**引入全新的主机体验 AWS WAF**

现在，您可以使用更新的体验访问控制台中任意位置的 AWS WAF 功能。有关更多详细信息，请参阅[使用控制台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 基准规则组
<a name="aws-managed-rule-groups-baseline"></a>

基准托管规则组可针对多种常见威胁提供一般保护。请选择以下一个或多个规则组以便为您的资源建立基准保护。

## 核心规则集（CRS）托管规则组
<a name="aws-managed-rule-groups-baseline-crs"></a>

VendorName:`AWS`，名称：`AWSManagedRulesCommonRuleSet`，WCU：700

**注意**  
本文档包含此托管规则组的最新静态版本。我们在 [AWS 托管规则变更日志](aws-managed-rule-groups-changelog.md) 的更改日志中报告版本变更。有关其他版本的信息，请使用 API 命令[DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)。  
我们在 AWS 托管规则组中发布的规则信息旨在为您提供使用规则所需的信息，而不会向不良行为者提供他们规避规则所需的信息。  
如果您需要更多信息，请联系 [AWS 支持 中心](https://console.aws.amazon.com/support/home#/)。

核心规则集 (CRS) 规则组包含通常适用于 Web 应用程序的规则。该规则组有助于防止利用各种漏洞，包括 OWASP 出版物（如 [OWASP Top 10](https://owasp.org/www-project-top-ten/)）中描述的一些高风险和经常发生的漏洞。考虑将此规则组用于任何 AWS WAF 用例。

此托管规则组会为其评估的 Web 请求添加标签，这些标签可用于在保护包 (Web ACL) 中在此规则组之后运行的规则。 AWS WAF 还会记录亚马逊 CloudWatch 指标的标签。有关标签和标签指标的一般信息，请参阅 [Web 请求标签](waf-labels.md) 和 [标签指标和维度](waf-metrics.md#waf-metrics-label)。


