AWS WAF 主控台上訂閱和取消訂閱 AWS Marketplace 規則群組。 **重要** 若要在 AWS Firewall Manager 政策中使用 AWS Marketplace 規則群組,組織中的每個帳戶必須先訂閱該規則群組。 **訂閱 AWS Marketplace 規則群組** 1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2) 開啟 AWS WAF 主控台。 1. 在導覽窗格中,選擇**附加元件保護**。 1. 在 **AWS Marketplace**區段中,選擇規則群組的名稱以檢視詳細資訊和定價資訊。 **提示** 使用篩選條件快速排序您最感興趣的規則。例如,您可以使用**類別**篩選條件,僅檢視用戶端保護。 1. 若要訂閱 AWS Marketplace 規則群組: 1. 導覽至規則群組,然後選擇**透過 Marketplace 訂閱**。 1. 在開啟的 Marketplace 頁面中,選擇**檢視購買選項**,然後選擇**訂閱**。 **注意** 如果您決定不訂閱規則群組,只要關閉彈出式視窗即可。 訂閱 AWS Marketplace 規則群組之後,您可以在保護套件 (Web ACLs) 中使用它,就像使用其他受管規則群組一樣。如需相關資訊,請參閱[在 中建立保護套件 (Web ACL) AWS WAF](web-acl-creating.md)。 將規則群組新增至保護套件 (Web ACL) 時,您可以覆寫規則群組中規則的動作,以及規則群組結果的動作。如需詳細資訊,請參閱[在 中覆寫規則群組動作 AWS WAF](web-acl-rule-group-override-options.md)。 ## 從 AWS Marketplace 規則群組取消訂閱 您可以在 AWS Marketplace 主控台上取消訂閱 AWS Marketplace 規則群組。 **重要** 若要停止 AWS Marketplace 規則群組的訂閱費用,除了取消訂閱外,您還必須將其從 AWS WAF 和任何 Firewall Manager AWS WAF 政策中的所有保護套件 (Web ACLs) 中移除。如果您取消訂閱 AWS Marketplace 規則群組,但未將其從保護套件 (Web ACLs) 中移除,則會繼續向您收取訂閱費用。 **取消訂閱 AWS Marketplace 規則群組** 1. 從所有保護套件 (Web ACLs) 中移除規則群組。如需詳細資訊,請參閱[在 中編輯保護套件 (Web ACL) AWS WAF](web-acl-editing.md)。 1. 在 https://[https://console.aws.amazon.com/marketplace](https://console.aws.amazon.com/marketplace) 開啟 AWS 主控台。 **管理訂閱頁面隨即出現**。 1. 開啟**交付方法**清單,然後選擇 **SaaS**。 1. 在**協議**下,開啟**動作清單**,然後選擇您要取消訂閱的規則群組名稱旁的**取消**訂閱。 1. 在**取消訂閱**對話方塊中,輸入 **confirm**,然後選擇**是,取消訂閱**。 ## 對 AWS Marketplace 規則群組進行故障診斷 如果您發現 AWS Marketplace 規則群組封鎖合法流量,您可以執行下列步驟來疑難排解問題。 **對 AWS Marketplace 規則群組進行故障診斷** 1. 覆寫動作以計算封鎖合法流量的規則數量。您可以使用 AWS WAF 抽樣請求或 AWS WAF 日誌來識別哪些規則封鎖特定請求。您可以查看日誌中的 `ruleGroupId` 欄位或取樣請求中的 `RuleWithinRuleGroup` 來識別規則。您可以在 模式 中識別規則`##`。 1. 如果將特定規則設定為僅計數請求無法解決問題,您可以覆寫所有規則動作,或將 AWS Marketplace 規則群組本身的動作從**無覆寫**變更為**覆寫以計數**。這允許 web 請求通過,無視規則群組內的個別規則動作。 1. 在覆寫個別規則動作或整個 AWS Marketplace 規則群組動作之後,請聯絡規則群組提供者的客戶支援團隊,以進一步疑難排解問題。如需聯絡資訊,請參閱 AWS Marketplace中產品列表頁面的規則群組清單。 ### 聯絡 AWS 支援 對於 AWS WAF 或由 管理的規則群組的問題 AWS,請聯絡 AWS 支援。如果規則群組由 AWS Marketplace 賣方管理的問題,請聯絡供應商的客戶支援團隊。若要尋找聯絡資訊,請參閱供應商的清單 AWS Marketplace。 # 辨識其他服務提供的規則群組 從其他 服務識別規則群組 如果您或組織中的管理員使用 AWS Firewall Manager 或 AWS Shield Advanced 來管理資源保護 AWS WAF,您可能會在帳戶中看到新增至保護套件 (Web ACLs) 的規則群組參考陳述式。 這些規則群組的名稱以下列字串開頭: + **`ShieldMitigationRuleGroup`** – 這些規則群組由 管理, AWS Shield Advanced 並用於為受保護的應用程式層 (第 7 層) 資源提供自動應用程式層 DDoS 緩解。 當您為受保護的資源啟用自動應用程式層 DDoS 緩解時,Shield Advanced 會將其中一個規則群組新增至與資源相關聯的保護套件 (Web ACL)。Shield Advanced 會將優先順序設定為 10,000,000 的規則群組參考陳述式指派給規則群組參考陳述式,以便在您在保護套件 (Web ACL) 中設定的規則之後執行。如需這些規則群組的詳細資訊,請參閱 [使用 Shield Advanced 自動化應用程式層 DDoS 緩解](ddos-automatic-app-layer-response.md)。 **警告** 請勿嘗試在保護套件 (Web ACL) 中手動管理此規則群組。特別是,請勿從保護套件 (Web ACL) 手動刪除`ShieldMitigationRuleGroup`規則群組參考陳述式。這樣做可能會對與保護套件 (Web ACL) 相關聯的所有資源產生意外後果。反之,請使用 Shield Advanced 停用與保護套件 (Web ACL) 相關聯的資源的自動緩解。當不需要自動緩解時,Shield Advanced 會為您移除規則群組。 + **`PREFMManaged` 和 `POSTFMManaged`** – 這些規則群組是由 AWS Firewall Manager 根據 Firewall Manager AWS WAF 政策組態管理。Firewall Manager 會在 Firewall Manager 管理的保護套件 (Web ACLs) 內提供這些規則群組。 Firewall Manager 會為您建立名稱開頭為 的保護套件 (Web ACLs)`FMManagedWebACLV2`。您也可以設定 Firewall Manager 來改善現有的保護套件 (Web ACLs)。對於這些,保護套件 (Web ACL) 名稱是您在建立時指定的名稱。在任何一種情況下,防火牆管理員都會將這些規則群組新增至保護套件 (Web ACL)。如需詳細資訊,請參閱[搭配 Firewall Manager 使用 AWS WAF 政策](waf-policies.md)。 # 中的 Web ACL 容量單位 WCUs) AWS WAF Web ACL 容量單位 WCUs)超過 1,500 個 Web ACL WCUs可變定價 在 Web ACL 中使用超過 1,500 個 Web ACL 容量單位 (WCUs) 會產生額外的成本,這會隨著 Web ACL WCU 用量的增加和減少而自動調整。