如何AWS WAF使用令牌 - AWS WAF、AWS Firewall Manager 與 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

如何AWS WAF使用令牌

AWS WAF使用令牌記錄和驗證以下類型的客戶端會話驗證:

  • 驗證碼 — 驗證碼拼圖有助於區分機器人與人類用戶。驗證碼只能由CAPTCHA規則動作執行。成功完成拼圖後,CAPTCHA 腳本將更新令牌的 CAPTCHA 時間戳。如需詳細資訊,請參閱 CAPTCHA並Challenge在 AWS WAF

  • 挑戰 — 挑戰會以無訊息方式執行,以協助區分常規用戶端工作階段與機器人工作階段,並使機器人的運作成本更高。當挑戰成功完成時,挑戰腳本會根據需要自動從中AWS WAF採購新令牌,然後更新令牌的挑戰時間戳記。

    AWS WAF在下列情況下會遇到挑戰:

    • 應用程式整合 SDK — 應用程式整合 SDK 會在用戶端應用程式工作階段內執行,協助確保只有在用戶端成功回應挑戰後,才允許登入嘗試。如需詳細資訊,請參閱 AWS WAF用戶端應用整合

    • Challenge規則動作 — 如需詳細資訊,請參閱CAPTCHA並Challenge在 AWS WAF

    • CAPTCHA— 當 CAPTCHA 插頁式運行時,如果客戶端還沒有令牌,則腳本會先自動運行挑戰,以驗證客戶端會話並初始化令牌。

智慧型威脅AWS受管規則群組中的許多規則都需要 Token。這些規則會使用 Token 來執行諸如區分工作階段層級的用戶端、判斷瀏覽器特性,以及瞭解應用程式網頁上人工互動的層級。這些規則群組會叫用AWS WAF權杖管理,以套用規則群組接著檢查的權杖標籤。

  • AWS WAF欺詐控制帳戶創建欺詐預防(ACFP)— ACFP 規則要求具有有效令牌的 Web 請求。若要取得有關規則的更多資訊,請參閱AWS WAF欺詐控制帳戶創建欺詐預防(ACFP)規則組

  • AWS WAF防止欺詐控制帳戶接管(ATP)— 防止大量和長期持續用戶端會話的 ATP 規則需要具有有效令牌且具有未過期挑戰時間戳的 Web 請求。如需詳細資訊,請參閱 AWS WAF詐騙控制帳戶接管預防 (ATP) 規則群組

  • AWS WAF機器人控制 — 此規則組中的目標規則對客戶端在沒有有效令牌的情況下可以發送的 Web 請求數進行限制,並使用令牌會話跟踪進行會話級監視和管理。根據需要,這些規則會套用Challenge和規CAPTCHA則動作,以強制執行權杖擷取和有效的用戶端行為。如需詳細資訊,請參閱 AWS WAF機器人控制規則群組