**引入全新的主机体验 AWS WAF**

现在，您可以使用更新的体验访问控制台中任意位置的 AWS WAF 功能。有关更多详细信息，请参阅[使用控制台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 使用案例特定规则组
<a name="aws-managed-rule-groups-use-case"></a>

特定于用例的规则组为许多不同的 AWS WAF 用例提供增量保护。选择适用于您的应用程序的规则组。

## SQL 数据库托管规则组
<a name="aws-managed-rule-groups-use-case-sql-db"></a>

VendorName:`AWS`，名称：`AWSManagedRulesSQLiRuleSet`，WCU：200

**注意**  
本文档包含此托管规则组的最新静态版本。我们在 [AWS 托管规则变更日志](aws-managed-rule-groups-changelog.md) 的更改日志中报告版本变更。有关其他版本的信息，请使用 API 命令[DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)。  
我们在 AWS 托管规则组中发布的规则信息旨在为您提供使用规则所需的信息，而不会向不良行为者提供他们规避规则所需的信息。  
如果您需要更多信息，请联系 [AWS 支持 中心](https://console.aws.amazon.com/support/home#/)。

SQL 数据库规则组包含阻止与 SQL 数据库攻击（如 SQL 注入攻击）相关的请求模式的规则。该规则组有助于防止远程注入未经授权的查询。如果应用程序与 SQL 数据库相连，请评估此规则组以便使用。

此托管规则组会为其评估的 Web 请求添加标签，这些标签可用于在保护包 (Web ACL) 中在此规则组之后运行的规则。 AWS WAF 还会记录亚马逊 CloudWatch 指标的标签。有关标签和标签指标的一般信息，请参阅 [Web 请求标签](waf-labels.md) 和 [标签指标和维度](waf-metrics.md#waf-metrics-label)。


| 规则名称 | 描述和标签 | 
| --- | --- | 
| SQLi\_QUERYARGUMENTS | 使用内置 AWS WAF [SQL 注入攻击规则语句](waf-rule-statement-type-sqli-match.md)的（敏感度级别设置为Low）检查所有查询参数的值中是否存在与恶意 SQL 代码匹配的模式。<br />规则操作：Block<br />标签：`awswaf:managed:aws:sql-database:SQLi_QueryArguments` | 
| SQLiExtendedPatterns\_QUERYARGUMENTS | 检查所有查询参数的值，以查找与恶意 SQL 代码匹配的模式。该规则检查的模式不在规则 `SQLi_QUERYARGUMENTS` 的范围内。<br />规则操作：Block<br />标签：`awswaf:managed:aws:sql-database:SQLiExtendedPatterns_QueryArguments` | 
| SQLi\_BODY | 使用内置 AWS WAF [SQL 注入攻击规则语句](waf-rule-statement-type-sqli-match.md)的（敏感度级别设置为Low）检查请求正文中是否存在与恶意 SQL 代码匹配的模式。此规则仅检查请求正文，但不得超过保护包（web ACL）和资源类型的正文大小限制。对于 Application Load Balancer 和 AWS AppSync，限制固定为 8 KB。对于 CloudFront API Gateway、Amazon Cognito、App Runner 和 Verified Access，默认限制为 16 KB，您可以在保护包 (Web ACL) 配置中将限制提高到 64 KB。此规则使用 `Continue` 选项来处理超大内容。有关更多信息，请参阅 [中的 Web 请求组件过大 AWS WAF](waf-oversize-request-components.md)。<br />规则操作：Block<br />标签：`awswaf:managed:aws:sql-database:SQLi_Body` | 
| SQLiExtendedPatterns\_BODY | 检查请求正文中是否存在与恶意 SQL 代码匹配的模式。该规则检查的模式不在规则 `SQLi_BODY` 的范围内。此规则仅检查请求正文，但不得超过保护包（web ACL）和资源类型的正文大小限制。对于 Application Load Balancer 和 AWS AppSync，限制固定为 8 KB。对于 CloudFront API Gateway、Amazon Cognito、App Runner 和 Verified Access，默认限制为 16 KB，您可以在保护包 (Web ACL) 配置中将限制提高到 64 KB。此规则使用 `Continue` 选项来处理超大内容。有关更多信息，请参阅 [中的 Web 请求组件过大 AWS WAF](waf-oversize-request-components.md)。<br />规则操作：Block<br />标签：`awswaf:managed:aws:sql-database:SQLiExtendedPatterns_Body` | 
| SQLiExtendedPatterns\_HEADER | 检查请求标头中是否存在与恶意 SQL 代码匹配的模式。<br />规则操作：Block<br />标签：`awswaf:managed:aws:sql-database:SQLiExtendedPatterns_Header` | 
| SQLiExtendedPatterns\_URIPATH | 检查请求路径中是否存在与恶意 SQL 代码匹配的模式。该规则检查的模式不在规则 `SQLi_URIPATH` 的范围内。<br />规则操作：Block<br />标签：`awswaf:managed:aws:sql-database:SQLiExtendedPatterns_UriPath` | 
| SQLi\_COOKIE | 使用内置 AWS WAF [SQL 注入攻击规则语句](waf-rule-statement-type-sqli-match.md)的（敏感度级别设置为）检查请求 Cookie 标头中是否存在与恶意 SQL 代码匹配的模式。Low<br />规则操作：Block<br />标签：`awswaf:managed:aws:sql-database:SQLi_Cookie` | 
| SQLi\_URIPATH | 使用内置 AWS WAF [SQL 注入攻击规则语句](waf-rule-statement-type-sqli-match.md)的（敏感度级别设置为）检查请求 Cookie 标头中是否存在与恶意 SQL 代码匹配的模式。Low<br />规则操作：Block<br />标签：`awswaf:managed:aws:sql-database:SQLi_URIPath` | 

