使用案例特定的規則群組 - AWS WAFAWS Firewall Manager、 和 AWS Shield Advanced
SQL 資料庫Linux 作業系統POSIX 作業系統Windows 作業系統PHP 應用程式WordPress 應用程式

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用案例特定的規則群組

使用案例特定的規則群組可為許多不同的 AWS WAF 使用案例提供增量保護。選擇套用至應用程式的規則群組。

SQL 資料庫受管規則群組

VendorName:AWS,Name:AWSManagedRulesSQLiRuleSet,WCU:200

注意

本文件涵蓋此受管規則群組的最新版本。我們會在 的 changelog 日誌中報告版本變更AWS 受管規則變更日誌。如需其他版本的相關資訊,請使用 API 命令 DescribeManagedRuleGroup

我們為 AWS 受管規則規則群組中的規則發佈的資訊,旨在為您提供使用規則所需的資訊,而不會給予不法份子規避規則所需的內容。

如果您需要超過此處的詳細資訊,請聯絡 AWS 支援 中心

SQL 資料庫規則群組包含的規則,可封鎖與 SQL 資料庫利用相關的請求模式,例如 SQL Injection 攻擊。這有助於防止未經授權查詢的遠端注入。如果您的應用程式會與 SQL 資料庫互動,請評估此規則群組以供使用。

此受管規則群組會將標籤新增至其評估的 Web 請求,這些請求可供 Web ACL 中此規則群組之後執行的規則使用。 AWS WAF 也會將標籤記錄到 Amazon CloudWatch 指標。如需標籤和標籤指標的一般資訊,請參閱 Web 請求標籤標籤指標和維度

規則名稱 描述和標籤
SQLi_QUERYARGUMENTS

使用內建的 AWS WAF SQL Injection 攻擊規則陳述式,並將敏感度等級設為 Low,以檢查所有查詢參數的值是否有符合惡意 SQL 程式碼的模式。

規則動作:Block

標籤: awswaf:managed:aws:sql-database:SQLi_QueryArguments
SQLiExtendedPatterns_QUERYARGUMENTS

檢查所有查詢參數的值是否有符合惡意 SQL 程式碼的模式。此規則檢查的模式未涵蓋在規則 內SQLi_QUERYARGUMENTS

規則動作:Block

標籤: awswaf:managed:aws:sql-database:SQLiExtendedPatterns_QueryArguments
SQLi_BODY

使用內建的 AWS WAF SQL Injection 攻擊規則陳述式,並將敏感度等級設為 Low,以檢查請求內文是否有符合惡意 SQL 程式碼的模式。

警告

此規則只會檢查請求內文,直到 Web ACL 和資源類型的內文大小限制為止。對於 Application Load Balancer 和 AWS AppSync,限制固定為 8 KB。對於 CloudFront、API Gateway、Amazon Cognito、App Runner 和 Verified Access,預設限制為 16 KB,您可以在 Web ACL 組態中將限制增加到 64 KB。此規則使用 Continue選項來處理超大內容。如需詳細資訊,請參閱中的超大 Web 請求元件 AWS WAF

規則動作:Block

標籤: awswaf:managed:aws:sql-database:SQLi_Body
SQLiExtendedPatterns_BODY

檢查請求內文是否有符合惡意 SQL 程式碼的模式。此規則檢查的模式未涵蓋在規則 內SQLi_BODY

警告

此規則只會檢查請求內文,直到 Web ACL 和資源類型的內文大小限制為止。對於 Application Load Balancer 和 AWS AppSync,限制固定為 8 KB。對於 CloudFront、API Gateway、Amazon Cognito、App Runner 和 Verified Access,預設限制為 16 KB,您可以在 Web ACL 組態中將限制增加到 64 KB。此規則使用 Continue選項來處理超大內容。如需詳細資訊,請參閱中的超大 Web 請求元件 AWS WAF

