本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
网络请求上的标签
标签是添加到 Web 请求的元数据,它允许匹配请求的规则将其匹配结果传递给稍后在同一 Web ACL 中评估的规则。
-
规则添加标签— 任何不是规则组参考语句的规则都可以向匹配的 Web 请求添加标签。当 Web 请求与规则匹配时,Amazon WAF将规则的标签添加到请求中。只要根据请求,标签就仍然可用Amazon WAF正在对照 Web ACL 对其进行评估。
-
标签匹配语句与标签匹配— 您可以使用标签匹配语句与规则的请求检查标准中的标签进行匹配。有关语句的详细信息,请参阅。标签匹配规则声明.
常见使用案例Amazon WAF标签包括以下内容:
-
在对 Web 请求采取措施之前,根据多个规则语句对该请求进行评估— 在 Web ACL 中找到规则的匹配项后,Amazon WAF仅当匹配规则操作计数时,才会继续针对 Web ACL 进行评估。标签允许您在对 Web 请求采取允许或阻止操作之前,评估和收集多个规则的信息。为此,您可以将现有规则的操作更改为计数,并为其添加标签。使用标签指明匹配项以及您要对请求采取的操作。您以这种方式修改的规则都可以运行,并提供有关它们找到的匹配项的信息,以及日志和指标等目的地。然后,在最后的附加规则中,您可以评估应用的标签并确定如何处理请求。
-
在多个规则之间重复使用逻辑— 如果您需要在多个规则中重复使用相同的逻辑,则可以使用标签来单一来源逻辑,然后仅测试结果。当您有多个使用嵌套规则语句的公共子集的复杂规则时,在复杂的规则中复制通用规则集可能既耗时又容易出错。使用标签,您可以使用通用规则子集创建新规则,该子集计算匹配的请求并为其添加标签。您将新规则添加到 Web ACL 中,使其在原始复杂规则之前运行。然后,在原始规则中,将共享规则子集替换为检查标签的单个规则。
例如,假设你有多条规则只想应用于你的登录路径。与其让每条规则指定相同的逻辑来匹配潜在的登录路径,不如实现一条包含该逻辑的新规则。让新规则为匹配的请求添加标签,以表明请求位于登录路径上。在您的 Web ACL 中,为这个新规则设置一个比原始规则更低的数字优先级设置,以便它首先运行。然后,在原始规则中,将共享逻辑替换为检查标签是否存在。有关优先级设置的信息,请参阅Web ACL 中规则和规则组的处理顺序.
-
为规则组中的规则创建例外— 此选项对于您无法查看或更改的托管规则组特别有用。对于某些托管规则组,规则会向匹配的 Web 请求添加标签,以指示匹配的规则,并可能提供有关匹配的其他信息。当您使用以这种方式向请求添加标签的规则组时,可以将规则置于计数模式,然后在根据添加的标签处理 Web 请求的规则组之后运行规则。全部Amazon托管规则为匹配的 Web 请求添加标签。有关详细信息,请参阅中的规则描述Amazon托管规则规则组列表.
Amazon托管规则规则组为其评估的 Web 请求添加标签。这些标签大多是由规则组中的规则添加的。一些标签是由添加的Amazon托管规则使用的进程。例如,账户盗用防护托管规则组使用的令牌服务AWSManagedRulesATPRuleSet为规则添加标签。有关托管规则组及其添加的标签的信息,请参阅Amazon托管规则规则组列表.