Ce document explique comment intégrer reCAPTCHA pour WAF à Fastly.
Pour terminer l'intégration, vous devez implémenter une ou plusieurs fonctionnalités de reCAPTCHA pour WAF, créer des règles de pare-feu reCAPTCHA et intégrer le service de calcul Fastly.
Avant de commencer
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Notez l'ID de votre projet Google Cloud pour l'utiliser ultérieurement.Make sure that billing is enabled for your Google Cloud project.
Enable the reCAPTCHA Enterprise API.
Créez une clé API pour l'authentification:
Dans la console Google Cloud, accédez à la page Identifiants.
Cliquez sur
Créer des identifiants, puis sélectionnez Clé API.Notez la clé API pour une utilisation ultérieure.
Planifiez comment vous souhaitez implémenter les fonctionnalités de reCAPTCHA pour WAF afin de protéger votre site Web.
- Choisissez une ou plusieurs fonctionnalités de WAF qui correspondent le mieux à votre cas d'utilisation.
- Identifiez les pages que vous souhaitez protéger et le type de fonctionnalité de WAF#39;application Web que vous souhaitez implémenter sur ces pages.
- Identifiez les conditions pour autoriser ou bloquer l'accès.
- Découvrez les composants et attributs des règles de pare-feu reCAPTCHA qui vous aident à créer des règles de pare-feu reCAPTCHA. Pour obtenir des exemples, consultez la section Exemples de stratégies de pare-feu reCAPTCHA.
Téléchargez le package reCAPTCHA pour Fastly
recaptcha_fastly_client_0.1.0.tar.gz
.Créez un compte Fastly avec des fonctionnalités Compute@Edge.
Implémenter les fonctionnalités de reCAPTCHA pour WAF
Selon vos besoins, vous pouvez utiliser une ou plusieurs fonctionnalités de reCAPTCHA pour les fonctionnalités WAF dans une seule application.
Si vous souhaitez utiliser plusieurs fonctionnalités, vous devez créer une clé reCAPTCHA pour chacune d'elles et les utiliser dans votre application. Par exemple, si vous souhaitez utiliser les jetons d'action reCAPTCHA et la page de test reCAPTCHA, vous devez créer une clé de jeton d'action et une clé de page de test, puis les utiliser dans votre application.
action-token
Vous devez exécuter reCAPTCHA sur vos pages Web pour générer des jetons d'action.
Une fois que reCAPTCHA a généré un jeton d'action, vous devez l'associer à un en-tête de requête prédéfini partout où vous devez protéger les actions utilisateur, telle que checkout
. Par défaut, les jetons d'action sont valides pendant 30 minutes, mais ce délai peut varier en fonction du trafic.
Vous devez associer le jeton d'action à un en-tête de requête prédéfini avant son expiration, afin que Fastly puisse évaluer les attributs du jeton.
Pour implémenter un jeton d'action reCAPTCHA, procédez comme suit :
Créez une clé de jeton d'action pour votre site Web.
gcloud
Pour créer des clés reCAPTCHA, utilisez la commande gcloud recaptcha keys create.
Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :
- DISPLAY_NAME: nom de la clé. Généralement un nom de site.
- INTEGRATION_TYPE: type d'intégration.
Spécifiez
score
oucheckbox
. - DOMAIN_NAME: domaines ou sous-domaines de sites Web autorisés à utiliser la clé.
Spécifiez plusieurs domaines sous la forme d'une liste d'éléments séparés par une virgule. Facultatif: spécifiez
--allow-all-domains
pour désactiver la validation du domaine.La désactivation de la validation de domaine est un risque pour la sécurité, car il n'existe aucune restriction sur le site. Par conséquent, votre clé reCAPTCHA est accessible et utilisée par n'importe quel utilisateur.
- WAF_FEATURE: nom de la fonctionnalité du WAF.
Spécifiez
action-token
. - WAF_SERVICE: nom du fournisseur de service de WAF'application.
Spécifiez
fastly
pour Fastly.
Exécutez la commande gcloud recaptcha keys create:
Linux, macOS ou Cloud Shell
gcloud recaptcha keys create \ --web \ --display-name=DISPLAY_NAME \ --integration-type=INTEGRATION_TYPE \ --domains=DOMAIN_NAME \ --waf-feature=WAF_FEATURE \ --waf-service=WAF_SERVICE
Windows (PowerShell)
gcloud recaptcha keys create ` --web ` --display-name=DISPLAY_NAME ` --integration-type=INTEGRATION_TYPE ` --domains=DOMAIN_NAME ` --waf-feature=WAF_FEATURE ` --waf-service=WAF_SERVICE
Windows (cmd.exe)
gcloud recaptcha keys create ^ --web ^ --display-name=DISPLAY_NAME ^ --integration-type=INTEGRATION_TYPE ^ --domains=DOMAIN_NAME ^ --waf-feature=WAF_FEATURE ^ --waf-service=WAF_SERVICE
La réponse contient la clé reCAPTCHA nouvellement créée.
