

**推出 的新主控台體驗 AWS WAF**

您現在可以使用更新後的體驗，在主控台的任何位置存取 AWS WAF 功能。如需詳細資訊，請參閱[使用 主控台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用案例特定的規則群組
<a name="aws-managed-rule-groups-use-case"></a>

使用案例特定的規則群組可為許多不同的 AWS WAF 使用案例提供增量保護。選擇套用至應用程式的規則群組。

## SQL 資料庫受管規則群組
<a name="aws-managed-rule-groups-use-case-sql-db"></a>

VendorName：`AWS`、Name：`AWSManagedRulesSQLiRuleSet`、WCU：200

**注意**  
本文件涵蓋此受管規則群組的最新版本。我們會在 的 changelog 日誌中報告版本變更[AWS 受管規則變更日誌](aws-managed-rule-groups-changelog.md)。如需其他版本的資訊，請使用 API 命令 [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)。  
我們為 AWS 受管規則規則群組中的規則發佈的資訊，旨在為您提供使用規則所需的內容，而不會給予不法份子規避規則所需的內容。  
如果您需要比此處更多的資訊，請聯絡 [AWS 支援 中心](https://console.aws.amazon.com/support/home#/)。

SQL 資料庫規則群組包含的規則，可封鎖與 SQL 資料庫利用相關的請求模式，例如 SQL Injection 攻擊。這有助於防止未經授權查詢的遠端注入。如果您的應用程式會與 SQL 資料庫互動，請評估此規則群組以供使用。

此受管規則群組會將標籤新增至其評估的 Web 請求，這些請求可供保護套件 (Web ACL) AWS WAF 中在此規則群組之後執行的規則使用。 也會將標籤記錄到 Amazon CloudWatch 指標。如需標籤和標籤指標的一般資訊，請參閱 [Web 請求標籤](waf-labels.md)和 [標籤指標和維度](waf-metrics.md#waf-metrics-label)。


| 規則名稱 | 描述和標籤 | 
| --- | --- | 
| SQLi\$1QUERYARGUMENTS |  使用內建的 AWS WAF [SQL Injection 攻擊規則陳述式](waf-rule-statement-type-sqli-match.md)，並將敏感度等級設為 Low，以檢查所有查詢參數的值是否有符合惡意 SQL 程式碼的模式。 規則動作：Block 標籤： `awswaf:managed:aws:sql-database:SQLi_QueryArguments`  | 
| SQLiExtendedPatterns\$1QUERYARGUMENTS |  檢查所有查詢參數的值是否有符合惡意 SQL 程式碼的模式。此規則檢查的模式未涵蓋在規則 內`SQLi_QUERYARGUMENTS`。 規則動作：Block 標籤： `awswaf:managed:aws:sql-database:SQLiExtendedPatterns_QueryArguments`  | 
| SQLi\$1BODY |  使用內建的 AWS WAF [SQL Injection 攻擊規則陳述式](waf-rule-statement-type-sqli-match.md)，並將敏感度等級設為 Low，以檢查請求內文是否有符合惡意 SQL 程式碼的模式。 此規則只會檢查請求內文，直到保護套件 (Web ACL) 和資源類型的內文大小限制為止。對於 Application Load Balancer 和 AWS AppSync，限制固定為 8 KB。對於 CloudFront、API Gateway、Amazon Cognito、App Runner 和 Verified Access，預設限制為 16 KB，而且您可以在保護套件 (Web ACL) 組態中將限制提高到 64 KB。此規則使用 `Continue`選項來處理過大的內容。如需詳細資訊，請參閱[在 中過大 Web 請求元件 AWS WAF](waf-oversize-request-components.md)。 規則動作：Block 標籤： `awswaf:managed:aws:sql-database:SQLi_Body`  | 
| SQLiExtendedPatterns\$1BODY |  檢查請求內文是否有符合惡意 SQL 程式碼的模式。此規則檢查的模式未涵蓋在規則 內`SQLi_BODY`。 此規則只會檢查請求內文，直到保護套件 (Web ACL) 和資源類型的內文大小限制為止。對於 Application Load Balancer 和 AWS AppSync，限制固定為 8 KB。對於 CloudFront、API Gateway、Amazon Cognito、App Runner 和 Verified Access，預設限制為 16 KB，而且您可以在保護套件 (Web ACL) 組態中將限制提高到 64 KB。此規則使用 `Continue`選項來處理過大的內容。如需詳細資訊，請參閱[在 中過大 Web 請求元件 AWS WAF](waf-oversize-request-components.md)。 規則動作：Block 標籤： `awswaf:managed:aws:sql-database:SQLiExtendedPatterns_Body`  | 
| SQLi\$1COOKIE |  使用內建的 AWS WAF [SQL Injection 攻擊規則陳述式](waf-rule-statement-type-sqli-match.md)，並將敏感度等級設為 Low，以檢查請求 Cookie 標頭是否有符合惡意 SQL 程式碼的模式。 規則動作：Block 標籤： `awswaf:managed:aws:sql-database:SQLi_Cookie`  | 
| SQLi\$1URIPATH |  使用內建的 AWS WAF [SQL Injection 攻擊規則陳述式](waf-rule-statement-type-sqli-match.md)，並將敏感度等級設為 Low，以檢查請求 Cookie 標頭是否有符合惡意 SQL 程式碼的模式。 規則動作：Block 標籤： `awswaf:managed:aws:sql-database:SQLi_URIPath`  | 

