Come funziona l'etichettatura in AWS WAF - AWS WAF, AWS Firewall ManagerAWS Shield Advanced, e direttore AWS Shield della sicurezza di rete

Ti presentiamo una nuova esperienza di console per AWS WAF

Ora puoi utilizzare l'esperienza aggiornata per accedere alle AWS WAF funzionalità da qualsiasi punto della console. Per ulteriori dettagli, consulta Utilizzo dell'esperienza console aggiornata.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Come funziona l'etichettatura in AWS WAF

Questa sezione spiega come funzionano AWS WAF le etichette.

Quando una regola corrisponde a una richiesta web, se la regola ha delle etichette definite, AWS WAF aggiunge le etichette alla richiesta al termine della valutazione della regola. Le regole che vengono valutate dopo la regola corrispondente nel protection pack (Web ACL) possono corrispondere alle etichette aggiunte dalla regola.

Chi aggiunge etichette alle richieste

I componenti del Protection Pack (Web ACL) che valutano le richieste possono aggiungere etichette alle richieste.

  • Qualsiasi regola che non sia una dichiarazione di riferimento per un gruppo di regole può aggiungere etichette alle richieste Web corrispondenti. I criteri di etichettatura fanno parte della definizione della regola e, quando una richiesta Web corrisponde alla regola, AWS WAF aggiunge le etichette della regola alla richiesta. Per informazioni, consultare AWS WAF regole che aggiungono etichette.

  • L'istruzione geo match rule aggiunge etichette di paesi e regioni a qualsiasi richiesta che esamina, indipendentemente dal fatto che l'istruzione produca una corrispondenza. Per informazioni, consultare Istruzione regola di corrispondenza geografica.

  • Le regole AWS gestite per AWS WAF tutti aggiungono etichette alle richieste che esaminano. Aggiungono alcune etichette in base alle corrispondenze delle regole nel gruppo di regole e altre in base ai AWS processi utilizzati dai gruppi di regole gestiti, come l'etichettatura dei token aggiunta quando si utilizza un gruppo di regole di mitigazione intelligente delle minacce. Per informazioni sulle etichette aggiunte da ciascun gruppo di regole gestito, vedere. AWS Elenco dei gruppi di regole di Managed Rules

Come AWS WAF gestisce le etichette

AWS WAF aggiunge le etichette della regola alla richiesta al termine dell'ispezione della richiesta da parte della regola. L'etichettatura fa parte delle attività di abbinamento di una regola, analogamente all'azione.

Le etichette non persistono nella richiesta Web al termine della valutazione del Protection Pack (Web ACL). Affinché altre regole corrispondano a un'etichetta aggiunta dalla regola, l'azione della regola non deve interrompere la valutazione della richiesta Web da parte del protection pack (Web ACL). L'azione della regola deve essere impostata su CountCAPTCHA, o. Challenge Quando la valutazione del Protection Pack (Web ACL) non termina, le regole successive del Protection Pack (Web ACL) possono eseguire i criteri di corrispondenza delle etichette sulla richiesta. Per ulteriori informazioni sulle operazioni delle regole, consulta Utilizzo delle azioni delle regole in AWS WAF.

Accesso alle etichette durante la valutazione del Protection Pack (Web ACL)

Una volta aggiunte, le etichette rimangono disponibili sulla richiesta fintanto che la richiesta AWS WAF viene valutata rispetto al protection pack (web ACL). Qualsiasi regola in un protection pack (web ACL) può accedere alle etichette che sono state aggiunte dalle regole che sono già state eseguite nello stesso protection pack (web ACL). Ciò include le regole definite direttamente all'interno del protection pack (Web ACL) e le regole definite all'interno dei gruppi di regole utilizzati nel protection pack (Web ACL).

  • È possibile eseguire il confronto con un'etichetta nei criteri di ispezione della richiesta della regola utilizzando l'istruzione label match. Puoi eseguire il confronto con qualsiasi etichetta allegata alla richiesta. Per i dettagli della dichiarazione, consultaDichiarazione della regola di corrispondenza delle etichette.

  • L'istruzione Geographic Match aggiunge etichette con o senza corrispondenza, ma sono disponibili solo dopo che la regola del Protection Pack contenente l'istruzione (Web ACL) ha completato la valutazione della richiesta.

    • Non è possibile utilizzare una sola regola, ad esempio un'ANDistruzione logica, per eseguire un'istruzione geo match seguita da un'istruzione label match rispetto alle etichette geografiche. È necessario inserire l'istruzione label match in una regola separata che segue la regola che contiene l'istruzione geo match.

    • Se si utilizza un'istruzione geo match come istruzione scope-down all'interno di un'istruzione di regola basata sulla frequenza o di un'istruzione di riferimento per un gruppo di regole gestito, le etichette aggiunte dall'istruzione geo match non possono essere esaminate dall'istruzione della regola che la contiene. Se è necessario esaminare l'etichettatura geografica in un'istruzione di regole basata sulle tariffe o in un gruppo di regole, è necessario eseguire l'istruzione geo match in una regola separata che viene eseguita in precedenza.

Accesso alle informazioni sulle etichette al di fuori della valutazione del Protection Pack (Web ACL)

Le etichette non persistono nella richiesta Web al termine della valutazione del Protection Pack (Web ACL), ma AWS WAF registrano le informazioni sulle etichette nei log e nelle metriche.

La valutazione del Protection Pack (Web ACL) può applicare più di 100 etichette a una richiesta Web e confrontarle con più di 100 etichette, ma registra AWS WAF solo le prime 100 nei log e nelle metriche.