本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
操作方法 AWS WAF 使用代币
本节说明了如何做 AWS WAF 使用代币。
AWS WAF 使用令牌来记录和验证以下类型的客户端会话验证:
-
CAPTCHA— CAPTCHA 拼图有助于区分机器人和人类用户。CAPTCHAA 只能由 CAPTCHA 规则操作。成功完成拼图后,CAPTCHA脚本会更新代币CAPTCHA的时间戳。有关更多信息,请参阅 使用 CAPTCHA 以及 Challenge in AWS WAF。
-
质询 – 质询以静默方式运行,以帮助区分常规客户端会话和机器人会话,并提高机器人的操作成本。挑战成功完成后,挑战脚本会自动从中获取新代币 AWS WAF 如果需要,然后更新代币的质询时间戳。
AWS WAF 在以下情况下运行挑战:
-
应用程序集成 SDKs-应用程序集成在您的客户端应用程序会话中SDKs运行,有助于确保只有在客户端成功响应挑战后才允许尝试登录。有关更多信息,请参阅 将客户端应用程序集成与 AWS WAF。
-
Challenge 规则操作 -有关更多信息,请参阅使用 CAPTCHA 以及 Challenge in AWS WAF。
-
CAPTCHA— 当CAPTCHA插页式广告运行时,如果客户端还没有令牌,则脚本会自动先运行质询,以验证客户端会话并初始化令牌。
-
智能威胁中的许多规则都需要代币 AWS 托管规则规则组。这些规则使用标记来区分会话级别的客户端、确定浏览器特征以及了解应用网页上的人机交互程度。这些规则组调用 AWS WAF 令牌管理,它应用令牌标签,然后规则组会检查这些标签。
-
AWS WAF Fraud Control 账户创建防作弊 (ACFP) — ACFP 规则要求使用有效令牌进行网络请求。有关规则的更多信息,请参阅 AWS WAF Fraud Control 账户创建防欺诈 (ACFP) 规则组。
-
AWS WAF Fraud Control 账户接管预防 (ATP) — 防止大量客户会话和长时间客户会话的ATP规则要求网络请求必须具有有效令牌和未过期的质询时间戳。有关更多信息,请参阅 AWS WAF Fraud Control 账户盗用预防 (ATP) 规则组。
-
AWS WAF Bot Control — 此规则组中的目标规则限制了客户端在没有有效令牌的情况下可以发送的 Web 请求的数量,它们使用令牌会话跟踪进行会话级别的监控和管理。根据需要,这些规则适用 Challenge 以及 CAPTCHA 规则操作以强制令牌获取和有效的客户行为。有关更多信息,请参阅 AWS WAF 机器人控制功能规则组。