## Linux 操作系统托管规则组
<a name="aws-managed-rule-groups-use-case-linux-os"></a>

VendorName:`AWS`，名称：`AWSManagedRulesLinuxRuleSet`，WCU：200

**注意**  
本文档包含此托管规则组的最新静态版本。我们在 [AWS 托管规则变更日志](aws-managed-rule-groups-changelog.md) 的更改日志中报告版本变更。有关其他版本的信息，请使用 API 命令[DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)。  
我们在 AWS 托管规则组中发布的规则信息旨在为您提供使用规则所需的信息，而不会向不良行为者提供他们规避规则所需的信息。  
如果您需要更多信息，请联系 [AWS 支持 中心](https://console.aws.amazon.com/support/home#/)。

Linux 操作系统规则组包含阻止请求模式的规则，这些请求模式与利用 Linux 特定漏洞（包括 Linux 特定的本地文件包含（LFI）攻击）相关。该规则组有助于防止暴露攻击者不应当访问的文件内容或执行代码的攻击。如果应用程序的任何部分在 Linux 上运行，则应评估此规则组。您应将此规则组与 [POSIX 操作系统](#aws-managed-rule-groups-use-case-posix-os) 规则组结合使用。

此托管规则组会为其评估的 Web 请求添加标签，这些标签可用于在保护包 (Web ACL) 中在此规则组之后运行的规则。 AWS WAF 还会记录亚马逊 CloudWatch 指标的标签。有关标签和标签指标的一般信息，请参阅 [Web 请求标签](waf-labels.md) 和 [标签指标和维度](waf-metrics.md#waf-metrics-label)。


