So funktioniert die Kennzeichnung in AWS WAF - AWS WAF, AWS Firewall ManagerAWS Shield Advanced, und Direktor für AWS Shield Netzwerksicherheit

Wir stellen vor: ein neues Konsolenerlebnis für AWS WAF

Sie können das aktualisierte Erlebnis jetzt verwenden, um überall in der Konsole auf AWS WAF Funktionen zuzugreifen. Weitere Details finden Sie unter Arbeiten mit der aktualisierten Konsolenerfahrung.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

So funktioniert die Kennzeichnung in AWS WAF

In diesem Abschnitt wird erklärt, wie AWS WAF Beschriftungen funktionieren.

Wenn eine Regel mit einer Webanforderung übereinstimmt und für die Regel Labels definiert sind, werden die Labels der Anfrage am Ende der Regelauswertung AWS WAF hinzugefügt. Regeln, die nach der entsprechenden Regel im Protection Pack oder in der Web-ACL ausgewertet werden, können mit den Bezeichnungen übereinstimmen, die die Regel hinzugefügt hat.

Wer fügt Beschriftungen zu Anfragen hinzu

Das Schutzpaket oder die Web-ACL-Komponenten, die Anfragen auswerten, können den Anfragen Labels hinzufügen.

  • Jede Regel, bei der es sich nicht um eine Referenzanweisung für eine Regelgruppe handelt, kann den entsprechenden Webanfragen Labels hinzufügen. Die Kennzeichnungskriterien sind Teil der Regeldefinition. Wenn eine Webanforderung der Regel entspricht, werden der Anfrage die Bezeichnungen der Regel AWS WAF hinzugefügt. Weitere Informationen finden Sie unter AWS WAF Regeln, die Labels hinzufügen.

  • Die Geo-Match-Regelanweisung fügt jeder Anfrage, die sie überprüft, Länder- und Regionskennzeichnungen hinzu, unabhängig davon, ob die Aussage zu einer Übereinstimmung führt. Weitere Informationen finden Sie unter Anweisung für Regel zur geographischen Übereinstimmung.

  • Die AWS verwalteten Regeln für AWS WAF alle fügen den Anfragen, die sie prüfen, Beschriftungen hinzu. Sie fügen einige Beschriftungen hinzu, die auf Regelübereinstimmungen in der Regelgruppe basieren, und sie fügen einige hinzu, die auf AWS Prozessen basieren, die von den verwalteten Regelgruppen verwendet werden, z. B. die Token-Kennzeichnung, die hinzugefügt wird, wenn Sie eine Regelgruppe zur intelligenten Abwehr von Bedrohungen verwenden. Informationen zu den Bezeichnungen, die jede verwaltete Regelgruppe hinzufügt, finden Sie unterAWS Liste der Regelgruppen für verwaltete Regeln.

Wie AWS WAF verwaltet man Labels

AWS WAF fügt die Bezeichnungen der Regel zur Anfrage hinzu, wenn die Regel die Anfrage überprüft hat. Die Kennzeichnung ist, ähnlich wie die Aktion, Teil der Abgleichsaktivitäten einer Regel.

Labels werden nach Abschluss der Evaluierung des Protection Packs oder der Web-ACL nicht mehr in der Webanfrage gespeichert. Damit andere Regeln mit einem von Ihrer Regel hinzugefügten Label übereinstimmen, darf Ihre Regelaktion die Auswertung der Webanfrage durch das Protection Pack oder die Web-ACL nicht beenden. Die Regelaktion muss auf CountCAPTCHA, oder gesetzt seinChallenge. Wenn die Evaluierung des Schutzpakets oder der Web-ACL nicht beendet wird, können nachfolgende Regeln im Protection Pack oder der Web-ACL ihre Label-Kriterien anhand der Anforderung anwenden. Weitere Informationen zu Regelaktionen unter Verwenden von Regelaktionen in AWS WAF.

Zugriff auf Labels während der Evaluierung des Protection Packs oder der Web-ACL

Nach dem Hinzufügen bleiben Labels für die Anfrage verfügbar, solange die Anfrage anhand des Protection Packs oder der Web-ACL bewertet AWS WAF wird. Jede Regel in einem Protection Pack oder einer Web-ACL kann auf Labels zugreifen, die durch Regeln hinzugefügt wurden, die bereits in demselben Protection Pack oder derselben Web-ACL ausgeführt wurden. Dazu gehören Regeln, die direkt im Protection Pack oder der Web-ACL definiert sind, und Regeln, die innerhalb von Regelgruppen definiert sind, die im Protection Pack oder der Web-ACL verwendet werden.

  • Mithilfe der Anweisung „Label Match“ können Sie einen Abgleich mit einem Label in den Anforderungsüberprüfungskriterien Ihrer Regel vornehmen. Sie können einen Abgleich mit jedem Etikett durchführen, das der Anfrage beigefügt ist. Details zur Anweisung finden Sie unter Regelanweisung für Bezeichnungsübereinstimmung.

  • Die geografische Abgleichsanweisung fügt Labels mit oder ohne Übereinstimmung hinzu. Sie sind jedoch erst verfügbar, nachdem das Schutzpaket oder die Web-ACL-Regel der Anweisung, die das Schutzpaket oder die Web-ACL-Regel enthält, die Prüfung der Anfrage abgeschlossen hat.

    • Sie können nicht eine einzelne Regel, z. B. eine logische AND Aussage, verwenden, um eine Geo-Match-Anweisung gefolgt von einer Label-Match-Anweisung anhand der geografischen Beschriftungen auszuführen. Sie müssen die Label-Match-Anweisung in eine separate Regel einfügen, die nach der Regel ausgeführt wird, die die Geo-Match-Anweisung enthält.

    • Wenn Sie eine Geo-Match-Anweisung als Scopedown-Aussage innerhalb einer ratenbasierten Regelaussage oder einer Referenzaussage für verwaltete Regelgruppen verwenden, können die Bezeichnungen, die durch die Geo-Match-Anweisung hinzugefügt werden, nicht durch die Anweisung der Regel überprüft werden, die sie enthält. Wenn Sie die geografische Kennzeichnung in einer ratenbasierten Regelaussage oder einer Regelgruppe überprüfen müssen, müssen Sie die Geo-Match-Anweisung in einer separaten Regel ausführen, die zuvor ausgeführt wird.

Zugriff auf Label-Informationen außerhalb der Protection Pack- oder Web-ACL-Evaluierung

Labels bleiben nach Abschluss der Protection Pack- oder Web-ACL-Evaluierung nicht in der Webanfrage erhalten, sondern zeichnen AWS WAF Kennzeichnungsinformationen in den Protokollen und in Metriken auf.

Ihr Protection Pack oder Ihre Web-ACL-Evaluierung kann mehr als 100 Labels auf eine Webanfrage anwenden und diese mit mehr als 100 Labels abgleichen, zeichnet aber AWS WAF nur die ersten 100 in den Protokollen und Metriken auf.