Amazon WAFWeb 请求上的标签 - Amazon WAF、Amazon Firewall Manager 和 Amazon Shield Advanced
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon WAFWeb 请求上的标签

标签是规则可以添加到匹配 Web 请求中的元数据。规则在检查 Web 请求时也可以与标签匹配。标签允许匹配规则将结果传递给稍后在同一 Web ACL 中评估的规则。您可以从除规则组引用语句之外的任何规则添加标签。

当 Web 请求与规则匹配时,Amazon WAF将规则的标签添加到请求中。标签在请求中仍然可用,只要Amazon WAF正在对 Web ACL 进行评估。后面在 Web ACL 中运行的规则可以使用标签匹配语句与标签进行匹配。有关标签匹配语句的更多信息,请参阅。标签匹配规则语句.

的常见使用案例Amazon WAF标签包括:

  • 在对请求执行操作之前,根据多个规则语句评估 Web 请求— 在 Web ACL 中找到规则匹配后,Amazon WAF仅当匹配规则操作计数时,才会继续根据 Web ACL 进行评估。标签允许您在对 Web 请求执行允许或阻止操作之前,评估和收集多个规则的信息。为此,您可以将现有规则的操作更改为计数并向其添加标签。使用标签指示匹配项以及您要对请求执行的操作。以这种方式修改的规则都可以运行并提供有关他们找到的匹配项的信息,例如日志和衡量指标。然后,在最终的附加规则中,您可以评估已应用的标签并确定如何处理请求。

  • 跨多个规则重复使用逻辑— 如果需要跨多个规则重复使用相同的逻辑,则可以使用标签对逻辑进行单一源代码并仅测试结果。如果有多个使用嵌套规则语句的公共子集的复杂规则,则在复杂规则之间复制公用规则集可能非常耗时且容易出错。使用标签,您可以创建具有公用规则子集的新规则,该规则子集对匹配请求进行计数并向其添加标签。您可以将新规则添加到 Web ACL,以便它在原始复杂规则之前运行。然后,在原始规则中,将共享规则子集替换为检查标签的单个规则。

    例如,假设您有多个只希望应用于登录路径的规则。您可以实现一个包含该逻辑的规则,并让规则添加一个标签,指示请求位于登录路径上,而不是让每个规则指定相同的逻辑来匹配潜在登录路径。在 Web ACL 中,为此新规则提供低于原始规则的数字优先级设置。然后,在原始规则中,将共享逻辑替换为检查标签是否存在。

  • 在规则组中创建规则的例外— 此选项对于无法查看或更改的托管规则组特别有用。对于某些托管规则组,规则会向匹配的 Web 请求添加标签,以指示匹配的规则,并可能提供有关匹配的其他信息。当您使用以这种方式向请求添加标签的规则组时,您可以通过将所有规则置于计数模式来自定义规则组的操作,并创建在规则组之后运行的自定义规则。这些自定义规则根据规则组的标签处理请求。