AWS WAF網頁請求上的標籤 - AWS WAF、AWS Firewall Manager 與 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS WAF網頁請求上的標籤

標籤是規則可新增至相符 Web 要求的中繼資料。規則也可以在檢查 Web 請求時與標籤進行比對。標籤允許相符規則將結果傳送至稍後在相同 Web ACL 中評估的規則。您可以從任何規則新增標籤,但規則群組參照陳述式除外。

當 Web 請求匹配規則時,AWS WAF將規則的標籤添加到請求中。只要在請求上保持可用的標籤AWS WAF正在針對 Web ACL 進行評估。稍後在 Web ACL 中執行的規則,可以使用標籤比對陳述式來比對標籤。如需標籤比對陳述式的詳細資訊,請參閱標籤比對規則陳述式

的常用案例AWS WAF標籤包含下列項目:

  • 針對要求採取動作之前,根據多個規則陳述式評估 Web 要求— 在 Web ACL 中找到與規則相符的項目後,AWS WAF只有在符合規則動作計數時,才會繼續針對 Web ACL 進行評估。標籤可讓您評估和收集多個規則的資訊,然後再對 Web 要求採取允許或封鎖動作。若要執行此動作,您可以變更現有規則的動作,以計算並將標籤新增至規則。使用標籤來指出相符項目,以及您要對要求採取的動作。您以這種方式修改的規則可以全部執行並提供其找到之符合項目的相關資訊,例如記錄檔和度量。然後,在最後的其他規則中,您可以評估已套用的標籤,並決定如何處理要求。

  • 跨多個規則重複使用邏輯-如果您需要在多個規則中重複使用相同的邏輯,則可以使用標籤來單一源代碼邏輯,並僅測試結果。當您有多個使用巢狀規則陳述式的共同子集的複雜規則時,在複雜規則中複製通用規則集可能非常耗時且容易出錯。使用標籤,您可以建立具有通用規則子集的新規則,以計算符合要求並在其中新增標籤。您可以將新規則新增至 Web ACL,讓它在原始複雜規則之前執行。然後,在原始規則中,將共用規則子集取代為檢查標籤的單一規則。

    例如,假設您有多個規則只想套用至您的登入路徑。您可以實作一個包含該邏輯的規則,並讓規則新增指出要求位於登入路徑上的標籤,而不是讓每個規則指定相同的邏輯來符合潛在的登入路徑。在您的 Web ACL 中,為此新規則提供比原始規則低的數字優先順序設定。然後,在您的原始規則中,用檢查標籤是否存在替換共享邏輯。

  • 在規則群組中建立規則例外— 此選項對於您無法檢視或變更的受管理規則群組特別有用。對於某些受管理的規則群組,規則會將標籤新增至符合的 Web 要求,以指出符合的規則,並且可能會提供有關符合項目的其他資訊。當您使用以這種方式將標籤新增至要求的規則群組時,您可以將所有規則置於計數模式,以自訂規則群組的動作,並建立自訂規則以在規則群組之後執行。這些自訂規則會根據規則群組的標籤來處理要求。