Ce document présente des exemples de stratégies de pare-feu reCAPTCHA que vous pouvez créer en fonction de la mise en œuvre des fonctionnalités de reCAPTCHA WAF.
Exemple 1: Stratégie de pare-feu reCAPTCHA avec un jeton d'action
Vous pouvez ajouter un jeton d'action reCAPTCHA pour protéger une action utilisateur, telle que la connexion. Pour vous assurer que le cookie reCAPTCHA est émis lorsque l'utilisateur lance l'action de connexion, intégrez le script de jeton d'action reCAPTCHA à la page d'accueil.
Créez une stratégie de pare-feu reCAPTCHA avec les règles suivantes:
- Chemin d'accès à l'emplacement où la règle doit être appliquée. Dans ce cas,
login.php. - Si l'attribut de nom d'action du jeton d'action ne correspond pas à l'action utilisateur protégée ou si le score est inférieur ou égal à 0,1, bloquez l'accès.
gcloud recaptcha firewall-policies create \
--description="example1 policy" \
--path="/login.php" \
--condition="recaptcha.token.action != "login" || recaptcha.score <= 0.1" \
--actions="block"
L'illustration suivante montre un workflow qui utilise la fonctionnalité de jeton d'action reCAPTCHA et la stratégie de pare-feu reCAPTCHA correspondante:
Exemple 2: Stratégie de pare-feu reCAPTCHA avec un jeton de session
Vous pouvez ajouter un jeton de session reCAPTCHA sur les pages auxquelles un utilisateur est susceptible d'accéder afin que le cookie soit actualisé régulièrement, par exemple une page de paiement. Intégrez le script de jeton de session reCAPTCHA afin que le cookie reCAPTCHA soit émis et actualisé au niveau du backend de l'application avant qu'un utilisateur n'accède à la page de paiement. Sur la page de paiement, intégrez le script de jeton de session reCAPTCHA afin que le cookie reCAPTCHA soit émis et actualisé au niveau du backend de l'application pour empêcher l'expiration du cookie.
Créez une stratégie de pare-feu reCAPTCHA avec la règle suivante:
- Chemin d'accès à l'emplacement où la règle doit être appliquée. Dans ce cas,
checkout.html. - Si le score est inférieur ou égal à 0,1, bloquez l'accès.
gcloud recaptcha firewall-policies create \
--description="example2 policy" \
--path="/checkout.html" \
--condition="recaptcha.score <=0.1" \
--actions="block"
L'illustration suivante montre un workflow qui utilise la fonctionnalité de jeton de session reCAPTCHA et la stratégie de pare-feu reCAPTCHA correspondante:
Exemple 3: Stratégie de pare-feu reCAPTCHA avec page de test
Vous pouvez ajouter la fonctionnalité de page de test reCAPTCHA si vous souhaitez que l'utilisateur soit redirigé vers une page interstitielle où elle détermine si la demande de l'utilisateur est potentiellement frauduleuse ou légitime.
Pour les pages que vous souhaitez protéger, créez des règles de stratégie de pare-feu reCAPTCHA pour rediriger l'utilisateur vers la page de test:
- Pour la page protégée, si le jeton n'est pas valide, redirigez l'utilisateur vers la page de test. Dans ce cas,
index.html. Si le score est inférieur ou égal à 0,1, redirigez l'utilisateur vers la page d'erreur.
gcloud recaptcha firewall-policies create \ --description="example3-1 policy" \ --path="/index.html" --condition="!recaptcha.token.valid" --actions="redirect"gcloud recaptcha firewall-policies create \ --description="example3-2 policy" \ --path="/index.html" --condition="recaptcha.score <= 0.1" --actions="substitute { path: /bot_error }"
L'illustration suivante montre un workflow qui utilise la fonctionnalité de page de test reCAPTCHA et les stratégies de pare-feu reCAPTCHA correspondantes:
Exemple 4: Stratégie de pare-feu reCAPTCHA avec un jeton d'action et une page de test
Vous pouvez utiliser plusieurs fonctionnalités du WAF reCAPTCHA lorsque vous souhaitez appliquer différents niveaux de protection sur les pages Web. Par exemple, vous pouvez utiliser la fonctionnalité de jeton d'action ou de session sur une page pour évaluer le trafic entrant à l'aide des scores reCAPTCHA, et utiliser la fonctionnalité de page de test sur une page pour laquelle vous souhaitez vous assurer que l'utilisateur n'est pas un robot.