Web ACL 上限為 5,000 WCUs。 本節說明什麼是 Web ACL 容量單位 WCUs),以及它們的運作方式。 AWS WAF 使用 WCUs 來計算和控制執行規則、規則群組和 Web ACLs 所需的操作資源。當您設定規則群組和 Web ACLs 時, 會 AWS WAF 強制執行 WCU 限制。WCUs不會影響 AWS WAF 檢查 Web 流量的方式。 AWS WAF 管理規則、規則群組和 Web ACLs容量。 **規則 WCUs** AWS WAF 當您建立或更新規則時, 會計算規則容量。 會針對每個規則類型以不同的方式 AWS WAF 計算容量,以反映每個規則的相對成本。相較於使用更多處理能力的複雜規則,執行成本較少的簡單規則,會使用較少的 WCU。例如,大小限制規則陳述式使用的 WCUs 少於使用 regex 模式集檢查請求的陳述式。 規則容量需求通常從規則類型的基本成本開始,並隨著複雜性而增加,例如,當您在檢查之前新增文字轉換,或檢查 JSON 內文時。如需規則容量需求的資訊,請參閱 中規則陳述式的清單[在 中使用規則陳述式 AWS WAF](waf-rule-statements.md)。 **規則群組 WCUs** 規則群組的 WCU 需求取決於您在規則群組中定義的規則。規則群組的最大容量為 5,000 WCUs。 每個規則群組都有不可變的容量設定,擁有者會在建立時指派此設定。這適用於您透過 建立的受管規則群組和規則群組 AWS WAF。當您修改規則群組時,您的變更必須將規則群組的 WCUs保持在其容量內。這可確保使用規則群組的保護套件 (Web ACLs) 或 Web ACLs保持在其容量需求內。 規則群組中正在使用的 WCUs 是規則的 WCUs 總和減去 AWS WAF 可透過結合規則行為取得的任何處理最佳化。例如,如果您定義兩個規則來檢查相同的 Web 請求元件,而且每個規則在檢查元件之前都會套用特定的轉換, AWS WAF 則可能只需針對套用轉換向您收取一次費用。在保護套件 (Web ACL) 中使用規則群組的 WCU 成本,一律是您在規則群組建立時定義的固定 WCU 設定。 當您建立規則群組時,請小心將容量設定為足夠高,以容納您要在整個規則群組生命週期內使用的規則。 **保護套件或 Web ACL WCUs** 保護套件 (Web ACL) 的 WCU 需求取決於您在保護套件 (Web ACL) 中使用的規則和規則群組。 + 在保護套件 (Web ACL) 中使用規則群組的成本是規則群組的容量設定。 + 使用規則的成本是規則的計算 WCUs減去 AWS WAF 可從保護套件 (Web ACL) 規則組合取得的任何處理最佳化。例如,如果您定義兩個規則來檢查相同的 Web 請求元件,而且每個規則在檢查元件之前都會套用特定的轉換, AWS WAF 則可能只需針對套用轉換向您收取一次費用。 保護套件 (Web ACL) 的基本價格最多包含 1,500 WCUs。根據分層定價模式,使用超過 1,500 WCUs 會產生額外費用。隨著保護套件 (Web ACL) WCU 用量的變更 AWS WAF , 會自動調整您的保護套件 (Web ACL) 定價。如需定價詳細資訊,請參閱 [AWS WAF 定價](https://aws.amazon.com/waf/pricing/)。 保護套件 (Web ACL) 的最大容量為 5,000 WCUs。 ## 判斷規則群組、保護套件 (Web ACL) 或 Web ACL WCUs 如先前章節所述,規則群組、保護套件 (Web ACL) 或 Web ACL 中使用的 WCUs 總數,將等於*或小於*規則群組、保護套件 (Web ACL) 或 Web ACL 中定義之所有規則的 WCUs 總和。 在 AWS WAF 主控台中,您可以查看將規則新增至保護套件 (Web ACL)、Web ACL 或規則群組時所使用的容量。主控台會顯示您新增規則時所使用的目前容量單位。 透過 API,您可以檢查要在保護套件 (Web ACL)、Web ACL 或規則群組中使用的規則的最大容量需求。若要這樣做,請將規則的 JSON 清單提供給檢查容量呼叫。如需詳細資訊,請參閱 *AWS WAF V2 API 參考*中的 [CheckCapacity](https://docs.aws.amazon.com/waf/latest/APIReference/API_CheckCapacity.html)。 # 在 中過大 Web 請求元件 AWS WAF 過大 Web 請求元件AWS WAF 處理過大的內文、標頭和 Cookie 請求元件 您現在可以在檢查這些元件的規則中指定 AWS WAF 應如何處理過大請求內文、標頭和 Cookie。您已建立用來檢查這些元件的規則,其行為符合處理過大的新Continue選項。 本節說明如何管理在 中檢查 Web 請求內文、標頭和 Cookie 的大小限制 AWS WAF。 AWS WAF 不支援檢查 Web 請求元件內文、標頭或 Cookie 的超大型內容。基礎主機服務對其轉送到 AWS WAF 進行檢查的項目具有計數和大小限制。例如,主機服務不會傳送超過 200 個標頭給 AWS WAF,因此對於具有 205 個標頭的 Web 請求, AWS WAF 無法檢查最後 5 個標頭。 當 AWS WAF 允許 Web 請求繼續到您的受保護資源時,會傳送整個 Web 請求,包括 AWS WAF 超出可檢查之計數和大小限制的任何內容。 **元件檢查大小限制** 元件檢查大小限制如下: + **`Body` 和 `JSON Body`** – 對於 Application Load Balancer 和 AWS AppSync, AWS WAF 可以檢查請求主體的前 8 KB。根據預設,對於 CloudFront、API Gateway、Amazon Cognito、App Runner 和 Verified Access, AWS WAF 可以檢查前 16 KB,並且您可以將保護套件 (Web ACL) 組態中的限制提高到 64 KB。如需詳細資訊,請參閱[在 中管理主體檢查的考量事項 AWS WAF](web-acl-setting-body-inspection-limit.md)。 + **`Headers`** – 最多 AWS WAF 可以檢查請求標頭的前 8 KB (8,192 個位元組) 和前 200 個標頭。內容最多可 AWS WAF 達第一個限制可供檢查。 當您檢查請求中的所有標頭時,會套用這些限制。當您檢查單一標頭時, AWS WAF 可以在沒有這些大小或計數限制的情況下檢查該標頭的完整內容。 + **`Cookies`** – 最多 AWS WAF 可以檢查請求 Cookie 的前 8 KB (8,192 個位元組) 和前 200 個 Cookie。內容最多可 AWS WAF 達第一個限制可供檢查。 **規則陳述式的超大處理選項** 當您撰寫規則陳述式來檢查其中一個請求元件類型時,您可以指定如何處理過大元件。當規則檢查的請求元件超過大小限制時,超大處理 AWS WAF 會告知如何處理 Web 請求。 處理過大元件的選項如下: + **Continue** – 根據規則檢查條件,正常檢查請求元件。 AWS WAF 會檢查大小限制內的請求元件內容。 + **Match** – 將 Web 請求視為符合規則陳述式。 會將規則動作 AWS WAF 套用至請求,而不根據規則的檢查條件進行評估。 + **No match** – 將 Web 請求視為不符合規則陳述式,而不根據規則的檢查標準進行評估。 會使用保護套件 (Web ACL) 中的其餘規則 AWS WAF 繼續檢查 Web 請求,就像對任何不相符規則所做的一樣。 在 AWS WAF 主控台中,您必須選擇其中一個處理選項。