介绍 Amazon WAF 的全新控制台体验
现在,您可以使用更新后的体验访问控制台中任意位置的 Amazon WAF 功能。有关更多详细信息,请参阅 使用更新的控制台体验。
Amazon WAF 中的标签工作方式
本节介绍了 Amazon WAF 标签的工作方式。
当规则与 Web 请求匹配时,如果该规则定义了标签,则 Amazon WAF 会在规则评估结束时将标签添加到请求中。在保护包(web ACL)中的匹配规则之后评估的规则可能与规则添加的标签进行匹配。
谁在请求中添加标签
评估请求的保护包(web ACL)组件可以为请求添加标签。
-
任何不是规则组参考语句的规则都可以为匹配的 Web 请求添加标签。标签条件是规则定义的一部分,当 Web 请求与规则匹配时,Amazon WAF 会将规则的标签添加到请求中。有关信息,请参阅 添加标签的 Amazon WAF 规则。
-
地理匹配规则语句会为其检查的任何请求添加国家和区域标签,无论该语句是否产生匹配。有关信息,请参阅 地理匹配规则语句。
-
Amazon WAF 的 Amazon 托管规则都会为他们检查的请求添加标签。它们根据规则组中的规则匹配添加一些标签,并根据托管规则组使用的 Amazon 流程添加一些标签,例如使用智能威胁缓解规则组时添加的令牌标签。有关每个托管规则组添加的标签的信息,请参阅 Amazon 托管规则的规则组列表。
Amazon WAF 如何管理标签
Amazon WAF 在规则对请求的检查结束时,将规则的标签添加到请求中。标记是规则匹配活动的一部分,与操作类似。
保护包(web ACL)评估结束后,标签不会保留在 web 请求中。为使其他规则与您规则添加的标签相匹配,您的规则操作不得终止保护包(web ACL)对 web 请求的评估。规则操作必须设置为 Count、CAPTCHA 或 Challenge。当保护包(web ACL)评估未终止时,保护包(web ACL)中的后续规则可以根据请求运行其标签匹配条件。有关规则操作的更多信息,请参阅 在 Amazon WAF 中使用规则操作。
在保护包(web ACL)评估期间访问标签
添加后,只要 Amazon WAF 根据保护包(web ACL)评估请求,标签就会在请求上保持可用。保护包(web ACL)中的任何规则都可以访问已在同一保护包(web ACL)中运行的规则所添加的标签。这包括直接在保护包(web ACL)中定义的规则和在保护包(web ACL)中所使用规则组中定义的规则。
-
您可以使用标签匹配语句与规则的请求检查条件中的标签进行匹配。您可以与请求中附加的任何标签进行匹配。有关语句的详细信息,请参阅 标签匹配规则语句。
-
地理匹配语句会添加带或不带匹配项的标签,但只有在该语句的包含保护包(web ACL)规则完成请求评估后,这些标签才可用。
-
您不能使用单个规则(例如逻辑
AND语句)对地理标签运行地理匹配语句和标签匹配语句。您必须将标签匹配语句放在单独的规则中,该规则在包含地理匹配语句的规则之后运行。 -
如果您在基于速率的规则语句或托管规则组参考语句中使用地理匹配语句作为范围缩小语句,则该地理匹配语句添加的标签无法由包含规则的语句进行检查。如果您需要在基于速率的规则语句或规则组中检查地理标记,则必须在事先运行的单独规则中运行地理匹配语句。
-
在保护包(web ACL)评估之外访问标签信息
保护包(web ACL)评估结束后,标签不会保留在 web 请求中,而是 Amazon WAF 将标签信息记录在日志和指标中。
-
Amazon WAF 存储任何单个请求中前 100 个标签的 Amazon CloudWatch 指标。有关访问标签指标的信息,请参阅 使用 Amazon CloudWatch 监控 和 标签指标和维度。
-
Amazon WAF 在 Amazon WAF 控制台的保护包(web ACL)流量概述控制面板中汇总 CloudWatch 标签指标。您可以在任何保护包(web ACL)页面上访问控制面板。有关更多信息,请参阅 保护包(web ACL)的流量概述控制面板。
-
Amazon WAF 在日志中记录请求中前 100 个标签的标签。您可以使用标签和规则操作来筛选 Amazon WAF 记录的日志。有关信息,请参阅 Amazon WAF 保护包(web ACL)流量日志记录。
您的保护包(web ACL)评估可以将 100 多个标签应用于 web 请求并与 100 多个标签进行匹配,但 Amazon WAF 只会在日志和指标中记录前 100 个标签。