**推出 的新主控台體驗 AWS WAF**

您現在可以使用更新後的體驗，在主控台的任何位置存取 AWS WAF 功能。如需詳細資訊，請參閱[使用 主控台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 基準規則群組
<a name="aws-managed-rule-groups-baseline"></a>

基準管理的規則群組可針對各種常見威脅提供一般防護。選擇這些規則群組中的一或多個，以建立資源的基準保護。

## 核心規則集 (CRS) 受管規則群組
<a name="aws-managed-rule-groups-baseline-crs"></a>

VendorName：`AWS`、Name：`AWSManagedRulesCommonRuleSet`、WCU：700

**注意**  
本文件涵蓋此受管規則群組的最新版本。我們會在 的 changelog 日誌中報告版本變更[AWS 受管規則變更日誌](aws-managed-rule-groups-changelog.md)。如需其他版本的資訊，請使用 API 命令 [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)。  
我們為 AWS 受管規則規則群組中的規則發佈的資訊，旨在為您提供使用規則所需的內容，而不會給予不法份子規避規則所需的內容。  
如果您需要比此處更多的資訊，請聯絡 [AWS 支援 中心](https://console.aws.amazon.com/support/home#/)。

核心規則集 (CRS) 規則群組包含通常適用於 Web 應用程式的規則。這可以防止各種漏洞遭到利用，包括 OWASP 出版品中所述的一些高風險和常見漏洞，例如 [OWASP 前 10 名](https://owasp.org/www-project-top-ten/)。考慮將此規則群組用於任何 AWS WAF 使用案例。

此受管規則群組會將標籤新增至其評估的 Web 請求，這些請求可供保護套件 (Web ACL) AWS WAF 中在此規則群組之後執行的規則使用。 也會將標籤記錄到 Amazon CloudWatch 指標。如需標籤和標籤指標的一般資訊，請參閱 [Web 請求標籤](waf-labels.md)和 [標籤指標和維度](waf-metrics.md#waf-metrics-label)。


