Wir stellen vor: ein neues Konsolenerlebnis für AWS WAF
Sie können das aktualisierte Erlebnis jetzt verwenden, um überall in der Konsole auf AWS WAF Funktionen zuzugreifen. Weitere Details finden Sie unter Arbeiten mit der aktualisierten Konsolenerfahrung.
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Blockieren von Anfragen, die kein gültiges AWS WAF Token haben
In diesem Abschnitt wird erklärt, wie Anmeldeanfragen blockiert werden, bei denen die zugehörigen Token fehlen, wenn Sie das AWS WAF mobile SDK verwenden.
Wenn Sie die Regelgruppen „ AWS Managed Rules“AWSManagedRulesACFPRuleSet, AWSManagedRulesATPRuleSet und „Intelligent Threat“ verwendenAWSManagedRulesBotControlRuleSet, rufen die Regelgruppen die AWS WAF Tokenverwaltung auf, um den Status des Webanforderungstokens auszuwerten und die Anfragen entsprechend zu kennzeichnen.
Anmerkung
Die Token-Kennzeichnung wird nur auf Webanfragen angewendet, die Sie mithilfe einer dieser verwalteten Regelgruppen auswerten.
Informationen zur Kennzeichnung, die von der Tokenverwaltung angewendet wird, finden Sie im vorherigen Abschnitt,Arten von Token-Labels in AWS WAF.
Die verwalteten Regelgruppen zur intelligenten Bedrohungsabwehr behandeln die Token-Anforderungen dann wie folgt:
-
Die
AWSManagedRulesACFPRuleSetAllRequestsRegel ist so konfiguriert, dass sie die Challenge Aktion für alle Anfragen ausführt und somit alle Anfragen blockiert, die nicht über dasacceptedToken-Label verfügen. -
Die
AWSManagedRulesATPRuleSetblockiert Anfragen mit demrejectedToken-Label, blockiert aber keine Anfragen mit demabsentToken-Label. -
Die
AWSManagedRulesBotControlRuleSetangestrebte Schutzstufe stellt Clients vor Herausforderungen, nachdem sie fünf Anfragen ohneacceptedToken-Label gesendet haben. Eine einzelne Anfrage, die kein gültiges Token hat, wird nicht blockiert. Die allgemeine Schutzebene der Regelgruppe verwaltet die Tokenanforderungen nicht.
Weitere Informationen zu den Regelgruppen für intelligente Bedrohungen finden Sie AWS WAF Regelgruppe Betrugsprävention (ACFP) zur Kontoerstellung bei der Betrugsbekämpfung unter AWS WAF Regelgruppe zur Verhinderung von Kontoübernahmen (ATP) zur Betrugsbekämpfung undAWS WAF Regelgruppe „Bot-Kontrolle“.
So blockieren Sie Anfragen, bei denen Token fehlen, wenn Sie die von Bot Control oder ATP verwaltete Regelgruppe verwenden
Mit den Regelgruppen Bot Control und ATP ist es möglich, dass eine Anfrage ohne gültiges Token die Regelgruppen-Evaluierung beendet und weiterhin vom Protection Pack oder der Web-ACL bewertet wird.
Um alle Anfragen zu blockieren, deren Token fehlt oder deren Token abgelehnt wurde, fügen Sie eine Regel hinzu, die unmittelbar nach der verwalteten Regelgruppe ausgeführt wird, um Anfragen zu erfassen und zu blockieren, die die Regelgruppe nicht für Sie bearbeitet.
Im Folgenden finden Sie ein Beispiel für eine JSON-Liste für ein Protection Pack oder eine Web-ACL, die die verwaltete ATP-Regelgruppe verwendet. Dem Schutzpaket oder der Web-ACL wurde eine Regel hinzugefügt, mit der das awswaf:managed:token:absent Label erfasst und verarbeitet wird. Die Regel schränkt ihre Auswertung auf Webanfragen ein, die an den Anmeldeendpunkt gesendet werden, um dem Geltungsbereich der ATP-Regelgruppe zu entsprechen. Die hinzugefügte Regel ist fett gedruckt.
{ "Name": "exampleWebACL", "Id": "55555555-6666-7777-8888-999999999999", "ARN": "arn:aws:wafv2:us-east-1:111111111111:regional/webacl/exampleWebACL/55555555-4444-3333-2222-111111111111", "DefaultAction": { "Allow": {} }, "Description": "", "Rules": [ { "Name": "AWS-AWSManagedRulesATPRuleSet", "Priority": 1, "Statement": { "ManagedRuleGroupStatement": { "VendorName": "AWS", "Name": "AWSManagedRulesATPRuleSet", "ManagedRuleGroupConfigs": [ { "AWSManagedRulesATPRuleSet": { "LoginPath": "/web/login", "RequestInspection": { "PayloadType": "JSON", "UsernameField": { "Identifier": "/form/username" }, "PasswordField": { "Identifier": "/form/password" } }, "ResponseInspection": { "StatusCode": { "SuccessCodes": [ 200 ], "FailureCodes": [ 401, 403, 500 ] } } } } ] } }, "OverrideAction": { "None": {} }, "VisibilityConfig": { "SampledRequestsEnabled": true, "CloudWatchMetricsEnabled": true, "MetricName": "AWS-AWSManagedRulesATPRuleSet" } }, { "Name": "RequireTokenForLogins", "Priority": 2, "Statement": { "AndStatement": { "Statements": [ { "Statement": { "LabelMatchStatement": { "Scope": "LABEL", "Key": "awswaf:managed:token:absent" } } }, { "ByteMatchStatement": { "SearchString": "/web/login", "FieldToMatch": { "UriPath": {} }, "TextTransformations": [ { "Priority": 0, "Type": "NONE" } ], "PositionalConstraint": "STARTS_WITH" } }, { "ByteMatchStatement": { "SearchString": "POST", "FieldToMatch": { "Method": {} }, "TextTransformations": [ { "Priority": 0, "Type": "NONE" } ], "PositionalConstraint": "EXACTLY" } } ] } }, "Action": { "Block": {} }, "VisibilityConfig": { "SampledRequestsEnabled": true, "CloudWatchMetricsEnabled": true, "MetricName": "RequireTokenForLogins" } } ], "VisibilityConfig": { "SampledRequestsEnabled": true, "CloudWatchMetricsEnabled": true, "MetricName": "exampleWebACL" }, "Capacity": 51, "ManagedByFirewallManager": false, "RetrofittedByFirewallManager": false, "LabelNamespace": "awswaf:111111111111:webacl:exampleWebACL:" }