Vous pouvez ajouter un jeton d'action reCAPTCHA pour protéger une action utilisateur, telle que la connexion. Pour vous assurer que le cookie reCAPTCHA est émis lorsque l'utilisateur lance l'action de connexion, intégrez le script de jeton d'action reCAPTCHA à la page, avant l'action de connexion protégée. Par exemple, la page d'accueil. Sur la page de téléchargement, utilisez la règle de stratégie de pare-feu reCAPTCHA pour rediriger l'utilisateur vers la page de test.
Créez une stratégie de pare-feu reCAPTCHA avec les règles suivantes:
- Chemin d'accès à l'emplacement où la règle doit être appliquée. Dans ce cas,
login.php. - Si l'attribut de nom d'action du jeton d'action ne correspond pas à l'action utilisateur protégée, si le type d'évaluation n'est pas
ACTION, ou si le score est inférieur ou égal à 0,1, bloquez l'accès. - Pour rediriger l'utilisateur vers la page d'authentification lorsqu'il souhaite télécharger du contenu, ajoutez une règle de stratégie de pare-feu afin de rediriger l'utilisateur.
- Si le score est inférieur ou égal à 0,1 ou si le type d'évaluation n'est pas
CHALLENGEPAGE, redirigez l'utilisateur vers la page d'erreur.
gcloud recaptcha firewall-policies create --description="example4-1 policy"
--path="/login.php" --condition="recaptcha.token.action != "login" || recaptcha.assessment_type != AssessmentType.ACTION || recaptcha.score <= 0.1" --actions="block"
gcloud recaptcha firewall-policies create --description="example4-2 policy"
--path="/content/example.pdf" --condition="recaptcha.assessment_type != AssessmentType.CHALLENGEPAGE" --actions="redirect"
gcloud recaptcha firewall-policies create --description="example4-3 policy"
--path="/content/example.pdf" --condition="recaptcha.score <= 0.1 || recaptcha.assessment_type != AssessmentType.CHALLENGEPAGE" --actions="substitute { path: /bot_error }"
L'illustration suivante montre un workflow qui utilise les fonctionnalités de jeton d'action reCAPTCHA et de page de test reCAPTCHA, ainsi que les stratégies de pare-feu reCAPTCHA correspondantes:
Exemple 5: Stratégie de pare-feu reCAPTCHA avec une protection express WAF et une page de test
Vous pouvez ajouter la fonctionnalité de protection express reCAPTCHA Enterprise WAF lorsque vous souhaitez évaluer l'interaction de l'utilisateur sans friction, puis rediriger les utilisateurs vers la page de test si le score est faible. Par exemple, pour empêcher le scraping des données, vous souhaitez bloquer le trafic vers une page de catalogue.
Créez une stratégie de pare-feu reCAPTCHA avec la règle suivante:
- Chemin d'accès à l'emplacement où la règle doit être appliquée.
- Si le score est inférieur ou égal à 0,3, redirigez l'utilisateur vers la page du défi.
L'exemple suivant crée une règle de pare-feu reCAPTCHA pour rediriger le ciblage du trafic pour /catalog1/itemlist.html lorsque le score est inférieur à 0,3.
gcloud recaptcha firewall-policies create \
--description="example5 policy" \
--path="/catalog1/itemlist.html" \
--condition="recaptcha.score <= 3" \
--actions="redirect"