| 規則名稱 | 描述和標籤 | 
| --- | --- | 
| NoUserAgent\$1HEADER |  檢查是否有缺少 HTTP `User-Agent`標頭的請求。 規則動作：Block 標籤： `awswaf:managed:aws:core-rule-set:NoUserAgent_Header`  | 
| UserAgent\$1BadBots\$1HEADER |  檢查指出請求是錯誤機器人的常見`User-Agent`標頭值。範例模式包括 `nessus` 和 `nmap`。如需機器人管理，另請參閱 [AWS WAF 機器人控制規則群組](aws-managed-rule-groups-bot.md)。 規則動作：Block 標籤： `awswaf:managed:aws:core-rule-set:BadBots_Header`  | 
| SizeRestrictions\$1QUERYSTRING |  檢查是否有超過 2，048 個位元組的 URI 查詢字串。 規則動作：Block 標籤： `awswaf:managed:aws:core-rule-set:SizeRestrictions_QueryString`  | 
| SizeRestrictions\$1Cookie\$1HEADER |  檢查是否有超過 10，240 個位元組的 Cookie 標頭。 規則動作：Block 標籤： `awswaf:managed:aws:core-rule-set:SizeRestrictions_Cookie_Header`  | 
| SizeRestrictions\$1BODY |  檢查請求內文是否超過 8 KB (8，192 位元組）。 規則動作：Block 標籤： `awswaf:managed:aws:core-rule-set:SizeRestrictions_Body`  | 
| SizeRestrictions\$1URIPATH |  檢查是否有超過 1，024 個位元組的 URI 路徑。 規則動作：Block 標籤： `awswaf:managed:aws:core-rule-set:SizeRestrictions_URIPath`  | 
| EC2MetaDataSSRF\$1BODY |  檢查 是否嘗試從請求內文滲透 Amazon EC2 中繼資料。 此規則只會檢查請求內文，直到保護套件 (Web ACL) 和資源類型的內文大小限制為止。對於 Application Load Balancer 和 AWS AppSync，限制固定為 8 KB。對於 CloudFront、API Gateway、Amazon Cognito、App Runner 和 Verified Access，預設限制為 16 KB，而且您可以在保護套件 (Web ACL) 組態中將限制提高到 64 KB。此規則使用 `Continue`選項來處理過大的內容。如需詳細資訊，請參閱[在 中過大 Web 請求元件 AWS WAF](waf-oversize-request-components.md)。 規則動作：Block 標籤： `awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_Body`  | 
| EC2MetaDataSSRF\$1COOKIE |  檢查 是否嘗試從請求 Cookie 滲透 Amazon EC2 中繼資料。 規則動作：Block 標籤： `awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_Cookie`  | 
| EC2MetaDataSSRF\$1URIPATH |  檢查是否有嘗試從請求 URI 路徑滲透 Amazon EC2 中繼資料。 規則動作：Block 標籤： `awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_URIPath`  | 
| EC2MetaDataSSRF\$1QUERYARGUMENTS |  檢查 是否嘗試從請求查詢引數滲透 Amazon EC2 中繼資料。 規則動作：Block 標籤： `awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_QueryArguments`  | 
| GenericLFI\$1QUERYARGUMENTS |  檢查查詢引數中是否存在本機檔案包含 (LFI) 漏洞。範例包括使用 `../../` 之類技術的路徑遍訪嘗試。 規則動作：Block 標籤： `awswaf:managed:aws:core-rule-set:GenericLFI_QueryArguments`  | 
| GenericLFI\$1URIPATH |  檢查 URI 路徑中是否存在本機檔案包含 (LFI) 漏洞。範例包括使用 `../../` 之類技術的路徑遍訪嘗試。 規則動作：Block 標籤： `awswaf:managed:aws:core-rule-set:GenericLFI_URIPath`  | 
| GenericLFI\$1BODY |  檢查要求主體中是否存在本機檔案包含 (LFI) 漏洞。範例包括使用 `../../` 之類技術的路徑遍訪嘗試。 此規則只會檢查請求內文，直到保護套件 (Web ACL) 和資源類型的內文大小限制為止。對於 Application Load Balancer 和 AWS AppSync，限制固定為 8 KB。對於 CloudFront、API Gateway、Amazon Cognito、App Runner 和 Verified Access，預設限制為 16 KB，而且您可以在保護套件 (Web ACL) 組態中將限制提高到 64 KB。此規則使用 `Continue`選項來處理過大的內容。如需詳細資訊，請參閱[在 中過大 Web 請求元件 AWS WAF](waf-oversize-request-components.md)。 規則動作：Block 標籤： `awswaf:managed:aws:core-rule-set:GenericLFI_Body`  | 
| RestrictedExtensions\$1URIPATH |  檢查 URI 路徑是否包含不安全讀取或執行之系統副檔名的請求。範例模式包括 `.log` 和 `.ini` 之類的副檔名。 規則動作：Block 標籤： `awswaf:managed:aws:core-rule-set:RestrictedExtensions_URIPath`  | 
