AWS WAF 中的 Web 请求标签

在对请求采取操作之前，根据多个规则语句评估 web 请求：在发现与保护包（web ACL）中的规则匹配后，如果规则操作未终止保护包（web ACL）评估，则 AWS WAF 继续根据保护包（web ACL）评估该请求。在决定允许或阻止请求之前，您可以使用标签来评估和收集来自多个规则的信息。为此，请将现有规则的操作更改为 Count，然后将其配置为为匹配的请求添加标签。然后，添加一个或多个新规则，在其他规则之后运行，并将它们配置为根据标签匹配组合评估标签并管理请求。

按地理区域管理 web 请求：您可以单独使用地理匹配规则来按来源国管理 web 请求。要将位置精细调整到区域级别，您可以使用带有 Count 操作和标签匹配规则的地理匹配规则。有关地理匹配规则的信息，请参阅 地理匹配规则语句。

跨多个规则重复使用逻辑：如果您需要在多个规则中重复使用相同的逻辑，则可以使用标签对逻辑进行单一来源化，然后测试结果。当您有多个使用嵌套规则语句的公共子集的复杂规则时，在复杂的规则中复制通用规则集可能非常耗时且容易出错。使用标签，您可以使用通用规则子集创建新规则，该子集计算匹配请求并为其添加标签。您将新规则添加到保护包（web ACL）中，使其在最初的复杂规则之前运行。然后，在原始规则中，将共享规则子集替换为检查标签的单个规则。

例如，假设您有多条规则，而您只想应用于您的登录路径。与其让每条规则指定相同的逻辑来匹配潜在的登录路径，不如实施一条包含该逻辑的新规则。让新规则为匹配的请求添加标签，以表明该请求位于登录路径上。在您的保护包（web ACL）中，为该新规则设置比原始规则更低的数字优先级，使其首先运行。然后，在您的原始规则中，将共享逻辑替换为检查标签是否存在。有关优先级设置的信息，请参阅 设置规则优先级。

为规则组中的规则创建例外：此选项对您无法查看或更改的托管规则组特别有用。许多托管规则组规则会为匹配的 web 请求添加标签，以指示匹配的规则，并可能提供有关匹配的更多信息。当您使用向请求添加标签的规则组时，您可以覆盖规则组规则来计算匹配次数，然后根据规则组标签在处理 web 请求的规则组之后运行规则。所有 AWS 托管规则都会将标签添加到匹配的 web 请求。有关详细说明，请参阅 AWS 托管规则的规则组列表 的规则说明。

使用标签指标监控流量模式：您可以访问通过规则所添加标签的指标，以及您在保护包（web ACL）中使用任何托管规则组添加的指标。所有 AWS 托管规则组都会为其评估的 web 请求添加标签。有关标签指标和维度的列表，请参阅 标签指标和维度。您可以通过 CloudWatch 和 AWS WAF 控制台中的保护包（web ACL）页面访问指标和指标摘要。有关信息，请参阅 监控和调整您的 AWS WAF 保护。