REST
Pour obtenir des informations de référence sur les types de clés et les types d'intégration, consultez les sections Clé et Type d'intégration.Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :
- DISPLAY_NAME: nom de la clé. Généralement un nom de site.
- INTEGRATION_TYPE: type d'intégration.
Spécifiez
score
oucheckbox
. - DOMAIN_NAME: domaines ou sous-domaines de sites Web autorisés à utiliser la clé.
Spécifiez plusieurs domaines sous la forme d'une liste d'éléments séparés par une virgule. Facultatif: spécifiez
--allow-all-domains
pour désactiver la validation du domaine.La désactivation de la validation de domaine est un risque pour la sécurité, car il n'existe aucune restriction sur le site. Par conséquent, votre clé reCAPTCHA est accessible et utilisée par n'importe quel utilisateur.
- WAF_FEATURE: nom de la fonctionnalité du WAF.
Spécifiez
action-token
. - WAF_SERVICE: nom du fournisseur de service de WAF'application.
Spécifiez
fastly
pour Fastly.
Méthode HTTP et URL :
POST https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys
Corps JSON de la requête :
{ "displayName": "DISPLAY_NAME", 'wafSettings': " { "wafService": "WAF_SERVICE", "wafFeature": "WAF_FEATURE" } "webSettings": { "allowedDomains": "DOMAINS", "integrationType": "TYPE_OF_INTEGRATION" } }
Pour envoyer votre requête, choisissez l'une des options suivantes :
curl
Enregistrez le corps de la requête dans un fichier nommé
request.json
, puis exécutez la commande suivante :curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys"PowerShell
Enregistrez le corps de la requête dans un fichier nommé
request.json
, puis exécutez la commande suivante :$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }
Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys" | Select-Object -Expand ContentVous devriez recevoir une réponse JSON de ce type :
{ "name": "projects/project-id/keys/7Ldqgs0UBBBBBIn4k7YxEB-LwEh5S9-Gv6QQIWB8m", "displayName": "DISPLAY_NAME, "webSettings": { "allowAllDomains": true, "allowedDomains": [ "localhost" ], "integrationType": "SCORE", }, "wafSettings": { "wafService": "fastly", "wafFeature": "ACTION_TOKEN" } }
Enregistrez la clé de jeton d'action pour une utilisation ultérieure.
-
Intégrez le code JavaScript reCAPTCHA sur vos pages Web avec la clé de jeton d'action que vous avez créée. Pour obtenir des instructions, consultez le document correspondant au type d'intégration de votre clé de jeton d'action.
- Pour le type d'intégration
SCORE
, consultez Intégrer des clés basées sur des scores avec l'interface. - Pour le type d'intégration
CHECKBOX
, consultez Afficher le widget reCAPTCHA sur l'interface.
- Pour le type d'intégration
-
Après avoir reçu le jeton de reCAPTCHA, associez-le à un en-tête de requête prédéfini au format suivant:
X-Recaptcha-Token: value-of-your-action-token
Vous pouvez utiliser des langages tels que XHR, Ajax ou l'API Fetch pour associer le jeton à un en-tête de requête prédéfini.
L'exemple de script suivant montre comment protéger l'action
execute
et associer le jeton à un en-tête de requête prédéfini à l'aide de JavaScript + XHR:<script> src="https://www.google.com/recaptcha/enterprise.js?render=ACTION_TOKEN_KEY"></script> <script> function onSuccess(action_token) { const xhr = new XMLHttpRequest(); xhr.open('GET','YOUR_URL', false); // Attach the action-token to the predefined request header xhr.setRequestHeader("X-Recaptcha-Token", action_token); xhr.send(null); } function onError(reason) { alert('Response promise rejected: ' + reason); grecaptcha.enterprise.ready(function () { document.getElementById("execute-button").onclick = () => { grecaptcha.enterprise.execute('ACTION_TOKEN_KEY', { }).then(onSuccess, onError); }; }); } </script>
session-token
Le code JavaScript reCAPTCHA définit un jeton de session reCAPTCHA en tant que cookie sur le navigateur de l'utilisateur final après l'évaluation. Le navigateur de l'utilisateur final associe le cookie et l'actualise tant que le code JavaScript reCAPTCHA reste actif.