規則動作:Block

標籤: awswaf:managed:aws:sql-database:SQLiExtendedPatterns_Body
SQLi_COOKIE

使用內建 AWS WAF SQL Injection 攻擊規則陳述式的敏感度等級設定為 Low,以檢查請求 Cookie 標頭是否有符合惡意 SQL 程式碼的模式。

規則動作:Block

標籤: awswaf:managed:aws:sql-database:SQLi_Cookie

Linux 作業系統受管規則群組

VendorName:AWS,Name:AWSManagedRulesLinuxRuleSet,WCU:200

注意

本文件涵蓋此受管規則群組的最新版本。我們會在 的 changelog 日誌中報告版本變更AWS 受管規則變更日誌。如需其他版本的資訊,請使用 API 命令 DescribeManagedRuleGroup

我們為 AWS 受管規則規則群組中的規則發佈的資訊,旨在為您提供使用規則所需的資訊,而不會給予不法份子規避規則所需的內容。

如果您需要超過此處的詳細資訊,請聯絡 AWS 支援 中心

Linux 作業系統規則群組包含的規則會封鎖與利用 Linux 特定漏洞攻擊相關的請求模式,包括 Linux 特定本機檔案包含 (LFI) 攻擊。這有助於防止公開檔案內容或執行程式碼的攻擊,而攻擊者不應存取這些檔案內容或執行程式碼。如果應用程式的任何部分在 Linux 上執行,則應該評估此規則群組。您應該使用此規則群組結合 POSIX 作業系統 規則群組。

此受管規則群組會將標籤新增至其評估的 Web 請求,這些請求可供 Web ACL 中此規則群組之後執行的規則使用。 AWS WAF 也會將標籤記錄到 Amazon CloudWatch 指標。如需標籤和標籤指標的一般資訊,請參閱 Web 請求標籤標籤指標和維度

規則名稱 描述和標籤
LFI_URIPATH

檢查要求路徑是否有入侵 Web 應用程式中的本機檔案包含 (LFI) 弱點的嘗試。範例模式包括 /proc/version 之類的檔案,其可以對攻擊者提供作業系統訊息。

規則動作:Block

標籤: awswaf:managed:aws:linux-os:LFI_URIPath
LFI_QUERYSTRING

檢查 querystring 的值是否有嘗試利用 Web 應用程式中的本機檔案包含 (LFI) 漏洞。範例模式包括 /proc/version 之類的檔案,其可以對攻擊者提供作業系統訊息。

規則動作:Block

標籤: awswaf:managed:aws:linux-os:LFI_QueryString
LFI_HEADER

檢查請求標頭是否有嘗試利用 Web 應用程式中的本機檔案包含 (LFI) 漏洞。範例模式包括 /proc/version 之類的檔案,其可以對攻擊者提供作業系統訊息。

警告

此規則只會檢查請求標頭的前 8 KB 或前 200 個標頭,以先達到限制為準,並使用 Continue選項來處理超大內容。如需詳細資訊,請參閱中的超大 Web 請求元件 AWS WAF

規則動作:Block

標籤: awswaf:managed:aws:linux-os:LFI_Header

POSIX 作業系統受管規則群組

VendorName:AWS,Name:AWSManagedRulesUnixRuleSet,WCU:100

注意

本文件涵蓋此受管規則群組的最新版本。我們會在 的 changelog 日誌中報告版本變更AWS 受管規則變更日誌。如需其他版本的相關資訊,請使用 API 命令 DescribeManagedRuleGroup

我們為 AWS 受管規則規則群組中的規則發佈的資訊,旨在為您提供使用規則所需的資訊,而不會給予不法份子規避規則所需的內容。

如果您需要超過此處的詳細資訊,請聯絡 AWS 支援 中心

POSIX 作業系統規則群組包含的規則會封鎖與利用 POSIX 和類似 POSIX 作業系統特定漏洞相關的請求模式,包括本機檔案包含 (LFI) 攻擊。這有助於防止公開檔案內容或執行程式碼的攻擊,而攻擊者不應存取這些檔案內容或執行程式碼。如果應用程式的任何部分在類似 POSIX 或類似 POSIX 的作業系統,包括 Linux、AIX、HP-UX、macOS、Solaris、FreeBSD 和 OpenBSD 上執行,則應該評估此規則群組。