在主控台外,預設選項為 Continue。 如果您在其動作設為 的規則中使用 Match選項Block,則規則會封鎖已檢查元件過大的請求。使用任何其他組態時,請求的最終處置取決於各種因素,例如保護套件 (Web ACL) 中其他規則的組態,以及保護套件 (Web ACL) 的預設動作設定。 **在非您擁有的規則群組中進行過大處理** 元件大小和計數限制適用於您在保護套件 (Web ACL) 中使用的所有規則。這包括您在受管規則群組和另一個帳戶與您共用的規則群組中,使用但未管理的任何規則。 當您使用未管理的規則群組時,規則群組可能會有規則來檢查有限的請求元件,但不會以您需要的方式處理過大的內容。如需 AWS 受管規則如何管理過大元件的資訊,請參閱 [AWS 受管規則規則群組清單](aws-managed-rule-groups-list.md)。如需其他規則群組的資訊,請洽詢您的規則群組提供者。 **管理保護套件中過大元件的準則 (Web ACL)** 您在保護套件 (Web ACL) 中處理過大元件的方式,取決於多種因素,例如請求元件內容的預期大小、保護套件 (Web ACL) 的預設請求處理,以及保護套件 (Web ACL) 中的其他規則如何符合和處理請求。 管理過大 Web 請求元件的一般準則如下: + 如果您需要允許某些具有過大元件內容的請求,請盡可能新增規則以明確允許這些請求。優先考慮這些規則,使其在檢查相同元件類型的保護套件 (Web ACL) 中的任何其他規則之前執行。透過此方法,您將無法使用 AWS WAF 來檢查您允許傳遞至受保護資源的超大元件的完整內容。 + 對於所有其他請求,您可以透過封鎖超過限制的請求來防止任何額外的位元組通過: + **您的規則和規則群組** – 在檢查具有大小限制的元件的規則中,設定過大處理,以便封鎖超出限制的請求。例如,如果您的規則封鎖具有特定標頭內容的請求,請將超大處理設定為符合具有超大標頭內容的請求。或者,如果您的保護套件 (Web ACL) 預設封鎖請求,且您的規則允許特定標頭內容,則請將規則的過大處理設定為與具有過大標頭內容的任何請求不相符。 + **您未管理的規則群組** – 為了防止您未管理的規則群組允許過大請求元件,您可以新增單獨的規則來檢查請求元件類型,並封鎖超過限制的請求。優先考慮保護套件中的規則 (Web ACL),使其在規則群組之前執行。例如,您可以在保護套件 (Web ACL) 中執行任何內文檢查規則之前,使用過大內文內容封鎖請求。下列程序說明如何新增此類型的規則。 ## 封鎖過大的 Web 請求元件 封鎖過大的元件 您可以在保護套件 (Web ACL) 中新增規則,以封鎖具有過大元件的請求。 **新增封鎖過大內容的規則** 1. 當您建立或編輯保護套件 (Web ACL) 時,請在規則設定中選擇**新增規則**、**新增我自己的規則和規則群組**、**規則建置器**,然後選擇**規則視覺化編輯器**。如需建立或編輯保護套件 (Web ACL) 的指引,請參閱 [在 中檢視 Web 流量指標 AWS WAF](web-acl-working-with.md)。 1. 輸入規則的名稱,並將**類型**設定保留為**規則**。 1. 從其預設值變更下列相符設定: 1. 在**陳述**式上,針對**檢查**,開啟下拉式清單並選擇您需要的 Web 請求元件,包括**內文**、**標頭**或 **Cookie**。 1. 針對**相符類型**,選擇**大於的大小**。 1. 針對**大小**,輸入至少為元件類型大小下限的數字。針對標頭和 Cookie,輸入 `8192`。在 Application Load Balancer 或 AWS AppSync 保護套件 (Web ACLs) 中,針對內文,輸入 `8192`。對於 CloudFront、API Gateway、Amazon Cognito、App Runner 或 Verified Access 保護套件 (Web ACLs) 中的主體,如果您使用預設的主體大小限制,請輸入 `16384`。否則,請輸入您為保護套件定義的體型大小限制 (Web ACL)。 1. 針對**超大處理**,選取**相符**。 1. 針對**動作**,選取**封鎖**。 1. 選擇**新增規則**。 1. 新增規則後,在**設定規則優先順序**頁面上,將其移至您保護套件 (Web ACL) 中檢查相同元件類型的任何規則或規則群組上方。這為新規則提供了較低的數值優先順序設定,這會導致 先 AWS WAF 對其進行評估。如需詳細資訊,請參閱[設定規則優先順序](web-acl-processing-order.md)。 # 中支援的規則表達式語法 AWS WAF 支援的規則表達式語法 AWS WAF 支援 PCRE 程式庫 使用的規則表達式模式語法`libpcre`。程式庫記錄在 [PCRE - Perl 相容規則表達式](http://www.pcre.org/)中。 AWS WAF 不支援程式庫的所有建構。例如,它支援一些零寬度聲明,但不是全部。我們沒有支援的建構的完整清單。不過,如果您提供的 regex 模式無效或使用不支援的建構, AWS WAF API 會報告失敗。 AWS WAF 不支援下列 PCRE 模式: + Backreferences 和擷取子運算式 + 子程式參考和遞迴模式 + 條件式模式 + 恢復控制動詞 + \$1C 單一位元組指令 + \$1R 換行比對指令 + \$1K 開頭比對重設指令 + 圖說文字和內嵌的程式碼 + 原子分組和所佔有的量詞 # 中的 IP 集和 regex 模式集 AWS WAF IP 集合和規則運算式模式集 本節介紹 IP 集和 regex 模式集的主題。 AWS WAF 會將一些更複雜的資訊儲存在您在規則中參考它們所使用的集合中。這些集合中的每一個都有一個名稱,並在建立時獲指派一個 Amazon Resource Name (ARN)。您可以從規則陳述式內管理這些集合,而且可以透過主控台導覽窗格存取和管理這些集合。 您可以在規則群組或保護套件 (Web ACL) 中使用受管集。 + 若要使用 IP 集,請參閱 [IP 集合比對規則陳述式](waf-rule-statement-type-ipset-match.md)。 + 若要使用 regex 模式集,請參閱 [規則運算式模式集比對規則陳述式](waf-rule-statement-type-regex-pattern-set-match.md)。 **更新期間的暫時性不一致** 當您建立或變更保護套件 (Web ACL) 或其他 AWS WAF 資源時,變更會花費少量的時間傳播到存放資源的所有區域。傳播時間可以是幾秒鐘到幾分鐘。 以下是您在變更傳播期間可能注意到的暫時不一致的範例: + 建立保護套件 (Web ACL) 之後,如果您嘗試將其與資源建立關聯,您可能會收到例外狀況,指出保護套件 (Web ACL) 無法使用。 + 將規則群組新增至保護套件 (Web ACL) 之後,新的規則群組規則可能會在使用保護套件 (Web ACL) 的一個區域中生效,而不會在另一個區域中生效。 + 變更規則動作設定後,您可能會在某些地方看到舊動作,在其他地方看到新動作。 + 將 IP 地址新增至封鎖規則中使用的 IP 集之後,新的地址可能會在某個區域中遭到封鎖,同時仍允許在另一個區域中封鎖。 **Topics** + [ # 在 中建立和管理 IP 集 AWS WAF ](waf-ip-set-managing.md) + [ # 在 中建立和管理 regex 模式集 AWS WAF ](waf-regex-pattern-set-managing.md) # 在 中建立和管理 IP 集 AWS WAF 建立和管理 IP 集合 IP 集合提供您要在規則陳述式中一起使用的 IP 地址和 IP 地址範圍的集合。