Tipos de etiquetas de token en AWS WAF - AWS WAF, AWS Firewall Manager, AWS Shield Advanced y director de seguridad de red AWS Shield

Presentamos una nueva experiencia de consola para AWS WAF

Ahora puede usar la experiencia actualizada para acceder a las funciones de AWS WAF desde cualquier parte de la consola. Para obtener más información, consulta Trabajo con la experiencia de consola actualizada.

Tipos de etiquetas de token en AWS WAF

En esta sección, se describen las etiquetas que la administración de token de AWS WAF agrega a las solicitudes web. Para obtener información general acerca de las etiquetas, consulte Etiquetado de solicitudes web en AWS WAF.

Al utilizar cualquiera de los grupos de reglas administradas para control de bots o fraude de AWS WAF, estos grupos usan la administración de token de AWS WAF para inspeccionar los tókenes de las solicitudes web y aplicar el etiquetado de estos a las solicitudes. Para obtener información sobre los grupos de reglas administradas, consulte Grupo de reglas de prevención contra fraude en la creación de cuentas (ACFP) de control de fraudes de AWS WAF, Grupo de reglas de Prevención contra apropiación de cuentas (ATP) del control de fraudes de AWS WAF y Grupo de reglas de control de bots de AWS WAF.

nota

AWS WAF solo aplica etiquetas de token cuando se utiliza uno de estos grupos de reglas administradas de mitigación de amenazas inteligentes.

La administración de token puede agregar las siguientes etiquetas a las solicitudes web.

Etiqueta de sesión de cliente

La etiqueta awswaf:managed:token:id:identifier contiene un identificador único que la administración de token de AWS WAF utiliza para identificar la sesión del cliente. El identificador puede cambiar, por ejemplo, si el cliente adquiere un nuevo token después de descartar el que estaba utilizando.

nota

AWS WAF no informa las métricas de Amazon CloudWatch para esta etiqueta.

Etiqueta de la huella digital del navegador

La etiqueta awswaf:managed:token:fingerprint:fingerprint-identifier contiene un robusto identificador de huellas digitales del navegador que la administración de tokens de AWS WAF calcula a partir de varias señales del navegador del cliente. Este identificador permanece igual en varios intentos de adquisición de tokens. El identificador de huella digital no es exclusivo de un solo cliente.

nota

AWS WAF no informa las métricas de Amazon CloudWatch para esta etiqueta.

Etiquetas de estado del token: prefijos del espacio de nombres de etiquetas

Las etiquetas de estado del token informan sobre el estado del token y de la información que contiene del desafío y del CAPTCHA.

Cada etiqueta de estado del token comienza con uno de los siguientes prefijos de espacio de nombres:

  • awswaf:managed:token:: Se utiliza para informar sobre el estado general del token y el estado de la información del desafío del token.

  • awswaf:managed:captcha:: Se utiliza para informar sobre el estado de la información del CAPTCHA del token.

Etiquetas de estado del token: nombres de etiquetas

Tras el prefijo, el resto de la etiqueta proporciona información detallada sobre el estado del token:

  • accepted: El token de solicitud está presente y contiene lo siguiente:

    • Una solución válida del desafío o del CAPTCHA.

    • Una marca de tiempo vigente del desafío o del CAPTCHA.

    • Una especificación de dominio válida para el paquete de protección (ACL web).

    Ejemplo: la etiqueta awswaf:managed:token:accepted indica que el token de la solicitud web tiene una solución válida y una marca temporal vigente para el desafío, así como un dominio válido.

  • rejected: El token de solicitud está presente, pero no cumple con los criterios de aceptación.

    Junto con la etiqueta rechazada, la administración del token agrega un espacio de nombres y nombre de etiqueta personalizados para indicar el motivo.

    • rejected:not_solved: Al token le falta la solución del desafío o del CAPTCHA.

    • rejected:expired: la marca temporal del desafío o del CAPTCHA del token ha caducado, de acuerdo con los tiempos de inmunidad del token configurado en el paquete de protección (ACL web).

    • rejected:domain_mismatch: el dominio del token no coincide con la configuración del dominio del token de su paquete de protección (ACL web).

    • rejected:invalid: AWS WAF no pudo leer el token indicado.

    Ejemplo: las etiquetas awswaf:managed:captcha:rejected y awswaf:managed:captcha:rejected:expired indican que la solicitud se rechazó porque la marca de tiempo del CAPTCHA del token ha superado el tiempo de inmunidad que se configuró en el paquete de protección (ACL web).

  • absent: La solicitud no contiene el token o el administrador del token no ha podido leerlo.

    Ejemplo: la etiqueta awswaf:managed:captcha:absent indica que la solicitud no tiene el token.