此受管規則群組會將標籤新增至其評估的 Web 請求,這些請求可供 Web ACL 中此規則群組之後執行的規則使用。 AWS WAF 也會將標籤記錄到 Amazon CloudWatch 指標。如需標籤和標籤指標的一般資訊,請參閱 Web 請求標籤標籤指標和維度

規則名稱 描述和標籤
UNIXShellCommandsVariables_QUERYSTRING

檢查查詢字串的值,是否有嘗試利用在 Unix 系統上執行之 Web 應用程式中的命令注入、LFI 和路徑周遊漏洞。範例包括 echo $HOMEecho $PATH 之類的模式。

規則動作:Block

標籤: awswaf:managed:aws:posix-os:UNIXShellCommandsVariables_QueryString
UNIXShellCommandsVariables_BODY

檢查要求主體是否有入侵在 Unix 系統上執行之 Web 應用程式中的命令注入、LFI 和路徑遍訪弱點的嘗試。範例包括 echo $HOMEecho $PATH 之類的模式。

警告

此規則只會檢查請求內文,直到 Web ACL 和資源類型的內文大小限制為止。對於 Application Load Balancer 和 AWS AppSync,限制固定為 8 KB。對於 CloudFront、API Gateway、Amazon Cognito、App Runner 和 Verified Access,預設限制為 16 KB,您可以在 Web ACL 組態中將限制增加到 64 KB。此規則使用 Continue選項來處理超大內容。如需詳細資訊,請參閱中的超大 Web 請求元件 AWS WAF

規則動作:Block

標籤: awswaf:managed:aws:posix-os:UNIXShellCommandsVariables_Body
UNIXShellCommandsVariables_HEADER

檢查所有請求標頭是否有嘗試利用在 Unix 系統上執行之 Web 應用程式中的命令注入、LFI 和路徑周遊漏洞。範例包括 echo $HOMEecho $PATH 之類的模式。

警告

此規則只會檢查請求標頭的前 8 KB 或前 200 個標頭,以先達到限制為準,並使用 Continue選項來處理超大內容。如需詳細資訊,請參閱中的超大 Web 請求元件 AWS WAF

規則動作:Block

標籤: awswaf:managed:aws:posix-os:UNIXShellCommandsVariables_Header

Windows 作業系統受管規則群組

VendorName:AWS,Name:AWSManagedRulesWindowsRuleSet,WCU:200

注意

本文件涵蓋此受管規則群組的最新版本。我們會在 的 changelog 日誌中報告版本變更AWS 受管規則變更日誌。如需其他版本的相關資訊,請使用 API 命令 DescribeManagedRuleGroup

我們為 AWS 受管規則規則群組中的規則發佈的資訊,旨在為您提供使用規則所需的資訊,而不會給予不法份子規避規則所需的內容。

如果您需要超過此處的詳細資訊,請聯絡 AWS 支援 中心

Windows 作業系統規則群組包含的規則會封鎖與利用 Windows 特定漏洞相關的請求模式,例如 PowerShell 命令的遠端執行。這有助於防止利用允許攻擊者執行未經授權的命令或執行惡意程式碼的漏洞。如果應用程式的任何部分在 Windows 作業系統上執行,請評估此規則群組。

此受管規則群組會將標籤新增至其評估的 Web 請求,這些請求可供 Web ACL 中此規則群組之後執行的規則使用。 AWS WAF 也會將標籤記錄到 Amazon CloudWatch 指標。如需標籤和標籤指標的一般資訊,請參閱 Web 請求標籤標籤指標和維度