IP 集是 AWS 資源。 若要在保護套件 (Web ACL) 或規則群組中使用 IP 組,請先`IPSet`使用地址規格建立 AWS 資源。然後在將 IP 集合規則陳述式新增至保護套件 (Web ACL) 或規則群組時參考集合。 ## 建立 IP 集合 遵循本節中的程序來建立新的 IP 集合。 **注意** 除了本節中的程序之外,您還可以在將 IP 比對規則新增至保護套件 (Web ACL) 或規則群組時,選擇新增 IP 組。選擇該選項需要您提供與此程序所需的相同設定。 **建立 IP 集合** 1. 登入 AWS 管理主控台 並在 https://[https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2) 開啟 AWS WAF 主控台。 1. 在導覽窗格中,選擇 **IP sets (IP 集合)**,然後選擇 **Create IP set (建立 IP 集合)**。 1. 輸入 IP 集合的名稱和描述。當您要使用它們時,您將使用它們來識別該集合。 **注意** 建立 IP 集合後無法修改名稱。 1. 針對**區域**,選擇全域 (CloudFront) 或選擇要存放 IP 集的區域。您只能在保護區域資源的保護套件 (Web ACLs) 中使用區域 IP 集。若要在保護套件 (Web ACLs) 中使用 IP 組來保護 Amazon CloudFront 分佈,您必須使用全域 (CloudFront)。 1. 針對 **IP version (IP 版本)**,選取您要使用的版本。 1. 在 **IP 地址**文字方塊中,在 CIDR 表示法中輸入每行一個 IP 地址或 IP 地址範圍。 AWS WAF 支援除 以外的所有 IPv4 和 IPv6 CIDR 範圍`/0`。如需 CIDR 符號表示法的詳細資訊,請參閱 Wikipedia 文章 [無類別網域間路由](https://en.wikipedia.org/wiki/Classless_Inter-Domain_Routing)。 以下是一些範例: + 若要指定 IPv4 地址 192.0.2.44,請輸入 **192.0.2.44/32**。 + 若要指定 IPv6 地址 2620:0:2d0:200:0:0:0,請輸入 **2620:0:2d0:200:0:0:0:0/128**。 + 若要指定 IPv4 地址的範圍,從 192.0.2.0 to 192.0.2.255,請輸入 **192.0.2.0/24**。 + 若要指定 IPv6 地址的範圍,從 2620:0:2d0:200:0:0:0:0 to 2620:0:2d0:200:ffff:ffff:ffff:ffff,請輸入 **2620:0:2d0:200::/64**。 1. 檢閱 IP 集合的設定,然後選擇 **Create IP set (建立 IP 集合)**。 ## 刪除 IP 集合 遵循本節中的指引來刪除參考集。 **刪除參考的集合和規則群組** 當您刪除可在保護套件 (Web ACL) 中使用的實體,例如 IP 集、regex 模式集或規則群組時, 會 AWS WAF 檢查實體目前是否在保護套件 (Web ACL) 中使用。如果發現正在使用中, 會 AWS WAF 警告您。 AWS WAF 幾乎總是能夠判斷保護套件 (Web ACL) 是否正在參考實體。但是在極少數的情況下,它也可能無法判斷。如果您需要確定實體目前沒有任何內容正在使用,請在刪除保護套件 (Web ACLs) 之前檢查它。如果實體是參考集合,也請檢查沒有規則群組正在使用它。 **刪除 IP 集合** 1. 登入 AWS 管理主控台 並在 https://[https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2) 開啟 AWS WAF 主控台。 1. 在導覽窗格中,選擇 **IP sets (IP 集合)**。 1. 選取您要刪除的 IP 集合,然後選擇 **Delete (刪除)**。 # 在 中建立和管理 regex 模式集 AWS WAF 建立和管理規則運算式模式集 規則運算式模式集提供您要在規則陳述式中一起使用的規則運算式的集合。Regex 模式集是 AWS 資源。 若要在保護套件 (Web ACL) 或規則群組中使用 regex 模式集,您必須先建立`RegexPatternSet`具有 regex 模式規格 AWS 的資源。然後在將 regex 模式集規則陳述式新增至保護套件 (Web ACL) 或規則群組時參考集合。規則運算式模式集必須至少包含一個規則運算式模式。 如果您的 regex 模式集包含多個 regex 模式,則在規則中使用它時,模式比對會與`OR`邏輯結合。也就是說,如果請求元件符合集合中的任何模式,則 Web 請求將比對模式集規則陳述式。 AWS WAF 支援 PCRE 程式庫使用的模式語法`libpcre`,但有一些例外。程式庫記錄在 [PCRE - Perl 相容規則表達式](http://www.pcre.org/)中。如需 AWS WAF 支援的相關資訊,請參閱 [中支援的規則表達式語法 AWS WAF](waf-regex-pattern-support.md)。 ## 建立規則運算式模式集 遵循本節中的程序來建立新的規則運算式模式集。 **建立規則運算式模式集** 1. 登入 AWS 管理主控台 並在 https://[https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2) 開啟 AWS WAF 主控台。 1. 在導覽窗格中,選擇 **Regex pattern sets (規則運算式模式集)**,然後選擇 **Create regex pattern set (建立規則運算式模式集)**。 1. 輸入規則運算式模式集的名稱和描述。當您要使用該集合時,您將使用這些項目來加以識別。 **注意** 建立規則運算式模式集後無法變更名稱。 1. 針對**區域**,選擇全域 (CloudFront) 或選擇要存放 regex 模式集的區域。您只能在保護區域資源的保護套件 (Web ACLs) 中使用區域 regex 模式集。若要在保護套件 (Web ACLs) 中使用保護 Amazon CloudFront 分佈的 regex 模式集,您必須使用全域 (CloudFront)。 1. 在 **Regular expressions (規則運算式)** 文字方塊中,每行輸入一個規則運算式模式。 例如,規則運算式 `I[a@]mAB[a@]dRequest` 符合下列字串:`IamABadRequest`、`IamAB@dRequest`、`I@mABadRequest` 和 `I@mAB@dRequest`。 AWS WAF 支援 PCRE 程式庫使用的模式語法`libpcre`,但有一些例外。程式庫記錄在 [PCRE - Perl 相容規則表達式](http://www.pcre.org/)中。如需 AWS WAF 支援的相關資訊,請參閱 [中支援的規則表達式語法 AWS WAF](waf-regex-pattern-support.md)。 1. 檢閱規則運算式模式集的設定,然後選擇 **Create regex pattern set (建立規則運算式模式集)**。 ## 刪除規則運算式模式集 遵循本節中的指引來刪除參考集。 **刪除參考的集合和規則群組** 當您刪除可在保護套件 (Web ACL) 中使用的實體,例如 IP 集、regex 模式集或規則群組時, 會 AWS WAF 檢查實體目前是否在保護套件 (Web ACL) 中使用。如果發現正在使用中, 會 AWS WAF 警告您。 AWS WAF 幾乎總是能夠判斷保護套件 (Web ACL) 是否正在參考實體。