Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Bloccare le richieste che non hanno un valore valido AWS WAF token
Questa sezione spiega come bloccare le richieste di accesso a cui mancano i relativi token quando si utilizza il AWS WAF cellulareSDK.
Quando si utilizza la minaccia intelligente AWS Managed Rules AWSManagedRulesACFPRuleSetAWSManagedRulesATPRuleSet, i gruppi di regole e AWSManagedRulesBotControlRuleSet i gruppi di regole richiamano AWS WAF gestione dei token per valutare lo stato del token di richiesta Web e etichettare le richieste di conseguenza.
Nota
L'etichettatura dei token viene applicata solo alle richieste Web valutate utilizzando uno di questi gruppi di regole gestiti.
Per informazioni sull'etichettatura applicata dalla gestione dei token, vedere la sezione precedente,. Tipi di etichette per token in AWS WAF
I gruppi di regole gestiti per la mitigazione intelligente delle minacce gestiscono quindi i requisiti dei token come segue:
-
La
AWSManagedRulesACFPRuleSetAllRequestsregola è configurata per eseguire Challenge azione contro tutte le richieste, bloccando efficacemente quelle che non hanno l'etichetta delacceptedtoken. -
AWSManagedRulesATPRuleSetBlocca le richieste che hanno l'etichetta delrejectedtoken, ma non blocca le richieste con l'etichetta delabsenttoken. -
Il livello di protezione
AWSManagedRulesBotControlRuleSetmirato rappresenta una sfida per i clienti dopo aver inviato cinque richieste senza un'etichettaacceptedtoken. Non blocca una singola richiesta che non ha un token valido. Il livello di protezione comune del gruppo di regole non gestisce i requisiti dei token.
Per ulteriori dettagli sui gruppi di regole per le minacce intelligenti, consultaAWS WAF Gruppo di regole di prevenzione delle frodi (ACFP) per la creazione di account Fraud Control, AWS WAF Gruppo di regole per la prevenzione delle acquisizioni di conti Fraud Control (ATP) eAWS WAF Gruppo di regole Bot Control.
Per bloccare le richieste a cui mancano i token quando si utilizza Bot Control o il gruppo di regole ATP gestito
Con Bot Control e i gruppi di ATP regole, è possibile che una richiesta senza un token valido esca dalla valutazione del gruppo di regole e continui a essere valutata dal Web. ACL
Per bloccare tutte le richieste a cui manca il relativo token o il cui token viene rifiutato, aggiungi una regola da eseguire immediatamente dopo il gruppo di regole gestito per acquisire e bloccare le richieste che il gruppo di regole non gestisce per te.
Di seguito è riportato un JSON elenco di esempio per un Web ACL che utilizza il gruppo di regole ATP gestito. Il Web ACL ha una regola aggiuntiva per acquisire l'awswaf:managed:token:absentetichetta e gestirla. La regola limita la valutazione alle richieste web che arrivano all'endpoint di accesso, in modo che corrispondano all'ambito del gruppo di ATP regole. La regola aggiunta è elencata in grassetto.
{ "Name": "exampleWebACL", "Id": "55555555-6666-7777-8888-999999999999", "ARN": "arn:aws:wafv2:us-east-1:111111111111:regional/webacl/exampleWebACL/55555555-4444-3333-2222-111111111111", "DefaultAction": { "Allow": {} }, "Description": "", "Rules": [ { "Name": "AWS-AWSManagedRulesATPRuleSet", "Priority": 1, "Statement": { "ManagedRuleGroupStatement": { "VendorName": "AWS", "Name": "AWSManagedRulesATPRuleSet", "ManagedRuleGroupConfigs": [ { "AWSManagedRulesATPRuleSet": { "LoginPath": "/web/login", "RequestInspection": { "PayloadType": "JSON", "UsernameField": { "Identifier": "/form/username" }, "PasswordField": { "Identifier": "/form/password" } }, "ResponseInspection": { "StatusCode": { "SuccessCodes": [ 200 ], "FailureCodes": [ 401, 403, 500 ] } } } } ] } }, "OverrideAction": { "None": {} }, "VisibilityConfig": { "SampledRequestsEnabled": true, "CloudWatchMetricsEnabled": true, "MetricName": "AWS-AWSManagedRulesATPRuleSet" } }, { "Name": "RequireTokenForLogins", "Priority": 2, "Statement": { "AndStatement": { "Statements": [ { "Statement": { "LabelMatchStatement": { "Scope": "LABEL", "Key": "awswaf:managed:token:absent" } } }, { "ByteMatchStatement": { "SearchString": "/web/login", "FieldToMatch": { "UriPath": {} }, "TextTransformations": [ { "Priority": 0, "Type": "NONE" } ], "PositionalConstraint": "STARTS_WITH" } }, { "ByteMatchStatement": { "SearchString": "POST", "FieldToMatch": { "Method": {} }, "TextTransformations": [ { "Priority": 0, "Type": "NONE" } ], "PositionalConstraint": "EXACTLY" } } ] } }, "Action": { "Block": {} }, "VisibilityConfig": { "SampledRequestsEnabled": true, "CloudWatchMetricsEnabled": true, "MetricName": "RequireTokenForLogins" } } ], "VisibilityConfig": { "SampledRequestsEnabled": true, "CloudWatchMetricsEnabled": true, "MetricName": "exampleWebACL" }, "Capacity": 51, "ManagedByFirewallManager": false, "LabelNamespace": "awswaf:111111111111:webacl:exampleWebACL:" }
