Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Blockieren von Anfragen, die kein gültiges AWS WAF Token haben
In diesem Abschnitt wird erklärt, wie Anmeldeanfragen blockiert werden, bei denen die zugehörigen Token fehlen, wenn Sie das AWS WAF Handy verwendenSDK.
Wenn Sie die Regelgruppen „ AWS Managed Rules“AWSManagedRulesACFPRuleSet, AWSManagedRulesATPRuleSet und „Intelligent Threat“ verwendenAWSManagedRulesBotControlRuleSet, rufen die Regelgruppen die AWS WAF Tokenverwaltung auf, um den Status des Webanforderungstokens auszuwerten und die Anfragen entsprechend zu kennzeichnen.
Anmerkung
Die Token-Kennzeichnung wird nur auf Webanfragen angewendet, die Sie mithilfe einer dieser verwalteten Regelgruppen auswerten.
Informationen zur Kennzeichnung, die von der Tokenverwaltung angewendet wird, finden Sie im vorherigen Abschnitt,Arten von Token-Labels in AWS WAF.
Die verwalteten Regelgruppen zur intelligenten Bedrohungsabwehr behandeln die Token-Anforderungen dann wie folgt:
-
Die
AWSManagedRulesACFPRuleSetAllRequestsRegel ist für die Ausführung von konfiguriert Challenge Aktion gegen alle Anfragen, wodurch alle Anfragen blockiert werden, die nicht über dasacceptedToken-Label verfügen. -
Das
AWSManagedRulesATPRuleSetblockiert Anfragen mit demrejectedToken-Label, blockiert aber keine Anfragen mit demabsentToken-Label. -
Die
AWSManagedRulesBotControlRuleSetangestrebte Schutzstufe stellt Clients vor Herausforderungen, nachdem sie fünf Anfragen ohneacceptedToken-Label gesendet haben. Es blockiert keine einzelne Anfrage, die kein gültiges Token hat. Die allgemeine Schutzebene der Regelgruppe verwaltet die Tokenanforderungen nicht.
Weitere Informationen zu den Regelgruppen für intelligente Bedrohungen finden Sie AWS WAF Regelgruppe zur Erstellung von Fraud Control-Konten zur Betrugsprävention (ACFP) unter AWS WAF Regelgruppe zur Verhinderung von Kontoübernahmen (ATP) zur Betrugsbekämpfung undAWS WAF Regelgruppe „Bot-Kontrolle“.
So blockieren Sie Anfragen, bei denen Token fehlen, wenn Sie die Bot-Kontrollgruppe oder die ATP verwaltete Regelgruppe verwenden
Mit der Bot-Kontrolle und den ATP Regelgruppen ist es möglich, dass eine Anfrage ohne gültiges Token die Regelgruppen-Evaluierung beendet und weiterhin vom Web bewertet wirdACL.
Um alle Anfragen zu blockieren, deren Token fehlt oder deren Token abgelehnt wurde, fügen Sie eine Regel hinzu, die unmittelbar nach der verwalteten Regelgruppe ausgeführt wird, um Anfragen zu erfassen und zu blockieren, die die Regelgruppe nicht für Sie bearbeitet.
Im Folgenden finden Sie eine JSON Beispielliste für eine WebsiteACL, die die ATP verwaltete Regelgruppe verwendet. Im Internet ACL wurde eine Regel hinzugefügt, mit der das awswaf:managed:token:absent Label erfasst und verarbeitet werden kann. Die Regel schränkt ihre Auswertung auf Webanfragen ein, die an den Anmeldeendpunkt gehen, um dem Geltungsbereich der ATP Regelgruppe zu entsprechen. Die hinzugefügte Regel ist fett gedruckt.
{ "Name": "exampleWebACL", "Id": "55555555-6666-7777-8888-999999999999", "ARN": "arn:aws:wafv2:us-east-1:111111111111:regional/webacl/exampleWebACL/55555555-4444-3333-2222-111111111111", "DefaultAction": { "Allow": {} }, "Description": "", "Rules": [ { "Name": "AWS-AWSManagedRulesATPRuleSet", "Priority": 1, "Statement": { "ManagedRuleGroupStatement": { "VendorName": "AWS", "Name": "AWSManagedRulesATPRuleSet", "ManagedRuleGroupConfigs": [ { "AWSManagedRulesATPRuleSet": { "LoginPath": "/web/login", "RequestInspection": { "PayloadType": "JSON", "UsernameField": { "Identifier": "/form/username" }, "PasswordField": { "Identifier": "/form/password" } }, "ResponseInspection": { "StatusCode": { "SuccessCodes": [ 200 ], "FailureCodes": [ 401, 403, 500 ] } } } } ] } }, "OverrideAction": { "None": {} }, "VisibilityConfig": { "SampledRequestsEnabled": true, "CloudWatchMetricsEnabled": true, "MetricName": "AWS-AWSManagedRulesATPRuleSet" } }, { "Name": "RequireTokenForLogins", "Priority": 2, "Statement": { "AndStatement": { "Statements": [ { "Statement": { "LabelMatchStatement": { "Scope": "LABEL", "Key": "awswaf:managed:token:absent" } } }, { "ByteMatchStatement": { "SearchString": "/web/login", "FieldToMatch": { "UriPath": {} }, "TextTransformations": [ { "Priority": 0, "Type": "NONE" } ], "PositionalConstraint": "STARTS_WITH" } }, { "ByteMatchStatement": { "SearchString": "POST", "FieldToMatch": { "Method": {} }, "TextTransformations": [ { "Priority": 0, "Type": "NONE" } ], "PositionalConstraint": "EXACTLY" } } ] } }, "Action": { "Block": {} }, "VisibilityConfig": { "SampledRequestsEnabled": true, "CloudWatchMetricsEnabled": true, "MetricName": "RequireTokenForLogins" } } ], "VisibilityConfig": { "SampledRequestsEnabled": true, "CloudWatchMetricsEnabled": true, "MetricName": "exampleWebACL" }, "Capacity": 51, "ManagedByFirewallManager": false, "RetrofittedByFirewallManager": false, "LabelNamespace": "awswaf:111111111111:webacl:exampleWebACL:" }
