在 Web 请求中添加标签 AWS WAF - AWS WAFAWS Firewall Manager、和 AWS Shield Advanced

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在 Web 请求中添加标签 AWS WAF

本节说明了什么是 AWS WAF 标签。

标签是规则与 Web 请求匹配时添加到此请求中的元数据。添加后,在网络ACL评估结束之前,请求中仍有标签可用。您可以使用标签匹配语句访问稍后在 Web ACL 评估中运行的规则中的标签。有关详细信息,请参阅标签匹配规则语句

网络请求上的标签会生成 Amazon CloudWatch 标签指标。有关指标和维度的列表,请参阅 标签指标和维度。有关通过控制台和通过 AWS WAF 控制台访问指标 CloudWatch 和指标摘要的信息,请参阅监控和调整您的 AWS WAF 保护

标签用例

AWS WAF 标签的常见用例包括以下几种:

  • 在@@ 对请求采取行动之前,根据多个规则语句评估网络请求 — 在发现与 Web 中的规则匹配后ACL,ACL如果规则操作没有终止 Web 评估,则 AWS WAF 继续根据 Web ACL 评估该请求。在决定允许或阻止请求之前,您可以使用标签来评估和收集来自多个规则的信息。为此,请将现有规则的操作更改为 Count 并将它们配置为为匹配的请求添加标签。然后,添加一个或多个新规则,在其他规则之后运行,并将它们配置为根据标签匹配组合评估标签并管理请求。

  • 按地理区域管理 Web 请求 – 您可以单独使用地理匹配规则来按来源国管理 Web 请求。要将位置微调到区域级别,您可以使用带有地理匹配规则的 Count 操作后面是标签匹配规则。有关地理匹配规则的信息,请参阅 地理匹配规则语句

  • 跨多个规则重复使用逻辑 – 如果您需要在多个规则中重复使用相同的逻辑,则可以使用标签对逻辑进行单一来源化,然后测试结果。当您有多个使用嵌套规则语句的公共子集的复杂规则时,在复杂的规则中复制通用规则集可能非常耗时且容易出错。使用标签,您可以使用通用规则子集创建新规则,该子集计算匹配请求并为其添加标签。您将新规则添加到您的 Web 中,ACL使其在最初的复杂规则之前运行。然后,在原始规则中,将共享规则子集替换为检查标签的单个规则。

    例如,假设您有多条规则,而您只想应用于您的登录路径。与其让每条规则指定相同的逻辑来匹配潜在的登录路径,不如实施一条包含该逻辑的新规则。让新规则为匹配的请求添加标签,以表明该请求位于登录路径上。在你的网站中ACL,为这个新规则设置一个比你原来的规则更低的数字优先级,这样它就会首先运行。然后,在您的原始规则中,将共享逻辑替换为检查标签是否存在。有关优先级设置的信息,请参阅 在 Web ACL 中设置规则优先级

  • 为规则组中的规则创建例外 – 此选项对您无法查看或更改的托管规则组特别有用。许多托管规则组规则会为匹配的 Web 请求添加标签,以指示匹配的规则,并可能提供有关匹配的更多信息。当您使用向请求添加标签的规则组时,您可以覆盖规则组规则来计算匹配次数,然后根据规则组标签在处理 Web 请求的规则组之后运行规则。所有 AWS 托管规则都会将标签添加到匹配的 Web 请求。有关详细说明,请参阅 AWS 托管规则规则组列表 的规则说明。

  • 使用标签指标监控流量模式-您可以访问通过规则添加的标签的指标,以及您在网络中使用的任何托管规则组添加的指标的指标ACL。所有 AWS 托管规则组都会为其评估的 Web 请求添加标签。有关标签指标和维度的列表,请参阅 标签指标和维度。您可以通过或通过 AWS WAF 控制台中的ACL网页访问指标 CloudWatch 和指标摘要。有关信息,请参阅监控和调整您的 AWS WAF 保护