本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用托管规则组进行版本管理
许多托管规则组提供商在新版本的规则组中更新了规则组的选项和功能。通常,托管规则组的特定版本是静态的。有时,提供商可能需要更新其托管规则组的部分或全部现有版本,例如,以应对新出现的安全威胁。
将托管规则组添加到 Web ACL 时,如果该规则组支持版本控制,则可以选择让提供商管理您使用的版本,也可以自己管理版本设置。
找不到你想要的版本?
如果您在规则组的版本列表中没有看到某个版本,则该版本可能已计划过期或已经过期。在某个版本预定到期后,Amazon WAF不再允许您为规则组选择它。
的版本控制和 SNS 通知Amazon托管式规则
这些区域有:Amazon除了 IP 信誉、机器人控制和账户接管防护的规则组外,托管规则组均提供版本控制和 SNS 更新通知。
这些区域有:Amazon提供通知的托管规则组都使用相同的 SNS 主题亚马逊资源名称 (ARN)。
托管规则组的版本生命周期
提供商处理托管规则组静态版本的以下生命周期阶段:
-
发布和更新— 托管规则组提供商会通过向 Amazon Simple Notification Service (Amazon SNS) 主题发布通知,宣布其托管规则组的即将推出和新的静态版本。提供者还可以使用该主题来传达有关其规则组的其他重要信息,例如急需的更新。
您可以订阅规则组的主题并配置接收通知的方式。有关更多信息,请参阅收到有关新版本和更新的通知.
-
到期日程安排— 托管规则组提供商计划规则组的旧版本到期。无法将计划过期的版本添加到您的 Web ACL 规则中。在某个版本预定到期后,Amazon WAF使用亚马逊的倒计时指标追踪到期时间 CloudWatch.
您可以在中为指标设置警报 CloudWatch 来跟踪你正在使用的版本的到期时间。这使您有时间测试新版本,并在倒计时结束之前退出即将到期的版本。有关更多信息,请参阅 跟踪版本到期时间。
-
版本过期时间— 当版本到期时,规则组提供者决定如何管理仍在使用过期版本的 Web ACL 的到期时间:
-
对于Amazon托管规则规则组,Amazon WAF将使用过期版本的任何 Web ACL 移至规则组的默认版本。
-
对于Amazon Web Services Marketplace规则组,提供者决定如何处理到期。有关信息,请咨询您的托管规则组提供商。
-
处理托管规则组版本的最佳实践
使用托管规则组时,请遵循此版本控制最佳实践指南。
在 Web ACL 中使用托管规则组时,可以选择使用规则组的特定静态版本,也可以选择使用默认版本:
-
默认版本–Amazon WAF始终将默认版本设置为提供商当前推荐的静态版本。当提供商更新其推荐的静态版本时,Amazon WAF自动更新 Web ACL 中规则组的默认版本设置。
当您使用托管规则组的默认版本时,请执行以下操作作为最佳实践:
-
订阅通知— 订阅规则组变更通知,并留意这些通知。大多数提供商会发送有关新静态版本和默认版本变更的高级通知。它们允许您在将默认版本设置移至新静态版本之前检查其效果。有关更多信息,请参阅收到有关新版本和更新的通知.
-
检查静态版本设置的效果,并在默认设置为静态版本设置之前根据需要进行调整— 在将默认版本设置为新的静态版本之前,请查看静态版本对您的 Web 请求的监控和管理的影响。新的静态版本可能有新的规则需要审查。查找误报或其他意外行为,以防您需要修改规则组的使用方式。例如,您可以设置计数规则,以阻止他们阻塞流量,同时确定要如何处理新行为。有关更多信息,请参阅 测试和调整你的Amazon WAF保护。
-
-
静态版本— 如果您选择使用静态版本,则在准备采用新版本的规则组时,必须手动更新版本设置。
当您使用托管规则组的静态版本时,请执行以下操作作为最佳实践:
-
将版本保持最新状态— 让您的托管规则组尽可能接近最新版本。发布新版本时,对其进行测试,根据需要调整设置,并及时实施。有关测试的信息,请参阅测试和调整你的Amazon WAF保护.
-
订阅通知— 订阅规则组变更通知,这样您就可以知道提供商何时发布新的静态版本。大多数提供商都会提供版本变更的高级通知。此外,您的提供商可能需要更新您正在使用的静态版本以填补安全漏洞或其他紧急原因。如果你订阅了提供商的通知,你就会知道发生了什么。有关更多信息,请参阅 收到有关新版本和更新的通知。
-
避免版本过期— 不要让静态版本在你使用时过期。提供商对过期版本的处理可能会有所不同,可能包括强制升级到可用版本或其他可能产生意外后果的更改。跟踪Amazon WAF到期指标并设置警报,让您有足够的天数成功升级到支持的版本。有关更多信息,请参阅 跟踪版本到期时间。
-