| RestrictedExtensions\$1QUERYARGUMENTS |  檢查查詢引數是否包含不安全讀取或執行之系統副檔名的請求。範例模式包括 `.log` 和 `.ini` 之類的副檔名。 規則動作：Block 標籤： `awswaf:managed:aws:core-rule-set:RestrictedExtensions_QueryArguments`  | 
| GenericRFI\$1QUERYARGUMENTS |  透過嵌入包含 IPv4 地址的 URLs （遠端檔案包含）。範例包括模式，例如 `http://`、`ftps://`、、 `https://` `ftp://`和 `file://`，在入侵嘗試中具有 IPv4 主機標頭。 規則動作：Block 標籤： `awswaf:managed:aws:core-rule-set:GenericRFI_QueryArguments`  | 
| GenericRFI\$1BODY |  透過嵌入包含 IPv4 地址URLs，檢查請求內文是否嘗試在 Web 應用程式中利用 RFI （遠端檔案包含）。範例包括模式，例如 `http://`、`ftps://`、、 `https://` `ftp://`和 `file://`，在入侵嘗試中具有 IPv4 主機標頭。 此規則只會檢查請求內文，直到保護套件 (Web ACL) 和資源類型的內文大小限制為止。對於 Application Load Balancer 和 AWS AppSync，限制固定為 8 KB。對於 CloudFront、API Gateway、Amazon Cognito、App Runner 和 Verified Access，預設限制為 16 KB，而且您可以在保護套件 (Web ACL) 組態中將限制提高到 64 KB。此規則使用 `Continue`選項來處理過大的內容。如需詳細資訊，請參閱[在 中過大 Web 請求元件 AWS WAF](waf-oversize-request-components.md)。 規則動作：Block 標籤： `awswaf:managed:aws:core-rule-set:GenericRFI_Body`  | 
| GenericRFI\$1URIPATH |  透過嵌入包含 IPv4 地址URLs，檢查 URI 路徑是否嘗試在 Web 應用程式中利用 RFI （遠端檔案包含）。範例包括模式，例如 `http://`、`ftps://`、、 `https://` `ftp://`和 `file://`，在入侵嘗試中具有 IPv4 主機標頭。 規則動作：Block 標籤： `awswaf:managed:aws:core-rule-set:GenericRFI_URIPath`  | 
| CrossSiteScripting\$1COOKIE |  使用內建 檢查 Cookie 標頭的值是否有常見的跨網站指令碼 (XSS) 模式 AWS WAF [跨網站指令碼攻擊規則陳述式](waf-rule-statement-type-xss-match.md)。範例模式包括 `<script>alert("hello")</script>` 之類的指令碼。   AWS WAF 日誌中的規則比對詳細資訊不會填入此規則群組的 2.0 版。  規則動作：Block 標籤： `awswaf:managed:aws:core-rule-set:CrossSiteScripting_Cookie`  | 
| CrossSiteScripting\$1QUERYARGUMENTS |  使用內建 檢查查詢引數的值是否有常見的跨網站指令碼 (XSS) 模式 AWS WAF [跨網站指令碼攻擊規則陳述式](waf-rule-statement-type-xss-match.md)。範例模式包括 `<script>alert("hello")</script>` 之類的指令碼。   AWS WAF 日誌中的規則比對詳細資訊不會填入此規則群組的 2.0 版。  規則動作：Block 標籤： `awswaf:managed:aws:core-rule-set:CrossSiteScripting_QueryArguments`  | 
| CrossSiteScripting\$1BODY |  使用內建 檢查請求內文是否有常見的跨網站指令碼 (XSS) 模式 AWS WAF [跨網站指令碼攻擊規則陳述式](waf-rule-statement-type-xss-match.md)。範例模式包括 `<script>alert("hello")</script>` 之類的指令碼。   AWS WAF 日誌中的規則比對詳細資訊不會填入此規則群組的 2.0 版。  此規則只會檢查請求內文，直到保護套件 (Web ACL) 和資源類型的內文大小限制為止。對於 Application Load Balancer 和 AWS AppSync，限制固定為 8 KB。對於 CloudFront、API Gateway、Amazon Cognito、App Runner 和 Verified Access，預設限制為 16 KB，而且您可以在保護套件 (Web ACL) 組態中將限制提高到 64 KB。此規則使用 `Continue`選項來處理過大的內容。如需詳細資訊，請參閱[在 中過大 Web 請求元件 AWS WAF](waf-oversize-request-components.md)。 規則動作：Block 標籤： `awswaf:managed:aws:core-rule-set:CrossSiteScripting_Body`  | 
| CrossSiteScripting\$1URIPATH |  使用內建 檢查 URI 路徑的值是否有常見的跨網站指令碼 (XSS) 模式 AWS WAF [跨網站指令碼攻擊規則陳述式](waf-rule-statement-type-xss-match.md)。範例模式包括 `<script>alert("hello")</script>` 之類的指令碼。   AWS WAF 日誌中的規則比對詳細資訊不會填入此規則群組的 2.0 版。  規則動作：Block 標籤： `awswaf:managed:aws:core-rule-set:CrossSiteScripting_URIPath`  | 