## Linux 作業系統受管規則群組
<a name="aws-managed-rule-groups-use-case-linux-os"></a>

VendorName：`AWS`、Name：`AWSManagedRulesLinuxRuleSet`、WCU：200

**注意**  
本文件涵蓋此受管規則群組的最新版本。我們會在 的 changelog 日誌中報告版本變更[AWS 受管規則變更日誌](aws-managed-rule-groups-changelog.md)。如需其他版本的資訊，請使用 API 命令 [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)。  
我們為 AWS 受管規則規則群組中的規則發佈的資訊，旨在為您提供使用規則所需的內容，而不會給予不法份子規避規則所需的內容。  
如果您需要比此處更多的資訊，請聯絡 [AWS 支援 中心](https://console.aws.amazon.com/support/home#/)。

Linux 作業系統規則群組包含的規則會封鎖與利用 Linux 特定漏洞攻擊相關的請求模式，包括 Linux 特定本機檔案包含 (LFI) 攻擊。這有助於防止公開檔案內容的攻擊，或執行攻擊者不應存取的程式碼。如果應用程式的任何部分在 Linux 上執行，則應該評估此規則群組。您應該使用此規則群組結合 [POSIX 作業系統](#aws-managed-rule-groups-use-case-posix-os) 規則群組。

此受管規則群組會將標籤新增至其評估的 Web 請求，這些請求可供保護套件 (Web ACL) AWS WAF 中在此規則群組之後執行的規則使用。 也會將標籤記錄到 Amazon CloudWatch 指標。如需標籤和標籤指標的一般資訊，請參閱 [Web 請求標籤](waf-labels.md)和 [標籤指標和維度](waf-metrics.md#waf-metrics-label)。


| 規則名稱 | 描述和標籤 | 
| --- | --- | 
| LFI\$1URIPATH |  檢查要求路徑是否有入侵 Web 應用程式中的本機檔案包含 (LFI) 弱點的嘗試。範例模式包括 `/proc/version` 之類的檔案，其可以對攻擊者提供作業系統訊息。 規則動作：Block 標籤： `awswaf:managed:aws:linux-os:LFI_URIPath`  | 
| LFI\$1QUERYSTRING |  檢查 querystring 的值是否有嘗試利用 Web 應用程式中的本機檔案包含 (LFI) 漏洞。範例模式包括 `/proc/version` 之類的檔案，其可以對攻擊者提供作業系統訊息。 規則動作：Block 標籤： `awswaf:managed:aws:linux-os:LFI_QueryString`  | 
| LFI\$1HEADER |  檢查請求標頭是否有嘗試利用 Web 應用程式中的本機檔案包含 (LFI) 漏洞。範例模式包括 `/proc/version` 之類的檔案，其可以對攻擊者提供作業系統訊息。 此規則只會檢查請求標頭的前 8 KB 或前 200 個標頭，以先達到限制為準，並使用 `Continue`選項來處理過大的內容。如需詳細資訊，請參閱[在 中過大 Web 請求元件 AWS WAF](waf-oversize-request-components.md)。 規則動作：Block 標籤： `awswaf:managed:aws:linux-os:LFI_Header`  | 

