本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
为什么要将应用程序集成 SDK 与 ATP 一起使用
ATP 托管规则组需要应用程序集成 SDK 生成的质询令牌。这些令牌启用了规则组提供的全套保护。
我们强烈建议实施应用程序集成 SDK,以便最有效地使用 ATP 规则组。质询脚本必须在 ATP 规则组之前运行,规则组才能从脚本获取的令牌中受益。这是在应用程序集成 SDK 中自动发生的。如果您无法使用 SDK,则可以交替配置 Web ACL,使其对将由 ATPCAPTCHA 规则组检查的所有请求运行Challenge或规则操作。使用Challenge或CAPTCHA规则操作可能会产生额外费用。有关定价的详细信息,请参阅 Amazon WAF 定价
不需要令牌的 ATP 规则组的功能
当 Web 请求没有令牌时,ATP 托管规则组能够阻止以下类型的流量:
-
发出大量登录请求的单个 IP 地址。
-
在短时间内发出大量失败的登录请求的单个 IP 地址。
-
尝试遍历密码,使用相同的用户名但更改密码。
需要令牌的 ATP 规则组的功能
挑战令牌中提供的信息扩展了规则组和整体客户端应用程序安全的功能。
该令牌为每个 Web 请求提供客户信息,使 ATP 规则组能够将合法的客户端会话与行为不良的客户端会话分开,即使两者都来自单个 IP 地址。规则组使用令牌中的信息来聚合客户端会话请求行为,以进行微调检测和缓解措施。
当令牌在 Web 请求中可用时,ATP 规则组可以在会话级别检测和屏蔽以下其他类别的客户端:
-
未能通过 SDK 管理的静默挑战的客户端会话。
-
遍历用户名或密码的客户端会话。这也称作凭证填充。
-
反复使用被盗凭据登录的客户端会话。
-
花费很长时间尝试登录的客户端会话。
-
提出大量登录请求的客户端会话。与Amazon WAF基于速率的规则相比,ATP 规则组提供的客户端隔离效果更好,后者通过 IP 地址阻止客户端。ATP 规则组还使用较低的阈值。
-
在短时间内发出大量失败的登录请求的客户端会话。此功能适用于受保护的亚马逊 CloudFront 发行版。
有关规则组功能的更多信息,请参阅Amazon WAF欺诈控制账户收购预防 (ATP) 规则组。
有关开发工具包的信息,请参阅Amazon WAF客户机应用程序集成。有关Amazon WAF令牌的信息,请参阅Amazon WAF网络请求令牌。有关规则操作的信息,请参阅CAPTCHA以及中的Challenge操作Amazon WAF。