但是在極少數的情況下,它也可能無法判斷。如果您需要確定實體目前沒有任何內容正在使用,請在刪除保護套件 (Web ACLs) 之前檢查它。如果實體是參考集合,也請檢查沒有規則群組正在使用它。 **刪除規則運算式模式集** 1. 登入 AWS 管理主控台 並在 https://[https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2) 開啟 AWS WAF 主控台。 1. 在導覽窗格中,選擇 **Regex pattern sets (規則運算式模式集)**。 1. 選取您要刪除的規則運算式模式集,然後選擇 **Delete (刪除)**。 # 中的自訂 Web 請求和回應 AWS WAF 自訂的 Web 請求和回應自訂請求和回應處理 您可以為未封鎖的 AWS WAF Web 請求包含自訂標頭,也可以為封鎖的 AWS WAF Web 請求傳送自訂回應。這可用於保護套件 (Web ACL) 預設動作和規則動作設定。 本節說明如何將自訂 Web 請求和回應處理行為新增至 AWS WAF 規則動作和預設保護套件 (Web ACL) 動作。您的自訂設定會在附加至 的動作套用時套用。 您可以透過下列方式自訂 Web 請求和回應: + 透過 Allow、CAPTCHA、 Count和 Challenge動作,您可以將自訂標頭插入 Web 請求。當 AWS WAF 轉送 Web 請求到受保護的資源時,請求會包含整個原始請求,以及您已插入的自訂標頭。對於 CAPTCHA和 Challenge動作,只有在請求通過 CAPTCHA 或挑戰字符檢查時, AWS WAF 才會套用自訂。 + 透過 Block動作,您可以使用回應程式碼、標頭和內文來定義完整的自訂回應。受保護的資源會使用 提供的自訂回應來回應請求 AWS WAF。您的自訂回應會取代 的預設Block動作回應`403 (Forbidden)`。 **您可以自訂的動作設定** 您可以在定義下列動作設定時指定自訂請求或回應: + 規則動作。如需相關資訊,請參閱[在 中使用規則動作 AWS WAF](waf-rule-action.md)。 + 保護套件 (Web ACL) 的預設動作。如需相關資訊,請參閱[在 中設定保護套件 (Web ACL) 預設動作 AWS WAF](web-acl-default-action.md)。 **您無法自訂的動作設定** 對於您在保護套件 (Web ACL) 中使用的規則群組,*您無法*在覆寫動作中指定自訂請求處理。請參閱 [在 中使用保護套件 (Web ACLs) 搭配規則和規則群組 AWS WAF](web-acl-processing.md)。另請參閱 [在 中使用受管規則群組陳述式 AWS WAF](waf-rule-statement-type-managed-rule-group.md)和 [在 中使用規則群組陳述式 AWS WAF](waf-rule-statement-type-rule-group.md)。 **更新期間的暫時性不一致** 當您建立或變更保護套件 (Web ACL) 或其他 AWS WAF 資源時,變更會花費少量的時間傳播到存放資源的所有區域。傳播時間可以是幾秒鐘到幾分鐘。 以下是您在變更傳播期間可能注意到的暫時不一致的範例: + 建立保護套件 (Web ACL) 之後,如果您嘗試將其與資源建立關聯,您可能會收到例外狀況,指出保護套件 (Web ACL) 無法使用。 + 將規則群組新增至保護套件 (Web ACL) 之後,新的規則群組規則可能會在使用保護套件 (Web ACL) 的一個區域中生效,而不會在另一個區域中生效。 + 變更規則動作設定後,您可能會在某些地方看到舊動作,在其他地方看到新動作。 + 將 IP 地址新增至封鎖規則中使用的 IP 集之後,新的地址可能會在某個區域中遭到封鎖,同時仍允許在另一個區域中封鎖。 **自訂請求和回應的使用限制** AWS WAF 會為您使用自訂請求和回應定義最大設定。例如,每個保護套件 (Web ACL) 或規則群組的請求標頭數目上限,以及單一自訂回應定義的自訂標頭數目上限。如需相關資訊,請參閱[AWS WAF 配額](limits.md)。 **Topics** + [ # 插入非封鎖動作的自訂請求標頭 ](customizing-the-incoming-request.md) + [ # 傳送Block動作的自訂回應 ](customizing-the-response-for-blocked-requests.md) + [ # 自訂回應支援的狀態碼 ](customizing-the-response-status-codes.md) # 插入非封鎖動作的自訂請求標頭 插入自訂請求標頭 本節說明如何在規則動作未封鎖請求時 AWS WAF ,指示 將自訂標頭插入原始 HTTP 請求。使用此選項,您只能將 新增至請求。您無法修改或取代原始請求的任何部分。自訂標頭插入的使用案例包括發出下游應用程式的訊號,根據插入的標頭以不同方式處理請求,並標記分析請求。 **重要** 此選項適用於規則動作 Allow、CAPTCHA、 Count和 ,Challenge以及設定為 的保護套件 (Web ACL) 預設動作Allow。如需規則動作的詳細資訊,請參閱 [在 中使用規則動作 AWS WAF](waf-rule-action.md)。如需預設保護套件 (Web ACL) 動作的詳細資訊,請參閱 [在 中設定保護套件 (Web ACL) 預設動作 AWS WAF](web-acl-default-action.md)。 ## 使用自訂請求標頭名稱時的考量 **新增至請求標頭的字首** AWS WAF 會為其插入的所有請求標頭加上字首`x-amzn-waf-`,以避免與已在請求中的標頭混淆。例如,如果您指定標頭名稱 `sample`, 會 AWS WAF 插入標頭 `x-amzn-waf-sample`。 **重要** 作為安全實務,您可以新增字串比對規則,封鎖標頭已以 開頭的請求`x-amzn-waf-`。這會封鎖來自非AWS WAF 來源的請求,這些來源模擬處理自訂請求標頭時 AWS WAF 插入的`x-amzn-waf-`字首字串。 下列範例顯示字串比對規則,設定為封鎖未插入`x-amzn-waf-`字首的流量 AWS WAF: ``` "Rules": [ { "Name": "CustomHeader", "Priority": 0, "Statement": { "ByteMatchStatement": { "SearchString": " x-amzn-waf-", "FieldToMatch": { "Headers": { "MatchPattern": { "All": {} }, "MatchScope": "KEY", "OversizeHandling": "MATCH" } }, "TextTransformations": [ { "Priority": 0, "Type": "NONE" } ], "PositionalConstraint": "STARTS_WITH" } }, "Action": { "Block": {} }, "VisibilityConfig": { "SampledRequestsEnabled": true, "CloudWatchMetricsEnabled": true, "MetricName": "CustomHeader" } } ] ``` 如需使用字串比對規則的資訊,請參閱 [字串比對規則陳述式](waf-rule-statement-type-string-match.md)。 **具有相同名稱的標頭** 如果請求已有插入中相同名稱的標頭 AWS WAF , 會 AWS WAF 覆寫標頭。