**引入全新的主机体验 Amazon WAF**

现在，您可以使用更新的体验访问控制台中任意位置的 Amazon WAF 功能。有关更多详细信息，请参阅[使用控制台](https://docs.amazonaws.cn/waf/latest/developerguide/working-with-console.html)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 使用 SDKs 与 ATP 的应用程序集成
<a name="waf-atp-with-tokens"></a>

本节介绍如何使用 SDKs 与 ATP 的应用程序集成。

ATP 托管规则组需要应用程序集成 SDKs 生成的质询令牌。这些令牌支持规则组提供的全套保护。

我们强烈建议实施应用程序集成 SDKs，以便最有效地使用 ATP 规则组。质询脚本必须在 ATP 规则组之前运行，这样规则组才能从脚本获取的令牌中受益。应用程序集成会自动发生这种情况 SDKs。如果您无法使用 SDKs，则可以交替配置您的保护包 (Web ACL)，使其对所有将由 ATP CAPTCHA 规则组检查的请求运行Challenge或规则操作。使用 Challenge 或 CAPTCHA 规则操作可能会产生额外费用。有关定价的详细信息，请参阅 [Amazon WAF 定价](https://www.amazonaws.cn/waf/pricing/)。

**不需要令牌的 ATP 规则组的功能**  
当 web 请求没有令牌时，ATP 托管规则组能够阻止以下类型的流量：
+ 发出大量登录请求的单个 IP 地址。
+ 在短时间内发出大量失败登录请求的单个 IP 地址。
+ 尝试使用密码遍历登录，使用相同的用户名但更改了密码。

**需要令牌的 ATP 规则组的功能**  
质询令牌中提供的信息扩展了规则组的功能和您的客户端应用程序的整体安全性。

该令牌为每个 web 请求提供客户端信息，使 ATP 规则组能够将合法的客户端会话与行为不端的客户端会话区分开来，即使两者都来自单个 IP 地址。规则组使用令牌中的信息来汇总客户端会话请求行为，以进行微调的检测和缓解。

当令牌在 web 请求中可用时，ATP 规则组可以在会话级别检测和阻止以下其他类别的客户端：
+ 未通过其 SDKs 管理的静默挑战的客户端会话。
+ 遍历用户名或密码的客户端会话。这也称作凭证填充。
+ 反复使用被盗凭证登录的客户端会话。
+ 花费很长时间尝试登录的客户端会话。
+ 发出大量登录请求的客户端会话。与 Amazon WAF 基于速率的规则相比，ATP 规则组提供了更好的客户端隔离，后者可以按 IP 地址阻止客户端。ATP 规则组还使用较低的阈值。
+ 在短时间内发出大量失败登录请求的客户端会话。此功能适用于受保护的 Amazon CloudFront 分配。

有关这些功能的更多信息，请参阅 [Amazon WAF 防欺诈控制账户盗用 (ATP) 规则组](aws-managed-rule-groups-atp.md)。

有关的信息 SDKs，请参阅[中的客户端应用程序集成 Amazon WAF](waf-application-integration.md)。有关 Amazon WAF 令牌的信息，请参阅[代币在 Amazon WAF 智能威胁缓解中的使用](waf-tokens.md)。有关规则操作的信息，请参阅 [CAPTCHA然后Challenge在 Amazon WAF](waf-captcha-and-challenge.md)。