規則名稱 描述和標籤
WindowsShellCommands_COOKIE

在 Web 應用程式中檢查 WindowsShell 命令注入嘗試的請求 Cookie 標頭。比對模式代表 WindowsShell 命令。範例模式包括 ||nslookup;cmd

規則動作:Block

標籤: awswaf:managed:aws:windows-os:WindowsShellCommands_Cookie
WindowsShellCommands_QUERYARGUMENTS

檢查 Web 應用程式中 WindowsShell 命令注入嘗試的所有查詢參數的值。比對模式代表 WindowsShell 命令。範例模式包括 ||nslookup;cmd

規則動作:Block

標籤: awswaf:managed:aws:windows-os:WindowsShellCommands_QueryArguments
WindowsShellCommands_BODY

在 Web 應用程式中檢查 WindowsShell 命令注入嘗試的請求內文。比對模式代表 WindowsShell 命令。範例模式包括 ||nslookup;cmd

警告

此規則只會檢查請求內文,直到 Web ACL 和資源類型的內文大小限制為止。對於 Application Load Balancer 和 AWS AppSync,限制固定為 8 KB。對於 CloudFront、API Gateway、Amazon Cognito、App Runner 和 Verified Access,預設限制為 16 KB,您可以在 Web ACL 組態中將限制增加到 64 KB。此規則使用 Continue選項來處理超大內容。如需詳細資訊,請參閱中的超大 Web 請求元件 AWS WAF

規則動作:Block

標籤: awswaf:managed:aws:windows-os:WindowsShellCommands_Body
PowerShellCommands_COOKIE

在 Web 應用程式中檢查 PowerShell 命令注入嘗試的請求 Cookie 標頭。比對模式代表 PowerShell 命令。例如:Invoke-Expression

規則動作:Block

標籤: awswaf:managed:aws:windows-os:PowerShellCommands_Cookie
PowerShellCommands_QUERYARGUMENTS

檢查 Web 應用程式中 PowerShell 命令注入嘗試的所有查詢參數的值。比對模式代表 PowerShell 命令。例如:Invoke-Expression

規則動作:Block

標籤: awswaf:managed:aws:windows-os:PowerShellCommands_QueryArguments
PowerShellCommands_BODY

在 Web 應用程式中檢查 PowerShell 命令注入嘗試的請求內文。比對模式代表 PowerShell 命令。例如:Invoke-Expression

警告

此規則只會檢查請求內文,直到 Web ACL 和資源類型的內文大小限制為止。對於 Application Load Balancer 和 AWS AppSync,限制固定為 8 KB。對於 CloudFront、API Gateway、Amazon Cognito、App Runner 和 Verified Access,預設限制為 16 KB,您可以在 Web ACL 組態中將限制增加到 64 KB。此規則使用 Continue選項來處理超大內容。如需詳細資訊,請參閱中的超大 Web 請求元件 AWS WAF

規則動作:Block

標籤: awswaf:managed:aws:windows-os:PowerShellCommands_Body

PHP 應用程式受管規則群組

VendorName:AWS,Name:AWSManagedRulesPHPRuleSet,WCU:100

注意

本文件涵蓋此受管規則群組的最新版本。我們會在 的 changelog 日誌中報告版本變更AWS 受管規則變更日誌。如需其他版本的相關資訊,請使用 API 命令 DescribeManagedRuleGroup

我們為 AWS 受管規則規則群組中的規則發佈的資訊,旨在為您提供使用規則所需的資訊,而不會給予不法份子規避規則所需的資訊。

如果您需要超過此處的詳細資訊,請聯絡 AWS 支援 中心

PHP 應用程式規則群組包含的規則會封鎖與利用 PHP 程式設計語言特定漏洞相關的請求模式,包括注入不安全的 PHP 函數。這有助於防止利用允許攻擊者遠端執行程式碼或命令的漏洞,而這些程式碼或命令未獲授權。如果您的應用程式與其互動的任何伺服器上安裝 PHP,請評估此規則群組。