## 管理員保護受管規則群組
<a name="aws-managed-rule-groups-baseline-admin"></a>

VendorName：`AWS`、Name：`AWSManagedRulesAdminProtectionRuleSet`、WCU：100

**注意**  
本文件涵蓋此受管規則群組的最新版本。我們會在 的 changelog 日誌中報告版本變更[AWS 受管規則變更日誌](aws-managed-rule-groups-changelog.md)。如需其他版本的資訊，請使用 API 命令 [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)。  
我們為 AWS 受管規則規則群組中的規則發佈的資訊，旨在為您提供使用規則所需的內容，而不會給予不法份子規避規則所需的內容。  
如果您需要比此處更多的資訊，請聯絡 [AWS 支援 中心](https://console.aws.amazon.com/support/home#/)。

管理員保護規則群組包含的規則可讓您封鎖對公開的管理頁面的外部存取。如果您執行第三方軟體，或想要降低惡意行為者取得應用程式系統管理存取權的風險，這可能會很有用。

此受管規則群組會將標籤新增至其評估的 Web 請求，這些請求可供保護套件 (Web ACL) AWS WAF 中在此規則群組之後執行的規則使用。 也會將標籤記錄到 Amazon CloudWatch 指標。如需標籤和標籤指標的一般資訊，請參閱 [Web 請求標籤](waf-labels.md)和 [標籤指標和維度](waf-metrics.md#waf-metrics-label)。


| 規則名稱 | 描述和標籤 | 
| --- | --- | 
| AdminProtection\$1URIPATH |  檢查通常保留用於管理 Web 伺服器或應用程式的 URI 路徑。範例模式包括 `sqlmanager`。 規則動作：Block 標籤： `awswaf:managed:aws:admin-protection:AdminProtection_URIPath`  | 

## 已知錯誤輸入受管規則群組
<a name="aws-managed-rule-groups-baseline-known-bad-inputs"></a>

VendorName：`AWS`、Name：`AWSManagedRulesKnownBadInputsRuleSet`、WCU：200

**注意**  
本文件涵蓋此受管規則群組的最新版本。我們會在 的 changelog 日誌中報告版本變更[AWS 受管規則變更日誌](aws-managed-rule-groups-changelog.md)。如需其他版本的相關資訊，請使用 API 命令 [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)。  
我們為 AWS 受管規則規則群組中的規則發佈的資訊，旨在為您提供使用規則所需的內容，而不會給予不法份子規避規則所需的內容。  
如果您需要比此處更多的資訊，請聯絡 [AWS 支援 中心](https://console.aws.amazon.com/support/home#/)。

已知錯誤輸入規則群組包含的規則可封鎖已知無效且與利用或發現的漏洞相關的請求模式。這有助於降低惡意行為者發現易受攻擊應用程式的風險。

此受管規則群組會將標籤新增至其評估的 Web 請求，這些請求可供保護套件 (Web ACL) AWS WAF 中此規則群組之後執行的規則使用。 也會將標籤記錄到 Amazon CloudWatch 指標。如需標籤和標籤指標的一般資訊，請參閱 [Web 請求標籤](waf-labels.md)和 [標籤指標和維度](waf-metrics.md#waf-metrics-label)。


