本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon WAF网络请求上的标签
标签是通过匹配规则添加到 Web 请求的元数据。您可以使用标签使一个规则的结果匹配其他规则可用。添加到 Web 请求后,标签仍然可供同一 Web ACL 中的其他规则检查。您可以使用标签匹配语句与规则的请求检查标准中的标签进行匹配。有关详细信息,请参阅标签匹配规则声明。
的常见用例Amazon WAF标签包括以下内容:
-
在对请求采取操作之前,根据多个规则语句评估 Web 请求— 在 Web ACL 中找到与规则的匹配项后,Amazon WAF如果规则操作是,则继续根据 Web ACL 评估请求Count。在决定允许或阻止请求之前,您可以使用标签评估和收集来自多个规则的信息。为此,请将现有规则的操作更改为Count并将它们配置为为匹配的请求添加标签。然后,添加一个或多个新规则以在其他规则之后运行,并将它们配置为评估标签并根据标签匹配组合管理请求。
-
按地理区域管理 Web 请求— 您可以单独使用地理匹配规则来管理原产国的 Web 请求。要将位置向下微调至区域级别,您可以使用地理匹配规则和 Count 操作,然后使用标签匹配规则。有关地理匹配规则的信息,请参阅地理匹配规则语句。
-
在多个规则中重用逻辑— 如果您需要在多个规则中重复使用相同的逻辑,则可以使用标签来单一来源逻辑,然后测试结果。当您有多个使用嵌套规则语句的公共子集的复杂规则时,在复杂的规则中复制通用规则集可能非常耗时且容易出错。使用标签,您可以使用通用规则子集创建新规则,该子集对匹配的请求进行计数并为其添加标签。您可以将新规则添加到 Web ACL,使其在您的原始复杂规则之前运行。然后,在原始规则中,将共享规则子集替换为检查标签的单个规则。
例如,假设您有多个只想应用于登录路径的规则。您可以实现包含该逻辑的单个新规则,而不是让每条规则指定相同的逻辑来匹配潜在的登录路径。让新规则为匹配的请求添加标签,以表明请求位于登录路径上。在您的 Web ACL 中,为该新规则设置一个比原始规则更低的数字优先级,以便它首先运行。然后,在您的原始规则中,将共享逻辑替换为检查标签是否存在。有关优先级设置的信息,请参见Web ACL 中规则和规则组的处理顺序。
-
为规则组中的规则创建例外— 此选项对托管规则组特别有用,您无法查看或更改这些规则组。许多托管规则组规则会为匹配的 Web 请求添加标签,以指明匹配的规则,并可能提供有关匹配的更多信息。当您使用向请求添加标签的规则组时,可以覆盖规则组规则以计算匹配数,然后在基于规则组标签处理 Web 请求的规则组之后运行规则。全部Amazon托管规则为匹配的 Web 请求添加标签。有关详细信息,请参阅中的规则描述Amazon托管规则规则组列表。
Amazon托管规则规则组为他们评估的 Web 请求添加标签。这些标签中的大多数是由规则组中的规则添加的。有些标签是由添加的Amazon托管规则使用的进程。例如,账户盗用防护和 Bot Control 托管规则组使用Amazon WAF令牌管理,为请求添加标签,以指示其令牌的状态。有关托管规则组及其添加的标签的信息,请参阅Amazon托管规则规则组列表。