| 规则名称 | 描述和标签 | 
| --- | --- | 
| NoUserAgent\_HEADER | 检查是否存在缺少 HTTP `User-Agent` 标头的请求。<br />规则操作：Block<br />标签：`awswaf:managed:aws:core-rule-set:NoUserAgent_Header` | 
| UserAgent\_BadBots\_HEADER | 检查是否存在表明请求是恶意机器人的常见 `User-Agent` 标头值。示例模式包括 `nessus` 和 `nmap`。有关机器人管理的信息，另请参阅 [AWS WAF 机器人控制规则组](aws-managed-rule-groups-bot.md)。<br />规则操作：Block<br />标签：`awswaf:managed:aws:core-rule-set:BadBots_Header` | 
| SizeRestrictions\_QUERYSTRING | 检查是否存在超过 2048 字节的 URI 查询字符串。<br />规则操作：Block<br />标签：`awswaf:managed:aws:core-rule-set:SizeRestrictions_QueryString` | 
| SizeRestrictions\_Cookie\_HEADER | 检查是否存在超过 10,240 字节的 Cookie 标头。<br />规则操作：Block<br />标签：`awswaf:managed:aws:core-rule-set:SizeRestrictions_Cookie_Header` | 
| SizeRestrictions\_BODY | 检查是否存在超过 8 KB（8192 字节）的请求正文。<br />规则操作：Block<br />标签：`awswaf:managed:aws:core-rule-set:SizeRestrictions_Body` | 
| SizeRestrictions\_URIPATH | 检查 URI 路径是否超过 1024 字节。<br />规则操作：Block<br />标签：`awswaf:managed:aws:core-rule-set:SizeRestrictions_URIPath` | 
| EC2MetaDataSSRF\_BODY | 检查是否存在恶意方试图从请求正文中泄漏 Amazon EC2 元数据。此规则仅检查请求正文，但不得超过保护包（web ACL）和资源类型的正文大小限制。对于 Application Load Balancer 和 AWS AppSync，限制固定为 8 KB。对于 CloudFront API Gateway、Amazon Cognito、App Runner 和 Verified Access，默认限制为 16 KB，您可以在保护包 (Web ACL) 配置中将限制提高到 64 KB。此规则使用 `Continue` 选项来处理超大内容。有关更多信息，请参阅 [中的 Web 请求组件过大 AWS WAF](waf-oversize-request-components.md)。<br />规则操作：Block<br />标签：`awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_Body` | 
| EC2MetaDataSSRF\_COOKIE | 检查是否存在恶意方试图从请求 Cookie 中泄漏 Amazon EC2 元数据。<br />规则操作：Block<br />标签：`awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_Cookie` | 
| EC2MetaDataSSRF\_URIPATH | 检查是否存在恶意方试图从请求 URI 路径中泄漏 Amazon EC2 元数据。<br />规则操作：Block<br />标签：`awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_URIPath` | 
| EC2MetaDataSSRF\_QUERYARGUMENTS | 检查是否存在恶意方试图从请求查询参数中泄漏 Amazon EC2 元数据。<br />规则操作：Block<br />标签：`awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_QueryArguments` | 
| GenericLFI\_QUERYARGUMENTS | 检查查询参数中是否存在本地文件包含（LFI）攻击。示例包括使用类似于 `../../` 的技术尝试遍历路径。<br />规则操作：Block<br />标签：`awswaf:managed:aws:core-rule-set:GenericLFI_QueryArguments` | 
| GenericLFI\_URIPATH | 检查 URI 路径中是否存在本地文件包含（LFI）攻击。示例包括使用类似于 `../../` 的技术尝试遍历路径。<br />规则操作：Block<br />标签：`awswaf:managed:aws:core-rule-set:GenericLFI_URIPath` | 
| GenericLFI\_BODY | 检查请求正文中是否存在本地文件包含（LFI）攻击。示例包括使用类似于 `../../` 的技术尝试遍历路径。此规则仅检查请求正文，但不得超过保护包（web ACL）和资源类型的正文大小限制。对于 Application Load Balancer 和 AWS AppSync，限制固定为 8 KB。对于 CloudFront API Gateway、Amazon Cognito、App Runner 和 Verified Access，默认限制为 16 KB，您可以在保护包 (Web ACL) 配置中将限制提高到 64 KB。此规则使用 `Continue` 选项来处理超大内容。有关更多信息，请参阅 [中的 Web 请求组件过大 AWS WAF](waf-oversize-request-components.md)。<br />规则操作：Block<br />标签：`awswaf:managed:aws:core-rule-set:GenericLFI_Body` | 
| RestrictedExtensions\_URIPATH | 检查是否存在 URI 路径中包含无法安全读取或运行的系统文件扩展名的请求。示例模式包括类似于 `.log` 和 `.ini` 的扩展名。<br />规则操作：Block<br />标签：`awswaf:managed:aws:core-rule-set:RestrictedExtensions_URIPath` | 
| RestrictedExtensions\_QUERYARGUMENTS | 检查是否存在查询参数中包含无法安全读取或运行的系统文件扩展名的请求。示例模式包括类似于 `.log` 和 `.ini` 的扩展名。<br />规则操作：Block<br />标签：`awswaf:managed:aws:core-rule-set:RestrictedExtensions_QueryArguments` | 
| GenericRFI\_QUERYARGUMENTS | 检查所有查询参数的值，以防有人试图通过嵌入包含地址的 Web 应用程序中利用 RFI（远程文件包 URLs 含 IPv4）。示例包括漏洞利用尝试中带有 IPv4 主机标头的`http://``file://`、、、、和。`https://` `ftp://` `ftps://`<br />规则操作：Block<br />标签：`awswaf:managed:aws:core-rule-set:GenericRFI_QueryArguments` | 
| GenericRFI\_BODY | 检查请求正文中是否有人试图通过嵌入包含地址来利用 Web 应用程序中的 RFI（远程文件包 URLs 含 IPv4 ）。示例包括漏洞利用尝试中带有 IPv4 主机标头的`http://``file://`、、、、和。`https://` `ftp://` `ftps://`此规则仅检查请求正文，但不得超过保护包（web ACL）和资源类型的正文大小限制。对于 Application Load Balancer 和 AWS AppSync，限制固定为 8 KB。对于 CloudFront API Gateway、Amazon Cognito、App Runner 和 Verified Access，默认限制为 16 KB，您可以在保护包 (Web ACL) 配置中将限制提高到 64 KB。此规则使用 `Continue` 选项来处理超大内容。有关更多信息，请参阅 [中的 Web 请求组件过大 AWS WAF](waf-oversize-request-components.md)。<br />规则操作：Block<br />标签：`awswaf:managed:aws:core-rule-set:GenericRFI_Body` | 
| GenericRFI\_URIPATH | 检查 URI 路径中是否有人试图通过嵌入包含地址来利用 Web 应用程序中的 RFI（远程文件包 URLs 含 IPv4 ）。示例包括漏洞利用尝试中带有 IPv4 主机标头的`http://``file://`、、、、和。`https://` `ftp://` `ftps://`<br />规则操作：Block<br />标签：`awswaf:managed:aws:core-rule-set:GenericRFI_URIPath` | 
| CrossSiteScripting\_COOKIE | 使用内置功能检查 Cookie 标头的值以了解常见的跨站脚本 (XSS) 模式。 AWS WAF [跨站点脚本攻击规则语句](waf-rule-statement-type-xss-match.md)示例模式包括类似于 `<script>alert("hello")</script>` 的脚本。 该规则组的 2.0 版本未填充 AWS WAF 日志中的规则匹配详细信息。 <br />规则操作：Block<br />标签：`awswaf:managed:aws:core-rule-set:CrossSiteScripting_Cookie` | 
| CrossSiteScripting\_QUERYARGUMENTS | 使用内置检查查询参数的值，了解常见的跨站点脚本 (XSS) 模式。 AWS WAF [跨站点脚本攻击规则语句](waf-rule-statement-type-xss-match.md)示例模式包括类似于 `<script>alert("hello")</script>` 的脚本。 该规则组的 2.0 版本未填充 AWS WAF 日志中的规则匹配详细信息。 <br />规则操作：Block<br />标签：`awswaf:managed:aws:core-rule-set:CrossSiteScripting_QueryArguments` | 
| CrossSiteScripting\_BODY | 使用内置检查请求正文中常见的跨站脚本 (XSS) 模式。 AWS WAF [跨站点脚本攻击规则语句](waf-rule-statement-type-xss-match.md)示例模式包括类似于 `<script>alert("hello")</script>` 的脚本。 该规则组的 2.0 版本未填充 AWS WAF 日志中的规则匹配详细信息。 此规则仅检查请求正文，但不得超过保护包（web ACL）和资源类型的正文大小限制。对于 Application Load Balancer 和 AWS AppSync，限制固定为 8 KB。对于 CloudFront API Gateway、Amazon Cognito、App Runner 和 Verified Access，默认限制为 16 KB，您可以在保护包 (Web ACL) 配置中将限制提高到 64 KB。此规则使用 `Continue` 选项来处理超大内容。有关更多信息，请参阅 [中的 Web 请求组件过大 AWS WAF](waf-oversize-request-components.md)。<br />规则操作：Block<br />标签：`awswaf:managed:aws:core-rule-set:CrossSiteScripting_Body` | 
| CrossSiteScripting\_URIPATH | 使用内置检查常见跨站脚本 (XSS) 模式的 URI 路径值。 AWS WAF [跨站点脚本攻击规则语句](waf-rule-statement-type-xss-match.md)示例模式包括类似于 `<script>alert("hello")</script>` 的脚本。 该规则组的 2.0 版本未填充 AWS WAF 日志中的规则匹配详细信息。 <br />规则操作：Block<br />标签：`awswaf:managed:aws:core-rule-set:CrossSiteScripting_URIPath` | 