| 規則名稱 | 描述和標籤 | 
| --- | --- | 
| JavaDeserializationRCE\$1HEADER |  檢查 HTTP 請求標頭的金鑰和值是否有表示 Java 還原序列化遠端命令執行 (RCE) 嘗試的模式，例如 Spring Core 和 Cloud Function RCE 漏洞 (CVE-2022-22963、CVE-2022-22965)。範例模式包括 `(java.lang.Runtime).getRuntime().exec("whoami")`。 此規則只會檢查請求標頭的前 8 KB 或前 200 個標頭，以先達到限制為準，並使用 `Continue`選項處理過大的內容。如需詳細資訊，請參閱[在 中過大 Web 請求元件 AWS WAF](waf-oversize-request-components.md)。 規則動作：Block 標籤： `awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_Header`  | 
| JavaDeserializationRCE\$1BODY |  檢查請求內文是否有表示 Java 還原序列化遠端命令執行 (RCE) 嘗試的模式，例如 Spring Core 和 Cloud Function RCE 漏洞 (CVE-2022-22963、CVE-2022-22965)。範例模式包括 `(java.lang.Runtime).getRuntime().exec("whoami")`。 此規則只會檢查請求內文，直到保護套件 (Web ACL) 和資源類型的內文大小限制為止。對於 Application Load Balancer 和 AWS AppSync，限制固定為 8 KB。對於 CloudFront、API Gateway、Amazon Cognito、App Runner 和 Verified Access，預設限制為 16 KB，而且您可以在保護套件 (Web ACL) 組態中將限制提高到 64 KB。此規則使用 `Continue`選項來處理過大的內容。如需詳細資訊，請參閱[在 中過大 Web 請求元件 AWS WAF](waf-oversize-request-components.md)。 規則動作：Block 標籤： `awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_Body`  | 
| JavaDeserializationRCE\$1URIPATH |  檢查請求 URI 是否有表示 Java 還原序列化遠端命令執行 (RCE) 嘗試的模式，例如 Spring Core 和 Cloud Function RCE 漏洞 (CVE-2022-22963、CVE-2022-22965)。範例模式包括 `(java.lang.Runtime).getRuntime().exec("whoami")`。 規則動作：Block 標籤： `awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_URIPath`  | 
| JavaDeserializationRCE\$1QUERYSTRING |  檢查請求查詢字串是否有表示 Java 還原序列化遠端命令執行 (RCE) 嘗試的模式，例如 Spring Core 和 Cloud Function RCE 漏洞 (CVE-2022-22963、CVE-2022-22965)。範例模式包括 `(java.lang.Runtime).getRuntime().exec("whoami")`。 規則動作：Block 標籤： `awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_QueryString`  | 
| Host\$1localhost\$1HEADER |  檢查要求中的主機標頭是否有模式指出 localhost。範例模式包括 `localhost`。 規則動作：Block 標籤： `awswaf:managed:aws:known-bad-inputs:Host_Localhost_Header`  | 
| PROPFIND\$1METHOD |  檢查要求中的 HTTP 方法是否有 `PROPFIND`，這是類似 `HEAD` 的方法，但有滲透 XML 物件的額外意圖。 規則動作：Block 標籤： `awswaf:managed:aws:known-bad-inputs:Propfind_Method`  | 
| ExploitablePaths\$1URIPATH |  檢查 URI 路徑是否有存取可利用 Web 應用程式路徑的嘗試。範例模式包括 `web-inf` 之類的路徑。 規則動作：Block 標籤： `awswaf:managed:aws:known-bad-inputs:ExploitablePaths_URIPath`  | 
