網頁要求上的標籤 - AWS WAF、AWS Firewall Manager 與 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

網頁要求上的標籤

標籤是透過比對規則新增至 Web 要求的中繼資料。您可以使用標示將規則符合結果與稍後在相同 Web ACL 中評估的規則傳達。

  • 任何不是規則群組參考陳述式的規則都可以在相符的 Web 要求中新增標籤。當 Web 要求符合規則時,會AWS WAF將規則的標籤新增至要求。對於地理比對規則,AWS WAF將規則的標籤新增至規則檢查、比對或不相符的任何請求中。

  • AWS WAF在規則檢查請求結束時,將標籤新增至請求。因此,當單一規則包含多個陳述式 (例如在邏輯 AND 或 OR 陳述式中) 時,所包含陳述式指派的任何標籤只有在評估完所有包含的陳述式之後,才能在 Web 要求中使用。

  • 新增之後,只要針對 Web ACL 評估請求,標籤仍然可用於請求。AWS WAF

  • 您可以使用 label match 陳述式來比對規則請求檢查條件中的標籤。如需陳述式詳細資訊,請參閱標籤比對規則陳述式

AWS WAF標籤的常見使用案例如下:

  • 對請求採取動作之前,針對多個規則陳述式評估 Web 請求 — 在 Web ACL 中找到符合規則之後,如果規則動作為,則AWS WAF繼續針對 Web ACL 評估請求Count。在決定允許或封鎖請求之前,您可以使用標籤來評估和收集來自多個規則的資訊。若要執行此操作,請將現有規則的動作變更為,Count並將其配置為將標籤新增至相符請求。然後,新增一或多個要在其他規則之後執行的新規則,並將其設定為評估標籤,並根據標籤比對組合管理請求。

  • 依地理區域管理 Web 請求 — 您可以單獨使用地理比對規則,依來源國家/地區管理 Web 請求。若要微調至區域層級的位置,您可以使用地理比對規則搭配「計數」動作,然後再加上標籤比對規則。如需地理比對規則的相關資訊,請參閱地理比對規則陳述式

  • 跨多個規則重複使用邏輯 — 如果您需要跨多個規則重複使用相同的邏輯,您可以使用標籤來單一取得邏輯,然後只測試結果。當您有多個使用巢狀規則陳述式共同子集的複雜規則時,在複雜規則之間複製通用規則集可能會耗時且容易出錯。使用標籤,您可以建立包含通用規則子集的新規則,以計算相符請求並為其新增標籤。您可以將新規則新增至 Web ACL,使其在原始複雜規則之前執行。然後,在原始規則中,將共用規則子集取代為檢查標籤的單一規則。

    例如,假設您有多個只想套用至登入路徑的規則。您可以實作包含該邏輯的單一新規則,而不是讓每個規則都指定相同的邏輯以符合潛在的登入路徑。讓新規則為相符的要求新增標籤,以指出要求位於登入路徑上。在 Web ACL 中,將此新規則指定為低於原始規則的數值優先順序設定,以便先執行。然後,在原始規則中,使用檢查標籤是否存在取代共用邏輯。如需優先順序設定的資訊,請參閱Web ACL 中規則和規則群組的處理順序

  • 在規則群組中建立規則例外狀況 — 此選項對於您無法檢視或變更的受管規則群組特別有用。許多受管規則群組規則會將標籤新增至相符的 Web 要求,以指出符合的規則,並可能提供相符項目的其他相關資訊。當您使用將標籤新增至要求的規則群組時,您可以覆寫規則群組規則來計算相符項目,然後在根據規則群組標籤處理 Web 要求的規則群組後執行規則。所有AWS受管規則會新增標籤至符合的 Web 請求。如需詳細資訊,請參閱中的規則說明AWS受管規則規則群組清單

AWS受管規則規則群組會將標籤新增至其評估的 Web 要求。這些標籤大部分都是由規則群組中的規則新增的。某些標籤會由受管理規則所使用的AWS程序新增。例如,帳戶接管預防和 Bot Control 受管理規則群組使用AWS WAF權杖管理,將標籤新增至指出其權杖狀態的要求。如需受管規則群組及其新增標籤的相關資訊,請參閱AWS受管規則規則群組清單