AWS WAF에 대한 새로운 콘솔 환경 소개
이제 업데이트된 환경을 사용하여 콘솔의 모든 위치에서 AWS WAF 기능에 액세스할 수 있습니다. 자세한 내용은 업데이트된 콘솔 환경 작업 섹션을 참조하십시오.
AWS WAF에서 토큰을 사용하는 방법
이 섹션에서는 AWS WAF에서 토큰을 사용하는 방법을 설명합니다.
AWS WAF는 토큰을 사용하여 다음 유형의 클라이언트 세션 검증을 기록하고 확인합니다.
-
CAPTCHA - CAPTCHA 퍼즐은 봇을 인간 사용자와 구분하는 데 도움이 됩니다. CAPTCHA는 CAPTCHA 규칙 작업을 통해서만 실행됩니다. 퍼즐을 성공적으로 완료하면 CAPTCHA 스크립트는 토큰의 CAPTCHA 타임스탬프를 업데이트합니다. 자세한 내용은 AWS WAF의 CAPTCHA 및 Challenge 섹션을 참조하세요.
-
챌린지 - 챌린지는 자동으로 실행되어 일반 클라이언트 세션을 봇 세션과 구분할 수 있도록 도와주고 봇의 운영 비용을 증가시킵니다. 챌린지가 성공적으로 완료되면 챌린지 스크립트는 필요한 경우 AWS WAF에서 새 토큰을 자동으로 가져온 다음, 토큰의 챌린지 타임스탬프를 업데이트합니다.
AWS WAF는 다음과 같은 상황에서 챌린지를 실행합니다.
-
애플리케이션 통합 SDK - 애플리케이션 통합 SDK는 클라이언트 애플리케이션 세션 내에서 실행되며 클라이언트가 챌린지에 성공적으로 응답한 후에만 로그인 시도가 허용되도록 합니다. 자세한 내용은 AWS WAF의 클라이언트 애플리케이션 통합 섹션을 참조하세요.
-
Challenge 규칙 작업 – 자세한 내용은 AWS WAF의 CAPTCHA 및 Challenge 섹션을 참조하세요.
-
CAPTCHA—CAPTCHA 중간 광고를 실행할 때 클라이언트에 아직 토큰이 없는 경우 스크립트는 자동으로 챌린지를 먼저 실행하여 클라이언트 세션을 확인하고 토큰을 초기화합니다.
-
지능형 위협 AWS 관리형 규칙의 규칙 그룹에 포함된 많은 규칙에는 토큰이 필요합니다. 이들 규칙은 토큰을 사용하여 세션 수준에서 클라이언트 구분, 브라우저 특성 결정, 애플리케이션 웹 페이지의 사용자 상호 작용 수준 파악 등의 작업을 수행합니다. 이러한 규칙 그룹은 AWS WAF 토큰 관리를 호출합니다. 그러면 규칙 그룹에서 검사하는 토큰 레이블링이 적용됩니다.
-
AWS WAF 사기 제어 계정 생성 사기 방지(ACFP) - ACFP 규칙은 유효한 토큰이 포함된 웹 요청을 요구합니다. 규칙에 대한 자세한 내용은 AWS WAF 사기 제어 계정 생성 사기 방지(ACFP) 규칙 그룹 섹션을 참조하세요.
-
AWS WAF 사기 제어 계정 탈취 방지(ATP) - 대량의 장시간 지속되는 클라이언트 세션을 방지하는 ATP 규칙은 유효한 토큰과 만료되지 않은 챌린지 타임스탬프가 있는 웹 요청을 요구합니다. 자세한 내용은 AWS WAF 사기 제어 계정 탈취 방지(ATP) 규칙 그룹 섹션을 참조하세요.
-
AWS WAF Bot Control - 이 규칙 그룹의 대상 규칙은 클라이언트가 유효한 토큰 없이 보낼 수 있는 웹 요청 수를 제한하며, 세션 수준 모니터링 및 관리를 위해 토큰 세션 추적을 사용합니다. 이들 규칙은 필요에 따라 Challenge 및 CAPTCHA 규칙 작업을 적용하여 토큰 획득 및 유효한 클라이언트 동작을 요구합니다. 자세한 내용은 AWS WAF 봇 컨트롤 규칙 그룹 섹션을 참조하세요.