## POSIX 作業系統受管規則群組
<a name="aws-managed-rule-groups-use-case-posix-os"></a>

VendorName：`AWS`、Name：`AWSManagedRulesUnixRuleSet`、WCU：100

**注意**  
本文件涵蓋此受管規則群組的最新版本。我們會在 的 changelog 日誌中報告版本變更[AWS 受管規則變更日誌](aws-managed-rule-groups-changelog.md)。如需其他版本的資訊，請使用 API 命令 [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)。  
我們為 AWS 受管規則規則群組中的規則發佈的資訊，旨在為您提供使用規則所需的內容，而不會給予不法份子規避規則所需的內容。  
如果您需要比此處更多的資訊，請聯絡 [AWS 支援 中心](https://console.aws.amazon.com/support/home#/)。

POSIX 作業系統規則群組包含的規則會封鎖與利用 POSIX 和類似 POSIX 作業系統特定漏洞相關的請求模式，包括本機檔案包含 (LFI) 攻擊。這有助於防止公開檔案內容的攻擊，或執行攻擊者不應存取的程式碼。如果應用程式的任何部分在類似 POSIX 或類似 POSIX 的作業系統，包括 Linux、AIX、HP-UX、macOS、Solaris、FreeBSD 和 OpenBSD 上執行，則應該評估此規則群組。

此受管規則群組會將標籤新增至其評估的 Web 請求，這些請求可供保護套件 (Web ACL) AWS WAF 中在此規則群組之後執行的規則使用。 也會將標籤記錄到 Amazon CloudWatch 指標。如需標籤和標籤指標的一般資訊，請參閱 [Web 請求標籤](waf-labels.md)和 [標籤指標和維度](waf-metrics.md#waf-metrics-label)。


| 規則名稱 | 描述和標籤 | 
| --- | --- | 
| UNIXShellCommandsVariables\$1QUERYSTRING |  檢查查詢字串的值是否有嘗試利用在 Unix 系統上執行的 Web 應用程式中的命令注入、LFI 和路徑周遊漏洞。範例包括 `echo $HOME` 和 `echo $PATH` 之類的模式。 規則動作：Block 標籤： `awswaf:managed:aws:posix-os:UNIXShellCommandsVariables_QueryString`  | 
| UNIXShellCommandsVariables\$1BODY |  檢查要求主體是否有入侵在 Unix 系統上執行之 Web 應用程式中的命令注入、LFI 和路徑遍訪弱點的嘗試。範例包括 `echo $HOME` 和 `echo $PATH` 之類的模式。 此規則只會檢查請求內文，直到保護套件 (Web ACL) 和資源類型的內文大小限制為止。對於 Application Load Balancer 和 AWS AppSync，限制固定為 8 KB。對於 CloudFront、API Gateway、Amazon Cognito、App Runner 和 Verified Access，預設限制為 16 KB，而且您可以在保護套件 (Web ACL) 組態中將限制提高到 64 KB。此規則使用 `Continue`選項來處理過大的內容。如需詳細資訊，請參閱[在 中過大 Web 請求元件 AWS WAF](waf-oversize-request-components.md)。 規則動作：Block 標籤： `awswaf:managed:aws:posix-os:UNIXShellCommandsVariables_Body`  | 
| UNIXShellCommandsVariables\$1HEADER |  檢查所有請求標頭是否嘗試利用在 Unix 系統上執行的 Web 應用程式中的命令注入、LFI 和路徑周遊漏洞。範例包括 `echo $HOME` 和 `echo $PATH` 之類的模式。 此規則只會檢查請求標頭的前 8 KB 或前 200 個標頭，以先達到限制為準，並使用 `Continue`選項來處理過大的內容。如需詳細資訊，請參閱[在 中過大 Web 請求元件 AWS WAF](waf-oversize-request-components.md)。 規則動作：Block 標籤： `awswaf:managed:aws:posix-os:UNIXShellCommandsVariables_Header`  | 

