Ce document présente des exemples de stratégies de pare-feu reCAPTCHA que vous pouvez créer en fonction de l'implémentation des fonctionnalités du WAF reCAPTCHA.
Exemple 1: Stratégie de pare-feu reCAPTCHA avec jeton d'action
Vous pouvez ajouter un jeton d'action reCAPTCHA pour protéger une action utilisateur, telle que la connexion. Pour vous assurer que le cookie reCAPTCHA est émis lorsque l'utilisateur lance l'action de connexion, intégrez le script de jeton d'action reCAPTCHA sur la page d'accueil.
Créez une stratégie de pare-feu reCAPTCHA avec les règles suivantes:
- Chemin d'accès auquel la règle doit être appliquée. Dans ce cas,
login.php
. - Si l'attribut "nom d'action" du jeton d'action ne correspond pas à l'action utilisateur protégée ou si le score est inférieur ou égal à 0,1, bloquez l'accès.
gcloud recaptcha firewall-policies create \
--description="example1 policy" \
--path="/login.php" \
--condition="recaptcha.token.action != "login" || recaptcha.score <= 0.1" \
--actions="block"
L'illustration suivante montre un workflow qui utilise la fonctionnalité de jeton d'action reCAPTCHA et la stratégie de pare-feu reCAPTCHA correspondante:
Exemple 2: Stratégie de pare-feu reCAPTCHA avec jeton de session
Vous pouvez ajouter un jeton de session reCAPTCHA sur les pages auxquelles un utilisateur peut accéder afin que le cookie soit actualisé régulièrement, par exemple une page de paiement. Intégrez le script de jeton de session reCAPTCHA afin que le cookie reCAPTCHA soit émis et actualisé dans le backend de l'application avant qu'un utilisateur ne se rende sur la page de paiement. Sur la page de paiement, intégrez le script de jeton de session reCAPTCHA afin que le cookie reCAPTCHA soit émis et actualisé dans le backend de l'application pour éviter son expiration.
Créez une stratégie de pare-feu reCAPTCHA avec la règle suivante:
- Chemin d'accès auquel la règle doit être appliquée. Dans ce cas,
checkout.html
. - Si le score est inférieur ou égal à 0,1, bloquez l'accès.
gcloud recaptcha firewall-policies create \
--description="example2 policy" \
--path="/checkout.html" \
--condition="recaptcha.score <=0.1" \
--actions="block"
L'illustration suivante montre un workflow qui utilise la fonctionnalité de jeton de session reCAPTCHA et la stratégie de pare-feu reCAPTCHA correspondante:
Exemple 3: Stratégie de pare-feu reCAPTCHA avec page de test
Vous pouvez ajouter la fonctionnalité de page de test reCAPTCHA lorsque vous souhaitez rediriger l'utilisateur vers une page interstitielle qui détermine si la requête de l'utilisateur est potentiellement frauduleuse ou légitime.
Pour les pages que vous souhaitez protéger, créez des règles de stratégie de pare-feu reCAPTCHA pour rediriger l'utilisateur vers la page de test:
- Pour la page protégée, si le jeton n'est pas valide, redirigez l'utilisateur vers la page de défi. Dans ce cas,
index.html
. Si le score est inférieur ou égal à 0,1, redirigez l'utilisateur vers la page d'erreur.
gcloud recaptcha firewall-policies create \ --description="example3-1 policy" \ --path="/index.html" --condition="!recaptcha.token.valid" --actions="redirect"
gcloud recaptcha firewall-policies create \ --description="example3-2 policy" \ --path="/index.html" --condition="recaptcha.score <= 0.1" --actions="substitute { path: /bot_error }"
L'illustration suivante montre un workflow qui utilise la fonctionnalité de page de test reCAPTCHA et les règles de pare-feu reCAPTCHA correspondantes:
Exemple 4: Stratégie de pare-feu reCAPTCHA avec jeton d'action et page de test
Vous pouvez utiliser plusieurs fonctionnalités du WAF reCAPTCHA si vous souhaitez appliquer différents niveaux de protection aux pages Web. Par exemple, vous pouvez utiliser la fonctionnalité de jeton d'action ou de jeton de session sur une page pour évaluer le trafic entrant à l'aide des scores reCAPTCHA, et utiliser la fonctionnalité de page de test sur une page où vous souhaitez vous assurer que l'utilisateur n'est pas un robot.
Vous pouvez ajouter un jeton d'action reCAPTCHA pour protéger une action utilisateur, telle que la connexion. Pour vous assurer que le cookie reCAPTCHA est émis lorsque l'utilisateur lance l'action de connexion, intégrez le script de jeton d'action reCAPTCHA sur la page avant l'action de connexion protégée. (par exemple, la page d'accueil). Sur la page de téléchargement, pour rediriger l'utilisateur vers la page de test, utilisez la règle de stratégie de pare-feu reCAPTCHA.
Créez une stratégie de pare-feu reCAPTCHA avec les règles suivantes:
- Chemin d'accès auquel la règle doit être appliquée. Dans ce cas,
login.php
. - Si l'attribut "nom d'action" du jeton d'action ne correspond pas à l'action utilisateur protégée, ou si le type d'évaluation n'est pas
ACTION
, ou si le score est inférieur ou égal à 0,1, bloquez l'accès. - Pour rediriger l'utilisateur vers la page de défi lorsqu'il souhaite télécharger du contenu, ajoutez une règle de stratégie de pare-feu pour le rediriger.
- Si le score est inférieur ou égal à 0,1 ou si le type d'évaluation n'est pas
CHALLENGEPAGE
, redirigez l'utilisateur vers la page d'erreur.
gcloud recaptcha firewall-policies create --description="example4-1 policy"
--path="/login.php" --condition="recaptcha.token.action != "login" || recaptcha.assessment_type != AssessmentType.ACTION || recaptcha.score <= 0.1" --actions="block"
gcloud recaptcha firewall-policies create --description="example4-2 policy"
--path="/content/example.pdf" --condition="recaptcha.assessment_type != AssessmentType.CHALLENGEPAGE" --actions="redirect"
gcloud recaptcha firewall-policies create --description="example4-3 policy"
--path="/content/example.pdf" --condition="recaptcha.score <= 0.1 || recaptcha.assessment_type != AssessmentType.CHALLENGEPAGE" --actions="substitute { path: /bot_error }"
L'illustration suivante montre un workflow qui utilise les fonctionnalités de page de test reCAPTCHA et de jeton d'action reCAPTCHA, ainsi que les règles de pare-feu reCAPTCHA correspondantes:
Exemple 5: Stratégie de pare-feu reCAPTCHA avec protection express WAF et page de test
Vous pouvez ajouter la fonctionnalité de protection express reCAPTCHA Enterprise WAF lorsque vous souhaitez évaluer l'interaction de l'utilisateur sans friction, puis rediriger les utilisateurs vers la page de défi si le score est faible. Par exemple, pour empêcher le scraping de données, vous souhaitez bloquer le trafic vers une page de catalogue.
Créez une stratégie de pare-feu reCAPTCHA avec la règle suivante:
- Chemin d'accès auquel la règle doit être appliquée.
- Si le score est inférieur ou égal à 0,3, redirigez l'utilisateur vers la page de défi.
L'exemple suivant crée une stratégie de pare-feu reCAPTCHA pour rediriger le ciblage du trafic pour /catalog1/itemlist.html
lorsque le score est inférieur à 0,3.
gcloud recaptcha firewall-policies create \
--description="example5 policy" \
--path="/catalog1/itemlist.html" \
--condition="recaptcha.score <= 3" \
--actions="redirect"