识别其他服务提供的规则组 - AWS WAF、 AWS Firewall ManagerAWS Shield Advanced、和 AWS Shield 网络安全总监

引入全新的主机体验 AWS WAF

现在,您可以使用更新的体验访问控制台中任意位置的 AWS WAF 功能。有关更多详细信息,请参阅 使用更新的主机体验

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

识别其他服务提供的规则组

如果您或您组织中的管理员使用 AWS Firewall Manager 或 AWS Shield Advanced 使用管理资源保护 AWS WAF,则可能会在您的账户中看到添加到保护包 (Web ACLs) 中的规则组参考声明。

这些规则组的名称以以下字符串开头:

  • ShieldMitigationRuleGroup— 这些规则组由受保护的应用程序层(第 7 层 DDo)资源管理, AWS Shield Advanced 并用于为受保护的应用程序层(第 7 层)资源提供自动缓解。

    当您为受保护的资源启用自动应用层 DDo S 缓解时,Shield Advanced 会将其中一个规则组添加到您与该资源关联的保护包(Web ACL)中。Shield Advanced 将规则组参考语句的优先级设置为 10,000,000,以便它在保护包(Web ACL)中配置的规则之后运行。有关这些规则组的更多信息,请参阅 使用 Shield Advanced 自动缓解应用层 DDo S

    警告

    不要尝试在保护包 (Web ACL) 中手动管理此规则组。特别是,不要手动从保护包 (Web ACL) 中删除ShieldMitigationRuleGroup规则组参考语句。这样做可能会对与保护包(Web ACL)关联的所有资源造成意想不到的后果。取而代之的是,使用 Shield Advanced 来禁用与保护包关联的资源的自动缓解措施(Web ACL)。当不需要自动缓解时,Shield Advanced 会为您移除规则组。

  • PREFMManagedPOSTFMManaged — 这些规则组由 AWS Firewall Manager 根据 Firewall Manager AWS WAF 策略配置进行管理。Firewall Manager 在防火墙管理器管理的保护包 (Web ACLs) 中提供这些规则组。

    Firewall Manager 会为您创建名称以开头的保护包(网络 ACLs)FMManagedWebACLV2。您也可以将 Firewall Manager 配置为改造现有保护包(网络 ACLs)。对于这些,保护包 (Web ACL) 名称就是您在创建时指定的名称。无论哪种情况,Firewall Manager 都会将这些规则组添加到保护包(Web ACL)中。有关更多信息,请参阅 在 Firewall Manager 中使用 AWS WAF 策略