## Windows 作業系統受管規則群組
<a name="aws-managed-rule-groups-use-case-windows-os"></a>

VendorName：`AWS`、Name：`AWSManagedRulesWindowsRuleSet`、WCU：200

**注意**  
本文件涵蓋此受管規則群組的最新版本。我們會在 的 changelog 日誌中報告版本變更[AWS 受管規則變更日誌](aws-managed-rule-groups-changelog.md)。如需其他版本的資訊，請使用 API 命令 [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)。  
我們為 AWS 受管規則規則群組中的規則發佈的資訊，旨在為您提供使用規則所需的內容，而不會給予不法份子規避規則所需的內容。  
如果您需要比此處更多的資訊，請聯絡 [AWS 支援 中心](https://console.aws.amazon.com/support/home#/)。

Windows 作業系統規則群組包含的規則會封鎖與利用 Windows 特定漏洞相關的請求模式，例如 PowerShell 命令的遠端執行。這有助於防止利用允許攻擊者執行未經授權的命令或執行惡意程式碼的漏洞。如果應用程式的任何部分在 Windows 作業系統上執行，請評估此規則群組。

此受管規則群組會將標籤新增至其評估的 Web 請求，這些請求可供保護套件 (Web ACL) AWS WAF 中在此規則群組之後執行的規則使用。 也會將標籤記錄到 Amazon CloudWatch 指標。如需標籤和標籤指標的一般資訊，請參閱 [Web 請求標籤](waf-labels.md)和 [標籤指標和維度](waf-metrics.md#waf-metrics-label)。


| 規則名稱 | 描述和標籤 | 
| --- | --- | 
| WindowsShellCommands\$1COOKIE |  在 Web 應用程式中檢查 WindowsShell 命令注入嘗試的請求 Cookie 標頭。比對模式代表 WindowsShell 命令。範例模式包括 `\|\|nslookup`和 `;cmd`。 規則動作：Block 標籤： `awswaf:managed:aws:windows-os:WindowsShellCommands_Cookie`  | 
| WindowsShellCommands\$1QUERYARGUMENTS |  檢查 Web 應用程式中 WindowsShell 命令注入嘗試的所有查詢參數的值。比對模式代表 WindowsShell 命令。範例模式包括 `\|\|nslookup`和 `;cmd`。 規則動作：Block 標籤： `awswaf:managed:aws:windows-os:WindowsShellCommands_QueryArguments`  | 
| WindowsShellCommands\$1BODY |  在 Web 應用程式中檢查 WindowsShell 命令注入嘗試的請求內文。比對模式代表 WindowsShell 命令。範例模式包括 `\|\|nslookup`和 `;cmd`。 此規則只會檢查請求內文，直到保護套件 (Web ACL) 和資源類型的內文大小限制為止。對於 Application Load Balancer 和 AWS AppSync，限制固定為 8 KB。對於 CloudFront、API Gateway、Amazon Cognito、App Runner 和 Verified Access，預設限制為 16 KB，而且您可以在保護套件 (Web ACL) 組態中將限制提高到 64 KB。此規則使用 `Continue`選項來處理過大的內容。如需詳細資訊，請參閱[在 中過大 Web 請求元件 AWS WAF](waf-oversize-request-components.md)。 規則動作：Block 標籤： `awswaf:managed:aws:windows-os:WindowsShellCommands_Body`  | 
| PowerShellCommands\$1COOKIE |  在 Web 應用程式中檢查請求 Cookie 標頭是否有 PowerShell 命令注入嘗試。比對模式代表 PowerShell 命令。例如 `Invoke-Expression`。 規則動作：Block 標籤： `awswaf:managed:aws:windows-os:PowerShellCommands_Cookie`  | 
| PowerShellCommands\$1QUERYARGUMENTS |  檢查 Web 應用程式中 PowerShell 命令注入嘗試的所有查詢參數的值。比對模式代表 PowerShell 命令。例如 `Invoke-Expression`。 規則動作：Block 標籤： `awswaf:managed:aws:windows-os:PowerShellCommands_QueryArguments`  | 
| PowerShellCommands\$1BODY |  在 Web 應用程式中檢查 PowerShell 命令注入嘗試的請求內文。比對模式代表 PowerShell 命令。例如 `Invoke-Expression`。 此規則只會檢查請求內文，直到保護套件 (Web ACL) 和資源類型的內文大小限制為止。對於 Application Load Balancer 和 AWS AppSync，限制固定為 8 KB。對於 CloudFront、API Gateway、Amazon Cognito、App Runner 和 Verified Access，預設限制為 16 KB，而且您可以在保護套件 (Web ACL) 組態中將限制提高到 64 KB。此規則使用 `Continue`選項來處理過大的內容。如需詳細資訊，請參閱[在 中過大 Web 請求元件 AWS WAF](waf-oversize-request-components.md)。 規則動作：Block 標籤： `awswaf:managed:aws:windows-os:PowerShellCommands_Body`  | 

