AWS WAF 標籤, 上, 网, 請求 - AWS WAF、 AWS Firewall Manager、和 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS WAF 標籤, 上, 网, 請求

標籤是當規則符合要求時,由規則新增至 Web 要求的中繼資料。新增之後,在 Web ACL 評估結束之前,標籤仍然可用於請求中。您可以使用 label match 陳述式存取稍後在 Web ACL 評估中執行的規則中的標籤。如需詳細資訊,請參閱 標籤比對規則陳述式

Web 請求上的標籤會產生 Amazon CloudWatch 標籤指標。如需量度和維度的清單,請參閱標示量度和維度。如需透過主控台和透過 CloudWatch 主控台存取度量和測量結果摘要的相關資 AWS WAF 訊,請參閱監控和調整

標籤使用案例

AWS WAF 標籤的常見使用案例如下:

  • 對請求採取動作之前,針對多個規則陳述式評估 Web 請求 — 在 Web ACL 中找到符合規則之後,如果規則動作未終止 Web ACL 評估,則 AWS WAF 繼續針對 Web ACL 評估評估請求。在決定允許或封鎖請求之前,您可以使用標籤來評估和收集來自多個規則的資訊。若要執行此操作,請將現有規則的動作變更為,Count並將其配置為將標籤新增至相符請求。然後,新增一或多個要在其他規則之後執行的新規則,並將其設定為評估標籤,並根據標籤比對組合管理請求。

  • 依地理區域管理 Web 請求 — 您可以單獨使用地理比對規則,依來源國家/地區管理 Web 請求。若要微調至區域層級的位置,您可以使用地理比對規則搭配Count動作,然後再加上標籤比對規則。如需地理比對規則的相關資訊,請參閱地理比對規則陳述式

  • 跨多個規則重複使用邏輯 — 如果您需要跨多個規則重複使用相同的邏輯,您可以使用標籤來單一取得邏輯,然後只測試結果。當您有多個使用巢狀規則陳述式共同子集的複雜規則時,在複雜規則之間複製通用規則集可能會耗時且容易出錯。使用標籤,您可以建立包含通用規則子集的新規則,以計算相符請求並為其新增標籤。您可以將新規則新增至 Web ACL,使其在原始複雜規則之前執行。然後,在原始規則中,將共用規則子集取代為檢查標籤的單一規則。

    例如,假設您有多個只想套用至登入路徑的規則。您可以實作包含該邏輯的單一新規則,而不是讓每個規則都指定相同的邏輯以符合潛在的登入路徑。讓新規則為相符的要求新增標籤,以指出要求位於登入路徑上。在 Web ACL 中,將此新規則指定為低於原始規則的數值優先順序設定,以便先執行。然後,在您的原始規則中,用檢查標籤是否存在替換共享邏輯。如需優先順序設定的資訊,請參閱Web ACL 中規則和規則群組的處理順序

  • 在規則群組中建立規則例外 — 此選項對於您無法檢視或變更的受管規則群組特別有用。許多受管規則群組規則會將標籤新增至相符的 Web 要求,以指出符合的規則,並可能提供相符項目的其他相關資訊。當您使用將標籤新增至要求的規則群組時,您可以覆寫規則群組規則來計算相符項目,然後在根據規則群組標籤處理 Web 要求的規則群組後執行規則。所有 AWS 受管規則都會將標籤新增至相符的 Web 要求。如需詳細資訊,請參閱中的規則說明AWS 受管規則規則群組清單

  • 使用標籤指標監控流量模式 — 您可以存取透過規則新增的標籤以及您在 Web ACL 中使用之任何受管規則群組新增的量度的指標。所有受 AWS 管規則群組都會將標籤新增至其評估的 Web 要求。如需標籤量度和維度的清單,請參閱標示量度和維度。您可以透過 AWS WAF 主控台中的 Web ACL 頁面存取測量結果 CloudWatch 和測量結果摘要。如需相關資訊,請參閱監控和調整