因此,如果您在多個具有相同名稱的規則中定義標頭,則檢查請求並尋找相符項目的最後一個規則會新增其標頭,而任何先前的規則都不會新增。 ## 搭配非終止規則動作使用自訂標頭 與 Allow動作不同,Count動作不會 AWS WAF 停止使用保護套件 (Web ACL) 中的其餘規則來處理 Web 請求。同樣地,當 CAPTCHA和 Challenge判斷請求字符有效時,這些動作不會 AWS WAF 停止處理 Web 請求。因此,如果您使用規則搭配其中一個動作來插入自訂標頭,後續規則也可能插入自訂標頭。如需規則動作行為的詳細資訊,請參閱 [在 中使用規則動作 AWS WAF](waf-rule-action.md)。 例如,假設您有下列規則,依顯示的順序排定優先順序: 1. RuleA 具有Count動作和名為 的自訂標頭`RuleAHeader`。 1. RuleB 具有 Allow動作和名為 的自訂標頭`RuleBHeader`。 如果請求同時符合 RuleA 和 RuleB, 會 AWS WAF 插入標頭 `x-amzn-waf-RuleAHeader`和 `x-amzn-waf-RuleBHeader`,然後將請求轉送到受保護的資源。 AWS WAF 在完成檢查請求時, 會將自訂標頭插入 Web 請求。因此,如果您將自訂請求處理與 動作設為 的規則搭配使用Count,則您新增的自訂標頭不會由後續規則檢查。 ## 自訂請求處理範例 您可以定義規則動作或保護套件 (Web ACL) 預設動作的自訂請求處理。以下清單顯示新增至保護套件 (Web ACL) 預設動作的自訂處理 JSON。 ``` { "Name": "SampleWebACL", "Scope": "REGIONAL", "DefaultAction": { "Allow": { "CustomRequestHandling": { "InsertHeaders": [ { "Name": "fruit", "Value": "watermelon" }, { "Name": "pie", "Value": "apple" } ] } } }, "Description": "Sample protection pack (web ACL) with custom request handling configured for default action.", "Rules": [], "VisibilityConfig": { "SampledRequestsEnabled": true, "CloudWatchMetricsEnabled": true, "MetricName": "SampleWebACL" } } ``` # 傳送Block動作的自訂回應 傳送自訂回應 本節說明如何指示 AWS WAF 將自訂 HTTP 回應傳回用戶端,以取得設定為 的規則動作或保護套件 (Web ACL) 預設動作Block。如需規則動作的詳細資訊,請參閱 [在 中使用規則動作 AWS WAF](waf-rule-action.md)。如需預設保護套件 (Web ACL) 動作的詳細資訊,請參閱 [在 中設定保護套件 (Web ACL) 預設動作 AWS WAF](web-acl-default-action.md)。 當您定義Block動作的自訂回應處理時,您可以定義狀態碼、標頭和回應內文。如需可與 搭配使用的狀態碼清單 AWS WAF,請參閱以下章節:[自訂回應支援的狀態碼](customizing-the-response-status-codes.md)。 **使用案例** 自訂回應的使用案例包括下列項目: + 將非預設狀態碼傳回用戶端。 + 將自訂回應標頭傳回用戶端。您可以指定 以外的任何標頭名稱`content-type`。 + 傳送靜態錯誤頁面回用戶端。 + 將用戶端重新導向至不同的 URL。若要這樣做,您可以指定其中一個`3xx`重新導向狀態代碼,例如 `301 (Moved Permanently)`或 `302 (Found)`,然後使用新的 URL 指定名為 `Location` 的新標頭。 **與您在受保護資源中定義的回應互動** 您為 AWS WAF Block動作指定的自訂回應優先於您在受保護資源中定義的任何回應規格。 您使用 保護之 AWS 資源的主機服務 AWS WAF 可能會允許 Web 請求的自訂回應處理。範例如下: + 使用 Amazon CloudFront,您可以根據狀態碼自訂錯誤頁面。如需詳細資訊,請參閱《*Amazon CloudFront 開發人員指南*》中的[產生自訂錯誤回應](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/GeneratingCustomErrorResponses.html)。 + 透過 Amazon API Gateway,您可以定義閘道的回應和狀態碼。如需詳細資訊,請參閱《*Amazon API Gateway * [API Gateway 開發人員指南》中的 API Gateway 中的閘道回應](https://docs.aws.amazon.com/apigateway/latest/developerguide/api-gateway-gatewayResponse-definition.html)。 您無法在受保護 AWS 的資源中結合 AWS WAF 自訂回應設定與自訂回應設定。任何個別 Web 請求的回應規格完全 AWS WAF 來自或完全來自受保護的資源。 對於 AWS WAF 封鎖的 Web 請求,以下顯示優先順序。 1. **AWS WAF 自訂回應** – 如果 AWS WAF Block動作已啟用自訂回應,受保護的資源會將設定的自訂回應傳回給用戶端。您可能已在受保護資源本身中定義的任何回應設定都無效。 1. **受保護的資源中定義的自訂回應** – 否則,如果受保護的資源已指定自訂回應設定,則受保護的資源會使用這些設定來回應用戶端。 1. **AWS WAF 預設Block回應** – 否則,受保護的資源會以 AWS WAF 預設回應 回應用戶端Block`403 (Forbidden)`。 對於 AWS WAF 允許 的 Web 請求,受保護資源的組態會決定其傳回用戶端的回應。您無法 AWS WAF 在 中為允許的請求設定回應設定。您可以在 中 AWS WAF 為允許的請求設定的唯一自訂項目是將自訂標頭插入原始請求,然後再將請求轉送至受保護的資源。此選項會在上一節 中說明[插入非封鎖動作的自訂請求標頭](customizing-the-incoming-request.md)。 **自訂回應標頭** 您可以指定 以外的任何標頭名稱`content-type`。 **自訂回應內文** 您可以在要使用的保護套件 (Web ACL) 或規則群組內容中定義自訂回應的內文。定義自訂回應內文之後,您可以在建立自訂回應內文的保護套件 (Web ACL) 或規則群組中的任意位置參考。在個別Block動作設定中,您會參考要使用的自訂內文,並定義自訂回應的狀態碼和標頭。 當您在主控台中建立自訂回應時,您可以從已定義的回應內文中進行選擇,也可以建立新的內文。在主控台外部,您可以在保護套件 (Web ACL) 或規則群組層級定義自訂回應主體,然後從保護套件 (Web ACL) 或規則群組內的動作設定中參考它們。這會顯示在下一節的範例 JSON 中。 **自訂回應範例** 下列範例列出具有自訂回應設定的規則群組的 JSON。自訂回應內文是為整個規則群組定義,然後在規則動作中由索引鍵參考。 ``` { "ARN": "test_rulegroup_arn", "Capacity": 1, "CustomResponseBodies": { "CustomResponseBodyKey1": { "Content": "This is a plain text response body.", "ContentType": "TEXT_PLAIN" } }, "Description": "This is a test rule group.", "Id": "test_rulegroup_id", "Name": "TestRuleGroup", "Rules": [ { "Action": { "Block": { "CustomResponse": { "CustomResponseBodyKey": "CustomResponseBodyKey1", "ResponseCode": 404, "ResponseHeaders": [ { "Name": "BlockActionHeader1Name", "Value": "BlockActionHeader1Value" } ] } } }, "Name": "GeoMatchRule", "Priority": 1, "Statement": { "GeoMatchStatement": { "CountryCodes": [ "US" ] } }, "VisibilityConfig": { "CloudWatchMetricsEnabled": true, "MetricName": "TestRuleGroupReferenceMetric", "SampledRequestsEnabled": true } } ], "VisibilityConfig": { "CloudWatchMetricsEnabled": true, "MetricName": "TestRuleGroupMetric", "SampledRequestsEnabled": true } } ``` # 自訂回應支援的狀態碼 支援的回應狀態碼 本節列出您可以在自訂回應中使用的狀態碼。如需 HTTP 狀態碼的詳細資訊,請參閱網際網路工程任務小組 (IETF) [的狀態碼](https://www.rfc-editor.org/rfc/rfc9110.html#name-status-codes)和 Wikipedia [上的 HTTP 狀態碼清單](https://en.wikipedia.org/wiki/List_of_HTTP_status_codes)。 以下是 AWS WAF 支援自訂回應的 HTTP 狀態碼。 + `2xx Successful` + `200` – `OK` + `201` – `Created` + `202` – `Accepted` + `204` – `No Content` + `206` – `Partial Content` + `3xx Redirection ` + `300` – `Multiple Choices` + `301` – `Moved Permanently` + `302` – `Found` + `303` –`See Other` + `304` – `Not Modified` + `307` – `Temporary Redirect` + `308` – `Permanent Redirect` + `4xx Client Error ` + `400` – `Bad Request` + `401` – `Unauthorized` + `403` – `Forbidden` + `404` – `Not Found` + `405` – `Method Not Allowed` + `408` – `Request Timeout` + `409` – `Conflict` + `411` – `Length Required` + `412` – `Precondition Failed` + `413` – `Request Entity Too Large` + `414` – `Request-URI Too Long` + `415` – `Unsupported Media Type` + `416` – `Requested Range Not Satisfiable` + `421` – `Misdirected Request` + `429` – `Too Many Requests` + `5xx Server Error` + `500` – `Internal Server Error` + `501` – `Not Implemented` + `502` – `Bad Gateway` + `503` – `Service Unavailable` + `504` – `Gateway Timeout` + `505` – `HTTP Version Not Supported` # 中的 Web 請求標籤 AWS WAF Web 請求標籤AWS WAF Web 請求上的標籤 您可以設定規則,將標籤新增至相符的 Web 請求,並比對其他規則新增的標籤。 本節說明什麼是 AWS WAF 標籤。 標籤是當規則符合請求時,規則新增至 Web 請求的中繼資料。新增後,標籤會保留在請求上,直到保護套件 (Web ACL) 評估結束為止。您可以使用標籤比對陳述式,存取稍後在保護套件 (Web ACL) 評估中執行之規則中的標籤。如需詳細資訊,請參閱[標籤比對規則陳述式](waf-rule-statement-type-label-match.md)。 Web 請求上的標籤會產生 Amazon CloudWatch 標籤指標。如需指標和維度的清單,請參閱 [標籤指標和維度](waf-metrics.md#waf-metrics-label)。如需有關透過 CloudWatch 和主控台 AWS WAF 存取指標和指標摘要的資訊,請參閱 [監控和調校您的 AWS WAF 保護](web-acl-testing-activities.md)。 **標記使用案例** AWS WAF 標籤的常見使用案例包括下列項目: + **在對請求採取動作之前,針對多個規則陳述式評估 Web 請求** – 在與保護套件 (Web ACL) 中的規則找到相符項目之後,如果規則動作未終止保護套件 (Web ACL) 評估, AWS WAF 則繼續針對保護套件 (Web ACL) 評估請求。您可以在決定允許或封鎖請求之前,使用標籤來評估和收集來自多個規則的資訊。若要這樣做,請將現有規則的動作變更為 ,Count並將它們設定為將標籤新增至相符的請求。然後,新增一或多個要在其他規則之後執行的新規則,並設定它們來評估標籤,並根據標籤比對組合管理請求。 + **依地理區域管理 Web 請求** – 您可以單獨使用地理比對規則,依來源國家/地區管理 Web 請求。若要將位置微調到區域層級,您可以使用地理比對規則搭配Count動作,後面接著標籤比對規則。如需地理比對規則的詳細資訊,請參閱 [地理比對規則陳述式](waf-rule-statement-type-geo-match.md)。 + **跨多個規則重複使用邏輯** – 如果您需要跨多個規則重複使用相同的邏輯,您可以使用標籤來單一來源邏輯,並只測試結果。當您有多個使用常見巢狀規則陳述式子集的複雜規則時,跨複雜規則複製常見規則集可能會耗時且容易出錯。使用標籤,您可以建立一個具有常見規則子集的新規則,該規則子集會計算相符請求,並將標籤新增至它們。您可以將新規則新增至保護套件 (Web ACL),使其在原始複雜規則之前執行。然後,在原始規則中,您可以將共用規則子集取代為檢查標籤的單一規則。 例如,假設您有多個規則,只想套用至您的登入路徑。您可以實作包含該邏輯的單一新規則,而不是讓每個規則指定相同的邏輯以符合潛在的登入路徑。讓新規則將標籤新增至相符的請求,以指出請求位於登入路徑上。在保護套件 (Web ACL) 中,將此新規則設為比原始規則更低的數值優先順序設定,以便先執行。