## PHP 應用程式受管規則群組
<a name="aws-managed-rule-groups-use-case-php-app"></a>

VendorName：`AWS`、Name：`AWSManagedRulesPHPRuleSet`、WCU：100

**注意**  
本文件涵蓋此受管規則群組的最新版本。我們會在 的 changelog 日誌中報告版本變更[AWS 受管規則變更日誌](aws-managed-rule-groups-changelog.md)。如需其他版本的資訊，請使用 API 命令 [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)。  
我們為 AWS 受管規則規則群組中的規則發佈的資訊，旨在為您提供使用規則所需的內容，而不會給予不法份子規避規則所需的內容。  
如果您需要比此處更多的資訊，請聯絡 [AWS 支援 中心](https://console.aws.amazon.com/support/home#/)。

PHP 應用程式規則群組包含的規則會封鎖與利用 PHP 程式設計語言特定漏洞相關的請求模式，包括注入不安全的 PHP 函數。這有助於防止利用允許攻擊者從遠端執行程式碼或未經授權的命令的漏洞。如果您的應用程式與其互動的任何伺服器上安裝 PHP，請評估此規則群組。

此受管規則群組會將標籤新增至其評估的 Web 請求，這些請求可供保護套件 (Web ACL) AWS WAF 中在此規則群組之後執行的規則使用。 也會將標籤記錄到 Amazon CloudWatch 指標。如需標籤和標籤指標的一般資訊，請參閱 [Web 請求標籤](waf-labels.md)和 [標籤指標和維度](waf-metrics.md#waf-metrics-label)。


