使用受管規則群組的最佳實務 - AWS WAF、AWS Firewall Manager 與 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用受管規則群組的最佳實務

使用任何受管的規則群組時遵循本節中的指引。此外,對於AWS受管理的規則規則群組,請遵循AWS受管規則AWS WAF。適用於AWS Marketplace受管規則群組的詳細資訊,請依照AWS Marketplace 受管規則群組,然後遵循受管理規則群組提供者所提供的任何其他指導。

當您將受管規則群組新增至 Web ACL 時,可以選擇使用特定版本的規則群組,或是選擇使用預設版本:

  • 靜態版本— 如果您選擇使用靜態版本,則必須在準備採用新版規則群組時手動更新版本設定。

    當您使用受管規則群組的靜態版本時,請執行下列作業做法:

    • 讓您的版本保持為最新狀態— 讓您的受管理規則群組盡可能接近最新版本。任何規則群組的最新版本都包含提供者保護資源的最佳方法。當新版本發行時,請對其進行測試、視需要調整設定,並及時實作。

    • 訂閱通知— 訂閱規則群組變更的通知,以便您知道提供者何時發行新版本。大多數提供者都會提供版本變更的進階通知。此外,您的提供者可能需要更新您正在使用的規則群組版本,以關閉安全性漏洞或其他緊急原因。如果您訂閱了供應商的通知,就會發生什麼事。如需更多詳細資訊,請參閱 收到新版本和更新的通知

    • 避免版本過期— 不允許某個版本在您使用時過期。過期版本的提供者處理可能會有所不同,而且可能包括強制升級至可用版本或其他可能產生意外後果的變更。追蹤AWS WAF到期指標,並設定警示,讓您有足夠的天數成功升級至支援的版本。如需更多詳細資訊,請參閱 追蹤版本過期

  • 預設版本— 如果您選擇預設版本,AWS WAF一律會使用提供者目前建議的版本。當提供者更新其建議的版本時,AWS WAF會自動更新 Web ACL 中規則群組的版本。

    當您使用受管規則群組的預設版本時,請執行下列動作:

    • 訂閱通知— 訂閱規則群組變更的通知,並留意這些變更。大多數提供者都會提供版本變更的進階通知,以便您可以計劃在新版本發行時檢查其效果。如果您要在規則層級管理規則群組,您可能需要調整新版本的設定,以配合新規則和其他規則層級的變更。當新版本發行時,您也會收到通知。如需更多詳細資訊,請參閱。收到新版本和更新的通知

    • 檢閱新版本的效果— 當規則群組版本變更時,請檢閱新版本對 Web 要求監控和管理的影響。新版本可能會有要檢閱的新規則。尋找誤判或其他未預期的行為,以防您需要修改規則群組的使用方式。例如,您可以設定規則來計算,以阻止它們封鎖流量,同時您想要如何處理新行為。