智慧型威脅緩和管理規則群組的 Token 標籤 - AWS WAF、AWS Firewall Manager 與 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

智慧型威脅緩和管理規則群組的 Token 標籤

本節說明權AWS WAF杖管理新增至 Web 要求的標籤。如需有關標示的資訊,請參閱AWS WAF標籤, 上, 网, 請求

當您使用任何AWS WAF機器人或詐騙控制受管規則群組時,規則群組會使用 AWS WAF Token 管理來檢查 Web 要求 Token,並將 Token 標籤套用至要求。如需有關受管規則群組的資訊AWS WAF欺詐控制帳戶創建欺詐預防(ACFP)規則組,請參閱AWS WAF詐騙控制帳戶接管預防 (ATP) 規則群組、和AWS WAF機器人控制規則群組

注意

AWS WAF只有在您使用其中一個智慧型威脅緩和管理規則群組時,才會套用 Token 標籤。

令牌管理可以將以下標籤添加到 Web 請求中。

客戶端會話標籤

標籤awswaf:managed:token:id:identifier包含AWS WAF權杖管理用來識別用戶端工作階段的唯一識別碼。如果客戶端獲取新令牌,則標識符可能會更改,例如在丟棄正在使用的令牌之後。

注意

AWS WAF不報告此標籤的 Amazon CloudWatch 指標。

令牌狀態標籤:標籤命名空間前綴

令牌狀態標籤報告令牌的狀態,以及其包含的挑戰和 CAPTCHA 信息。

每個令牌狀態標籤都以下列命名空間前綴之一開始:

  • awswaf:managed:token:— 用於報告令牌的一般狀態並報告令牌的挑戰信息的狀態。

  • awswaf:managed:captcha:— 用於報告令牌的驗證碼信息的狀態。

權杖狀態標籤:標籤名稱

在前綴之後,標籤的其餘部分提供了詳細的令牌狀態信息:

  • accepted-請求令牌存在並包含以下內容:

    • 有效的挑戰或驗證碼解決方案。

    • 未過期的挑戰或驗證碼時間戳記。

    • 對網頁 ACL 有效的網域規格。

    示例:該標籤awswaf:managed:token:accepted表示 Web 請求的令牌具有有效的挑戰解決方案,未過期的挑戰時間戳和有效的域。

  • rejected— 請求令牌存在,但不符合驗收標準。

    隨著拒絕的標籤,令牌管理添加了一個自定義標籤命名空間和名稱來指示原因。

    • rejected:not_solved— 令牌缺少挑戰或驗證碼解決方案。

    • rejected:expired— 根據您的 Web ACL 配置的令牌免疫時間,令牌的挑戰或 CAPTCHA 時間戳已過期。

    • rejected:domain_mismatch— 令牌的域與 Web ACL 的令牌域配置不匹配。

    • rejected:invalid— AWS WAF 無法讀取指示的令牌。

    範例:標籤awswaf:managed:captcha:rejectedawswaf:managed:captcha:rejected:expired指出要求遭拒絕,因為權杖中的 CAPTCHA 時間戳記已超過 Web ACL 中設定的 CAPTCHA 權杖免疫時間。

  • absent-請求沒有令牌或令牌管理器無法讀取它。

    示例:標籤awswaf:managed:captcha:absent表示請求沒有令牌。