选择您的 Cookie 首选项

我们使用必要 Cookie 和类似工具提供我们的网站和服务。我们使用性能 Cookie 收集匿名统计数据,以便我们可以了解客户如何使用我们的网站并进行改进。必要 Cookie 无法停用,但您可以单击“自定义”或“拒绝”来拒绝性能 Cookie。

如果您同意,AWS 和经批准的第三方还将使用 Cookie 提供有用的网站功能、记住您的首选项并显示相关内容,包括相关广告。要接受或拒绝所有非必要 Cookie,请单击“接受”或“拒绝”。要做出更详细的选择,请单击“自定义”。

基准规则组

聚焦模式

本页内容

基准规则组 - AWS WAFAWS Firewall Manager、和 AWS Shield Advanced

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

基准托管规则组可针对多种常见威胁提供一般保护。请选择以下一个或多个规则组以便为您的资源建立基准保护。

核心规则集 (CRS) 托管规则组

VendorName:AWS,名称:AWSManagedRulesCommonRuleSet,WCU:700

注意

本文档涵盖了该托管规则组的最新静态版本。我们在变更日志中报告版本变更,网址为AWS 托管规则变更日志。有关其他版本的信息,请使用API命令DescribeManagedRuleGroup

我们在 AWS 托管规则组中发布的规则信息旨在为您提供使用规则所需的信息,而不会向不良行为者提供他们规避规则所需的信息。

如果您需要的信息超出此处的范围,请联系AWS Support 中心

核心规则集 (CRS) 规则组包含通常适用于 Web 应用程序的规则。这可以防止利用各种漏洞,包括OWASP出版物(例如OWASP排名前十的漏洞)中描述的一些高风险漏洞和常见漏洞。考虑将此规则组用于任何 AWS WAF 用例。

此托管规则组会为其评估的 Web 请求添加标签,这些标签可用于在您的 Web ACL 中在此规则组之后运行的规则。 AWS WAF 还会记录亚马逊 CloudWatch 指标的标签。有关标签和标签指标的一般信息,请参阅 网络请求标签标签指标和维度

Rule name(规则名称) 描述和标签
NoUserAgent_HEADER

检查是否有缺少HTTPUser-Agent标题的请求。

规则操作:Block

标签:awswaf:managed:aws:core-rule-set:NoUserAgent_Header

UserAgent_BadBots_HEADER

检查是否存在表明请求是恶意机器人的常见 User-Agent 标头值。示例模式包括 nessusnmap。有关机器人管理的信息,另请参阅 AWS WAF 机器人控制规则组

规则操作:Block

标签:awswaf:managed:aws:core-rule-set:BadBots_Header

SizeRestrictions_QUERYSTRING

检查是否有超过 2,048 字节的URI查询字符串。

规则操作:Block

标签:awswaf:managed:aws:core-rule-set:SizeRestrictions_QueryString

SizeRestrictions_Cookie_HEADER

检查是否存在超过 10,240 字节的 Cookie 标头。

规则操作:Block

标签:awswaf:managed:aws:core-rule-set:SizeRestrictions_Cookie_Header

SizeRestrictions_BODY

检查是否存在超过 8 KB(8,192 字节)的请求正文。

规则操作:Block

标签:awswaf:managed:aws:core-rule-set:SizeRestrictions_Body

SizeRestrictions_URIPATH

检查是否有超过 1,024 字节的URI路径。

规则操作:Block

标签:awswaf:managed:aws:core-rule-set:SizeRestrictions_URIPath

EC2MetaDataSSRF_BODY

检查是否有人企图从请求正文中泄露 A EC2 mazon 元数据。

警告

此规则仅检查请求正文,但不得超过 Web ACL 和资源类型的正文大小限制。对于 Application Load Balancer 和 AWS AppSync,限制固定为 8 KB。对于 API Gateway CloudFront、Amazon Cognito、App Runner 和 Verified Access,默认限制为 16 KB,您可以在网页ACL配置中将限制提高到 64 KB。此规则使用 Continue 选项来处理超大内容。有关更多信息,请参阅 中的 Web 请求组件过大 AWS WAF

