Verwenden von Labels für Webanfragen in AWS WAF - AWS WAFAWS Firewall Manager, und AWS Shield Advanced

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden von Labels für Webanfragen in AWS WAF

In diesem Abschnitt wird erklärt, was AWS WAF Beschriftungen sind.

Bei einem Label handelt es sich um Metadaten, die einer Webanforderung durch eine Regel hinzugefügt werden, wenn die Regel mit der Anfrage übereinstimmt. Nach dem Hinzufügen bleibt ein Label in der Anfrage verfügbar, bis die ACL Web-Evaluierung endet. Sie können auf Labels in Regeln zugreifen, die später in der ACL Web-Evaluierung ausgeführt werden, indem Sie eine Label Match-Anweisung verwenden. Details hierzu finden Sie unter Regelanweisung für Bezeichnungsübereinstimmung.

Labels in Webanfragen generieren CloudWatch Amazon-Labelmetriken. Eine Liste der Metriken und Dimensionen finden Sie unterKennzeichnen Sie Metriken und Dimensionen. Informationen zum Zugriff auf Metriken und Metrikzusammenfassungen über CloudWatch und über AWS WAF Konsole finden Sie unterÜberwachung und Optimierung Ihrer AWS WAF Schutzmaßnahmen.

Anwendungsfälle kennzeichnen

Häufige Anwendungsfälle für AWS WAF Zu den Bezeichnungen gehören die folgenden:

  • Prüfung einer Webanforderung anhand mehrerer Regelanweisungen, bevor Maßnahmen für die Anfrage ergriffen werden — Nachdem eine Übereinstimmung mit einer Regel in einem Web gefunden wurdeACL, AWS WAF setzt die Auswertung der Anfrage anhand des Webs fort, ACL wenn die Regelaktion die ACL Web-Evaluierung nicht beendet. Sie können Labels verwenden, um Informationen aus mehreren Regeln auszuwerten und zu sammeln, bevor Sie entscheiden, die Anfrage zuzulassen oder zu blockieren. Ändern Sie dazu die Aktionen für Ihre vorhandenen Regeln in Count und konfigurieren Sie sie so, dass sie passenden Anfragen Labels hinzufügen. Fügen Sie dann eine oder mehrere neue Regeln hinzu, die nach Ihren anderen Regeln ausgeführt werden sollen, und konfigurieren Sie sie so, dass sie die Labels auswerten und die Anfragen entsprechend den Label-Match-Kombinationen verwalten.

  • Verwaltung von Webanfragen nach geografischer Region — Sie können nur die geografische Vergleichsregel verwenden, um Webanfragen nach Herkunftsland zu verwalten. Um den Standort bis auf Regionsebene zu optimieren, verwenden Sie die Geo-Match-Regel mit einem Count Aktion, gefolgt von einer Label-Abgleichsregel. Informationen zur Geo-Match-Regel finden Sie unterAnweisung für Regel zur geographischen Übereinstimmung.

  • Wiederverwenden von Logik über mehrere Regeln hinweg – Wenn Sie dieselbe Logik in mehreren Regeln wiederverwenden müssen, können Sie die Logik mit Hilfe von Bezeichnungen aus einer Quelle beziehen und nur die Ergebnisse testen. Wenn Sie mehrere komplexe Regeln haben, die eine gemeinsame Teilmenge von verschachtelten Regelanweisungen verwenden, kann die Duplizierung des gemeinsamen Regelsatzes für Ihre komplexen Regeln zeitaufwendig und fehleranfällig sein. Mit Bezeichnungen können Sie eine neue Regel mit dem gemeinsamen Regelteilsatz erstellen, die übereinstimmende Anforderungen zählt und ihnen eine Bezeichnung hinzufügt. Sie fügen die neue Regel zu Ihrer Website hinzu, ACL sodass sie vor Ihren ursprünglichen komplexen Regeln ausgeführt wird. Dann ersetzen Sie in Ihren ursprünglichen Regeln den gemeinsamen Regelteilsatz durch eine einzelne Regel, die auf die Bezeichnung prüft.

    Angenommen, Sie haben mehrere Regeln, die Sie nur auf Ihre Anmeldepfade anwenden möchten. Anstatt in jeder Regel dieselbe Logik zum Abgleich potenzieller Anmeldepfade anzugeben, können Sie eine einzige neue Regel implementieren, die diese Logik enthält. Die neue Regel fügt den übereinstimmenden Anforderungen eine Bezeichnung hinzu, um anzuzeigen, dass sich die Anforderung auf einem Anmeldepfad befindet. Geben Sie dieser neuen Regel in Ihrem Web ACL eine niedrigere numerische Priorität als Ihre ursprünglichen Regeln, sodass sie zuerst ausgeführt wird. Ersetzen Sie dann in Ihren ursprünglichen Regeln die gemeinsame Logik durch eine Überprüfung auf das Vorhandensein der Bezeichnung. Weitere Informationen zu Prioritätseinstellungen finden Sie unter Regelpriorität in einem Web festlegen ACL.

  • Erstellen von Ausnahmen von Regeln in Regelgruppen – Diese Option ist besonders nützlich für verwaltete Regelgruppen, die Sie nicht anzeigen oder ändern können. Viele verwaltete Regelgruppenregeln fügen übereinstimmenden Webanfragen Labels hinzu, um anzugeben, welche Regeln zutreffen, und um möglicherweise zusätzliche Informationen über die Übereinstimmung bereitzustellen. Wenn Sie eine Regelgruppe verwenden, die Bezeichnungen zu Anfragen hinzufügt, können Sie die Regelgruppenregeln überschreiben, um Treffer zu zählen, und dann eine Regel nach der Regelgruppe ausführen, die die Webanfrage auf der Grundlage der Regelgruppenbezeichnungen bearbeitet. Alle AWS Verwaltete Regeln fügen den entsprechenden Webanfragen Labels hinzu. Weitere Informationen erhalten Sie in den Regelbeschreibungen unter AWS Liste der Regelgruppen für verwaltete Regeln.

  • Verwenden von Label-Metriken zur Überwachung von Verkehrsmustern — Sie können auf Metriken für Labels zugreifen, die Sie über Ihre Regeln hinzufügen, und für Metriken, die von allen verwalteten Regelgruppen hinzugefügt wurden, die Sie in Ihrem Web verwendenACL. Alle AWS Regelgruppen für verwaltete Regeln fügen den Webanfragen, die sie auswerten, Labels hinzu. Eine Liste der Label-Metriken und Dimensionen finden Sie unterKennzeichnen Sie Metriken und Dimensionen. Sie können auf Metriken und Metrikzusammenfassungen über CloudWatch und über die ACL Webseite im zugreifen AWS WAF console. Weitere Informationen finden Sie unter Überwachung und Optimierung Ihrer AWS WAF Schutzmaßnahmen.