产品动态
产品公告
安全公告
WAF 与验证码组合方案
背景信息
腾讯云 WAF 与腾讯云验证码组合服务方案用以帮助客户评估判断来自自动化客户端传入请求,并对恶意请求执行操作。
腾讯云 WAF 与验证码组合服务使用风险分析技术区分真人用户和自动化客户端。在验证码服务中,通过配置 WAF 用户的验证码服务的网站密钥和CaptchaAppId,向 WAF 颁发一个加密 Ticket,其中包含表示相关风险的特性。腾讯云 WAF 会在引擎中解密此 Ticket,无需对验证服务进行额外的请求或响应。根据 Ticket 特性,WAF 可以对请求执行允许、拒绝、重定向传入或限制传入速率等操作。
适用场景
本部分介绍如何使用 WAF 的流量管理模块来降低来自自动化客户端的访问。
前提条件
方案原理
客户业务接入腾讯云验证码服务后,会自动触发验证码加载请求。当用户访问业务并触发验证码交互时,验证码服务器生成包含验证信息的 Ticket 并返回给业务端。业务端将该 Ticket 和 CaptchaAppId 添加到 HTTP 请求头中,随业务请求一并提交至 WAF 服务器。WAF 服务器通过 CaptchaAppId 解密 Ticket,并根据验证结果(包括验证码风险类型、设备风险令牌得分等参数)匹配 WAF 中配置的自定义规则(如访问控制、精准白名单、规则白名单、自定义 CC 规则)。随后,WAF 服务器根据匹配结果执行相应的自定义安全规则,最终实现对业务请求的安全防护。整个流程采用非对称加密和签名验证机制,保障验证过程的安全性和防篡改性。
操作步骤
1. 登录 验证码控制台,在左侧导航栏中,选择验证管理。
2. 在验证管理页面,您可以创建验证码或编辑已有的验证码服务。
3. 进入创建验证码或编辑验证码页面,可在其他配置项开启 WAF 服务,单击保存后,即可获得 WAF 验证交互解码 Ticket 的密钥,以及 CaptchaAppId,保障后续请求在 Ticket 验证过程的安全性(避免伪造、重放、篡改等恶意绕过验证的请求)。
4. 客户业务发布自行接入验证码服务,支持客户侧业务的实际用户访问业务过程中,自动触发执行验证码,生成用户验证票据(Ticket)带到后端 WAF 和源站服务器。
5. 客户可以在 WAF 配置验证码相关安全规则(详见 设置白名单规则、设置精准白名单规则、设置访问控制规则、设置 CC 防护规则),按照请求匹配自定义安全规则的结果,自动生效和处置当前请求(如放行合法请求、拦截高风险请求、重定向配置路径、仅观察记录日志或要求重新验证),最终实现对业务请求的安全防护。
验证码相关匹配方式字段说明如下:
匹配字段 | 匹配参数 | 逻辑符号 | 匹配内容说明 |
验证码风险类型 | 无 | 数值等于、数值不等于 | 请输入0-255之间的整数值,二进制转为十进制 |
| | 属于、不属于 | 请输入0-255之间的整数值,回车分隔多个值,最多50个 |
| | 存在、不存在 | 无 |
验证码设备风险 | 无 | 属于、不属于 | 请选择设备风险类别:101、201、301、401、501、601、701 |
| | 存在、不存在 | 无 |
验证码令牌得分 | 无 | 数值等于、数值大于、数值小于、数值小于等于、数值大于等于 | 请输入0-100之间的整数值 |
| | 存在、不存在 | 无 |
说明:
文档反馈