So funktioniert die Kennzeichnung in AWS WAF

In diesem Abschnitt wird erklärt, wie AWS WAF Beschriftungen funktionieren.

Wenn eine Regel mit einer Webanforderung übereinstimmt und für die Regel Labels definiert sind, AWS WAF fügt der Anfrage am Ende der Regelauswertung die Labels hinzu. Regeln, die nach der Vergleichsregel im Internet ausgewertet werden, ACL können mit den Bezeichnungen übereinstimmen, die die Regel hinzugefügt hat.

Wer fügt Bezeichnungen zu Anfragen hinzu

Die ACL Webkomponenten, die Anfragen auswerten, können den Anfragen Labels hinzufügen.

Jede Regel, bei der es sich nicht um eine Referenzaussage für Regelgruppen handelt, kann passenden Webanfragen Labels hinzufügen. Die Kennzeichnungskriterien sind Teil der Regeldefinition, und wenn eine Webanfrage der Regel entspricht, AWS WAF fügt der Anfrage die Bezeichnungen der Regel hinzu. Weitere Informationen finden Sie unter AWS WAF Regeln, die Labels hinzufügen.
Die Geo-Match-Regelanweisung fügt jeder Anfrage, die sie überprüft, Länder- und Regionskennzeichnungen hinzu, unabhängig davon, ob die Anweisung zu einer Übereinstimmung führt. Weitere Informationen finden Sie unter Anweisung für Regel zur geographischen Übereinstimmung.
Das Tool AWS Verwaltete Regeln für AWS WAF alle fügen den Anfragen, die sie prüfen, Labels hinzu. Sie fügen einige Labels hinzu, die auf Regelübereinstimmungen in der Regelgruppe basieren, und sie fügen einige hinzu, die auf folgenden Kriterien basieren AWS Prozesse, die von den verwalteten Regelgruppen verwendet werden, z. B. die Token-Kennzeichnung, die hinzugefügt wird, wenn Sie eine Regelgruppe zur intelligenten Bedrohungsabwehr verwenden. Informationen zu den Bezeichnungen, die jede verwaltete Regelgruppe hinzufügt, finden Sie unterAWS Liste der Regelgruppen für verwaltete Regeln.

Wie AWS WAF verwaltet Beschriftungen

AWS WAF fügt der Anfrage die Labels der Regel hinzu, wenn die Regel die Anfrage überprüft hat. Die Kennzeichnung ist, ähnlich wie die Aktion, Teil der Abgleichsaktivitäten einer Regel.

Labels bleiben nach Abschluss der ACL Web-Evaluierung nicht in der Webanfrage erhalten. Damit andere Regeln mit einem von Ihrer Regel hinzugefügten Label übereinstimmen, darf Ihre Regelaktion die Auswertung der Webanfrage durch das Web ACL nicht beenden. Die Regelaktion muss auf eingestellt sein Count, CAPTCHA, oder Challenge. Wenn die ACL Web-Evaluierung nicht beendet wird, ACL können nachfolgende Regeln im Web ihre Label-Kriterien anhand der Anfrage überprüfen. Weitere Informationen zu Regelaktionen unter Verwenden von Regelaktionen in AWS WAF.

Zugriff auf Labels während der ACL Web-Evaluierung

Einmal hinzugefügte Labels bleiben auf Anfrage verfügbar, solange AWS WAF vergleicht die Anfrage mit dem InternetACL. Jede Regel in einem Web ACL kann auf Labels zugreifen, die durch Regeln hinzugefügt wurden, die bereits im selben Web ausgeführt wurdenACL. Dazu gehören Regeln, die direkt im Web definiert sind, ACL und Regeln, die innerhalb von Regelgruppen definiert sind, die im Web verwendet werdenACL.

Mithilfe der Anweisung „Label Match“ können Sie einen Abgleich mit einem Label in den Anforderungsprüfkriterien Ihrer Regel vornehmen. Sie können einen Abgleich mit jedem Etikett durchführen, das der Anfrage beigefügt ist. Details zur Anweisung finden Sie unter Regelanweisung für Bezeichnungsübereinstimmung.
Die geografische Abgleichsanweisung fügt Beschriftungen mit oder ohne Treffer hinzu. Sie sind jedoch erst verfügbar, nachdem die ACL Webregel, die die Anweisung enthält, die Auswertung der Anfrage abgeschlossen hat.
- Sie können nicht eine einzelne Regel, z. B. eine logische AND Aussage, verwenden, um eine Geo-Match-Anweisung gefolgt von einer Label-Match-Anweisung anhand der geografischen Beschriftungen auszuführen. Sie müssen die Label-Match-Anweisung in eine separate Regel einfügen, die nach der Regel ausgeführt wird, die die Geo-Match-Anweisung enthält.
- Wenn Sie eine Geo-Match-Anweisung als Scopedown-Aussage innerhalb einer ratenbasierten Regelaussage oder einer Referenzaussage für verwaltete Regelgruppen verwenden, können die Bezeichnungen, die durch die Geo-Match-Anweisung hinzugefügt werden, nicht durch die Anweisung der Regel überprüft werden, die sie enthält. Wenn Sie die geografische Kennzeichnung in einer ratenbasierten Regelaussage oder einer Regelgruppe überprüfen müssen, müssen Sie die Geo-Match-Anweisung in einer separaten Regel ausführen, die zuvor ausgeführt wird.

Zugriff auf Labelinformationen außerhalb der Web-Evaluierung ACL

Labels bleiben nach dem Ende der ACL Web-Evaluierung nicht in der Webanfrage erhalten, sondern AWS WAF zeichnet Labelinformationen in den Protokollen und in Metriken auf.

AWS WAF speichert CloudWatch Amazon-Metriken für die ersten 100 Labels auf jeder einzelnen Anfrage. Informationen zum Zugriff auf Label-Metriken finden Sie unter Überwachung mit Amazon CloudWatch undKennzeichnen Sie Metriken und Dimensionen.
AWS WAF fasst CloudWatch Label-Metriken in den Dashboards mit der Übersicht über den ACL Web-Traffic im AWS WAF console. Sie können auf jeder Webseite auf die Dashboards zugreifen. ACL Weitere Informationen finden Sie unter Dashboards zur Übersicht über den Web-ACL-Verkehr.
AWS WAF zeichnet Labels in den Protokollen für die ersten 100 Labels einer Anfrage auf. Sie können Labels zusammen mit der Regelaktion verwenden, um die Logs zu filtern, die AWS WAF Aufzeichnungen. Weitere Informationen finden Sie unter Protokollierung AWS WAF ACLWeb-Traffic.

Ihre ACL Web-Evaluierung kann mehr als 100 Labels auf eine Webanfrage anwenden und diese mit mehr als 100 Labels abgleichen, aber AWS WAF zeichnet nur die ersten 100 in den Protokollen und Metriken auf.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Verwendung von Labels bei Webanfragen

Bezeichnungssyntax- und Benennungsanforderungen