Utilizzo delle etichette nelle richieste Web in AWS WAF - AWS WAFAWS Firewall Manager, e AWS Shield Advanced

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo delle etichette nelle richieste Web in AWS WAF

Questa sezione spiega cosa AWS WAF le etichette sono.

Un'etichetta è costituita da metadati aggiunti a una richiesta Web da una regola quando la regola corrisponde alla richiesta. Una volta aggiunta, un'etichetta rimane disponibile sulla richiesta fino al termine della ACL valutazione web. È possibile accedere alle etichette nelle regole che verranno eseguite successivamente nella ACL valutazione Web utilizzando un'istruzione label match. Per informazioni dettagliate, consultare Dichiarazione della regola di corrispondenza delle etichette.

Le etichette sulle richieste Web generano i parametri delle CloudWatch etichette di Amazon. Per un elenco di metriche e dimensioni, consulta. Metriche e dimensioni delle etichette Per informazioni sull'accesso alle metriche e ai riepiloghi delle metriche tramite e tramite CloudWatch AWS WAF console, vedi. Monitoraggio e ottimizzazione del AWS WAF protezioni

Casi d'uso dell'etichettatura

Casi d'uso comuni per AWS WAF le etichette includono quanto segue:

  • Valutazione di una richiesta Web rispetto a più istruzioni di regole prima di agire sulla richiesta: dopo aver trovato una corrispondenza con una regola in un sito WebACL, AWS WAF continua a valutare la richiesta rispetto al Web ACL se l'azione della regola non interrompe la valutazione web. ACL Puoi utilizzare le etichette per valutare e raccogliere informazioni da più regole prima di decidere di consentire o bloccare la richiesta. A tale scopo, modifica le azioni delle regole esistenti in Count e configurali per aggiungere etichette alle richieste corrispondenti. Quindi, aggiungi una o più nuove regole da eseguire dopo le altre regole e configurale per valutare le etichette e gestire le richieste in base alle combinazioni di abbinamenti delle etichette.

  • Gestione delle richieste Web per area geografica: puoi utilizzare la sola regola di corrispondenza geografica per gestire le richieste Web in base al paese di origine. Per ottimizzare la posizione fino al livello della regione, si utilizza la regola della corrispondenza geografica con un Count azione seguita da una regola di corrispondenza delle etichette. Per informazioni sulla regola del geo match, vediIstruzione regola di corrispondenza geografica.

  • Riutilizzo della logica su più regole: se è necessario riutilizzare la stessa logica su più regole, è possibile utilizzare le etichette come fonte unica della logica e verificare semplicemente i risultati. Quando sono presenti più regole complesse che utilizzano un sottoinsieme comune di istruzioni di regole annidate, la duplicazione del set di regole comuni tra le regole complesse può richiedere molto tempo e può essere soggetta a errori. Con le etichette, puoi creare una nuova regola con il sottoinsieme di regole comuni che conta le richieste corrispondenti e aggiunge loro un'etichetta. Aggiungi la nuova regola al tuo Web ACL in modo che venga eseguita prima delle regole complesse originali. Quindi, nelle regole originali, sostituisci il sottoinsieme di regole condivise con un'unica regola che controlla l'etichetta.

    Ad esempio, supponiamo di avere più regole da applicare solo ai percorsi di accesso. Invece di fare in modo che ogni regola specifichi la stessa logica in base ai potenziali percorsi di accesso, puoi implementare un'unica nuova regola che contenga tale logica. Fai in modo che la nuova regola aggiunga un'etichetta alle richieste corrispondenti per indicare che la richiesta si trova su un percorso di accesso. Nel tuo WebACL, assegna a questa nuova regola un'impostazione di priorità numerica inferiore rispetto alle regole originali in modo che venga eseguita per prima. Quindi, nelle tue regole originali, sostituisci la logica condivisa con un controllo della presenza dell'etichetta. Per informazioni sulle impostazioni di priorità, consultaImpostazione della priorità delle regole in un Web ACL.

  • Creazione di eccezioni alle regole nei gruppi di regole: questa opzione è particolarmente utile per i gruppi di regole gestiti, che non è possibile visualizzare o modificare. Molte regole gestite dei gruppi di regole aggiungono etichette alle richieste Web corrispondenti, per indicare le regole corrispondenti ed eventualmente per fornire informazioni aggiuntive sulla corrispondenza. Quando si utilizza un gruppo di regole che aggiunge etichette alle richieste, è possibile sovrascrivere le regole del gruppo di regole per contare le corrispondenze e quindi eseguire una regola dopo il gruppo di regole che gestisce la richiesta Web in base alle etichette del gruppo di regole. Tutti AWS Le Managed Rules aggiungono etichette alle richieste Web corrispondenti. Per i dettagli, consulta le descrizioni delle regole all'indirizzoAWS Elenco dei gruppi di regole di Managed Rules.

  • Utilizzo delle metriche delle etichette per monitorare i modelli di traffico: puoi accedere alle metriche per le etichette che aggiungi tramite le tue regole e per le metriche aggiunte da qualsiasi gruppo di regole gestito che utilizzi nel tuo Web. ACL Tutte le AWS I gruppi di regole Managed Rules aggiungono etichette alle richieste Web che valutano. Per un elenco delle metriche e delle dimensioni delle etichette, consultaMetriche e dimensioni delle etichette. È possibile accedere alle metriche e ai riepiloghi delle metriche tramite CloudWatch e attraverso la pagina Web in ACL AWS WAF console. Per informazioni, consultare Monitoraggio e ottimizzazione del AWS WAF protezioni.