规则操作:Block

标签:awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_Body

EC2MetaDataSSRF_COOKIE

检查是否有人企图从请求 Cookie 中泄露EC2亚马逊元数据。

规则操作:Block

标签:awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_Cookie

EC2MetaDataSSRF_URIPATH

检查是否有人企图从请求路径中泄露 A EC2 mazon 元数据。URI

规则操作:Block

标签:awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_URIPath

EC2MetaDataSSRF_QUERYARGUMENTS

检查是否有人企图从请求查询参数中泄露 A EC2 mazon 元数据。

规则操作:Block

标签:awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_QueryArguments

GenericLFI_QUERYARGUMENTS

检查查询参数中是否存在本地文件包含 (LFI) 漏洞。示例包括使用类似于 ../../ 的技术尝试遍历路径。

规则操作:Block

标签:awswaf:managed:aws:core-rule-set:GenericLFI_QueryArguments

GenericLFI_URIPATH

检查路径中是否存在本地文件包含 (LFI) 漏洞。URI示例包括使用类似于 ../../ 的技术尝试遍历路径。

规则操作:Block

标签:awswaf:managed:aws:core-rule-set:GenericLFI_URIPath

GenericLFI_BODY

检查请求正文中是否存在本地文件包含 (LFI) 漏洞。示例包括使用类似于 ../../ 的技术尝试遍历路径。

警告

此规则仅检查请求正文,但不得超过 Web ACL 和资源类型的正文大小限制。对于 Application Load Balancer 和 AWS AppSync,限制固定为 8 KB。对于 API Gateway CloudFront、Amazon Cognito、App Runner 和 Verified Access,默认限制为 16 KB,您可以在网页ACL配置中将限制提高到 64 KB。此规则使用 Continue 选项来处理超大内容。有关更多信息,请参阅 中的 Web 请求组件过大 AWS WAF

规则操作:Block

标签:awswaf:managed:aws:core-rule-set:GenericLFI_Body

RestrictedExtensions_URIPATH

检查URI路径中是否包含无法安全读取或运行的系统文件扩展名的请求。示例模式包括类似于 .log.ini 的扩展名。

规则操作:Block

标签:awswaf:managed:aws:core-rule-set:RestrictedExtensions_URIPath

RestrictedExtensions_QUERYARGUMENTS

检查是否存在查询参数中包含无法安全读取或运行的系统文件扩展名的请求。示例模式包括类似于 .log.ini 的扩展名。

规则操作:Block

标签:awswaf:managed:aws:core-rule-set:RestrictedExtensions_QueryArguments

GenericRFI_QUERYARGUMENTS

通过嵌入包含IPv4地址来检查所有查询参数的值,以防有人试图在 Web 应用程序中利用漏洞RFI(远程文件包URLs含)。示例包括漏洞利用尝试中带有IPv4主机标头的http://file://、、、、和。https:// ftp:// ftps://

规则操作:Block

标签:awswaf:managed:aws:core-rule-set:GenericRFI_QueryArguments

GenericRFI_BODY

检查请求正文中是否有人企图通过嵌入包含IPv4地址的 Web 应用程序来利用漏洞RFI(远程文件包URLs含)。示例包括漏洞利用尝试中带有IPv4主机标头的http://file://、、、、和。https:// ftp:// ftps://

警告

此规则仅检查请求正文,但不得超过 Web ACL 和资源类型的正文大小限制。对于 Application Load Balancer 和 AWS AppSync,限制固定为 8 KB。对于 API Gateway CloudFront、Amazon Cognito、App Runner 和 Verified Access,默认限制为 16 KB,您可以在网页ACL配置中将限制提高到 64 KB。此规则使用 Continue 选项来处理超大内容。有关更多信息,请参阅 中的 Web 请求组件过大 AWS WAF

规则操作:Block

标签:awswaf:managed:aws:core-rule-set:GenericRFI_Body

GenericRFI_URIPATH

通过嵌入包含IPv4地址来检查 Web 应用程序中是否有企图利用漏洞RFI(远程文件包含)URLs的URI路径。示例包括漏洞利用尝试中带有IPv4主机标头的http://file://、、、、和。https:// ftp:// ftps://

规则操作:Block

标签:awswaf:managed:aws:core-rule-set:GenericRFI_URIPath

CrossSiteScripting_COOKIE

使用内置功能检查 cookie 标头的值以了解常见的跨站脚本 (XSS) 模式。 AWS WAF 跨站点脚本攻击规则语句示例模式包括类似于 <script>alert("hello")</script> 的脚本。

注意

该规则组的 2.0 版本未填充 AWS WAF 日志中的规则匹配详细信息。

规则操作:Block

标签:awswaf:managed:aws:core-rule-set:CrossSiteScripting_Cookie

CrossSiteScripting_QUERYARGUMENTS

使用内置检查查询参数的值,了解常见的跨站脚本 (XSS) 模式。 AWS WAF 跨站点脚本攻击规则语句示例模式包括类似于 <script>alert("hello")</script> 的脚本。