## 管理员保护托管规则组
<a name="aws-managed-rule-groups-baseline-admin"></a>

VendorName:`AWS`，名称：`AWSManagedRulesAdminProtectionRuleSet`，WCU：100

**注意**  
本文档包含此托管规则组的最新静态版本。我们在 [AWS 托管规则变更日志](aws-managed-rule-groups-changelog.md) 的更改日志中报告版本变更。有关其他版本的信息，请使用 API 命令[DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)。  
我们在 AWS 托管规则组中发布的规则信息旨在为您提供使用规则所需的信息，而不会向不良行为者提供他们规避规则所需的信息。  
如果您需要更多信息，请联系 [AWS 支持 中心](https://console.aws.amazon.com/support/home#/)。

管理保护规则组包含允许您阻止对公开的管理页面进行外部访问的规则。如果您运行第三方软件，或者希望降低恶意人员获取您的应用程序的管理访问权限的风险，该规则组可能非常有用。

此托管规则组会为其评估的 Web 请求添加标签，这些标签可用于在保护包 (Web ACL) 中在此规则组之后运行的规则。 AWS WAF 还会记录亚马逊 CloudWatch 指标的标签。有关标签和标签指标的一般信息，请参阅 [Web 请求标签](waf-labels.md) 和 [标签指标和维度](waf-metrics.md#waf-metrics-label)。


| 规则名称 | 描述和标签 | 
| --- | --- | 
| AdminProtection\_URIPATH | 检查针对通常为管理 Web 服务器或应用程序而保留的 URI 路径。示例模式包括 `sqlmanager`。<br />规则操作：Block<br />标签：`awswaf:managed:aws:admin-protection:AdminProtection_URIPath` | 

