Arten von Token-Labels in AWS WAF - AWS WAFAWS Firewall Manager, und AWS Shield Advanced

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Arten von Token-Labels in AWS WAF

In diesem Abschnitt werden die Labels beschrieben, die die AWS WAF Tokenverwaltung Webanfragen hinzufügt. Allgemeine Informationen zu Labels finden Sie unterEtikettierung von Webanfragen in AWS WAF.

Wenn Sie eine der von AWS WAF Bot oder Fraud Control verwalteten Regelgruppen verwenden, verwenden die Regelgruppen die AWS WAF Tokenverwaltung, um die Webanforderungstoken zu überprüfen und die Anfragen mit Token-Labels zu versehen. Informationen zu den verwalteten Regelgruppen finden Sie unter AWS WAF Regelgruppe Betrugsprävention (ACFP) zur Kontoerstellung bei der BetrugsbekämpfungAWS WAF Regelgruppe zur Verhinderung von Kontoübernahmen (ATP) zur Betrugsbekämpfung, undAWS WAF Regelgruppe „Bot-Kontrolle“.

Anmerkung

AWS WAF wendet Token-Labels nur an, wenn Sie eine dieser verwalteten Regelgruppen zur intelligenten Bedrohungsabwehr verwenden.

Mit der Tokenverwaltung können Webanfragen die folgenden Bezeichnungen hinzugefügt werden.

Bezeichnung der Clientsitzung

Das Label awswaf:managed:token:id:identifier enthält eine eindeutige Kennung, anhand derer die AWS WAF Tokenverwaltung die Clientsitzung identifiziert. Die Kennung kann sich ändern, wenn der Client ein neues Token erwirbt, beispielsweise nachdem er das Token, das er verwendet hat, verworfen hat.

Anmerkung

AWS WAF meldet keine CloudWatch Amazon-Metriken für dieses Label.

Fingerabdruck-Label des Browsers

Das Etikett awswaf:managed:token:fingerprint:fingerprint-identifier enthält eine robuste Browser-Fingerabdruck-ID, die das AWS WAF Token-Management aus verschiedenen Client-Browsersignalen berechnet. Diese Kennung bleibt auch bei mehreren Token-Akquisitionsversuchen gleich. Die Fingerabdruck-ID ist nicht eindeutig für einen einzelnen Client.

Anmerkung

AWS WAF meldet keine CloudWatch Amazon-Metriken für dieses Label.

Token-Statusbezeichnungen: Namespace-Präfixe für Labels

Token-Statusbezeichnungen geben Auskunft über den Status des Tokens und der darin enthaltenen Challenge- und CAPTCHA-Informationen.

Jedes Token-Statuslabel beginnt mit einem der folgenden Namespace-Präfixe:

  • awswaf:managed:token:— Wird verwendet, um den allgemeinen Status des Tokens und den Status der Challenge-Informationen des Tokens zu melden.

  • awswaf:managed:captcha:— Wird verwendet, um über den Status der CAPTCHA-Informationen des Tokens zu berichten.

Token-Statusbezeichnungen: Labelnamen

Nach dem Präfix enthält der Rest des Labels detaillierte Informationen zum Token-Status:

  • accepted— Das Anforderungstoken ist vorhanden und enthält Folgendes:

    • Eine gültige Challenge oder CAPTCHA-Lösung.

    • Eine noch nicht abgelaufene Herausforderung oder ein CAPTCHA-Zeitstempel.

    • Eine Domainspezifikation, die für die Web-ACL gültig ist.

    Beispiel: Das Label awswaf:managed:token:accepted gibt an, dass das Token der Webanfragen eine gültige Challenge-Lösung, einen noch nicht abgelaufenen Challenge-Zeitstempel und eine gültige Domain enthält.

  • rejected— Das Anforderungstoken ist vorhanden, erfüllt aber nicht die Akzeptanzkriterien.

    Zusammen mit dem abgelehnten Label fügt die Tokenverwaltung einen benutzerdefinierten Label-Namespace und einen Namen hinzu, um den Grund anzugeben.

    • rejected:not_solved— Dem Token fehlt die Challenge- oder CAPTCHA-Lösung.

    • rejected:expired— Der Challenge- oder CAPTCHA-Zeitstempel des Tokens ist gemäß den von Ihrer Web-ACL konfigurierten Token-Immunitätszeiten abgelaufen.

    • rejected:domain_mismatch— Die Domain des Tokens entspricht nicht der Token-Domain-Konfiguration Ihrer Web-ACL.

    • rejected:invalid— Das angegebene Token AWS WAF konnte nicht gelesen werden.

    Beispiel: Die beiden Labels awswaf:managed:captcha:rejected weisen awswaf:managed:captcha:rejected:expired zusammen darauf hin, dass für die Anfrage keine gültige CAPTCHA-Lösung gefunden wurde, da der CAPTCHA-Zeitstempel im Token die in der Web-ACL konfigurierte Immunitätszeit des CAPTCHA-Tokens überschritten hat.

  • absent— Die Anfrage enthält das Token nicht oder der Token-Manager konnte es nicht lesen.

    Beispiel: Das Label awswaf:managed:captcha:absent gibt an, dass die Anfrage das Token nicht enthält.