基准规则组

基准托管规则组可针对多种常见威胁提供一般保护。请选择以下一个或多个规则组以便为您的资源建立基准保护。

核心规则集 (CRS) 托管规则组

VendorName:AWS, 名称:AWSManagedRulesCommonRuleSet, WCU: 700

核心规则集 (CRS) 规则组包含通常适用于 Web 应用程序的规则。这可以保护人们免受各种漏洞的利用，包括OWASP出版物（例如 OWASP Top 10）中描述的一些高风险和常见漏洞。请考虑将此规则组用于任何 Amazon WAF 使用案例。

注意

下表描述了该规则组的最新静态版本。对于其他版本，请使用 API 命令DescribeManagedRuleGroup。

Rule name（规则名称）	描述和标注分类
`NoUserAgent_HEADER`	检查缺少 HTTP`User-Agent` 标头的请求。规则操作：Block 标签：`awswaf:managed:aws:core-rule-set:NoUserAgent_Header`
`UserAgent_BadBots_HEADER`	检查是否存在表明请求是坏机器人的常见`User-Agent`标头值。示例模式包括 `nessus` 和 `nmap`。有关机器人管理的信息，另请参阅Amazon WAF机器人控制规则组。规则操作：Block 标签：`awswaf:managed:aws:core-rule-set:BadBots_Header`
`SizeRestrictions_QUERYSTRING`	检查是否有超过 2,048 字节的 URI 查询字符串。规则操作：Block 标签：`awswaf:managed:aws:core-rule-set:SizeRestrictions_QueryString`
`SizeRestrictions_Cookie_HEADER`	检查是否有超过 10,240 字节的 cookie 标头。警告此规则仅检查请求 cookie 的前 8 KB 或前 200 个 Cookie，以先达到的限制为准，并使用该`Continue`选项处理超大内容。有关更多信息，请参阅请求组件的超大处理：规则操作：Block 标签：`awswaf:managed:aws:core-rule-set:SizeRestrictions_Cookie_Header`
`SizeRestrictions_BODY`	检查超过 8 KB（8,192 字节）的请求正文。规则操作：Block 标签：`awswaf:managed:aws:core-rule-set:SizeRestrictions_Body`
`SizeRestrictions_URIPATH`	检查超过 1024 字节的 URI 路径。规则操作：Block 标签：`awswaf:managed:aws:core-rule-set:SizeRestrictions_URIPath`
`EC2MetaDataSSRF_BODY`	检查是否有人试图从请求正文中泄露 Amazon EC2 元数据。警告此规则仅检查请求正文的前 8 KB，并使用该`Continue`选项处理超大内容。有关更多信息，请参阅请求组件的超大处理：规则操作：Block 标签：`awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_Body`
`EC2MetaDataSSRF_COOKIE`	检查是否有人试图从请求 Cookie 中泄露 Amazon EC2 元数据。警告此规则仅检查请求 cookie 的前 8 KB 或前 200 个 Cookie，以先达到的限制为准，并使用该`Continue`选项处理超大内容。有关更多信息，请参阅请求组件的超大处理：规则操作：Block 标签：`awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_Cookie`
`EC2MetaDataSSRF_URIPATH`	检查是否有人试图从请求 URI 路径中泄露 Amazon EC2 元数据。规则操作：Block 标签：`awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_URIPath`
`EC2MetaDataSSRF_QUERYARGUMENTS`	检查是否有人尝试从请求查询参数中提取 Amazon EC2 元数据。规则操作：Block 标签：`awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_QueryArguments`
`GenericLFI_QUERYARGUMENTS`	检查查询参数中是否存在本地文件包含 (LFI) 攻击。示例包括使用类似于 `../../` 的技术尝试遍历路径。规则操作：Block 标签：`awswaf:managed:aws:core-rule-set:GenericLFI_QueryArguments`
`GenericLFI_URIPATH`	检查 URI 路径中是否存在本地文件包含 (LFI) 攻击。示例包括使用类似于 `../../` 的技术尝试遍历路径。规则操作：Block 标签：`awswaf:managed:aws:core-rule-set:GenericLFI_URIPath`