## 已知错误输入托管规则组
<a name="aws-managed-rule-groups-baseline-known-bad-inputs"></a>

VendorName:`AWS`，名称：`AWSManagedRulesKnownBadInputsRuleSet`，WCU：200

**注意**  
本文档包含此托管规则组的最新静态版本。我们在 [AWS 托管规则变更日志](aws-managed-rule-groups-changelog.md) 的更改日志中报告版本变更。有关其他版本的信息，请使用 API 命令[DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)。  
我们在 AWS 托管规则组中发布的规则信息旨在为您提供使用规则所需的信息，而不会向不良行为者提供他们规避规则所需的信息。  
如果您需要更多信息，请联系 [AWS 支持 中心](https://console.aws.amazon.com/support/home#/)。

已知错误输入规则组包含用于阻止请求模式的规则，这些模式确认无效且与漏洞攻击或发现相关联。这有助于降低恶意人员发现易受攻击的应用程序的风险。

此托管规则组会为其评估的 Web 请求添加标签，这些标签可用于在保护包 (Web ACL) 中在此规则组之后运行的规则。 AWS WAF 还会记录亚马逊 CloudWatch 指标的标签。有关标签和标签指标的一般信息，请参阅 [Web 请求标签](waf-labels.md) 和 [标签指标和维度](waf-metrics.md#waf-metrics-label)。


