Bloccare le richieste che non hanno un AWS WAF token valido - AWS WAF, AWS Firewall ManagerAWS Shield Advanced, e direttore AWS Shield della sicurezza di rete

Ti presentiamo una nuova esperienza di console per AWS WAF

Ora puoi utilizzare l'esperienza aggiornata per accedere alle AWS WAF funzionalità da qualsiasi punto della console. Per ulteriori dettagli, consulta Utilizzo dell'esperienza console aggiornata.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Bloccare le richieste che non hanno un AWS WAF token valido

Questa sezione spiega come bloccare le richieste di accesso a cui mancano i relativi token quando si utilizza l'SDK AWS WAF per dispositivi mobili.

Quando si utilizza la minaccia intelligente AWS Managed RulesAWSManagedRulesACFPRuleSet, i gruppi di regole e AWSManagedRulesATPRuleSetAWSManagedRulesBotControlRuleSet, i gruppi di regole richiamano la gestione dei AWS WAF token per valutare lo stato del token di richiesta Web ed etichettare le richieste di conseguenza.

Nota

L'etichettatura dei token viene applicata solo alle richieste Web valutate utilizzando uno di questi gruppi di regole gestiti.

Per informazioni sull'etichettatura applicata dalla gestione dei token, vedere la sezione precedente,. Tipi di etichette per token in AWS WAF

I gruppi di regole gestiti per la mitigazione intelligente delle minacce gestiscono quindi i requisiti dei token come segue:

  • La AWSManagedRulesACFPRuleSet AllRequests regola è configurata per eseguire l'Challengeazione su tutte le richieste, bloccando efficacemente quelle che non hanno l'etichetta del accepted token.

  • AWSManagedRulesATPRuleSetBlocca le richieste che hanno l'etichetta rejected token, ma non blocca le richieste con l'etichetta absent token.

  • Il livello di protezione AWSManagedRulesBotControlRuleSet mirato rappresenta una sfida per i clienti dopo aver inviato cinque richieste senza un'etichetta accepted token. Non blocca una singola richiesta che non ha un token valido. Il livello di protezione comune del gruppo di regole non gestisce i requisiti dei token.

Per ulteriori dettagli sui gruppi di regole per le minacce intelligenti, consultaAWS WAF Gruppo di regole per la prevenzione delle frodi (ACFP) per la creazione di account Fraud Control, AWS WAF Gruppo di regole per la prevenzione delle acquisizioni di account (ATP) per il controllo delle frodi eAWS WAF Gruppo di regole Bot Control.

Per bloccare le richieste a cui mancano i token quando si utilizza il gruppo di regole gestito da Bot Control o ATP

Con i gruppi di regole Bot Control e ATP, è possibile che una richiesta senza un token valido esca dalla valutazione del gruppo di regole e continui a essere valutata dal protection pack (web ACL).

Per bloccare tutte le richieste a cui manca il relativo token o il cui token viene rifiutato, aggiungi una regola da eseguire immediatamente dopo il gruppo di regole gestito per acquisire e bloccare le richieste che il gruppo di regole non gestisce per te.

Di seguito è riportato un esempio di elenco JSON per un pacchetto di protezione (Web ACL) che utilizza il gruppo di regole gestito ATP. Il pacchetto di protezione (Web ACL) include una regola aggiuntiva per acquisire l'awswaf:managed:token:absentetichetta e gestirla. La regola limita la valutazione alle richieste Web che arrivano all'endpoint di accesso, in modo che corrispondano all'ambito del gruppo di regole ATP. La regola aggiunta è riportata in grassetto. 

{
  "Name": "exampleWebACL",
  "Id": "55555555-6666-7777-8888-999999999999",
  "ARN": "arn:aws:wafv2:us-east-1:111111111111:regional/webacl/exampleWebACL/55555555-4444-3333-2222-111111111111",
  "DefaultAction": {
    "Allow": {}
  },
  "Description": "",
  "Rules": [
    {
      "Name": "AWS-AWSManagedRulesATPRuleSet",
      "Priority": 1,
      "Statement": {
        "ManagedRuleGroupStatement": {
          "VendorName": "AWS",
          "Name": "AWSManagedRulesATPRuleSet",
          "ManagedRuleGroupConfigs": [
            {
              "AWSManagedRulesATPRuleSet": {
                "LoginPath": "/web/login",
                "RequestInspection": {
                  "PayloadType": "JSON",
                  "UsernameField": {
                    "Identifier": "/form/username"
                  },
                  "PasswordField": {
                    "Identifier": "/form/password"
                  }
                },
                "ResponseInspection": {
                  "StatusCode": {
                    "SuccessCodes": [
                      200
                    ],
                    "FailureCodes": [
                      401,
                      403,
                      500
                    ]
                  }
                }
              }  
            }
          ]
        }
      },
      "OverrideAction": {
        "None": {}
      },
      "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "AWS-AWSManagedRulesATPRuleSet"
      }
    },
    {
      "Name": "RequireTokenForLogins",
      "Priority": 2,
      "Statement": {
        "AndStatement": {
          "Statements": [
            {
              "Statement": {
                "LabelMatchStatement": {
                  "Scope": "LABEL",
                  "Key": "awswaf:managed:token:absent"
                }
              }
            },
            {
              "ByteMatchStatement": {
                "SearchString": "/web/login",
                "FieldToMatch": {
                  "UriPath": {}
                },
                "TextTransformations": [
                  {
                    "Priority": 0,
                    "Type": "NONE"
                 }
                ],
                "PositionalConstraint": "STARTS_WITH"
              }
            },
            {
              "ByteMatchStatement": {
                "SearchString": "POST",
                "FieldToMatch": {
                  "Method": {}
                },
                "TextTransformations": [
                  {
                    "Priority": 0,
                    "Type": "NONE"
                  }
                ],
                "PositionalConstraint": "EXACTLY"
              }
            }
          ]
        }
      },
      "Action": {
        "Block": {}
      },
      "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "RequireTokenForLogins"
      } 
    }
  ],
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "exampleWebACL"
  },
  "Capacity": 51,
  "ManagedByFirewallManager": false,
  "RetrofittedByFirewallManager": false,
  "LabelNamespace": "awswaf:111111111111:webacl:exampleWebACL:"
}