注意

该规则组的 2.0 版本未填充 AWS WAF 日志中的规则匹配详细信息。

规则操作:Block

标签:awswaf:managed:aws:core-rule-set:CrossSiteScripting_QueryArguments

CrossSiteScripting_BODY

使用内置检查请求正文中常见的跨站脚本 (XSS) 模式。 AWS WAF 跨站点脚本攻击规则语句示例模式包括类似于 <script>alert("hello")</script> 的脚本。

注意

该规则组的 2.0 版本未填充 AWS WAF 日志中的规则匹配详细信息。

警告

此规则仅检查请求正文,但不得超过 Web ACL 和资源类型的正文大小限制。对于 Application Load Balancer 和 AWS AppSync,限制固定为 8 KB。对于 API Gateway CloudFront、Amazon Cognito、App Runner 和 Verified Access,默认限制为 16 KB,您可以在网页ACL配置中将限制提高到 64 KB。此规则使用 Continue 选项来处理超大内容。有关更多信息,请参阅 中的 Web 请求组件过大 AWS WAF

规则操作:Block

标签:awswaf:managed:aws:core-rule-set:CrossSiteScripting_Body

CrossSiteScripting_URIPATH

使用内置检查常见跨站点脚本 (XSS) 模式的URI路径值。 AWS WAF 跨站点脚本攻击规则语句示例模式包括类似于 <script>alert("hello")</script> 的脚本。

注意

该规则组的 2.0 版本未填充 AWS WAF 日志中的规则匹配详细信息。

规则操作:Block

标签:awswaf:managed:aws:core-rule-set:CrossSiteScripting_URIPath

管理员保护托管规则组

VendorName:AWS,名称:AWSManagedRulesAdminProtectionRuleSet,WCU:100

注意

本文档涵盖了该托管规则组的最新静态版本。我们在变更日志中报告版本变更,网址为AWS 托管规则变更日志。有关其他版本的信息,请使用API命令DescribeManagedRuleGroup

我们在 AWS 托管规则组中发布的规则信息旨在为您提供使用规则所需的信息,而不会向不良行为者提供他们规避规则所需的信息。

如果您需要的信息超出此处的范围,请联系AWS Support 中心

管理保护规则组包含允许您阻止对公开的管理页面进行外部访问的规则。如果您运行第三方软件,或者希望降低恶意人员获取您的应用程序的管理访问权限的风险,该规则组可能非常有用。

此托管规则组会为其评估的 Web 请求添加标签,这些标签可用于在您的 Web ACL 中在此规则组之后运行的规则。 AWS WAF 还会记录亚马逊 CloudWatch 指标的标签。有关标签和标签指标的一般信息,请参阅 网络请求标签标签指标和维度

Rule name(规则名称) 描述和标签
AdminProtection_URIPATH

检查通常保留用于管理 Web 服务器或应用程序的URI路径。示例模式包括 sqlmanager

规则操作:Block

标签:awswaf:managed:aws:admin-protection:AdminProtection_URIPath

已知错误输入托管规则组

VendorName:AWS,名称:AWSManagedRulesKnownBadInputsRuleSet,WCU:200

注意

本文档涵盖了该托管规则组的最新静态版本。我们在变更日志中报告版本变更,网址为AWS 托管规则变更日志。有关其他版本的信息,请使用API命令DescribeManagedRuleGroup

我们在 AWS 托管规则组中发布的规则信息旨在为您提供使用规则所需的信息,而不会向不良行为者提供他们规避规则所需的信息。

如果您需要的信息超出此处的范围,请联系AWS Support 中心

已知错误输入规则组包含用于阻止请求模式的规则,这些模式确认无效且与漏洞攻击或发现相关联。这有助于降低恶意人员发现易受攻击的应用程序的风险。

此托管规则组会为其评估的 Web 请求添加标签,这些标签可用于在您的 Web ACL 中在此规则组之后运行的规则。 AWS WAF 还会记录亚马逊 CloudWatch 指标的标签。有关标签和标签指标的一般信息,请参阅 网络请求标签标签指标和维度

Rule name(规则名称) 描述和标签
JavaDeserializationRCE_HEADER

检查HTTP请求标头的键和值,以了解指示 Java 反序列化远程命令执行 (RCE) 尝试的模式,例如 Spring Core 和 Cloud Function RCE 漏洞(CVE-2022-22963、-2022-22965)。CVE示例模式包括 (java.lang.Runtime).getRuntime().exec("whoami")

警告

此规则仅检查请求标头的前 8 KB 或前 200 个标头(以先达到的限制为准),并且它使用 Continue 选项来处理超大内容。有关更多信息,请参阅 中的 Web 请求组件过大 AWS WAF

规则操作:Block

标签:awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_Header

JavaDeserializationRCE_BODY

检查请求正文中是否存在指示 Java 反序列化远程命令执行 (RCE) 尝试的模式,例如 Spring Core 和 Cloud Function RCE 漏洞(CVE-2022-22963,-2022-22965)。CVE示例模式包括 (java.lang.Runtime).getRuntime().exec("whoami")