`GenericLFI_BODY`	检查请求正文中是否存在本地文件包含 (LFI) 攻击。示例包括使用类似于 `../../` 的技术尝试遍历路径。警告此规则仅检查请求正文的前 8 KB，并使用该`Continue`选项处理超大内容。有关更多信息，请参阅请求组件的超大处理：规则操作：Block 标签：`awswaf:managed:aws:core-rule-set:GenericLFI_Body`
`RestrictedExtensions_URIPATH`	检查其 URI 路径是否包含无法安全读取或运行的系统文件扩展名的请求。示例模式包括类似于 `.log` 和 `.ini` 的扩展名。规则操作：Block 标签：`awswaf:managed:aws:core-rule-set:RestrictedExtensions_URIPath`
`RestrictedExtensions_QUERYARGUMENTS`	检查其查询参数是否包含无法安全读取或运行的系统文件扩展名的请求。示例模式包括类似于 `.log` 和 `.ini` 的扩展名。规则操作：Block 标签：`awswaf:managed:aws:core-rule-set:RestrictedExtensions_QueryArguments`
`GenericRFI_QUERYARGUMENTS`	检查所有查询参数的值，是否有人试图通过嵌入包含 IPv4 地址的 URL 来利用 Web 应用程序中的 RFI（远程文件包含）。示例包括`http://`、、`https://ftp://`、和`file://`等模式`ftps://`，在尝试利用漏洞时使用 IPv4 主机标头。规则操作：Block 标签：`awswaf:managed:aws:core-rule-set:GenericRFI_QueryArguments`
`GenericRFI_BODY`	检查请求正文是否有人企图通过嵌入包含 IPv4 地址的 URL 来利用 Web 应用程序中的 RFI（远程文件包含）。示例包括`http://`、、`https://ftp://`、和`file://`等模式`ftps://`，在尝试利用漏洞时使用 IPv4 主机标头。警告此规则仅检查请求正文的前 8 KB，并使用该`Continue`选项处理超大内容。有关更多信息，请参阅请求组件的超大处理：规则操作：Block 标签：`awswaf:managed:aws:core-rule-set:GenericRFI_Body`
`GenericRFI_URIPATH`	检查 URI 路径是否有人企图通过嵌入包含 IPv4 地址的 URL 来利用 Web 应用程序中的 RFI（远程文件包含）。示例包括`http://`、、`https://ftp://`、和`file://`等模式`ftps://`，在尝试利用漏洞时使用 IPv4 主机标头。规则操作：Block 标签：`awswaf:managed:aws:core-rule-set:GenericRFI_URIPath`
`CrossSiteScripting_COOKIE`	使用内置功能检查 cookie 标头的值以了解常见的跨站脚本 (XSS) 模式Amazon WAF跨站点脚本攻击规则语句。示例模式包括类似于 `<script>alert("hello")</script>` 的脚本。警告此规则仅检查请求 cookie 的前 8 KB 或前 200 个 Cookie，以先达到的限制为准，并使用该`Continue`选项处理超大内容。有关更多信息，请参阅请求组件的超大处理：注意 Amazon WAF日志中的规则匹配详细信息未填充此规则组的版本 2.0。规则操作：Block 标签：`awswaf:managed:aws:core-rule-set:CrossSiteScripting_Cookie`
`CrossSiteScripting_QUERYARGUMENTS`	使用内置函数检查常见跨站脚本 (XSS) 模式的查询参数值Amazon WAF跨站点脚本攻击规则语句。示例模式包括类似于 `<script>alert("hello")</script>` 的脚本。注意 Amazon WAF日志中的规则匹配详细信息未填充此规则组的版本 2.0。规则操作：Block 标签：`awswaf:managed:aws:core-rule-set:CrossSiteScripting_QueryArguments`
`CrossSiteScripting_BODY`	使用内置函数检查请求正文中常见的跨站脚本 (XSS) 模式Amazon WAF跨站点脚本攻击规则语句。示例模式包括类似于 `<script>alert("hello")</script>` 的脚本。注意 Amazon WAF日志中的规则匹配详细信息未填充此规则组的版本 2.0。警告此规则仅检查请求正文的前 8 KB，并使用该`Continue`选项处理超大内容。有关更多信息，请参阅请求组件的超大处理：规则操作：Block 标签：`awswaf:managed:aws:core-rule-set:CrossSiteScripting_Body`
`CrossSiteScripting_URIPATH`	使用内置函数检查常见跨站脚本 (XSS) 模式的 URI 路径值Amazon WAF跨站点脚本攻击规则语句。示例模式包括类似于 `<script>alert("hello")</script>` 的脚本。注意 Amazon WAF日志中的规则匹配详细信息未填充此规则组的版本 2.0。规则操作：Block 标签：`awswaf:managed:aws:core-rule-set:CrossSiteScripting_URIPath`

