Cloud Armor 预配置的 WAF 规则概览

Google Cloud Armor 预配置的 WAF 规则是具有数十个签名的复杂 Web 应用防火墙 (WAF) 规则，这些规则是根据开源业界标准编译而成的。每个签名都对应于规则集中的攻击检测规则。Google 按原样提供这些规则。借助这些规则，Cloud Armor 可以通过引用方便命名的规则评估数十种不同的流量特征签名，而无需您手动定义每个特征签名。

您可以调整 Google Cloud Armor 预配置的 WAF 规则以尽量满足您的需求。如需详细了解如何调整规则，请参阅调整 Google Cloud Armor 预配置的 WAF 规则。

下表包含可在 Cloud Armor 安全政策中使用的预配置 WAF 规则的完整列表。规则来源为 OWASP 核心规则集 (CRS) 3.3.2。我们建议您使用 3.3 版来提高敏感度，并增加受保护的攻击类型的范围。我们继续为 CRS 3.0 提供支持。

CRS 3.3

Cloud Armor 规则名称	OWASP 规则名称	当前状态
SQL 注入	`sqli-v33-stable`	与 `sqli-v33-canary` 同步
SQL 注入	`sqli-v33-canary`	最新
跨站点脚本攻击	`xss-v33-stable`	与 `xss-v33-canary` 同步
跨站点脚本攻击	`xss-v33-canary`	最新
本地文件包含	`lfi-v33-stable`	与 `lfi-v33-canary` 同步
本地文件包含	`lfi-v33-canary`	最新
远程文件包含	`rfi-v33-stable`	与 `rfi-v33-canary` 同步
远程文件包含	`rfi-v33-canary`	最新
远程代码执行	`rce-v33-stable`	与 `rce-v33-canary` 同步
远程代码执行	`rce-v33-canary`	最新
方法强制执行	`methodenforcement-v33-stable`	与 `methodenforcement-v33-canary` 同步
方法强制执行	`methodenforcement-v33-canary`	最新
扫描程序检测	`scannerdetection-v33-stable`	与 `scannerdetection-v33-canary` 同步
扫描程序检测	`scannerdetection-v33-canary`	最新
协议攻击	`protocolattack-v33-stable`	与 `protocolattack-v33-canary` 同步
协议攻击	`protocolattack-v33-canary`	最新
PHP 注入攻击	`php-v33-stable`	与 `php-v33-canary` 同步
PHP 注入攻击	`php-v33-canary`	最新
会话固定攻击	`sessionfixation-v33-stable`	与 `sessionfixation-v33-canary` 同步
会话固定攻击	`sessionfixation-v33-canary`	最新
Java 攻击	`java-v33-stable`	与 `java-v33-canary` 同步
Java 攻击	`java-v33-canary`	最新
NodeJS 攻击	`nodejs-v33-stable`	与 `nodejs-v33-canary` 同步
NodeJS 攻击	`nodejs-v33-canary`	最新

CRS 3.0

Cloud Armor 规则名称	OWASP 规则名称	当前状态
SQL 注入	`sqli-stable`	与 `sqli-canary` 同步
SQL 注入	`sqli-canary`	最新
跨站点脚本攻击	`xss-stable`	与 `xss-canary` 同步
跨站点脚本攻击	`xss-canary`	最新
本地文件包含	`lfi-stable`	与 `lfi-canary` 同步
本地文件包含	`lfi-canary`	最新
远程文件包含	`rfi-stable`	与 `rfi-canary` 同步
远程文件包含	`rfi-canary`	最新
远程代码执行	`rce-stable`	与 `rce-canary` 同步
远程代码执行	`rce-canary`	最新
方法强制执行	`methodenforcement-stable`	与 `methodenforcement-canary` 同步
方法强制执行	`methodenforcement-canary`	最新
扫描程序检测	`scannerdetection-stable`	与 `scannerdetection-canary` 同步
扫描程序检测	`scannerdetection-canary`	最新
协议攻击	`protocolattack-stable`	与 `protocolattack-canary` 同步
协议攻击	`protocolattack-canary`	最新
PHP 注入攻击	`php-stable`	与 `php-canary` 同步
PHP 注入攻击	`php-canary`	最新
会话固定攻击	`sessionfixation-stable`	与 `sessionfixation-canary` 同步
会话固定攻击	`sessionfixation-canary`	最新
Java 攻击	`Not included`
NodeJS 攻击	`Not included`

此外，以下 cve-canary 规则适用于所有 Cloud Armor 客户，以帮助检测并选择性地阻止以下漏洞：

CVE-2021-44228 和 CVE-2021-45046 Log4j RCE 漏洞
942550-sqli JSON 格式的内容漏洞

Cloud Armor 规则名称	涵盖的漏洞类型
`cve-canary`	Log4j 漏洞
`json-sqli-canary`	基于 JSON 的 SQL 注入绕过漏洞

预配置的 OWASP 规则

每个预配置的 WAF 规则的敏感度级别都对应于一个 OWASP CRS 偏执级别。较低的敏感度级别表示较高的置信度签名，生成误报的可能性较小。较高的敏感度级别会提高安全性，但也会增加生成假正例的风险。

SQL 注入 (SQLi)

下表提供了 SQLi 预配置的 WAF 规则中每个支持的签名的 ID、敏感度级别和说明。

CRS 3.3

签名 ID（规则 ID）	敏感程度	说明
`owasp-crs-v030301-id942100-sqli`	1	通过 libinjection 检测 SQL 注入攻击
`owasp-crs-v030301-id942140-sqli`	1	SQL 注入攻击：检测到通用 DB 名称
`owasp-crs-v030301-id942160-sqli`	1	使用 sleep() 或 benchmark() 检测 blind SQLi 测试。
`owasp-crs-v030301-id942170-sqli`	1	检测 SQL 基准测试和睡眠注入尝试，包括条件查询
`owasp-crs-v030301-id942190-sqli`	1	检测 MSSQL 代码执行和信息收集尝试
`owasp-crs-v030301-id942220-sqli`	1	查找整数溢出攻击
`owasp-crs-v030301-id942230-sqli`	1	检测条件 SQL 注入尝试
`owasp-crs-v030301-id942240-sqli`	1	检测 MySQL 字符集切换和 MSSQL DoS 尝试
`owasp-crs-v030301-id942250-sqli`	1	检测 MATCH AGAINST
`owasp-crs-v030301-id942270-sqli`	1	查找基本的 SQL 注入；MySql 的通用攻击字符串
`owasp-crs-v030301-id942280-sqli`	1	检测 Postgres pg_sleep 注入
`owasp-crs-v030301-id942290-sqli`	1	查找基本 MongoDB SQL 注入尝试
`owasp-crs-v030301-id942320-sqli`	1	检测 MySQL 和 PostgreSQL 已存储过程/函数注入
`owasp-crs-v030301-id942350-sqli`	1	检测 MySQL UDF 注入和其他数据/结构操纵尝试
`owasp-crs-v030301-id942360-sqli`	1	检测串联的基本 SQL 注入和 SQLLFI 尝试
`owasp-crs-v030301-id942500-sqli`	1	检测到 MySQL 内嵌注释
`owasp-crs-v030301-id942110-sqli`	2	SQL 注入攻击：检测到常见注入测试
`owasp-crs-v030301-id942120-sqli`	2	SQL 注入攻击：检测到 SQL 运算符
`owasp-crs-v030301-id942130-sqli`	2	SQL 注入攻击：检测到 SQL 同义反复
`owasp-crs-v030301-id942150-sqli`	2	SQL 注入攻击
`owasp-crs-v030301-id942180-sqli`	2	检测基本 SQL 身份验证绕过尝试 1/3
`owasp-crs-v030301-id942200-sqli`	2	检测 MySQL 备注/空间混淆注入和英文反引号终止
`owasp-crs-v030301-id942210-sqli`	2	检测链式 SQL 注入尝试 1/2
`owasp-crs-v030301-id942260-sqli`	2	检测基本 SQL 身份验证绕过尝试 2/3
`owasp-crs-v030301-id942300-sqli`	2	检测 MySQL 备注
`owasp-crs-v030301-id942310-sqli`	2	检测链式 SQL 注入尝试 2/2
`owasp-crs-v030301-id942330-sqli`	2	检测传统 SQL 注入探测 1/2
`owasp-crs-v030301-id942340-sqli`	2	检测基本 SQL 身份验证绕过尝试 3/3
`owasp-crs-v030301-id942361-sqli`	2	根据关键字更改或联合检测基本 SQL 注入
`owasp-crs-v030301-id942370-sqli`	2	检测传统 SQL 注入探测 2/3
`owasp-crs-v030301-id942380-sqli`	2	SQL 注入攻击
`owasp-crs-v030301-id942390-sqli`	2	SQL 注入攻击
`owasp-crs-v030301-id942400-sqli`	2	SQL 注入攻击
`owasp-crs-v030301-id942410-sqli`	2	SQL 注入攻击
`owasp-crs-v030301-id942470-sqli`	2	SQL 注入攻击
`owasp-crs-v030301-id942480-sqli`	2	SQL 注入攻击
`owasp-crs-v030301-id942430-sqli`	2	限制的 SQL 字符异常值检测（参数）：超过特殊字符数 (12)
`owasp-crs-v030301-id942440-sqli`	2	检测到 SQL 备注序列
`owasp-crs-v030301-id942450-sqli`	2	已识别的 SQL 十六进制编码
`owasp-crs-v030301-id942510-sqli`	2	检测到通过引号或反引号发出的 SQLi 绕过尝试
`owasp-crs-v030301-id942251-sqli`	3	检测 HAVING 注入
`owasp-crs-v030301-id942490-sqli`	3	检测传统 SQL 注入探测 3/3
`owasp-crs-v030301-id942420-sqli`	3	限制的 SQL 字符异常值检测 (Cookie)：超过特殊字符数 (8)
`owasp-crs-v030301-id942431-sqli`	3	限制的 SQL 字符异常值检测（参数）：超过特殊字符数 (6)
`owasp-crs-v030301-id942460-sqli`	3	元字符异常值检测警报 - 重复的非单词字符
`owasp-crs-v030301-id942101-sqli`	3	通过 libinjection 检测 SQL 注入攻击
`owasp-crs-v030301-id942511-sqli`	3	检测到通过引号发出的 SQLi 绕过尝试
`owasp-crs-v030301-id942421-sqli`	4	限制的 SQL 字符异常值检测 (Cookie)：超过特殊字符数 (3)
`owasp-crs-v030301-id942432-sqli`	4	限制的 SQL 字符异常值检测（参数）：超过特殊字符数 (2)

CRS 3.0

签名 ID（规则 ID）	敏感程度	说明
`Not included`	1	通过 libinjection 检测 SQL 注入攻击
`owasp-crs-v030001-id942140-sqli`	1	SQL 注入攻击：检测到通用 DB 名称
`owasp-crs-v030001-id942160-sqli`	1	使用 sleep() 或 benchmark() 检测 blind SQLi 测试。
`owasp-crs-v030001-id942170-sqli`	1	检测 SQL 基准测试和睡眠注入尝试，包括条件查询
`owasp-crs-v030001-id942190-sqli`	1	检测 MSSQL 代码执行和信息收集尝试
`owasp-crs-v030001-id942220-sqli`	1	查找整数溢出攻击
`owasp-crs-v030001-id942230-sqli`	1	检测条件 SQL 注入尝试
`owasp-crs-v030001-id942240-sqli`	1	检测 MySQL 字符集切换和 MSSQL DoS 尝试
`owasp-crs-v030001-id942250-sqli`	1	检测 MATCH AGAINST
`owasp-crs-v030001-id942270-sqli`	1	查找基本的 SQL 注入；MySql 的通用攻击字符串
`owasp-crs-v030001-id942280-sqli`	1	检测 Postgres pg_sleep 注入
`owasp-crs-v030001-id942290-sqli`	1	查找基本 MongoDB SQL 注入尝试
`owasp-crs-v030001-id942320-sqli`	1	检测 MySQL 和 PostgreSQL 已存储过程/函数注入
`owasp-crs-v030001-id942350-sqli`	1	检测 MySQL UDF 注入和其他数据/结构操纵尝试
`owasp-crs-v030001-id942360-sqli`	1	检测串联的基本 SQL 注入和 SQLLFI 尝试
`Not included`	1	检测到 MySQL 内嵌注释
`owasp-crs-v030001-id942110-sqli`	2	SQL 注入攻击：检测到常见注入测试
`owasp-crs-v030001-id942120-sqli`	2	SQL 注入攻击：检测到 SQL 运算符
`Not included`	2	SQL 注入攻击：检测到 SQL 同义反复
`owasp-crs-v030001-id942150-sqli`	2	SQL 注入攻击
`owasp-crs-v030001-id942180-sqli`	2	检测基本 SQL 身份验证绕过尝试 1/3
`owasp-crs-v030001-id942200-sqli`	2	检测 MySQL 备注/空间混淆注入和英文反引号终止
`owasp-crs-v030001-id942210-sqli`	2	检测链式 SQL 注入尝试 1/2
`owasp-crs-v030001-id942260-sqli`	2	检测基本 SQL 身份验证绕过尝试 2/3
`owasp-crs-v030001-id942300-sqli`	2	检测 MySQL 备注
`owasp-crs-v030001-id942310-sqli`	2	检测链式 SQL 注入尝试 2/2
`owasp-crs-v030001-id942330-sqli`	2	检测传统 SQL 注入探测 1/2
`owasp-crs-v030001-id942340-sqli`	2	检测基本 SQL 身份验证绕过尝试 3/3
`Not included`	2	根据关键字更改或联合检测基本 SQL 注入
`Not included`	2	检测传统 SQL 注入探测 2/3
`owasp-crs-v030001-id942380-sqli`	2	SQL 注入攻击
`owasp-crs-v030001-id942390-sqli`	2	SQL 注入攻击
`owasp-crs-v030001-id942400-sqli`	2	SQL 注入攻击
`owasp-crs-v030001-id942410-sqli`	2	SQL 注入攻击
`Not included`	2	SQL 注入攻击
`Not included`	2	SQL 注入攻击
`owasp-crs-v030001-id942430-sqli`	2	限制的 SQL 字符异常值检测（参数）：超过特殊字符数 (12)
`owasp-crs-v030001-id942440-sqli`	2	检测到 SQL 备注序列
`owasp-crs-v030001-id942450-sqli`	2	已识别的 SQL 十六进制编码
`Not included`	2	检测到通过引号或反引号发出的 SQLi 绕过尝试
`owasp-crs-v030001-id942251-sqli`	3	检测 HAVING 注入
`Not included`	2	检测传统 SQL 注入探测 3/3
`owasp-crs-v030001-id942420-sqli`	3	限制的 SQL 字符异常值检测 (Cookie)：超过特殊字符数 (8)
`owasp-crs-v030001-id942431-sqli`	3	限制的 SQL 字符异常值检测（参数）：超过特殊字符数 (6)
`owasp-crs-v030001-id942460-sqli`	3	元字符异常值检测警报 - 重复的非单词字符
`Not included`	3	通过 libinjection 检测 SQL 注入攻击
`Not included`	3	检测到通过引号发出的 SQLi 绕过尝试
`owasp-crs-v030001-id942421-sqli`	4	限制的 SQL 字符异常值检测 (Cookie)：超过特殊字符数 (3)
`owasp-crs-v030001-id942432-sqli`	4	限制的 SQL 字符异常值检测（参数）：超过特殊字符数 (2)

您可以通过将 evaluatePreconfiguredWaf() 与预设敏感度参数结合使用，在特定敏感度级层配置规则。默认情况下，如果不配置规则集的敏感度，Cloud Armor 会评估所有特征签名。

CRS 3.3

敏感程度	表达式
1	evaluatePreconfiguredWaf('sqli-v33-stable', {'sensitivity': 1})
2	evaluatePreconfiguredWaf('sqli-v33-stable', {'sensitivity': 2})
3	evaluatePreconfiguredWaf('sqli-v33-stable', {'sensitivity': 3})
4	evaluatePreconfiguredWaf('sqli-v33-stable', {'sensitivity': 4})

CRS 3.0

敏感程度	表达式
1	evaluatePreconfiguredWaf('sqli-stable', {'sensitivity': 1})
2	evaluatePreconfiguredWaf('sqli-stable', {'sensitivity': 2})
3	evaluatePreconfiguredWaf('sqli-stable', {'sensitivity': 3})
4	evaluatePreconfiguredWaf('sqli-stable', {'sensitivity': 4})

跨站脚本攻击 (XSS)

下表提供了 XSS 预配置的 WAF 规则中每个支持的签名的 ID、敏感度级别和说明。

CRS 3.3

签名 ID（规则 ID）	敏感程度	说明
`owasp-crs-v030301-id941100-xss`	1	通过 libinjection 检测 XSS 攻击
`owasp-crs-v030301-id941110-xss`	1	XSS 过滤器 - 类别 1：脚本标记向量
`owasp-crs-v030301-id941120-xss`	1	XSS 过滤器 - 类别 2：事件处理脚本向量
`owasp-crs-v030301-id941130-xss`	1	XSS 过滤器 - 类别 3：属性向量
`owasp-crs-v030301-id941140-xss`	1	XSS 过滤器 - 类别 4：JavaScript URI 向量
`owasp-crs-v030301-id941160-xss`	1	NoScript XSS InjectionChecker：HTML 注入
`owasp-crs-v030301-id941170-xss`	1	NoScript XSS InjectionChecker：属性注入
`owasp-crs-v030301-id941180-xss`	1	节点验证器屏蔽名单关键字
`owasp-crs-v030301-id941190-xss`	1	IE XSS 过滤器 - 检测到攻击
`owasp-crs-v030301-id941200-xss`	1	IE XSS 过滤器 - 检测到攻击
`owasp-crs-v030301-id941210-xss`	1	IE XSS 过滤器 - 检测到攻击
`owasp-crs-v030301-id941220-xss`	1	IE XSS 过滤器 - 检测到攻击
`owasp-crs-v030301-id941230-xss`	1	IE XSS 过滤器 - 检测到攻击
`owasp-crs-v030301-id941240-xss`	1	IE XSS 过滤器 - 检测到攻击
`owasp-crs-v030301-id941250-xss`	1	IE XSS 过滤器 - 检测到攻击
`owasp-crs-v030301-id941260-xss`	1	IE XSS 过滤器 - 检测到攻击
`owasp-crs-v030301-id941270-xss`	1	IE XSS 过滤器 - 检测到攻击
`owasp-crs-v030301-id941280-xss`	1	IE XSS 过滤器 - 检测到攻击
`owasp-crs-v030301-id941290-xss`	1	IE XSS 过滤器 - 检测到攻击
`owasp-crs-v030301-id941300-xss`	1	IE XSS 过滤器 - 检测到攻击
`owasp-crs-v030301-id941310-xss`	1	US-ASCII 格式错误的编码 XSS 过滤器 - 检测到攻击
`owasp-crs-v030301-id941350-xss`	1	UTF-7 编码 IE XSS - 检测到攻击
`owasp-crs-v030301-id941360-xss`	1	检测到层次结构混淆
`owasp-crs-v030301-id941370-xss`	1	找到 JavaScript 全局变量
`owasp-crs-v030301-id941101-xss`	2	通过 libinjection 检测 XSS 攻击
`owasp-crs-v030301-id941150-xss`	2	XSS 过滤器 - 类别 5：不允许的 HTML 属性
`owasp-crs-v030301-id941320-xss`	2	检测到可能的 XSS 攻击 - HTML 标记处理程序
`owasp-crs-v030301-id941330-xss`	2	IE XSS 过滤器 - 检测到攻击
`owasp-crs-v030301-id941340-xss`	2	IE XSS 过滤器 - 检测到攻击
`owasp-crs-v030301-id941380-xss`	2	检测到 AngularJS 客户端模板注入

CRS 3.0

签名 ID（规则 ID）	敏感程度	说明
`Not included`	1	通过 libinjection 检测 XSS 攻击
`owasp-crs-v030001-id941110-xss`	1	XSS 过滤器 - 类别 1：脚本标记向量
`owasp-crs-v030001-id941120-xss`	1	XSS 过滤器 - 类别 2：事件处理脚本向量
`owasp-crs-v030001-id941130-xss`	1	XSS 过滤器 - 类别 3：属性向量
`owasp-crs-v030001-id941140-xss`	1	XSS 过滤器 - 类别 4：JavaScript URI 向量
`owasp-crs-v030001-id941160-xss`	1	NoScript XSS InjectionChecker：HTML 注入
`owasp-crs-v030001-id941170-xss`	1	NoScript XSS InjectionChecker：属性注入
`owasp-crs-v030001-id941180-xss`	1	节点验证器屏蔽名单关键字
`owasp-crs-v030001-id941190-xss`	1	IE XSS 过滤器 - 检测到攻击
`owasp-crs-v030001-id941200-xss`	1	IE XSS 过滤器 - 检测到攻击
`owasp-crs-v030001-id941210-xss`	1	IE XSS 过滤器 - 检测到攻击
`owasp-crs-v030001-id941220-xss`	1	IE XSS 过滤器 - 检测到攻击
`owasp-crs-v030001-id941230-xss`	1	IE XSS 过滤器 - 检测到攻击
`owasp-crs-v030001-id941240-xss`	1	IE XSS 过滤器 - 检测到攻击
`owasp-crs-v030001-id941250-xss`	1	IE XSS 过滤器 - 检测到攻击
`owasp-crs-v030001-id941260-xss`	1	IE XSS 过滤器 - 检测到攻击
`owasp-crs-v030001-id941270-xss`	1	IE XSS 过滤器 - 检测到攻击
`owasp-crs-v030001-id941280-xss`	1	IE XSS 过滤器 - 检测到攻击
`owasp-crs-v030001-id941290-xss`	1	IE XSS 过滤器 - 检测到攻击
`owasp-crs-v030001-id941300-xss`	1	IE XSS 过滤器 - 检测到攻击
`owasp-crs-v030001-id941310-xss`	1	US-ASCII 格式错误的编码 XSS 过滤器 - 检测到攻击
`owasp-crs-v030001-id941350-xss`	1	UTF-7 编码 IE XSS - 检测到攻击
`Not included`	1	检测到 JSFuck / 层次结构混淆
`Not included`	1	找到 JavaScript 全局变量
`Not included`	2	通过 libinjection 检测 XSS 攻击
`owasp-crs-v030001-id941150-xss`	2	XSS 过滤器 - 类别 5：不允许的 HTML 属性
`owasp-crs-v030001-id941320-xss`	2	检测到可能的 XSS 攻击 - HTML 标记处理程序
`owasp-crs-v030001-id941330-xss`	2	IE XSS 过滤器 - 检测到攻击
`owasp-crs-v030001-id941340-xss`	2	IE XSS 过滤器 - 检测到攻击
`Not included`	2	检测到 AngularJS 客户端模板注入

CRS 3.3

敏感程度	表达式
1	evaluatePreconfiguredWaf('xss-v33-stable', {'sensitivity': 1})
2	evaluatePreconfiguredWaf('xss-v33-stable', {'sensitivity': 2})

CRS 3.0

敏感程度	表达式
1	evaluatePreconfiguredWaf('xss-stable', {'sensitivity': 1})

本地文件包含 (LFI)

下表提供了 LFI 预配置的 WAF 规则中每个支持的签名的 ID、敏感度级层和说明。

CRS 3.3

签名 ID（规则 ID）	敏感程度	说明
`owasp-crs-v030301-id930100-lfi`	1	路径遍历攻击 (/../)
`owasp-crs-v030301-id930110-lfi`	1	路径遍历攻击 (/../)
`owasp-crs-v030301-id930120-lfi`	1	尝试访问操作系统文件
`owasp-crs-v030301-id930130-lfi`	1	尝试访问受限文件

CRS 3.0

签名 ID（规则 ID）	敏感程度	说明
`owasp-crs-v030001-id930100-lfi`	1	路径遍历攻击 (/../)
`owasp-crs-v030001-id930110-lfi`	1	路径遍历攻击 (/../)
`owasp-crs-v030001-id930120-lfi`	1	尝试访问操作系统文件
`owasp-crs-v030001-id930130-lfi`	1	尝试访问受限文件

您可以通过将 evaluatePreconfiguredWaf() 与预设敏感度参数结合使用，在特定敏感度级层配置规则。LFI 的所有签名均位于敏感度级层 1。以下配置适用于所有敏感度级层：

CRS 3.3

敏感程度	表达式
1	evaluatePreconfiguredWaf('lfi-v33-stable', {'sensitivity': 1})

CRS 3.0

敏感程度	表达式
1	evaluatePreconfiguredWaf('lfi-stable', {'sensitivity': 1})

远程代码执行 (RCE)

下表提供了 RCE 预配置的 WAF 规则中每个支持的签名的 ID、敏感度级层和说明。

CRS 3.3

签名 ID（规则 ID）	敏感程度	说明
`owasp-crs-v030301-id932100-rce`	1	UNIX 命令注入
`owasp-crs-v030301-id932105-rce`	1	UNIX 命令注入
`owasp-crs-v030301-id932110-rce`	1	Windows 命令注入
`owasp-crs-v030301-id932115-rce`	1	Windows 命令注入
`owasp-crs-v030301-id932120-rce`	1	找到 Windows PowerShell 命令
`owasp-crs-v030301-id932130-rce`	1	找到 Unix Shell 表达式
`owasp-crs-v030301-id932140-rce`	1	找到 Windows FOR/IF 命令
`owasp-crs-v030301-id932150-rce`	1	直接执行 Unix 命令
`owasp-crs-v030301-id932160-rce`	1	找到 UNIX Shell 代码
`owasp-crs-v030301-id932170-rce`	1	Shellshock (CVE-2014-6271)
`owasp-crs-v030301-id932171-rce`	1	Shellshock (CVE-2014-6271)
`owasp-crs-v030301-id932180-rce`	1	尝试上传受限文件
`owasp-crs-v030301-id932200-rce`	2	RCE 绕过技术
`owasp-crs-v030301-id932106-rce`	3	远程命令执行：Unix 命令注入
`owasp-crs-v030301-id932190-rce`	3	远程命令执行：通配符绕过技术尝试

CRS 3.0

签名 ID（规则 ID）	敏感程度	说明
`owasp-crs-v030001-id932100-rce`	1	UNIX 命令注入
`owasp-crs-v030001-id932105-rce`	1	UNIX 命令注入
`owasp-crs-v030001-id932110-rce`	1	Windows 命令注入
`owasp-crs-v030001-id932115-rce`	1	Windows 命令注入
`owasp-crs-v030001-id932120-rce`	1	找到 Windows PowerShell 命令
`owasp-crs-v030001-id932130-rce`	1	找到 Unix Shell 表达式
`owasp-crs-v030001-id932140-rce`	1	找到 Windows FOR/IF 命令
`owasp-crs-v030001-id932150-rce`	1	直接执行 Unix 命令
`owasp-crs-v030001-id932160-rce`	1	找到 UNIX Shell 代码
`owasp-crs-v030001-id932170-rce`	1	Shellshock (CVE-2014-6271)
`owasp-crs-v030001-id932171-rce`	1	Shellshock (CVE-2014-6271)
`Not included`	1	尝试上传受限文件
`Not included`	2	RCE 绕过技术
`Not included`	3	远程命令执行：Unix 命令注入
`Not included`	3	远程命令执行：通配符绕过技术尝试

您可以通过将 evaluatePreconfiguredWaf() 与预设敏感度参数结合使用，在特定敏感度级层配置规则。RCE 的所有签名均位于敏感度级层 1。以下配置适用于所有敏感度级层：

CRS 3.3

敏感程度	表达式
1	evaluatePreconfiguredWaf('rce-v33-stable', {'sensitivity': 1})
2	evaluatePreconfiguredWaf('rce-v33-stable', {'sensitivity': 2})
3	evaluatePreconfiguredWaf('rce-v33-stable', {'sensitivity': 3})

CRS 3.0

敏感程度	表达式
1	evaluatePreconfiguredWaf('rce-stable', {'sensitivity': 1})
2	evaluatePreconfiguredWaf('rce-stable', {'sensitivity': 2})
3	evaluatePreconfiguredWaf('rce-stable', {'sensitivity': 3})

远程文件包含 (RFI)

下表提供了 RFI 预配置的 WAF 规则中每个支持的签名的 ID、敏感度级层和说明。

CRS 3.3

签名 ID（规则 ID）	敏感程度	说明
`owasp-crs-v030301-id931100-rfi`	1	使用 IP 地址的网址参数
`owasp-crs-v030301-id931110-rfi`	1	常用 RFI 易受攻击的参数名称与网址载荷一起使用
`owasp-crs-v030301-id931120-rfi`	1	网址载荷与尾随英文问号字符 (?) 一起使用
`owasp-crs-v030301-id931130-rfi`	2	网域外引用/链接

CRS 3.0

签名 ID（规则 ID）	敏感程度	说明
`owasp-crs-v030001-id931100-rfi`	1	使用 IP 地址的网址参数
`owasp-crs-v030001-id931110-rfi`	1	常用 RFI 易受攻击的参数名称与网址载荷一起使用
`owasp-crs-v030001-id931120-rfi`	1	网址载荷与尾随英文问号字符 (?) 一起使用
`owasp-crs-v030001-id931130-rfi`	2	网域外引用/链接

CRS 3.3

敏感程度	表达式
1	evaluatePreconfiguredWaf('rfi-v33-stable', {'sensitivity': 1})
2	evaluatePreconfiguredWaf('rfi-v33-stable', {'sensitivity': 2})

CRS 3.0

敏感程度	表达式
1	evaluatePreconfiguredWaf('rfi-stable', {'sensitivity': 1})
2	evaluatePreconfiguredWaf('rfi-stable', {'sensitivity': 2})

方法强制执行

下表提供了方法强制执行预配置规则中每个支持的签名的签名 ID、敏感度级层和说明。

CRS 3.3

签名 ID（规则 ID）	敏感程度	说明
`owasp-crs-v030301-id911100-methodenforcement`	1	政策不允许使用方法

CRS 3.0

签名 ID（规则 ID）	敏感程度	说明
`owasp-crs-v030001-id911100-methodenforcement`	1	政策不允许使用方法

CRS 3.3

敏感程度	表达式
1	evaluatePreconfiguredWaf('methodenforcement-v33-stable', {'sensitivity': 1})

CRS 3.0

敏感程度	表达式
1	evaluatePreconfiguredWaf('methodenforcement-stable', {'sensitivity': 1})

扫描程序检测

下表提供了扫描程序检测预配置规则中每个支持的签名的签名 ID、敏感度级层和说明。

CRS 3.3

签名 ID（规则 ID）	敏感程度	说明
`owasp-crs-v030301-id913100-scannerdetection`	1	找到与安全扫描程序关联的用户代理
`owasp-crs-v030301-id913110-scannerdetection`	1	找到与安全扫描程序关联的请求标头
`owasp-crs-v030301-id913120-scannerdetection`	1	找到与安全扫描程序关联的请求文件名/参数
`owasp-crs-v030301-id913101-scannerdetection`	2	找到与脚本/通用 HTTP 客户端关联的用户代理
`owasp-crs-v030301-id913102-scannerdetection`	2	找到与网页抓取工具/聊天机器人关联的用户代理

CRS 3.0

签名 ID（规则 ID）	敏感程度	说明
`owasp-crs-v030001-id913100-scannerdetection`	1	找到与安全扫描程序关联的用户代理
`owasp-crs-v030001-id913110-scannerdetection`	1	找到与安全扫描程序关联的请求标头
`owasp-crs-v030001-id913120-scannerdetection`	1	找到与安全扫描程序关联的请求文件名/参数
`owasp-crs-v030001-id913101-scannerdetection`	2	找到与脚本/通用 HTTP 客户端关联的用户代理
`owasp-crs-v030001-id913102-scannerdetection`	2	找到与网页抓取工具/聊天机器人关联的用户代理

CRS 3.3

敏感程度	表达式
1	evaluatePreconfiguredWaf('scannerdetection-v33-stable', {'sensitivity': 1})
2	evaluatePreconfiguredWaf('scannerdetection-v33-stable', {'sensitivity': 2})

CRS 3.0

敏感程度	表达式
1	evaluatePreconfiguredWaf('scannerdetection-stable', {'sensitivity': 1})
2	evaluatePreconfiguredWaf('scannerdetection-stable', {'sensitivity': 2})

协议攻击

下表提供了协议攻击预配置规则中每个支持的签名的签名 ID、敏感度级层和说明。

CRS 3.3

签名 ID（规则 ID）	敏感程度	说明
`Not included`	1	HTTP 请求走私攻击
`owasp-crs-v030301-id921110-protocolattack`	1	HTTP 请求走私攻击
`owasp-crs-v030301-id921120-protocolattack`	1	HTTP 响应拆分攻击
`owasp-crs-v030301-id921130-protocolattack`	1	HTTP 响应拆分攻击
`owasp-crs-v030301-id921140-protocolattack`	1	通过标头进行的 HTTP 标头注入攻击
`owasp-crs-v030301-id921150-protocolattack`	1	通过载荷进行的 HTTP 标头注入攻击（检测到 CR/LF）
`owasp-crs-v030301-id921160-protocolattack`	1	通过载荷进行的 HTTP 标头注入攻击（检测到 CR/LF 和标头名称）
`owasp-crs-v030301-id921190-protocolattack`	1	HTTP 拆分（在请求文件名中检测到 CR/LF）
`owasp-crs-v030301-id921200-protocolattack`	1	LDAP 注入攻击
`owasp-crs-v030301-id921151-protocolattack`	2	通过载荷进行的 HTTP 标头注入攻击（检测到 CR/LF）
`owasp-crs-v030301-id921170-protocolattack`	3	HTTP 参数污染

CRS 3.0

签名 ID（规则 ID）	敏感程度	说明
`owasp-crs-v030001-id921100-protocolattack`	1	HTTP 请求走私攻击
`owasp-crs-v030001-id921110-protocolattack`	1	HTTP 请求走私攻击
`owasp-crs-v030001-id921120-protocolattack`	1	HTTP 响应拆分攻击
`owasp-crs-v030001-id921130-protocolattack`	1	HTTP 响应拆分攻击
`owasp-crs-v030001-id921140-protocolattack`	1	通过标头进行的 HTTP 标头注入攻击
`owasp-crs-v030001-id921150-protocolattack`	1	通过载荷进行的 HTTP 标头注入攻击（检测到 CR/LF）
`owasp-crs-v030001-id921160-protocolattack`	1	通过载荷进行的 HTTP 标头注入攻击（检测到 CR/LF 和标头名称）
`Not included`	1	HTTP 拆分（在请求文件名中检测到 CR/LF）
`Not included`	1	LDAP 注入攻击
`owasp-crs-v030001-id921151-protocolattack`	2	通过载荷进行的 HTTP 标头注入攻击（检测到 CR/LF）
`owasp-crs-v030001-id921170-protocolattack`	3	HTTP 参数污染

CRS 3.3

敏感程度	表达式
1	evaluatePreconfiguredWaf('protocolattack-v33-stable', {'sensitivity': 1})
2	evaluatePreconfiguredWaf('protocolattack-v33-stable', {'sensitivity': 2})
3	evaluatePreconfiguredWaf('protocolattack-v33-stable', {'sensitivity': 3})

CRS 3.0

敏感程度	表达式
1	evaluatePreconfiguredWaf('protocolattack-stable', {'sensitivity': 1})
2	evaluatePreconfiguredWaf('protocolattack-stable', {'sensitivity': 2})
3	evaluatePreconfiguredWaf('protocolattack-stable', {'sensitivity': 3})

PHP

下表提供了 PHP 预配置的 WAF 规则中每个支持的签名的 ID、敏感度级层和说明。

CRS 3.3

签名 ID（规则 ID）	敏感程度	说明
`owasp-crs-v030301-id933100-php`	1	PHP 注入攻击：找到 PHP 打开标记
`owasp-crs-v030301-id933110-php`	1	PHP 注入攻击：找到 PHP 脚本文件上传
`owasp-crs-v030301-id933120-php`	1	PHP 注入攻击：找到配置指令
`owasp-crs-v030301-id933130-php`	1	PHP 注入攻击：找到变量
`owasp-crs-v030301-id933140-php`	1	PHP 注入攻击：找到 I/O 流
`owasp-crs-v030301-id933200-php`	1	PHP 注入攻击：检测到封装容器方案
`owasp-crs-v030301-id933150-php`	1	PHP 注入攻击：找到高风险的 PHP 函数名称
`owasp-crs-v030301-id933160-php`	1	PHP 注入攻击：找到高风险的 PHP 函数调用
`owasp-crs-v030301-id933170-php`	1	PHP 注入攻击：序列化对象注入
`owasp-crs-v030301-id933180-php`	1	PHP 注入攻击：找到变量函数调用
`owasp-crs-v030301-id933210-php`	1	PHP 注入攻击：找到变量函数调用
`owasp-crs-v030301-id933151-php`	2	PHP 注入攻击：找到中等风险的 PHP 函数名称
`owasp-crs-v030301-id933131-php`	3	PHP 注入攻击：找到变量
`owasp-crs-v030301-id933161-php`	3	PHP 注入攻击：找到低价值的 PHP 函数调用
`owasp-crs-v030301-id933111-php`	3	PHP 注入攻击：找到 PHP 脚本文件上传
`owasp-crs-v030301-id933190-php`	3	PHP 注入攻击：找到 PHP 关闭标记

CRS 3.0

签名 ID（规则 ID）	敏感程度	说明
`owasp-crs-v030001-id933100-php`	1	PHP 注入攻击：找到 PHP 打开标记
`owasp-crs-v030001-id933110-php`	1	PHP 注入攻击：找到 PHP 脚本文件上传
`owasp-crs-v030001-id933120-php`	1	PHP 注入攻击：找到配置指令
`owasp-crs-v030001-id933130-php`	1	PHP 注入攻击：找到变量
`owasp-crs-v030001-id933140-php`	1	PHP 注入攻击：找到 I/O 流
`Not included`	1	PHP 注入攻击：检测到封装容器方案
`owasp-crs-v030001-id933150-php`	1	PHP 注入攻击：找到高风险的 PHP 函数名称
`owasp-crs-v030001-id933160-php`	1	PHP 注入攻击：找到高风险的 PHP 函数调用
`owasp-crs-v030001-id933170-php`	1	PHP 注入攻击：序列化对象注入
`owasp-crs-v030001-id933180-php`	1	PHP 注入攻击：找到变量函数调用
`Not included`	1	PHP 注入攻击：找到变量函数调用
`owasp-crs-v030001-id933151-php`	2	PHP 注入攻击：找到中等风险的 PHP 函数名称
`owasp-crs-v030001-id933131-php`	3	PHP 注入攻击：找到变量
`owasp-crs-v030001-id933161-php`	3	PHP 注入攻击：找到低价值的 PHP 函数调用
`owasp-crs-v030001-id933111-php`	3	PHP 注入攻击：找到 PHP 脚本文件上传
`Not included`	3	PHP 注入攻击：找到 PHP 关闭标记

CRS 3.3

敏感程度	表达式
1	evaluatePreconfiguredWaf('php-v33-stable', {'sensitivity': 1})
2	evaluatePreconfiguredWaf('php-v33-stable', {'sensitivity': 2})
3	evaluatePreconfiguredWaf('php-v33-stable', {'sensitivity': 3})

CRS 3.0

敏感程度	表达式
1	evaluatePreconfiguredWaf('php-stable', {'sensitivity': 1})
2	evaluatePreconfiguredWaf('php-stable', {'sensitivity': 2})
3	evaluatePreconfiguredWaf('php-stable', {'sensitivity': 3})

会话固定

下表提供了会话固定预配置规则中每个支持的签名的签名 ID、敏感度级层和说明。

CRS 3.3

签名 ID（规则 ID）	敏感程度	说明
`owasp-crs-v030301-id943100-sessionfixation`	1	可能的会话固定攻击：在 HTML 中设置 Cookie 值
`owasp-crs-v030301-id943110-sessionfixation`	1	可能的会话固定攻击：带有网域间引用器的会话 ID 参数名称
`owasp-crs-v030301-id943120-sessionfixation`	1	可能的会话固定攻击：不含引用器的会话 ID 参数名称

CRS 3.0

签名 ID（规则 ID）	敏感程度	说明
`owasp-crs-v030001-id943100-sessionfixation`	1	可能的会话固定攻击：在 HTML 中设置 Cookie 值
`owasp-crs-v030001-id943110-sessionfixation`	1	可能的会话固定攻击：带有网域间引用器的会话 ID 参数名称
`owasp-crs-v030001-id943120-sessionfixation`	1	可能的会话固定攻击：不含引用器的会话 ID 参数名称

您可以通过将 evaluatePreconfiguredWaf() 与预设敏感度参数结合使用，在特定敏感度级层配置规则。会话固定的所有签名均位于敏感度级层 1。以下配置适用于所有敏感度级层：

CRS 3.3

敏感程度	表达式
1	evaluatePreconfiguredWaf('sessionfixation-v33-stable', {'sensitivity': 1})

CRS 3.0

敏感程度	表达式
1	evaluatePreconfiguredWaf('sessionfixation-stable', {'sensitivity': 1})

Java 攻击

下表提供了 Java 攻击预配置规则中每个支持的签名的 ID、敏感度级别和说明。

CRS 3.3

签名 ID（规则 ID）	敏感程度	说明
`owasp-crs-v030301-id944100-java`	1	远程命令执行：检测到可疑的 Java 类
`owasp-crs-v030301-id944110-java`	1	远程命令执行：生成了 Java 进程 (CVE-2017-9805)
`owasp-crs-v030301-id944120-java`	1	远程命令执行：Java 序列化 (CVE-2015-4852)
`owasp-crs-v030301-id944130-java`	1	检测到可疑的 Java 类
`owasp-crs-v030301-id944200-java`	2	检测到魔法字节，可能使用了 Java 序列化
`owasp-crs-v030301-id944210-java`	2	检测到采用 Base64 编码的魔法字节，可能使用了 Java 序列化
`owasp-crs-v030301-id944240-java`	2	远程命令执行：Java 序列化 (CVE-2015-4852)
`owasp-crs-v030301-id944250-java`	2	远程命令执行：检测到可疑的 Java 方法
`owasp-crs-v030301-id944300-java`	3	Base64 编码的字符串与可疑关键字匹配

CRS 3.0

签名 ID（规则 ID）	敏感程度	说明
`Not included`	1	远程命令执行：检测到可疑的 Java 类
`Not included`	1	远程命令执行：生成了 Java 进程 (CVE-2017-9805)
`Not included`	1	远程命令执行：Java 序列化 (CVE-2015-4852)
`Not included`	1	检测到可疑的 Java 类
`Not included`	2	检测到魔法字节，可能使用了 Java 序列化
`Not included`	2	检测到采用 Base64 编码的魔法字节，可能使用了 Java 序列化
`Not included`	2	远程命令执行：Java 序列化 (CVE-2015-4852)
`Not included`	2	远程命令执行：检测到可疑的 Java 方法
`Not included`	3	Base64 编码的字符串与可疑关键字匹配

敏感程度	表达式
1	evaluatePreconfiguredWaf('java-v33-stable', {'sensitivity': 1})
2	evaluatePreconfiguredWaf('java-v33-stable', {'sensitivity': 2})
3	evaluatePreconfiguredWaf('java-v33-stable', {'sensitivity': 3})

NodeJS 攻击

下表提供了 NodeJS 攻击预配置规则中每个支持的签名的 ID、敏感度级别和说明。

以下预配置 WAF 规则的签名仅在 CRS 3.3 中提供。

CRS 3.3

签名 ID（规则 ID）	敏感程度	说明
`owasp-crs-v030301-id934100-nodejs`	1	Node.js 注入攻击

CRS 3.0

签名 ID（规则 ID）	敏感程度	说明
`Not included`	1	Node.js 注入攻击

您可以通过将 evaluatePreconfiguredWaf() 与预设敏感度参数结合使用，在特定敏感度级层配置规则。NodeJS 攻击的所有签名均位于敏感度级层 1。以下配置适用于其他敏感度级层：

敏感程度	表达式
1	evaluatePreconfiguredWaf('nodejs-v33-stable', {'sensitivity': 1})

CVE 和其他漏洞

下表提供了 CVE Log4j RCE 漏洞预配置规则中每个支持的签名的签名 ID、敏感度级别和说明。

签名 ID（规则 ID）	敏感程度	说明
`owasp-crs-v030001-id044228-cve`	1	此基本规则有助于检测尝试利用 `CVE-2021-44228` 和 `CVE-2021-45046` 漏洞的攻击
`owasp-crs-v030001-id144228-cve`	1	Google 提供的增强功能，涵盖更多尝试发动绕过和混淆的攻击
`owasp-crs-v030001-id244228-cve`	3	提高检测敏感度，以定位更多尝试发动绕过和混淆的攻击，同时增加假正例检测的风险
`owasp-crs-v030001-id344228-cve`	3	提高检测敏感度，以使用 base64 编码定位更多尝试发动绕过和混淆的攻击，同时增加假正例检测的风险

敏感程度	表达式
1	evaluatePreconfiguredWaf('cve-canary', {'sensitivity': 1})
2	evaluatePreconfiguredWaf('cve-canary', {'sensitivity': 2})
3	evaluatePreconfiguredWaf('cve-canary', {'sensitivity': 3})

JSON 格式的内容 SQLi 漏洞

下表提供了受支持签名 942550-sqli 的签名 ID、敏感度级别和说明，其中涵盖恶意攻击者可能通过将 JSON 语法附加到 SQL 注入载荷来绕过 WAF 的漏洞。

签名 ID（规则 ID）	敏感程度	说明
`owasp-crs-id942550-sqli`	2	检测所有基于 JSON 的 SQLi 矢量，包括网址中发现的 SQLi 签名

使用以下表达式部署签名：

  evaluatePreconfiguredWaf('json-sqli-canary', {'sensitivity':0, 'opt_in_rule_ids': ['owasp-crs-id942550-sqli']})

我们建议您在敏感度级层 2 启用 sqli-v33-stable，以完全解决基于 JSON 的 SQL 注入绕过问题。

限制

Cloud Armor 预配置的 WAF 规则具有以下限制：

WAF 规则更改通常需要几分钟来进行传播。
在带有请求正文的 HTTP 请求类型中，Cloud Armor 仅处理 POST 请求。Cloud Armor 会根据 POST 正文的前 8 KB 内容评估预配置规则。如需了解详情，请参阅 POST 正文检查限制。
当通过匹配的 Content-Type 标头值启用 JSON 解析时，Cloud Armor 可对 JSON 格式的内容（包括格式正确的 GraphQL over HTTP 请求）进行解析并应用预配置的 WAF 规则。如需了解详情，请参阅 JSON 解析。
如果您已将请求字段排除项附加到预配置的 WAF 规则，则无法使用 allow 操作。系统会自动允许与该例外情况相匹配的请求。

Cloud Armor 预配置的 WAF 规则概览 使用集合让一切井井有条 根据您的偏好保存内容并对其进行分类。

CRS 3.3

CRS 3.0

预配置的 OWASP 规则

SQL 注入 (SQLi)

CRS 3.3

CRS 3.0

CRS 3.3

CRS 3.0

跨站脚本攻击 (XSS)

CRS 3.3

CRS 3.0

CRS 3.3

CRS 3.0

本地文件包含 (LFI)

CRS 3.3

CRS 3.0

CRS 3.3

CRS 3.0

远程代码执行 (RCE)

CRS 3.3

CRS 3.0

CRS 3.3

CRS 3.0

远程文件包含 (RFI)

CRS 3.3

CRS 3.0

CRS 3.3

CRS 3.0

方法强制执行

CRS 3.3

CRS 3.0

CRS 3.3

CRS 3.0

扫描程序检测

CRS 3.3

CRS 3.0

CRS 3.3

CRS 3.0

协议攻击

CRS 3.3

CRS 3.0

CRS 3.3

CRS 3.0

PHP

CRS 3.3

CRS 3.0

CRS 3.3

CRS 3.0

会话固定

CRS 3.3

CRS 3.0

CRS 3.3

CRS 3.0

Java 攻击

CRS 3.3

CRS 3.0

NodeJS 攻击

CRS 3.3

CRS 3.0

CVE 和其他漏洞

JSON 格式的内容 SQLi 漏洞

限制

后续步骤

Cloud Armor 预配置的 WAF 规则概览