| 规则名称 | 描述和标签 | 
| --- | --- | 
| LFI\_URIPATH | 检查请求路径，以查找是否有恶意方试图利用 Web 应用程序中的本地文件包含 (LFI) 漏洞。示例模式包括类似于 `/proc/version` 的文件，它们可能向攻击者提供操作系统信息。<br />规则操作：Block<br />标签：`awswaf:managed:aws:linux-os:LFI_URIPath` | 
| LFI\_QUERYSTRING | 检查查询字符串的值，以查找是否有恶意方试图利用 Web 应用程序中的本地文件包含 (LFI) 漏洞。示例模式包括类似于 `/proc/version` 的文件，它们可能向攻击者提供操作系统信息。<br />规则操作：Block<br />标签：`awswaf:managed:aws:linux-os:LFI_QueryString` | 
| LFI\_HEADER | 检查请求标头，以查找是否有恶意方试图利用 Web 应用程序中的本地文件包含 (LFI) 漏洞。示例模式包括类似于 `/proc/version` 的文件，它们可能向攻击者提供操作系统信息。此规则仅检查请求标头的前 8 KB 或前 200 个标头（以先达到的限制为准），并且它使用 `Continue` 选项来处理超大内容。有关更多信息，请参阅 [中的 Web 请求组件过大 AWS WAF](waf-oversize-request-components.md)。<br />规则操作：Block<br />标签：`awswaf:managed:aws:linux-os:LFI_Header` | 

## POSIX 操作系统托管规则组
<a name="aws-managed-rule-groups-use-case-posix-os"></a>

VendorName:`AWS`，名称：`AWSManagedRulesUnixRuleSet`，WCU：100

**注意**  
本文档包含此托管规则组的最新静态版本。我们在 [AWS 托管规则变更日志](aws-managed-rule-groups-changelog.md) 的更改日志中报告版本变更。有关其他版本的信息，请使用 API 命令[DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)。  
我们在 AWS 托管规则组中发布的规则信息旨在为您提供使用规则所需的信息，而不会向不良行为者提供他们规避规则所需的信息。  
如果您需要更多信息，请联系 [AWS 支持 中心](https://console.aws.amazon.com/support/home#/)。

POSIX 操作系统规则组包含的规则可阻止与利用 POSIX 和类似 POSIX 的操作系统特定漏洞（包括 Linux 特定的本地文件包含（LFI）攻击）相关的请求模式。该规则组有助于防止暴露攻击者不应当访问的文件内容或执行代码的攻击。如果应用程序的任何部分在 POSIX 或类似 POSIX 的操作系统（包括 Linux、AIX、HP-UX、macOS、Solaris、FreeBSD 和 OpenBSD）上运行，则应评估此规则组。

此托管规则组会为其评估的 Web 请求添加标签，这些标签可用于在保护包 (Web ACL) 中在此规则组之后运行的规则。 AWS WAF 还会记录亚马逊 CloudWatch 指标的标签。有关标签和标签指标的一般信息，请参阅 [Web 请求标签](waf-labels.md) 和 [标签指标和维度](waf-metrics.md#waf-metrics-label)。


| 规则名称 | 描述和标签 | 
| --- | --- | 
| UNIXShellCommandsVariables\_QUERYSTRING | 检查查询字符串的值，以查找是否有恶意方试图利用在 Unix 系统上运行的 Web 应用程序中的命令注入、LFI 和路径遍历漏洞。示例包括类似于 `echo $HOME` 和 `echo $PATH` 的模式。<br />规则操作：Block<br />标签：`awswaf:managed:aws:posix-os:UNIXShellCommandsVariables_QueryString` | 
| UNIXShellCommandsVariables\_BODY | 检查请求正文，以查找是否有恶意方试图利用在 Unix 系统上运行的 Web 应用程序中的命令注入、LFI 和路径遍历漏洞。示例包括类似于 `echo $HOME` 和 `echo $PATH` 的模式。此规则仅检查请求正文，但不得超过保护包（web ACL）和资源类型的正文大小限制。对于 Application Load Balancer 和 AWS AppSync，限制固定为 8 KB。对于 CloudFront API Gateway、Amazon Cognito、App Runner 和 Verified Access，默认限制为 16 KB，您可以在保护包 (Web ACL) 配置中将限制提高到 64 KB。此规则使用 `Continue` 选项来处理超大内容。有关更多信息，请参阅 [中的 Web 请求组件过大 AWS WAF](waf-oversize-request-components.md)。<br />规则操作：Block<br />标签：`awswaf:managed:aws:posix-os:UNIXShellCommandsVariables_Body` | 
| UNIXShellCommandsVariables\_HEADER | 检查所有请求标头，以查找是否有恶意方试图利用在 Unix 系统上运行的 Web 应用程序中的命令注入、LFI 和路径遍历漏洞。示例包括类似于 `echo $HOME` 和 `echo $PATH` 的模式。此规则仅检查请求标头的前 8 KB 或前 200 个标头（以先达到的限制为准），并且它使用 `Continue` 选项来处理超大内容。有关更多信息，请参阅 [中的 Web 请求组件过大 AWS WAF](waf-oversize-request-components.md)。<br />规则操作：Block<br />标签：`awswaf:managed:aws:posix-os:UNIXShellCommandsVariables_Header` | 

