网络请求上的标签

任何不是规则组参考声明的规则都可以为匹配的 Web 请求添加标签。当 Web 请求与规则匹配时，Amazon WAF将该规则的标签添加到请求中。对于地理匹配规则，Amazon WAF将规则的标签添加到规则检查、匹配或不匹配的任何请求中。

Amazon WAF在规则对请求的检查结束时为请求添加标签。因此，当单个规则包含多个语句时，例如在逻辑 AND 或 OR 语句中，只有在评估了所有包含的语句之后，包含的语句分配的任何标签才在 Web 请求中可用。

添加后，只要根据 Web ACL 对请求进行评估Amazon WAF，标签就会在请求上保持可用。

您可以使用标签匹配语句与规则的请求检查标准中的标签进行匹配。有关声明的详细信息，请参阅标签匹配规则声明。

在对请求采取操作之前，根据多个规则语句评估 Web 请求-在 Web ACL 中找到与 Web ACL 中的规则匹配后，如果规则操作是，则Amazon WAF继续根据 Web ACL 评估该请求Count。在决定允许或阻止请求之前，您可以使用标签评估和收集来自多个规则的信息。为此，请将现有规则的操作更改为，Count并将其配置为向匹配的请求添加标签。然后，添加一个或多个新规则，在您的其他规则之后运行，并将它们配置为评估标签并根据标签匹配组合管理请求。

按地理区域管理 Web 请求 — 您可以单独使用地理匹配规则来管理来源国的 Web 请求。要将位置微调到区域级别，您可以使用地理匹配规则，然后使用计数操作和标签匹配规则。有关地理匹配规则的信息，请参阅地理匹配规则语句。

在多个规则之间重用逻辑-如果您需要在多个规则中重复使用相同的逻辑，则可以使用标签来单一来源逻辑，然后测试结果。当您有多个使用嵌套规则语句的常见子集的复杂规则时，在复杂规则中复制通用规则集可能既耗时又容易出错。使用标签，您可以使用公共规则子集创建新规则，该子集对匹配的请求进行计数并为其添加标签。您可以将新规则添加到 Web ACL，使其在原始复杂规则之前运行。然后，在原始规则中，将共享规则子集替换为检查标签的单个规则。

例如，假设你有多条规则，只想应用于你的登录路径。与其让每条规则指定相同的逻辑来匹配潜在的登录路径，不如实现包含该逻辑的单个新规则。让新规则为匹配的请求添加标签，以表明该请求位于登录路径上。在您的 Web ACL 中，将此新规则的数字优先级设置为比原始规则更低的数值优先级，以便它首先运行。然后，在原始规则中，将共享逻辑替换为检查标签是否存在。有关优先级设置的信息，请参阅Web ACL 中规则和规则组的处理顺序。

为规则组中的规则创建例外-此选项对于您无法查看或更改的托管规则组特别有用。许多托管规则组规则都会为匹配的 Web 请求添加标签，以指明匹配的规则，并可能提供有关匹配的更多信息。当您使用向请求添加标签的规则组时，您可以改写规则组规则以计算匹配次数，然后在根据规则组标签处理 Web 请求的规则组之后运行规则。所有Amazon托管规则将标签添加到匹配的 Web 请求。有关详细信息，请参阅中的规则描述Amazon托管规则规则组列表。