此受管規則群組會將標籤新增至其評估的 Web 請求,這些請求可供 Web ACL 中在此規則群組之後執行的規則使用。 AWS WAF 也會將標籤記錄到 Amazon CloudWatch 指標。如需標籤和標籤指標的一般資訊,請參閱 Web 請求標籤標籤指標和維度

規則名稱 描述和標籤
PHPHighRiskMethodsVariables_HEADER

檢查所有標頭是否有 PHP 指令碼程式碼注入嘗試。範例模式包括 fsockopen 之類的函數和 $_GET 超全域變數。

警告

此規則只會檢查請求標頭的前 8 KB 或前 200 個標頭,以先達到限制為準,並使用 Continue選項來處理超大內容。如需詳細資訊,請參閱中的超大 Web 請求元件 AWS WAF

規則動作:Block

標籤: awswaf:managed:aws:php-app:PHPHighRiskMethodsVariables_Header
PHPHighRiskMethodsVariables_QUERYSTRING

檢查請求 URL ?中第一個 之後的所有項目,尋找 PHP 指令碼程式碼注入嘗試。範例模式包括 fsockopen 之類的函數和 $_GET 超全域變數。

規則動作:Block

標籤: awswaf:managed:aws:php-app:PHPHighRiskMethodsVariables_QueryString
PHPHighRiskMethodsVariables_BODY

檢查要求主體是否有 PHP 指令碼程式碼注入嘗試。範例模式包括 fsockopen 之類的函數和 $_GET 超全域變數。

警告

此規則只會檢查請求內文,直到 Web ACL 和資源類型的內文大小限制為止。對於 Application Load Balancer 和 AWS AppSync,限制固定為 8 KB。對於 CloudFront、API Gateway、Amazon Cognito、App Runner 和 Verified Access,預設限制為 16 KB,您可以在 Web ACL 組態中將限制增加到 64 KB。此規則使用 Continue選項來處理超大內容。如需詳細資訊,請參閱中的超大 Web 請求元件 AWS WAF

規則動作:Block

標籤: awswaf:managed:aws:php-app:PHPHighRiskMethodsVariables_Body

WordPress 應用程式受管規則群組

VendorName:AWS,Name:AWSManagedRulesWordPressRuleSet,WCU:100

注意

本文件涵蓋此受管規則群組的最新版本。我們會在 的 changelog 日誌中報告版本變更AWS 受管規則變更日誌。如需其他版本的相關資訊,請使用 API 命令 DescribeManagedRuleGroup

我們為 AWS 受管規則規則群組中的規則發佈的資訊,旨在為您提供使用規則所需的資訊,而不會給予不法份子規避規則所需的資訊。

如果您需要超過此處的詳細資訊,請聯絡 AWS 支援 中心

WordPress 應用程式群組包含的規則會封鎖與利用 WordPress 網站特定漏洞相關的請求模式。如果您正在執行 WordPress,您應該評估此規則群組。此規則群組應結合 SQL 資料庫PHP 應用程式 規則群組使用。

此受管規則群組會將標籤新增至其評估的 Web 請求,這些請求可供 Web ACL 中在此規則群組之後執行的規則使用。 AWS WAF 也會將標籤記錄到 Amazon CloudWatch 指標。如需標籤和標籤指標的一般資訊,請參閱 Web 請求標籤標籤指標和維度

規則名稱 描述和標籤
WordPressExploitableCommands_QUERYSTRING

檢查請求查詢字串是否有可能在有弱點的安裝或外掛程式中遭入侵的高風險 WordPress 命令。範例模式包括 do-reset-wordpress 之類的命令。

規則動作:Block

標籤: awswaf:managed:aws:wordpress-app:WordPressExploitableCommands_QUERYSTRING
WordPressExploitablePaths_URIPATH

檢查要求 URI 路徑是否有 WordPress 檔案,如 xmlrpc.php,其已知具有易於入侵的漏洞。

規則動作:Block

標籤: awswaf:managed:aws:wordpress-app:WordPressExploitablePaths_URIPATH