管理员保护管理规则组

VendorName:AWS, 名称:AWSManagedRulesAdminProtectionRuleSet, WCU: 100

管理保护规则组包含允许您阻止对公开的管理页面进行外部访问的规则。如果您运行第三方软件，或者希望降低恶意人员获取您的应用程序的管理访问权限的风险，该规则组可能非常有用。

注意

下表描述了该规则组的最新静态版本。对于其他版本，请使用 API 命令DescribeManagedRuleGroup。

Rule name（规则名称）描述和标注分类

Rule name（规则名称）	描述和标注分类
`AdminProtection_URIPATH`	检查通常为管理 Web 服务器或应用程序而保留的 URI 路径。示例模式包括 `sqlmanager`。规则操作：Block 标签：`awswaf:managed:aws:admin-protection:AdminProtection_URIPath`

AdminProtection_URIPATH

检查通常为管理 Web 服务器或应用程序而保留的 URI 路径。示例模式包括 sqlmanager。

规则操作：Block

标签：awswaf:managed:aws:admin-protection:AdminProtection_URIPath

已知的错误输入管理规则组

VendorName:AWS, 名称:AWSManagedRulesKnownBadInputsRuleSet, WCU: 200

已知错误输入规则组包含用于阻止请求模式的规则，这些模式确认无效且与漏洞攻击或发现相关联。这可以帮助降低恶意行为者发现有漏洞的应用程序的风险。

注意

下表描述了该规则组的最新静态版本。对于其他版本，请使用 API 命令DescribeManagedRuleGroup。

Rule name（规则名称）	描述和标注分类
`JavaDeserializationRCE_HEADER`	检查 HTTP 请求标头的键和值，寻找表明 Java 反序列化远程命令执行 (RCE) 尝试的模式，例如 Spring Core 和 Cloud Function RCE 漏洞（CVE-2022-22963、CVE-2022-22965）。示例模式包括 `(java.lang.Runtime).getRuntime().exec("whoami")`。警告此规则仅检查请求标头的前 8 KB 或前 200 个标头，以先达到限制为准，并使用该`Continue`选项处理超大内容。有关更多信息，请参阅请求组件的超大处理：规则操作：Block 标签：`awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_Header`
`JavaDeserializationRCE_BODY`	检查请求正文中是否存在表示 Java 反序列化远程命令执行 (RCE) 尝试的模式，例如 Spring Core 和 Cloud Function RCE 漏洞（CVE-2022-22963、CVE-2022-22965）。示例模式包括 `(java.lang.Runtime).getRuntime().exec("whoami")`。警告此规则仅检查请求正文的前 8 KB，并使用该`Continue`选项处理超大内容。有关更多信息，请参阅请求组件的超大处理：规则操作：Block 标签：`awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_Body`
`JavaDeserializationRCE_URIPATH`	检查请求 URI 中是否存在表示 Java 反序列化远程命令执行 (RCE) 尝试的模式，例如 Spring Core 和 Cloud Function RCE 漏洞（CVE-2022-22963、CVE-2022-22965）。示例模式包括 `(java.lang.Runtime).getRuntime().exec("whoami")`。规则操作：Block 标签：`awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_URIPath`