然後,在您的原始規則中,將共用邏輯取代為檢查標籤是否存在。如需優先順序設定的資訊,請參閱 [設定規則優先順序](web-acl-processing-order.md)。 + 在**規則群組中建立規則的例外**狀況 – 此選項對於您無法檢視或修改的受管規則群組特別有用。許多受管規則群組規則會將標籤新增至相符的 Web 請求,以指出相符的規則,並可能提供有關相符項目的其他資訊。當您使用將標籤新增至請求的規則群組時,您可以覆寫規則群組規則來計算相符項目,然後在根據規則群組標籤處理 Web 請求的規則群組之後執行規則。所有 AWS 受管規則都會將標籤新增至相符的 Web 請求。如需詳細資訊,請參閱 中的規則描述[AWS 受管規則規則群組清單](aws-managed-rule-groups-list.md)。 + **使用標籤指標來監控流量模式** – 您可以存取透過規則新增之標籤的指標,以及您在保護套件 (Web ACL) 中使用的任何受管規則群組新增的指標。所有 AWS 受管規則規則群組都會將標籤新增至其評估的 Web 請求。如需標籤指標和維度的清單,請參閱 [標籤指標和維度](waf-metrics.md#waf-metrics-label)。您可以透過 CloudWatch 和 AWS WAF 主控台中的保護套件 (Web ACL) 頁面來存取指標和指標摘要。如需相關資訊,請參閱[監控和調校您的 AWS WAF 保護](web-acl-testing-activities.md)。 # 標籤在 中的運作方式 AWS WAF 標籤的運作方式 本節說明 AWS WAF 標籤的運作方式。 當規則符合 Web 請求時,如果規則已定義標籤, 會在規則評估結束時將標籤 AWS WAF 新增至請求。在保護套件 (Web ACL) 中比對規則之後評估的規則,可以比對規則新增的標籤。 **誰會將標籤新增至請求** 評估請求的保護套件 (Web ACL) 元件可以將標籤新增至請求。 + 任何不是規則群組參考陳述式的規則,都可以將標籤新增至相符的 Web 請求。標記條件是規則定義的一部分,當 Web 請求符合規則時, 會將規則的標籤 AWS WAF 新增至請求。如需相關資訊,請參閱[AWS WAF 新增標籤的 規則](waf-rule-label-add.md)。 + 地理比對規則陳述式會將國家和區域標籤新增至其檢查的任何請求,無論陳述式是否導致比對。如需相關資訊,請參閱[地理比對規則陳述式](waf-rule-statement-type-geo-match.md)。 + AWS WAF 所有 的 AWS 受管規則都會將標籤新增至其檢查的請求。它們會根據規則群組中的規則比對新增一些標籤,並根據受管規則群組使用的程序新增一些 AWS 標籤,例如當您使用智慧型威脅緩解規則群組時新增的字符標籤。如需每個受管規則群組新增之標籤的相關資訊,請參閱 [AWS 受管規則規則群組清單](aws-managed-rule-groups-list.md)。 **如何 AWS WAF 管理標籤** AWS WAF 在規則檢查請求結束時, 會將規則的標籤新增至請求。標籤是規則比對活動的一部分,類似於 動作。 在保護套件 (Web ACL) 評估結束後,標籤不會保留在 Web 請求中。為了讓其他規則與您的規則新增的標籤相符,您的規則動作不得終止保護套件 (Web ACL) 對 Web 請求的評估。規則動作必須設定為 Count、 CAPTCHA或 Challenge。當保護套件 (Web ACL) 評估未終止時,保護套件 (Web ACL) 中的後續規則可以針對請求執行其標籤比對條件。如需規則動作的詳細資訊,請參閱 [在 中使用規則動作 AWS WAF](waf-rule-action.md)。 **在保護套件 (Web ACL) 評估期間存取標籤** 新增後,只要針對保護套件 (Web ACL) AWS WAF 評估請求,標籤就會保留在請求上。保護套件 (Web ACL) 中的任何規則都可以存取已在相同保護套件 (Web ACL) 中執行的規則所新增的標籤。這包括直接在保護套件 (Web ACL) 內定義的規則,以及在保護套件 (Web ACL) 中使用的規則群組內定義的規則。 + 您可以使用標籤比對陳述式,比對規則請求檢查條件中的標籤。您可以比對連接到請求的任何標籤。如需陳述式詳細資訊,請參閱 [標籤比對規則陳述式](waf-rule-statement-type-label-match.md)。 + 地理比對陳述式會新增有或沒有相符項目的標籤,但只有在包含保護套件 (Web ACL) 規則的陳述式完成請求評估後才能使用。 + 您無法使用單一規則,例如邏輯`AND`陳述式,針對地理標籤執行地理比對陳述式,後面接著標籤比對陳述式。您必須將標籤比對陳述式放在包含地理比對陳述式的規則之後執行的個別規則中。 + 如果您使用地理比對陳述式做為以速率為基礎的規則陳述式或受管規則群組參考陳述式內的縮小範圍陳述式,則包含規則陳述式的陳述式無法檢查地理比對陳述式新增的標籤。如果您需要檢查以速率為基礎的規則陳述式或規則群組中的地理標籤,您必須在事先執行的單獨規則中執行地理比對陳述式。 **存取保護套件 (Web ACL) 評估之外的標籤資訊** 在保護套件 (Web ACL) 評估結束後,標籤不會保留在 Web 請求中,但 會在日誌和指標中 AWS WAF 記錄標籤資訊。 + AWS WAF 會將前 100 個標籤的 Amazon CloudWatch 指標存放在任何單一請求上。如需存取標籤指標的資訊,請參閱 [使用 Amazon CloudWatch 監控](monitoring-cloudwatch.md)和 [標籤指標和維度](waf-metrics.md#waf-metrics-label)。 + AWS WAF 在 AWS WAF 主控台的保護套件 (Web ACL) 流量概觀儀表板中摘要 CloudWatch 標籤指標。您可以在任何保護套件 (Web ACL) 頁面上存取儀表板。如需詳細資訊,請參閱[保護套件的流量概觀儀表板 (Web ACLs)](web-acl-dashboards.md)。 + AWS WAF 會將請求前 100 個標籤的標籤記錄在 日誌中。您可以使用標籤以及規則動作來篩選記錄的 AWS WAF 日誌。如需相關資訊,請參閱[記錄 AWS WAF 保護套件 (Web ACL) 流量](logging.md)。 您的保護套件 (Web ACL) 評估可以將超過 100 個標籤套用至 Web 請求,並與超過 100 個標籤進行比對,但 AWS WAF 只會在日誌和指標中記錄前 100 個標籤。 # 中的標籤語法和命名需求 AWS WAF 標籤語法和命名需求 本節說明如何建構和比對 AWS WAF 標籤。 標籤是由字首、選用命名空間和名稱組成的字串。標籤的元件以冒號分隔。標籤具有下列需求和特性: + 標籤區分大小寫。 + 每個標籤命名空間或標籤名稱最多可有 128 個字元。 + 您可以在標籤中指定最多五個命名空間。 + 標籤的元件以冒號 () 分隔`:`。 + 您無法在為標籤指定的命名空間或名稱中使用下列預留字串:`awswaf`、`aws`、`waf`、`rulegroup`、`webacl`、 `regexpatternset` `ipset`和 `managed`。 ## 標籤語法 完整標籤具有字首、選用命名空間和標籤名稱。字首識別新增標籤之規則的規則群組或保護套件 (Web ACL) 內容。命名空間可用於為標籤新增更多內容。標籤名稱提供最低層級的標籤詳細資訊。它通常表示將標籤新增至請求的特定規則。 標籤字首會根據其原始伺服器而有所不同。 + **您的標籤** – 以下顯示您在保護套件 (Web ACL) 和規則群組規則中建立的標籤的完整標籤語法。實體類型為 `rulegroup`和 `webacl`。 ``` awswaf:::::...: