发布于: Jun 5, 2018

AWS WAF 添加了两项新功能来帮助客户编写更具体的规则,从而保护其 Web 应用程序和 API:(a) 基于查询字符串参数的增强模式匹配,以及 (b) 支持非八位字节的 CIDR 边界。

利用基于查询字符串参数的增强模式匹配,客户现在可通过配置 AWS WAF 来解析 URI 中的查询字符串,并针对特定查询参数的值或者所有查询参数的值运行模式匹配。过去,客户可以将一个字符串(或使用正则表达式)与完整的查询字符串进行匹配,而不区分单个名称-值对。借助此增强功能,客户可以为嵌入查询字符串的应用程序漏洞编写 WAF 规则,并受益于更有针对性的查找以及更精细的检测,从而减少查询参数名称的误报。例如,在 URL https:// example.com/page?name1=value1&name2=value2 中,客户现在可以编写一个字符串匹配条件以匹配查询参数“name1”的值“value1”,以及查询字符串中一个或多个名称-值对的大小约束条件。

通过为 IPv4 地址配置介于 /16 和 /32 之间的任意子网掩码,对非八位字节 CIDR 边界的支持允许客户使用更精细的子网边界。过去,AWS WAF 的 IP 匹配条件仅支持 IPv4 的 /8、/16、/24 和 /32 子网。现在,客户可以编写 AWS WAF 规则来匹配 CIDR,例如 10.21.3.44/31、10.21.3.40/29、10.21.3.45/17 等。这样,可将 IP 更好地聚合到 IP 列表中更少的条目中,其中每个列表当前支持 10000 个 CIDR 条目。此外,我们还将继续支持现有的 IPv6 CIDR 边界,即:/128、/64、/56、/48、/32 和 /24。

这些新功能均不额外收费。有关更多详细信息,请访问 AWS 网站上的 AWS WAF 页面。