Amazon WAF 网络请求上的标签

在@@ 对请求采取操作之前，根据多个规则语句评估 Web 请求-在发现与 Web ACL 中的规则匹配后，如果规则操作未终止 Web ACL 评估，则 Amazon WAF 继续根据 Web ACL 评估该请求。在决定允许或阻止请求之前，您可以使用标签来评估和收集来自多个规则的信息。为此，请将现有规则的操作更改为 Count，然后将其配置为为匹配的请求添加标签。然后，添加一个或多个新规则，在其他规则之后运行，并将它们配置为根据标签匹配组合评估标签并管理请求。

按地理区域管理 Web 请求 – 您可以单独使用地理匹配规则来按来源国管理 Web 请求。要将位置精细调整到区域级别，您可以使用带有 Count 操作和标签匹配规则的地理匹配规则。有关地理匹配规则的信息，请参阅 地理匹配规则语句。

跨多个规则重复使用逻辑 – 如果您需要在多个规则中重复使用相同的逻辑，则可以使用标签对逻辑进行单一来源化，然后测试结果。当您有多个使用嵌套规则语句的公共子集的复杂规则时，在复杂的规则中复制通用规则集可能非常耗时且容易出错。使用标签，您可以使用通用规则子集创建新规则，该子集计算匹配请求并为其添加标签。您将新规则添加到 Web ACL 中，使其在最初的复杂规则之前运行。然后，在原始规则中，将共享规则子集替换为检查标签的单个规则。

例如，假设您有多条规则，而您只想应用于您的登录路径。与其让每条规则指定相同的逻辑来匹配潜在的登录路径，不如实施一条包含该逻辑的新规则。让新规则为匹配的请求添加标签，以表明该请求位于登录路径上。在您的 Web ACL 中，为该新规则设置比原始规则更低的数字优先级，使其首先运行。然后，在您的原始规则中，将共享逻辑替换为检查标签是否存在。有关优先级设置的信息，请参阅 Web ACL 中规则和规则组的处理顺序。

为规则组中的规则创建例外 – 此选项对您无法查看或更改的托管规则组特别有用。许多托管规则组规则会为匹配的 Web 请求添加标签，以指示匹配的规则，并可能提供有关匹配的更多信息。当您使用向请求添加标签的规则组时，您可以覆盖规则组规则来计算匹配次数，然后根据规则组标签在处理 Web 请求的规则组之后运行规则。所有 Amazon 托管规则都会将标签添加到匹配的 Web 请求。有关详细说明，请参阅 Amazon 托管规则规则组列表 的规则说明。

使用标签指标监控流量模式 – 您可以访问您通过规则添加的标签的指标，以及您在 Web ACL 中使用的任何托管规则组添加的指标。所有 Amazon 托管规则组都会为其评估的 Web 请求添加标签。有关标签指标和维度的列表，请参阅 标签指标和维度。您可以通过或通过 Amazon WAF 控制台中的 Web ACL 页面访问指标 CloudWatch 和指标摘要。有关信息，请参阅监控和调整。