中的 Web 請求標籤 AWS WAF - AWS WAFAWS Firewall Manager、 和 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

中的 Web 請求標籤 AWS WAF

本節說明什麼是 AWS WAF 標籤。

當規則符合請求時,標籤是規則新增至 Web 請求的中繼資料。新增後,標籤在請求上仍然可用,直到 Web ACL評估結束。您可以使用標籤比對陳述式,在稍後在 Web ACL評估中執行的規則中存取標籤。如需詳細資訊,請參閱 標籤比對規則陳述式

Web 請求上的標籤會產生 Amazon CloudWatch 標籤指標。如需指標和維度的清單,請參閱 標籤指標和維度。如需透過 主控台和透過 AWS WAF 主控台存取指標 CloudWatch 和指標摘要的資訊,請參閱 監控和調整您的 AWS WAF 保護

標記使用案例

AWS WAF 標籤的常見使用案例包括下列項目:

  • 在對請求採取動作之前,針對多個規則陳述式評估 Web 請求 – 在 Web 中找到與規則相符之後ACL,ACL如果規則動作未終止 Web ACL 評估, AWS WAF 則繼續對 Web 評估請求。您可以在決定允許或封鎖請求之前,使用標籤來評估和收集來自多個規則的資訊。若要這樣做,請將現有規則的動作變更為 Count 並將其設定為將標籤新增至相符的請求。然後,新增一或多個新規則,以便在其他規則之後執行,並設定它們來評估標籤,並根據標籤比對組合管理請求。

  • 依地理區域管理 Web 請求 – 您可以單獨使用地理比對規則,依原始國家/地區管理 Web 請求。若要將位置微調到區域層級,您可以使用地理比對規則搭配 Count 動作後接標籤比對規則。如需地理比對規則的相關資訊,請參閱 地理比對規則陳述式

  • 跨多個規則重複使用邏輯 – 如果您需要跨多個規則重複使用相同的邏輯,您可以使用標籤來單一來源邏輯,並只測試結果。當您有多個使用一般巢狀規則陳述式子集的複雜規則時,跨複雜規則複製常見規則集可能會耗時且容易出錯。使用標籤時,您可以建立一個具有常見規則子集的新規則,該規則子集會計算相符請求,並將標籤新增至它們。您可以將新規則新增至 Web,ACL以便在原始複雜規則之前執行。然後,在原始規則中,您將共用規則子集取代為檢查標籤的單一規則。

    例如,假設您有多個規則,而您只想要套用至您的登入路徑。您可以實作包含該邏輯的單一新規則,而不是讓每個規則指定相同的邏輯以符合潛在的登入路徑。讓新規則將標籤新增至相符的請求,以指出請求位於登入路徑上。在您的 Web 中ACL,將此新規則設為比原始規則更低的數值優先順序設定,以便先執行。然後,在您的原始規則中,將共用邏輯取代為檢查標籤是否存在。如需優先順序設定的詳細資訊,請參閱 在 Web 中設定規則優先順序 ACL

  • 在規則群組中建立規則的例外狀況 – 此選項對於您無法檢視或修改的受管規則群組特別有用。許多受管規則群組規則會將標籤新增至相符的 Web 請求,以指出相符的規則,並可能提供有關相符的其他資訊。當您使用將標籤新增至請求的規則群組時,您可以覆寫規則群組規則來計算相符項目,然後在根據規則群組標籤處理 Web 請求的規則群組之後執行規則。所有 AWS 受管規則都會將標籤新增至相符的 Web 請求。如需詳細資訊,請參閱 中的規則描述AWS 受管規則規則群組清單

  • 使用標籤指標來監控流量模式 – 您可以存取透過規則新增標籤的指標,以及您在 Web 中使用的任何受管規則群組新增的指標ACL。所有 AWS 受管規則規則群組都會將標籤新增至其評估的 Web 請求。如需標籤指標和維度的清單,請參閱 標籤指標和維度。您可以透過 AWS WAF 主控台的ACL網頁,透過 CloudWatch 和 存取指標和指標摘要。如需相關資訊,請參閱 監控和調整您的 AWS WAF 保護