WAF标准规则:我们真的需要手动配置所有内容吗？

Question

我正在尝试使用我的Api Gateway配置WAF，我很惊讶AWS没有提供规则模板(例如owasp前10名)。

例如，对于SQL注入，每个人都使用相同的规则，我错了吗？

您是否知道无需手动配置即可导入主要安全规则的方法？

Answer 1

据我所知，有一个名为AWS Web应用程序防火墙1的托管规则的市场产品，它完全符合您的要求。有第三方卖家(更准确地说: AWS合作伙伴公司)为OWASP Top10.2提供规则

该产品自2017年11月以来一直存在。3.

有关现有规则范围的更多信息，请参阅2018年的更新博客文章。4.

WAF服务中的相应实现在文档中称为AWS Marketplace规则组。5

参考文献

1

2

3

4

5

Answer 2

OWASP前10名模板可用，其余部分您需要创建。

https://aws.amazon.com/about-aws/whats-new/2017/07/use-aws-waf-to-mitigate-owasps-top-10-web-application-vulnerabilities/

该模板可从以下网址获得：https://s3.us-east-2.amazonaws.com/awswaf-owasp/owasp_10_base.yml