警告

此规则仅检查请求正文,但不得超过 Web ACL 和资源类型的正文大小限制。对于 Application Load Balancer 和 AWS AppSync,限制固定为 8 KB。对于 API Gateway CloudFront、Amazon Cognito、App Runner 和 Verified Access,默认限制为 16 KB,您可以在网页ACL配置中将限制提高到 64 KB。此规则使用 Continue 选项来处理超大内容。有关更多信息,请参阅 中的 Web 请求组件过大 AWS WAF

规则操作:Block

标签:awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_Body

JavaDeserializationRCE_URIPATH

检查请求URI中是否存在指示 Java 反序列化远程命令执行 (RCE) 尝试的模式,例如 Spring Core 和 Cloud Function RCE 漏洞(CVE-2022-22963,-2022-22965)。CVE示例模式包括 (java.lang.Runtime).getRuntime().exec("whoami")

规则操作:Block

标签:awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_URIPath

JavaDeserializationRCE_QUERYSTRING

检查请求查询字符串中是否存在指示 Java 反序列化远程命令执行 (RCE) 尝试的模式,例如 Spring Core 和 Cloud Function RCE 漏洞(CVE-2022-22963、-2022-22965)。CVE示例模式包括 (java.lang.Runtime).getRuntime().exec("whoami")

规则操作:Block

标签:awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_QueryString

Host_localhost_HEADER

检查请求中的主机标头是否有指示本地主机的模式。示例模式包括 localhost

规则操作:Block

标签:awswaf:managed:aws:known-bad-inputs:Host_Localhost_Header

PROPFIND_METHOD

检查请求中的HTTP方法PROPFIND,该方法类似于HEAD,但其意图是泄露对象XML。

规则操作:Block

标签:awswaf:managed:aws:known-bad-inputs:Propfind_Method

ExploitablePaths_URIPATH

检查URI路径中是否有人尝试访问可利用的 Web 应用程序路径。示例模式包括类似于 web-inf 的路径。

规则操作:Block

标签:awswaf:managed:aws:known-bad-inputs:ExploitablePaths_URIPath

Log4JRCE_HEADER

检查请求标头的键和值是否存在 Log4j 漏洞(CVE-2021-44228、-2021-4 CVE 5046、-2021-45 105),并防止远程代码执行 () 尝试。CVE RCE示例模式包括 ${jndi:ldap://example.com/}

警告

此规则仅检查请求标头的前 8 KB 或前 200 个标头(以先达到的限制为准),并且它使用 Continue 选项来处理超大内容。有关更多信息,请参阅 中的 Web 请求组件过大 AWS WAF

规则操作:Block

标签:awswaf:managed:aws:known-bad-inputs:Log4JRCE_Header

Log4JRCE_QUERYSTRING

检查查询字符串中是否存在 Log4j 漏洞(CVE-2021-44228、-2021-4 CVE 5046、-2021-45 105),CVE并防止远程代码执行 () 尝试。 RCE示例模式包括 ${jndi:ldap://example.com/}

规则操作:Block

标签:awswaf:managed:aws:known-bad-inputs:Log4JRCE_QueryString

Log4JRCE_BODY

检查正文中是否存在 Log4j 漏洞(CVE-2021-44228、-2021-4 CVE 5046、-2021-45 105),CVE并防止远程代码执行 () 尝试。 RCE示例模式包括 ${jndi:ldap://example.com/}

警告

此规则仅检查请求正文,但不得超过 Web ACL 和资源类型的正文大小限制。对于 Application Load Balancer 和 AWS AppSync,限制固定为 8 KB。对于 API Gateway CloudFront、Amazon Cognito、App Runner 和 Verified Access,默认限制为 16 KB,您可以在网页ACL配置中将限制提高到 64 KB。此规则使用 Continue 选项来处理超大内容。有关更多信息,请参阅 中的 Web 请求组件过大 AWS WAF

规则操作:Block

标签:awswaf:managed:aws:known-bad-inputs:Log4JRCE_Body

Log4JRCE_URIPATH

检查是否存在 Log4j 漏洞(CVE-2021-44228、-2021-4 CVE 5046、-2021-45 105),并防止远程代码执行 () 尝试。URI CVE RCE示例模式包括 ${jndi:ldap://example.com/}

规则操作:Block

标签:awswaf:managed:aws:known-bad-inputs:Log4JRCE_URIPath

隐私网站条款Cookie 首选项
© 2025, Amazon Web Services, Inc. 或其附属公司。保留所有权利。