| Log4JRCE\$1HEADER |  檢查請求標頭的金鑰和值是否存在 Log4j 漏洞 ([CVE-2021-44228](https://www.cve.org/CVERecord?id=CVE-2021-44228)、[CVE-2021-45046](https://www.cve.org/CVERecord?id=CVE-2021-45046)、[CVE-2021-45105](https://www.cve.org/CVERecord?id=CVE-2021-45105))，並防止遠端程式碼執行 (RCE) 嘗試。範例模式包括 `${jndi:ldap://example.com/}`。 此規則只會檢查請求標頭的前 8 KB 或前 200 個標頭，以先達到限制為準，並使用 `Continue`選項處理過大的內容。如需詳細資訊，請參閱[在 中過大 Web 請求元件 AWS WAF](waf-oversize-request-components.md)。 規則動作：Block 標籤： `awswaf:managed:aws:known-bad-inputs:Log4JRCE_Header`  | 
| Log4JRCE\$1QUERYSTRING |  檢查查詢字串是否有 Log4j 漏洞 ([CVE-2021-44228](https://www.cve.org/CVERecord?id=CVE-2021-44228)、[CVE-2021-45046](https://www.cve.org/CVERecord?id=CVE-2021-45046)、[CVE-2021-45105](https://www.cve.org/CVERecord?id=CVE-2021-45105))，並防止遠端程式碼執行 (RCE) 嘗試。範例模式包括 `${jndi:ldap://example.com/}`。 規則動作：Block 標籤： `awswaf:managed:aws:known-bad-inputs:Log4JRCE_QueryString`  | 
| Log4JRCE\$1BODY |  檢查內文是否有 Log4j 漏洞 ([CVE-2021-44228](https://www.cve.org/CVERecord?id=CVE-2021-44228)、[CVE-2021-45046](https://www.cve.org/CVERecord?id=CVE-2021-45046)、[CVE-2021-45105](https://www.cve.org/CVERecord?id=CVE-2021-45105))，並防止遠端程式碼執行 (RCE) 嘗試。範例模式包括 `${jndi:ldap://example.com/}`。 此規則只會檢查請求內文，直到保護套件 (Web ACL) 和資源類型的內文大小限制為止。對於 Application Load Balancer 和 AWS AppSync，限制固定為 8 KB。對於 CloudFront、API Gateway、Amazon Cognito、App Runner 和 Verified Access，預設限制為 16 KB，而且您可以在保護套件 (Web ACL) 組態中將限制提高到 64 KB。此規則使用 `Continue`選項來處理過大的內容。如需詳細資訊，請參閱[在 中過大 Web 請求元件 AWS WAF](waf-oversize-request-components.md)。 規則動作：Block 標籤： `awswaf:managed:aws:known-bad-inputs:Log4JRCE_Body`  | 
| Log4JRCE\$1URIPATH |  檢查 URI 路徑是否存在 Log4j 漏洞 ([CVE-2021-44228](https://www.cve.org/CVERecord?id=CVE-2021-44228)、[CVE-2021-45046](https://www.cve.org/CVERecord?id=CVE-2021-45046)、[CVE-2021-45105](https://www.cve.org/CVERecord?id=CVE-2021-45105))，並防止遠端程式碼執行 (RCE) 嘗試。範例模式包括 `${jndi:ldap://example.com/}`。 規則動作：Block 標籤： `awswaf:managed:aws:known-bad-inputs:Log4JRCE_URIPath`  | 
| ReactJSRCE\$1BODY |  檢查請求內文是否有表示存在 CVE-2025-55182 的模式。  此規則只會檢查請求內文，直到保護套件 (Web ACL) 和資源類型的內文大小限制為止。對於 Application Load Balancer 和 AWS AppSync，限制固定為 8 KB。對於 CloudFront、API Gateway、Amazon Cognito、App Runner 和 AWS Verified Access，預設限制為 16 KB，您可以在保護套件 (Web ACL) 組態中將限制提高到 64 KB。此規則使用 `CONTINUE`選項來處理過大的內容。如需詳細資訊，請參閱[在 中過大 Web 請求元件 AWS WAF](waf-oversize-request-components.md)。  規則動作：Block 標籤： `awswaf:managed:aws:known-bad-inputs:ReactJSRCE_Body`  |