## Windows 操作系统托管规则组
<a name="aws-managed-rule-groups-use-case-windows-os"></a>

VendorName:`AWS`，名称：`AWSManagedRulesWindowsRuleSet`，WCU：200

**注意**  
本文档包含此托管规则组的最新静态版本。我们在 [AWS 托管规则变更日志](aws-managed-rule-groups-changelog.md) 的更改日志中报告版本变更。有关其他版本的信息，请使用 API 命令[DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)。  
我们在 AWS 托管规则组中发布的规则信息旨在为您提供使用规则所需的信息，而不会向不良行为者提供他们规避规则所需的信息。  
如果您需要更多信息，请联系 [AWS 支持 中心](https://console.aws.amazon.com/support/home#/)。

Windows 操作系统规则组包含的规则用于阻止与利用 Windows 特有的漏洞（例如远程执行 PowerShell 命令）相关的请求模式。该规则组有助于防止利用允许攻击者运行未经授权的命令或执行恶意代码的漏洞。如果应用程序的任何部分在 Windows 操作系统上运行，则应评估此规则组。

此托管规则组会为其评估的 Web 请求添加标签，这些标签可用于在保护包 (Web ACL) 中在此规则组之后运行的规则。 AWS WAF 还会记录亚马逊 CloudWatch 指标的标签。有关标签和标签指标的一般信息，请参阅 [Web 请求标签](waf-labels.md) 和 [标签指标和维度](waf-metrics.md#waf-metrics-label)。


