识别其他服务提供的规则组 - AWS WAF、AWS Firewall Manager 和 AWS Shield Advanced

识别其他服务提供的规则组

如果您或您组织中的管理员使用 AWS Firewall Manager 或 AWS Shield Advanced 来管理使用 AWS WAF 的资源保护,则可能会看到添加了到您账户的 Web ACL 中的规则组参考语句。

这些规则组的名称以以下字符串开头:

  • ShieldMitigationRuleGroup – 这些规则组由 AWS Shield Advanced 管理,并用于为受保护的应用程序层(第 7 层)资源提供自动的应用程序层 DDoS 缓解。

    当您为受保护的资源启用自动应用程序层 DDoS 缓解时,Shield Advanced 会将其中一个规则组添加到您与该资源关联的 Web ACL 中。Shield Advanced 为规则组参考语句分配了 10,000,000 的优先级设置,这样它就可以在您在 Web ACL 中配置的规则之后运行。有关这些规则组的更多信息,请参阅 使用 Shield Advanced 自动化应用程序层 DDoS 缓解

    警告

    不要尝试在 Web ACL 中手动管理此规则组。特别是,不要手动从 Web ACL 中删除 ShieldMitigationRuleGroup 规则组参考语句。这样可能会对与 Web ACL 关联的所有资源造成意外后果。应使用 Shield Advanced 来禁用与 Web ACL 关联的资源的自动缓解功能。当不需要自动缓解时,Shield Advanced 会为您移除规则组。

  • PREFMManagedPOSTFMManaged - 这些规则组由 AWS Firewall Manager 根据 Firewall Manager AWS WAF 策略配置进行管理。Firewall Manager 在其管理的 Web ACL 内提供这些规则组。

    Firewall Manager 为您创建名称以 FMManagedWebACLV2 开头的 Web ACL。您也可以配置 Firewall Manager 以改造现有的 Web ACL。对于这些列表,Web ACL 名称就是创建 Web ACL 时指定的名称。无论哪种情况,Firewall Manager 都会将这些规则组添加至 Web ACL。有关更多信息,请参阅 将 AWS WAF 与 Firewall Manager 配合使用