| 規則名稱 | 描述和標籤 | 
| --- | --- | 
| PHPHighRiskMethodsVariables\$1HEADER |  檢查所有標頭是否有 PHP 指令碼程式碼注入嘗試。範例模式包括 `fsockopen` 之類的函數和 `$_GET` 超全域變數。 此規則只會檢查請求標頭的前 8 KB 或前 200 個標頭，以先達到限制為準，並使用 `Continue`選項來處理過大的內容。如需詳細資訊，請參閱[在 中過大 Web 請求元件 AWS WAF](waf-oversize-request-components.md)。 規則動作：Block 標籤： `awswaf:managed:aws:php-app:PHPHighRiskMethodsVariables_Header`  | 
| PHPHighRiskMethodsVariables\$1QUERYSTRING |  檢查請求 URL `?`中第一個 之後的所有項目，尋找 PHP 指令碼程式碼注入嘗試。範例模式包括 `fsockopen` 之類的函數和 `$_GET` 超全域變數。 規則動作：Block 標籤： `awswaf:managed:aws:php-app:PHPHighRiskMethodsVariables_QueryString`  | 
| PHPHighRiskMethodsVariables\$1BODY |  檢查要求主體是否有 PHP 指令碼程式碼注入嘗試。範例模式包括 `fsockopen` 之類的函數和 `$_GET` 超全域變數。 此規則只會檢查請求內文，直到保護套件 (Web ACL) 和資源類型的內文大小限制為止。對於 Application Load Balancer 和 AWS AppSync，限制固定為 8 KB。對於 CloudFront、API Gateway、Amazon Cognito、App Runner 和 Verified Access，預設限制為 16 KB，而且您可以在保護套件 (Web ACL) 組態中將限制提高到 64 KB。此規則使用 `Continue`選項來處理過大的內容。如需詳細資訊，請參閱[在 中過大 Web 請求元件 AWS WAF](waf-oversize-request-components.md)。 規則動作：Block 標籤： `awswaf:managed:aws:php-app:PHPHighRiskMethodsVariables_Body`  | 
| PHPHighRiskMethodsVariables\$1URIPATH |  檢查 PHP 指令碼程式碼注入嘗試的請求路徑。範例模式包括 `fsockopen` 之類的函數和 `$_GET` 超全域變數。 規則動作：Block 標籤： `awswaf:managed:aws:php-app:PHPHighRiskMethodsVariables_URIPath`  | 

## WordPress 應用程式受管規則群組
<a name="aws-managed-rule-groups-use-case-wordpress-app"></a>

VendorName：`AWS`、Name：`AWSManagedRulesWordPressRuleSet`、WCU：100

**注意**  
本文件涵蓋此受管規則群組的最新版本。我們會在 的 changelog 日誌中報告版本變更[AWS 受管規則變更日誌](aws-managed-rule-groups-changelog.md)。如需其他版本的資訊，請使用 API 命令 [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)。  
我們為 AWS 受管規則規則群組中的規則發佈的資訊，旨在為您提供使用規則所需的內容，而不會給予不法份子規避規則所需的內容。  
如果您需要比此處更多的資訊，請聯絡 [AWS 支援 中心](https://console.aws.amazon.com/support/home#/)。

WordPress 應用程式群組包含的規則會封鎖與利用 WordPress 網站特定漏洞相關的請求模式。如果您正在執行 WordPress，您應該評估此規則群組。此規則群組應結合 [SQL 資料庫](#aws-managed-rule-groups-use-case-sql-db) 和 [PHP 應用程式](#aws-managed-rule-groups-use-case-php-app) 規則群組使用。

此受管規則群組會將標籤新增至其評估的 Web 請求，這些請求可供保護套件 (Web ACL) AWS WAF 中在此規則群組之後執行的規則使用。 也會將標籤記錄到 Amazon CloudWatch 指標。如需標籤和標籤指標的一般資訊，請參閱 [Web 請求標籤](waf-labels.md)和 [標籤指標和維度](waf-metrics.md#waf-metrics-label)。


| 規則名稱 | 描述和標籤 | 
| --- | --- | 
| WordPressExploitableCommands\$1QUERYSTRING |  檢查請求查詢字串是否有可能在有弱點的安裝或外掛程式中遭入侵的高風險 WordPress 命令。範例模式包括 `do-reset-wordpress` 之類的命令。 規則動作：Block 標籤： `awswaf:managed:aws:wordpress-app:WordPressExploitableCommands_QUERYSTRING`  | 
| WordPressExploitablePaths\$1URIPATH |  檢查要求 URI 路徑是否有 WordPress 檔案，如 `xmlrpc.php`，其已知具有易於入侵的漏洞。 規則動作：Block 標籤： `awswaf:managed:aws:wordpress-app:WordPressExploitablePaths_URIPATH`  |