使用應用程式整SDKs合 ATP - AWS WAF, AWS Firewall Manager和 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用應用程式整SDKs合 ATP

本節說明如何使用應用程式整SDKs合ATP。

受ATP管規則群組需要應用程式整合所SDKs產生的挑戰 Token。權杖會啟用規則群組提供的全套保護。

我們強烈建議您實作應用程式整合SDKs,以便最有效地使用ATP規則群組。挑戰指令碼必須在ATP規則群組之前執行,規則群組才能從指令碼取得的 Token 中受益。這會隨著應用程式整合而自動發生SDKs。如果您無法使用SDKs,則可以交替配置您的 Web,以ACL便它運行 Challenge 或 CAPTCHA 針對規則群組將檢查的所有要求的ATP規則動作。使用 Challenge 或 CAPTCHA 規則動作可能會產生額外費用。如需定價詳情,請參閱 AWS WAF 定價

不需要權杖的ATP規則群組功能

當 Web 要求沒有 Token 時,受ATP管規則群組就能封鎖下列類型的流量:

  • 發出大量登錄請求的單個 IP 地址。

  • 單一 IP 位址會在短時間內發出大量失敗的登入要求。

  • 嘗試使用相同的用戶名,但更改密碼的密碼進行密碼遍歷登錄。

需要權杖之ATP規則群組的功能

挑戰權杖中提供的資訊可擴充規則群組和整體用戶端應用程式安全性的功能。

Token 會針對每個 Web 要求提供用戶端資訊,讓ATP規則群組能夠將合法的用戶端工作階段與行為不良的用戶端工作階段分開來,即使兩者都來自單一 IP 位址也是如此。規則群組會使用 Token 中的資訊來彙總用戶端工作階段要求行為,以進行微調的偵測和緩和措施。

當 Token 在 Web 要求中可用時,ATP規則群組可偵測並封鎖工作階段層級的下列其他用戶端類別:

  • 無訊息挑戰,SDKs管理失敗的用戶端工作階段。

  • 遍歷使用者名稱或密碼的用戶端工作階段。這也稱為認證填充。

  • 重複使用失竊認證登入的用戶端工作階段。

  • 花費很長時間嘗試登入的用戶端工作階段。

  • 發出大量登入要求的用戶端工作階段。ATP規則群組提供的用戶端隔離比 AWS WAF 速率型規則,可依據 IP 位址封鎖用戶端。ATP規則群組也會使用較低的臨界值。

  • 在短時間內發出許多失敗登入要求的用戶端工作階段。此功能適用於受保護的 Amazon CloudFront 發行版。

如需規則群組權能的詳細資訊,請參閱AWS WAF 欺詐控制帳戶接管預防(ATP)規則組

如需有關的資訊SDKs,請參閱使用用戶端應用程式整合 AWS WAF。如需相關資訊 AWS WAF 令牌,請參閱在網絡請求上使用令牌 AWS WAF。如需有關規則動作的資訊,請參閱使用 CAPTCHA 以及 Challenge in AWS WAF