Wie AWS WAF verwendet Tokens - AWS WAF, AWS Firewall Manager, und AWS Shield Advanced

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Wie AWS WAF verwendet Tokens

In diesem Abschnitt wird erklärt, wie AWS WAF verwendet Tokens.

AWS WAF verwendet Token, um die folgenden Arten der Validierung von Clientsitzungen aufzuzeichnen und zu überprüfen:

  • CAPTCHA— CAPTCHA Rätsel helfen dabei, Bots von menschlichen Benutzern zu unterscheiden. A CAPTCHA wird nur von der betrieben CAPTCHA Regelaktion. Nach erfolgreichem Abschluss des Rätsels aktualisiert das CAPTCHA Skript den CAPTCHA Zeitstempel des Tokens. Weitere Informationen finden Sie unter Die Verwendung von CAPTCHA and Challenge in AWS WAF.

  • Herausforderung — Herausforderungen werden im Hintergrund ausgeführt, um reguläre Kundensitzungen von Bot-Sitzungen zu unterscheiden und den Betrieb für Bots teurer zu machen. Wenn die Herausforderung erfolgreich abgeschlossen wurde, bezieht das Challenge-Skript automatisch ein neues Token von AWS WAF falls erforderlich, und aktualisiert dann den Challenge-Zeitstempel des Tokens.

    AWS WAF führt Herausforderungen in den folgenden Situationen aus:

    • Anwendungsintegration SDKs — Die Anwendungsintegration SDKs wird innerhalb Ihrer Client-Anwendungssitzungen ausgeführt und stellt sicher, dass Anmeldeversuche nur zulässig sind, nachdem der Client erfolgreich auf eine Anfrage reagiert hat. Weitere Informationen finden Sie unter Verwenden von Client-Anwendungsintegrationen mit AWS WAF.

    • Challenge Regelaktion — Weitere Informationen finden Sie unterDie Verwendung von CAPTCHA and Challenge in AWS WAF.

    • CAPTCHA— Wenn ein CAPTCHA Interstitial ausgeführt wird und der Client noch kein Token hat, führt das Skript automatisch zuerst eine Abfrage aus, um die Clientsitzung zu überprüfen und das Token zu initialisieren.

Für viele der Regeln der intelligenten Bedrohung sind Tokens erforderlich AWS Regelgruppen für verwaltete Regeln. Die Regeln verwenden Token, um beispielsweise zwischen Clients auf Sitzungsebene zu unterscheiden, Browsereigenschaften zu bestimmen und den Grad der menschlichen Interaktivität auf der Anwendungswebseite zu verstehen. Diese Regelgruppen rufen AWS WAF Token-Management, bei dem Token-Labels angewendet werden, die dann von den Regelgruppen überprüft werden.

  • AWS WAF Fraud Control, Kontoerstellung, Betrugsprävention (ACFP) — Die ACFP Regeln erfordern Webanfragen mit gültigen Tokens. Weitere Informationen zu den Regeln finden Sie unterAWS WAF Regelgruppe zur Erstellung von Fraud Control-Konten zur Betrugsprävention (ACFP).

  • AWS WAF Verhinderung von Kontoübernahmen bei der Betrugsbekämpfung (ATP) — Die ATP Regeln zur Verhinderung umfangreicher und lang andauernder Kundensitzungen setzen voraus, dass Webanfragen über ein gültiges Token mit einem nicht abgelaufenen Challenge-Zeitstempel verfügen. Weitere Informationen finden Sie unter AWS WAF Regelgruppe zur Verhinderung von Kontoübernahmen (ATP) zur Betrugsbekämpfung.

  • AWS WAF Bot-Kontrolle — Die gezielten Regeln in dieser Regelgruppe begrenzen die Anzahl der Webanfragen, die ein Client ohne gültiges Token senden kann, und sie verwenden die Token-Sitzungsverfolgung für die Überwachung und Verwaltung auf Sitzungsebene. Je nach Bedarf gelten die Regeln Challenge and CAPTCHA Regelaktionen, um die Übernahme von Token und gültiges Kundenverhalten durchzusetzen. Weitere Informationen finden Sie unter AWS WAF Regelgruppe von Bot Control.