`JavaDeserializationRCE_QUERYSTRING`	检查请求查询字符串中是否存在表示 Java 反序列化远程命令执行 (RCE) 尝试的模式，例如 Spring Core 和 Cloud Function RCE 漏洞（CVE-2022-22963、CVE-2022-22965）。示例模式包括 `(java.lang.Runtime).getRuntime().exec("whoami")`。规则操作：Block 标签：`awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_QueryString`
`Host_localhost_HEADER`	检查请求中的主机标头是否有指示本地主机的模式。示例模式包括 `localhost`。规则操作：Block 标签：`awswaf:managed:aws:known-bad-inputs:Host_Localhost_Header`
`PROPFIND_METHOD`	检查请求中用于 `PROPFIND` 的 HTTP 方法，这是一种类似于 `HEAD` 的方法，但具有泄漏 XML 对象的额外意图。规则操作：Block 标签：`awswaf:managed:aws:known-bad-inputs:Propfind_Method`
`ExploitablePaths_URIPATH`	检查 URI 路径中是否有恶意方试图访问可利用的 Web 应用程序路径。示例模式包括类似于 `web-inf` 的路径。规则操作：Block 标签：`awswaf:managed:aws:known-bad-inputs:ExploitablePaths_URIPath`
`Log4JRCE_HEADER`	检查请求标头的密钥和值是否存在 Log4j 漏洞（CVE-2021-44228、CVE-2021-45046、CVE-2021-45105），并防止尝试远程执行代码 (RCE)。示例模式包括 `${jndi:ldap://example.com/}`。警告此规则仅检查请求标头的前 8 KB 或前 200 个标头，以先达到限制为准，并使用该`Continue`选项处理超大内容。有关更多信息，请参阅请求组件的超大处理：规则操作：Block 标签：`awswaf:managed:aws:known-bad-inputs:Log4JRCE_Header`
`Log4JRCE_QUERYSTRING`	检查查询字符串中是否存在 Log4j 漏洞（CVE-2021-44228、CVE-2021-45046、CVE-2021-45105），并防止尝试远程执行代码 (RCE)。示例模式包括 `${jndi:ldap://example.com/}`。规则操作：Block 标签：`awswaf:managed:aws:known-bad-inputs:Log4JRCE_QueryString`
`Log4JRCE_BODY`	检查主体是否存在 Log4j 漏洞（CVE-2021-44228、CVE-2021-45046、CVE-2021-45105），并防止尝试远程执行代码 (RCE)。示例模式包括 `${jndi:ldap://example.com/}`。警告此规则仅检查请求正文的前 8 KB，并使用该`Continue`选项处理超大内容。有关更多信息，请参阅请求组件的超大处理：规则操作：Block 标签：`awswaf:managed:aws:known-bad-inputs:Log4JRCE_Body`
`Log4JRCE_URIPATH`	检查 URI 路径中是否存在 Log4j 漏洞（CVE-2021-44228、CVE-2021-45046、CVE-2021-45105），并防止尝试远程执行代码 (RCE)。示例模式包括 `${jndi:ldap://example.com/}`。规则操作：Block 标签：`awswaf:managed:aws:known-bad-inputs:Log4JRCE_URIPath`

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

Amazon托管规则规则组列表

使用案例特定规则组

基准规则组

核心规则集 (CRS) 托管规则组

注意

警告

警告

警告

警告

警告

警告

注意

注意

注意

警告

注意

管理员保护管理规则组

注意

已知的错误输入管理规则组

注意

警告

警告

警告

警告