| 规则名称 | 描述和标签 | 
| --- | --- | 
| JavaDeserializationRCE\_HEADER | 检查 HTTP 请求标头的键和值，寻找指示 Java 反序列化远程命令执行（RCE）尝试的模式，例如 Spring Core 和 Cloud Function RCE 漏洞（CVE-2022-22963、CVE-2022-22965）。示例模式包括 `(java.lang.Runtime).getRuntime().exec("whoami")`。此规则仅检查请求标头的前 8 KB 或前 200 个标头（以先达到的限制为准），并且它使用 `Continue` 选项来处理超大内容。有关更多信息，请参阅 [中的 Web 请求组件过大 AWS WAF](waf-oversize-request-components.md)。<br />规则操作：Block<br />标签：`awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_Header` | 
| JavaDeserializationRCE\_BODY | 检查请求正文中是否存在指示 Java 反序列化远程命令执行（RCE）尝试的模式，例如 Spring Core 和 Cloud Function RCE 漏洞（CVE-2022-22963、CVE-2022-22965）。示例模式包括 `(java.lang.Runtime).getRuntime().exec("whoami")`。此规则仅检查请求正文，但不得超过保护包（web ACL）和资源类型的正文大小限制。对于 Application Load Balancer 和 AWS AppSync，限制固定为 8 KB。对于 CloudFront API Gateway、Amazon Cognito、App Runner 和 Verified Access，默认限制为 16 KB，您可以在保护包 (Web ACL) 配置中将限制提高到 64 KB。此规则使用 `Continue` 选项来处理超大内容。有关更多信息，请参阅 [中的 Web 请求组件过大 AWS WAF](waf-oversize-request-components.md)。<br />规则操作：Block<br />标签：`awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_Body` | 
| JavaDeserializationRCE\_URIPATH | 检查请求 URI 中是否存在指示 Java 反序列化远程命令执行（RCE）尝试的模式，例如 Spring Core 和 Cloud Function RCE 漏洞（CVE-2022-22963、CVE-2022-22965）。示例模式包括 `(java.lang.Runtime).getRuntime().exec("whoami")`。<br />规则操作：Block<br />标签：`awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_URIPath` | 
| JavaDeserializationRCE\_QUERYSTRING | 检查请求查询字符串中是否存在指示 Java 反序列化远程命令执行（RCE）尝试的模式，例如 Spring Core 和 Cloud Function RCE 漏洞（CVE-2022-22963、CVE-2022-22965）。示例模式包括 `(java.lang.Runtime).getRuntime().exec("whoami")`。<br />规则操作：Block<br />标签：`awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_QueryString` | 
| Host\_localhost\_HEADER | 检查请求中的主机标头是否有指示本地主机的模式。示例模式包括 `localhost`。<br />规则操作：Block<br />标签：`awswaf:managed:aws:known-bad-inputs:Host_Localhost_Header` | 
| PROPFIND\_METHOD | 检查请求中用于 `PROPFIND` 的 HTTP 方法，这是一种类似于 `HEAD` 的方法，但具有泄漏 XML 对象的额外意图。<br />规则操作：Block<br />标签：`awswaf:managed:aws:known-bad-inputs:Propfind_Method` | 
| ExploitablePaths\_URIPATH | 检查 URI 路径中是否有恶意方试图访问可利用的 Web 应用程序路径。示例模式包括类似于 `web-inf` 的路径。<br />规则操作：Block<br />标签：`awswaf:managed:aws:known-bad-inputs:ExploitablePaths_URIPath` | 
| Log4JRCE\_HEADER | 检查请求标头的键和值是否存在 Log4j 漏洞（[CVE-2021-44228](https://www.cve.org/CVERecord?id=CVE-2021-44228)、[CVE-2021-45046](https://www.cve.org/CVERecord?id=CVE-2021-45046)、[CVE-2021-45105](https://www.cve.org/CVERecord?id=CVE-2021-45105)），并防止远程代码执行（RCE）尝试。示例模式包括 `${jndi:ldap://example.com/}`。此规则仅检查请求标头的前 8 KB 或前 200 个标头（以先达到的限制为准），并且它使用 `Continue` 选项来处理超大内容。有关更多信息，请参阅 [中的 Web 请求组件过大 AWS WAF](waf-oversize-request-components.md)。<br />规则操作：Block<br />标签：`awswaf:managed:aws:known-bad-inputs:Log4JRCE_Header` | 
| Log4JRCE\_QUERYSTRING | 检查查询字符串中是否存在 Log4j 漏洞（[CVE-2021-44228](https://www.cve.org/CVERecord?id=CVE-2021-44228)、[CVE-2021-45046](https://www.cve.org/CVERecord?id=CVE-2021-45046)、[CVE-2021-45105](https://www.cve.org/CVERecord?id=CVE-2021-45105)），并防止远程代码执行（RCE）尝试。示例模式包括 `${jndi:ldap://example.com/}`。<br />规则操作：Block<br />标签：`awswaf:managed:aws:known-bad-inputs:Log4JRCE_QueryString` | 
| Log4JRCE\_BODY | 检查正文中是否存在 Log4j 漏洞（[CVE-2021-44228](https://www.cve.org/CVERecord?id=CVE-2021-44228)、[CVE-2021-45046](https://www.cve.org/CVERecord?id=CVE-2021-45046)、[CVE-2021-45105](https://www.cve.org/CVERecord?id=CVE-2021-45105)），并防止远程代码执行（RCE）尝试。示例模式包括 `${jndi:ldap://example.com/}`。此规则仅检查请求正文，但不得超过保护包（web ACL）和资源类型的正文大小限制。对于 Application Load Balancer 和 AWS AppSync，限制固定为 8 KB。对于 CloudFront API Gateway、Amazon Cognito、App Runner 和 Verified Access，默认限制为 16 KB，您可以在保护包 (Web ACL) 配置中将限制提高到 64 KB。此规则使用 `Continue` 选项来处理超大内容。有关更多信息，请参阅 [中的 Web 请求组件过大 AWS WAF](waf-oversize-request-components.md)。<br />规则操作：Block<br />标签：`awswaf:managed:aws:known-bad-inputs:Log4JRCE_Body` | 
| Log4JRCE\_URIPATH | 检查 URI 路径中是否存在 Log4j 漏洞（[CVE-2021-44228](https://www.cve.org/CVERecord?id=CVE-2021-44228)、[CVE-2021-45046](https://www.cve.org/CVERecord?id=CVE-2021-45046)、[CVE-2021-45105](https://www.cve.org/CVERecord?id=CVE-2021-45105)），并防止远程代码执行（RCE）尝试。示例模式包括 `${jndi:ldap://example.com/}`。<br />规则操作：Block<br />标签：`awswaf:managed:aws:known-bad-inputs:Log4JRCE_URIPath` | 
| ReactJSRCE\_BODY | 检查请求正文中是否存在表示存在 CVE-2025-55182 的模式。 此规则仅检查请求正文，但不得超过保护包（web ACL）和资源类型的正文大小限制。对于应用程序负载均衡器和 AWS AppSync，固定限制为 8 KB。对于 CloudFront API Gateway、Amazon Cognito、App Runner 和 AWS Verified Access，默认限制为 16 KB，您可以在保护包 (Web ACL) 配置中将限制提高到 64 KB。此规则使用 `CONTINUE` 选项来处理超大内容。有关更多信息，请参阅 [中的 Web 请求组件过大 AWS WAF](waf-oversize-request-components.md)。 <br />规则操作：Block<br />标签：`awswaf:managed:aws:known-bad-inputs:ReactJSRCE_Body` |