本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
为何要在 ATP 中使用应用程序集成软件开发工具包
ATP 托管规则组需要应用程序集成软件开发工具包生成的质询令牌。这些令牌支持规则组提供的全套保护。
我们强烈建议实施应用程序集成软件开发工具包,以便最有效地使用 ATP 规则组。质询脚本必须在 ATP 规则组之前运行,这样规则组才能从脚本获取的令牌中受益。使用应用程序集成软件开发工具包,能够自动实施此操作。如果您无法使用软件开发工具包,则可以交替配置您的 Web ACL,使其对 ATP 规则组将要检查的所有请求运行 Challenge 或 CAPTCHA 规则操作。使用 Challenge 或 CAPTCHA 规则操作可能会产生额外费用。有关定价的详细信息,请参阅 Amazon WAF 定价
不需要令牌的 ATP 规则组的功能
当 Web 请求没有令牌时,ATP 托管规则组能够阻止以下类型的流量:
-
发出大量登录请求的单个 IP 地址。
-
在短时间内发出大量失败登录请求的单个 IP 地址。
-
尝试使用密码遍历登录,使用相同的用户名但更改了密码。
需要令牌的 ATP 规则组的功能
质询令牌中提供的信息扩展了规则组的功能和您的客户端应用程序的整体安全性。
该令牌为每个 Web 请求提供客户端信息,使 ATP 规则组能够将合法的客户端会话与行为不端的客户端会话区分开来,即使两者都来自单个 IP 地址。规则组使用令牌中的信息来汇总客户端会话请求行为,以进行微调的检测和缓解。
当令牌在 Web 请求中可用时,ATP 规则组可以在会话级别检测和阻止以下其他类别的客户端:
-
无法通过软件开发工具包管理的静默质询的客户端会话。
-
遍历用户名或密码的客户端会话。这也称作凭证填充。
-
反复使用被盗凭证登录的客户端会话。
-
花费很长时间尝试登录的客户端会话。
-
发出大量登录请求的客户端会话。与 Amazon WAF 基于速率的规则相比,ATP 规则组提供了更好的客户端隔离,后者可以按 IP 地址阻止客户端。ATP 规则组还使用较低的阈值。
-
在短时间内发出大量失败登录请求的客户端会话。此功能适用于受保护的 Amazon CloudFront 分配。
有关这些功能的更多信息,请参阅 Amazon WAF 防欺诈控制账户盗用 (ATP) 规则组。
有关软件开发工具包的更多信息,请参阅 Amazon WAF 客户端应用程序集成。有关 Amazon WAF 令牌的信息,请参阅Amazon WAF 网络请求令牌。有关规则操作的信息,请参阅 CAPTCHA然后Challenge在 Amazon WAF。