| 规则名称 | 描述和标签 | 
| --- | --- | 
| WindowsShellCommands\_HEADER | 检查所有请求标头并阻止 Web 应用程序中的 WindowsShell 命令注入尝试。匹配模式代表WindowsShell 命令。示例模式包括 `\|\|nslookup` 和 `;cmd`。<br />规则操作：Block<br />标签：`awswaf:managed:aws:windows-os:WindowsShellCommands_Header` | 
| WindowsShellCommands\_QUERYARGUMENTS | 检查 Web 应用程序中WindowsShell 命令注入尝试的所有查询参数的值。匹配模式代表WindowsShell 命令。示例模式包括 `\|\|nslookup` 和 `;cmd`。<br />规则操作：Block<br />标签：`awswaf:managed:aws:windows-os:WindowsShellCommands_QueryArguments` | 
| WindowsShellCommands\_URIPATH | 检查请求路径并阻止 Web 应用程序中的 WindowsShell 命令注入尝试。匹配模式代表WindowsShell 命令。示例模式包括 `\|\|nslookup` 和 `;cmd`。<br />规则操作：Block<br />标签：`awswaf:managed:aws:windows-os:WindowsShellCommands_UriPath` | 
| WindowsShellCommands\_BODY | 检查请求正文中是否有 Web 应用程序中的 WindowsShell 命令注入尝试。匹配模式代表 WindowsShell 命令。示例模式包括 `\|\|nslookup` 和 `;cmd`。此规则仅检查请求正文，但不得超过保护包（web ACL）和资源类型的正文大小限制。对于 Application Load Balancer 和 AWS AppSync，限制固定为 8 KB。对于 CloudFront API Gateway、Amazon Cognito、App Runner 和 Verified Access，默认限制为 16 KB，您可以在保护包 (Web ACL) 配置中将限制提高到 64 KB。此规则使用 `Continue` 选项来处理超大内容。有关更多信息，请参阅 [中的 Web 请求组件过大 AWS WAF](waf-oversize-request-components.md)。<br />规则操作：Block<br />标签：`awswaf:managed:aws:windows-os:WindowsShellCommands_Body` | 
| PowerShellCommands\_COOKIE | 检查 Web 应用程序中是否有 PowerShell 命令注入尝试的请求 cookie 标头。匹配模式代表PowerShell 命令。例如 `Invoke-Expression`。<br />规则操作：Block<br />标签：`awswaf:managed:aws:windows-os:PowerShellCommands_Cookie` | 
| PowerShellCommands\_QUERYARGUMENTS | 检查 Web 应用程序中PowerShell 命令注入尝试的所有查询参数的值。匹配模式代表PowerShell 命令。例如 `Invoke-Expression`。<br />规则操作：Block<br />标签：`awswaf:managed:aws:windows-os:PowerShellCommands_QueryArguments` | 
| PowerShellCommands\_BODY | 检查请求正文中是否有 Web 应用程序中的 PowerShell 命令注入尝试。匹配模式代表 PowerShell 命令。例如 `Invoke-Expression`。此规则仅检查请求正文，但不得超过保护包（web ACL）和资源类型的正文大小限制。对于 Application Load Balancer 和 AWS AppSync，限制固定为 8 KB。对于 CloudFront API Gateway、Amazon Cognito、App Runner 和 Verified Access，默认限制为 16 KB，您可以在保护包 (Web ACL) 配置中将限制提高到 64 KB。此规则使用 `Continue` 选项来处理超大内容。有关更多信息，请参阅 [中的 Web 请求组件过大 AWS WAF](waf-oversize-request-components.md)。<br />规则操作：Block<br />标签：`awswaf:managed:aws:windows-os:PowerShellCommands_Body` | 

## PHP 应用程序托管规则组
<a name="aws-managed-rule-groups-use-case-php-app"></a>

VendorName:`AWS`，名称：`AWSManagedRulesPHPRuleSet`，WCU：100

**注意**  
本文档包含此托管规则组的最新静态版本。我们在 [AWS 托管规则变更日志](aws-managed-rule-groups-changelog.md) 的更改日志中报告版本变更。有关其他版本的信息，请使用 API 命令[DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)。  
我们在 AWS 托管规则组中发布的规则信息旨在为您提供使用规则所需的信息，而不会向不良行为者提供他们规避规则所需的信息。  
如果您需要更多信息，请联系 [AWS 支持 中心](https://console.aws.amazon.com/support/home#/)。

PHP 应用程序规则组包含阻止请求模式的规则，这些请求模式与利用特定于 PHP 编程语言使用的漏洞相关，包括注入不安全的 PHP 函数。该规则组有助于防止利用允许攻击者远程执行未经授权的代码或命令的漏洞。如果 PHP 安装在与应用程序相连的任何服务器上，则评估此规则组。

此托管规则组会为其评估的 Web 请求添加标签，这些标签可用于在保护包 (Web ACL) 中在此规则组之后运行的规则。 AWS WAF 还会记录亚马逊 CloudWatch 指标的标签。有关标签和标签指标的一般信息，请参阅 [Web 请求标签](waf-labels.md) 和 [标签指标和维度](waf-metrics.md#waf-metrics-label)。


