網頁要求上的標籤 - AWS WAF、AWS Firewall Manager 與 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

網頁要求上的標籤

標籤是新增至 Web 要求的中繼資料,可讓符合要求的規則將其比對結果傳達給稍後在相同 Web ACL 中評估的規則。

  • 規則:新增標籤— 任何不是規則群組參考陳述式的規則都可以在相符的 Web 要求中新增標籤。當網頁要求符合規則時,AWS WAF將規則的標籤新增至要求。標籤仍然可以在請求中使用,只要AWS WAF正在根據 Web ACL 評估它。

  • 標籤匹配語句與標籤匹配— 您可以使用 label match 陳述式來比對規則請求檢查條件中的標籤。如需對帳單詳細資訊,請參閱標籤比對規則陳述式

常用案例AWS WAF標示包含下列項目:

  • 在對請求採取行動之前,針對多個規則語句評估 Web 請求— 在 Web ACL 中找到與規則的相符項目之後,AWS WAF只有在相符規則動作為計數時,才會繼續針對 Web ACL 進行評估。標籤可讓您評估並收集多個規則的資訊,然後再對 Web 要求採取允許或封鎖的動作。若要這麼做,您可以變更現有規則的動作,以計算並新增標籤至其中。使用標籤來表示相符項目,以及您要對請求採取的動作。您以這種方式修改的規則都可以執行,並提供有關它們找到的相符項目的資訊,以及記錄檔和指標等目的地。然後,在最後的附加規則中,您可以評估已套用的標籤,並決定如何處理要求。

  • 跨多個規則重複使用邏輯-如果您需要在多個規則中重複使用相同的邏輯,則可以使用標籤來單源邏輯,然後僅測試結果。當您有多個使用巢狀規則陳述式共同子集的複雜規則時,在複雜規則之間複製通用規則集可能會耗時且容易出錯。使用標籤,您可以建立包含通用規則子集的新規則,以計算相符請求並為其新增標籤。您可以將新規則新增至 Web ACL,使其在原始複雜規則之前執行。然後,在原始規則中,將共用規則子集取代為檢查標籤的單一規則。

    例如,假設您有多個只想套用至登入路徑的規則。您可以實作包含該邏輯的單一新規則,而不是讓每個規則都指定相同的邏輯以符合潛在的登入路徑。讓新規則在相符的要求中新增標籤,以指出要求位於登入路徑上。在 Web ACL 中,將此新規則指定為低於原始規則的數值優先順序設定,以便先執行。然後,在您的原始規則中,用檢查標籤是否存在替換共享邏輯。如需優先順序設定的資訊,請參閱Web ACL 中規則和規則群組的處理順序

  • 在規則群組中建立規則的例外— 此選項對於您無法檢視或變更的受管規則群組特別有用。對於某些受管規則群組,規則會將標籤新增至相符的 Web 要求,以指出符合的規則,並可能會提供相符項目的其他相關資訊。當您使用以這種方式將標籤新增至要求的規則群組時,您可以將規則置於計數模式,然後在根據新增的標籤處理 Web 要求的規則群組後執行規則。All (全部)AWS受管規則會將標籤新增至符合的 Web 請求。如需詳細資訊,請參閱的規則描述,AWS受管規則規則群組清單

AWS受管規則規則群組會將標籤新增至其評估的 Web 要求。這些標籤大部分都是由規則群組中的規則新增的。一些標籤由AWS受管理規則所使用的程序。例如,帳戶接管防止受管理規則群組所使用的 Token 服務AWSManagedRulesATPRuleSet將標示加入至規則。如需受管規則群組及其新增標籤的相關資訊,請參閱AWS受管規則規則群組清單