Amazon WAF 标签匹配示例 - Amazon WAF、 Amazon Firewall ManagerAmazon Shield Advanced、和 Amazon Shield 网络安全总监
与本地标签匹配与来自其他上下文的标签进行匹配与托管规则组标签匹配与本地命名空间匹配与托管规则组命名空间匹配
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

引入全新的主机体验 Amazon WAF

现在,您可以使用更新的体验访问控制台中任意位置的 Amazon WAF 功能。有关更多详细信息,请参阅 使用更新的主机体验

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon WAF 标签匹配示例

本节提供标签匹配规则语句的匹配规范示例。

注意

这些 JSON 列表是在控制台中创建的,方法是向保护包或 Web ACL 中添加一条带有标签匹配规范的规则,然后编辑规则并切换到规则 JSON 编辑器。您还可以通过或命令行界面获取规则组、保护包或 Web ACL 的 JSON。 APIs

与本地标签匹配

以下 JSON 列表显示了与本规则上下文相同的标签匹配语句,该标签添加了到本地 Web 请求中。

Rule: {
    Name: "match_rule",
    Statement: {
        LabelMatchStatement: {
            Scope: "LABEL",
            Key: "header:encoding:utf8"
        }
    },
    RuleLabels: [
        ...generate_more_labels...
    ],
    Action: { Block: {} }
}

如果您在账户 111122223333 中使用此匹配语句,则在您为保护包或 Web ACL 定义的规则中testWebACL,它将匹配以下标签。

awswaf:111122223333:webacl:testWebACL:header:encoding:utf8
awswaf:111122223333:webacl:testWebACL:testNS1:testNS2:header:encoding:utf8

它与以下标签不匹配,因为标签字符串不完全匹配。

awswaf:111122223333:webacl:testWebACL:header:encoding2:utf8

它与以下标签不匹配,因为上下文不一样,因此前缀不匹配。即使您将规则组productionRules添加到定义规则的保护包或 Web ACL 中testWebACL,也是如此。

awswaf:111122223333:rulegroup:productionRules:header:encoding:utf8

与来自其他上下文的标签进行匹配

以下 JSON 列表显示了一条标签匹配规则,该规则与用户创建的规则组内规则的标签相匹配。在保护包或 Web ACL 中运行但不属于命名规则组的所有规则在规范中都必须使用前缀。此示例标签规范仅匹配确切的标签。

Rule: {
    Name: "match_rule",
    Statement: {
        LabelMatchStatement: {
            Scope: "LABEL",
            Key: "awswaf:111122223333:rulegroup:testRules:header:encoding:utf8"
        }
    },
    RuleLabels: [
        ...generate_more_labels...
    ],
    Action: { Block: {} }
}

与托管规则组标签匹配

这是一种特殊情况,即与来自另一种上下文的标签进行匹配,而不是与匹配规则的上下文进行匹配。以下 JSON 列表显示了托管规则组标签的标签匹配语句。这仅匹配标签匹配语句的键设置中指定的确切标签。

Rule: {
    Name: "match_rule",
    Statement: {
        LabelMatchStatement: {
            Scope: "LABEL",
            Key: "awswaf:managed:aws:managed-rule-set:header:encoding:utf8"
        }
    },
    RuleLabels: [
        ...generate_more_labels...
    ],
    Action: { Block: {} }
}

与本地命名空间匹配

以下 JSON 列表显示了本地命名空间的标签匹配语句。

Rule: {
    Name: "match_rule",
    Statement: {
        LabelMatchStatement: {
            Scope: "NAMESPACE",
            Key: "header:encoding:"
        }
    },
    Labels: [
        ...generate_more_labels...
    ],
    Action: { Block: {} }
}

与本地Label匹配类似,如果您在账户 111122223333、为保护包或 Web ACL 定义的规则中使用此语句testWebACL,它将匹配以下标签。

awswaf:111122223333:webacl:testWebACL:header:encoding:utf8

它与以下标签不匹配,因为账户不一样,因此前缀不匹配。

awswaf:444455556666:webacl:testWebACL:header:encoding:utf8

该前缀也与托管规则组应用的任何标签都不匹配,如下所示。

awswaf:managed:aws:managed-rule-set:header:encoding:utf8

与托管规则组命名空间匹配

以下 JSON 列表显示了托管规则组命名空间的标签匹配语句。对于您拥有的规则组,您还需要提供前缀,以便匹配规则上下文之外的命名空间。

Rule: {
    Name: "match_rule",
    Statement: {
        LabelMatchStatement: {
            Scope: "NAMESPACE",
            Key: "awswaf:managed:aws:managed-rule-set:header:"
        }
    },
    RuleLabels: [
        ...generate_more_labels...
    ],
    Action: { Block: {} }
}

此规范与以下示例标签相匹配。

awswaf:managed:aws:managed-rule-set:header:encoding:utf8
awswaf:managed:aws:managed-rule-set:header:encoding:unicode

它与以下标签不匹配。

awswaf:managed:aws:managed-rule-set:query:badstring