| 规则名称 | 描述和标签 | 
| --- | --- | 
| PHPHighRiskMethodsVariables\_HEADER | 检查所有标头，以发现 PHP 脚本代码注入尝试。示例模式包括类似 `fsockopen` 和 `$_GET` 超全局变量的函数。此规则仅检查请求标头的前 8 KB 或前 200 个标头（以先达到的限制为准），并且它使用 `Continue` 选项来处理超大内容。有关更多信息，请参阅 [中的 Web 请求组件过大 AWS WAF](waf-oversize-request-components.md)。<br />规则操作：Block<br />标签：`awswaf:managed:aws:php-app:PHPHighRiskMethodsVariables_Header` | 
| PHPHighRiskMethodsVariables\_QUERYSTRING | 检查请求 URL 中第一个 `?` 之后的所有内容，查找 PHP 脚本代码注入尝试。示例模式包括类似 `fsockopen` 和 `$_GET` 超全局变量的函数。<br />规则操作：Block<br />标签：`awswaf:managed:aws:php-app:PHPHighRiskMethodsVariables_QueryString` | 
| PHPHighRiskMethodsVariables\_BODY | 检查请求主体的值以查找 PHP 脚本代码注入尝试。示例模式包括类似 `fsockopen` 和 `$_GET` 超全局变量的函数。此规则仅检查请求正文，但不得超过保护包（web ACL）和资源类型的正文大小限制。对于 Application Load Balancer 和 AWS AppSync，限制固定为 8 KB。对于 CloudFront API Gateway、Amazon Cognito、App Runner 和 Verified Access，默认限制为 16 KB，您可以在保护包 (Web ACL) 配置中将限制提高到 64 KB。此规则使用 `Continue` 选项来处理超大内容。有关更多信息，请参阅 [中的 Web 请求组件过大 AWS WAF](waf-oversize-request-components.md)。<br />规则操作：Block<br />标签：`awswaf:managed:aws:php-app:PHPHighRiskMethodsVariables_Body` | 
| PHPHighRiskMethodsVariables\_URIPATH | 检查 PHP 脚本代码注入尝试的请求路径。示例模式包括类似 `fsockopen` 和 `$_GET` 超全局变量的函数。<br />规则操作：Block<br />标签：`awswaf:managed:aws:php-app:PHPHighRiskMethodsVariables_URIPath` | 

## WordPress 应用程序托管规则组
<a name="aws-managed-rule-groups-use-case-wordpress-app"></a>

VendorName:`AWS`，名称：`AWSManagedRulesWordPressRuleSet`，WCU：100

**注意**  
本文档包含此托管规则组的最新静态版本。我们在 [AWS 托管规则变更日志](aws-managed-rule-groups-changelog.md) 的更改日志中报告版本变更。有关其他版本的信息，请使用 API 命令[DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)。  
我们在 AWS 托管规则组中发布的规则信息旨在为您提供使用规则所需的信息，而不会向不良行为者提供他们规避规则所需的信息。  
如果您需要更多信息，请联系 [AWS 支持 中心](https://console.aws.amazon.com/support/home#/)。

 WordPress 应用程序规则组包含的规则用于阻止与利用特定于WordPress 网站的漏洞相关的请求模式。如果您正在运行，则应评估此规则组WordPress。此规则组应与 [SQL 数据库](#aws-managed-rule-groups-use-case-sql-db) 和 [PHP 应用程序](#aws-managed-rule-groups-use-case-php-app) 规则组一起使用。

此托管规则组会为其评估的 Web 请求添加标签，这些标签可用于在保护包 (Web ACL) 中在此规则组之后运行的规则。 AWS WAF 还会记录亚马逊 CloudWatch 指标的标签。有关标签和标签指标的一般信息，请参阅 [Web 请求标签](waf-labels.md) 和 [标签指标和维度](waf-metrics.md#waf-metrics-label)。


| 规则名称 | 描述和标签 | 
| --- | --- | 
| WordPressExploitableCommands\_QUERYSTRING | 检查请求查询字符串中是否存在可能在易受攻击的安装或插件中被利用的高风险WordPress 命令。示例模式包括类似于 `do-reset-wordpress` 的命令。<br />规则操作：Block<br />标签：`awswaf:managed:aws:wordpress-app:WordPressExploitableCommands_QUERYSTRING` | 
| WordPressExploitablePaths\_URIPATH | 检查请求 URI 路径中是否有已知存在容易被利用的漏洞的 WordPress 文件。`xmlrpc.php`<br />规则操作：Block<br />标签：`awswaf:managed:aws:wordpress-app:WordPressExploitablePaths_URIPATH` |