Pour fournir un jeton de session en tant que cookie, installez une clé de jeton de session sur au moins l'une de vos pages Web que l'utilisateur final parcourt avant la page à protéger. Par exemple, si vous souhaitez protéger la page de paiement, installez une clé de jeton de session sur la page d'accueil ou sur la page du produit.
Pour savoir comment installer des clés de jeton de session sur vos pages Web, consultez la section Intégrer des clés basées sur des scores avec l'interface.
Vous pouvez utiliser ce cookie pour protéger les requêtes ultérieures de l'utilisateur final et les chargements de page sur un domaine spécifique. Les jetons de session sont valides par défaut pendant 30 minutes. Toutefois, si l'utilisateur final reste sur la page où vous avez implémenté le jeton de session, reCAPTCHA actualise régulièrement le jeton de session pour empêcher son expiration.
Installez des jetons de session sur chaque page devant être protégée par reCAPTCHA. Nous vous recommandons de protéger chaque page avec reCAPTCHA et d'utiliser des règles Google Cloud Armor pour appliquer l'accès à toutes les pages, à l'exception de la première page que les utilisateurs finaux parcourent.
Voici un exemple de jeton de session reCAPTCHA :recaptcha-ca-t=value-of-your-session-token;domain=domain;expires=expiration_time
Pour implémenter un jeton de session reCAPTCHA, procédez comme suit :
- Créez une clé de jeton de session pour votre site Web.
gcloud
Pour créer des clés reCAPTCHA, utilisez la commande gcloud recaptcha keys create.
Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :
- DISPLAY_NAME: nom de la clé. Généralement un nom de site.
- INTEGRATION_TYPE: type d'intégration.
Spécifiez
score
. - DOMAIN_NAME: domaines ou sous-domaines de sites Web autorisés à utiliser la clé.
Spécifiez plusieurs domaines sous la forme d'une liste d'éléments séparés par une virgule. Facultatif: spécifiez
--allow-all-domains
pour désactiver la validation du domaine.La désactivation de la validation de domaine est un risque pour la sécurité, car il n'existe aucune restriction sur le site. Par conséquent, votre clé reCAPTCHA est accessible et utilisée par n'importe quel utilisateur.
- WAF_FEATURE: nom de la fonctionnalité du WAF.
Spécifiez
session-token
. - WAF_SERVICE: nom du fournisseur de service de WAF'application.
Spécifiez
fastly
pour Fastly.
Exécutez la commande gcloud recaptcha keys create:
Linux, macOS ou Cloud Shell
gcloud recaptcha keys create \ --web \ --display-name=DISPLAY_NAME \ --integration-type=INTEGRATION_TYPE \ --domains=DOMAIN_NAME \ --waf-feature=WAF_FEATURE \ --waf-service=WAF_SERVICE
Windows (PowerShell)
gcloud recaptcha keys create ` --web ` --display-name=DISPLAY_NAME ` --integration-type=INTEGRATION_TYPE ` --domains=DOMAIN_NAME ` --waf-feature=WAF_FEATURE ` --waf-service=WAF_SERVICE
Windows (cmd.exe)
gcloud recaptcha keys create ^ --web ^ --display-name=DISPLAY_NAME ^ --integration-type=INTEGRATION_TYPE ^ --domains=DOMAIN_NAME ^ --waf-feature=WAF_FEATURE ^ --waf-service=WAF_SERVICE
La réponse contient la clé reCAPTCHA nouvellement créée.
REST
Pour obtenir des informations de référence sur les types de clés et les types d'intégration, consultez les sections Clé et Type d'intégration.Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :
- DISPLAY_NAME: nom de la clé. Généralement un nom de site.
- INTEGRATION_TYPE: type d'intégration.
Spécifiez
score
. - DOMAIN_NAME: domaines ou sous-domaines de sites Web autorisés à utiliser la clé.
Spécifiez plusieurs domaines sous la forme d'une liste d'éléments séparés par une virgule. Facultatif: spécifiez
--allow-all-domains
pour désactiver la validation du domaine.La désactivation de la validation de domaine est un risque pour la sécurité, car il n'existe aucune restriction sur le site. Par conséquent, votre clé reCAPTCHA est accessible et utilisée par n'importe quel utilisateur.
- WAF_FEATURE: nom de la fonctionnalité du WAF.
Spécifiez
session-token
. - WAF_SERVICE: nom du fournisseur de service de WAF'application.
Spécifiez
fastly
pour Fastly.
Méthode HTTP et URL :
POST https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys
Corps JSON de la requête :
{ "displayName": "DISPLAY_NAME", 'wafSettings': " { "wafService": "WAF_SERVICE", "wafFeature": "WAF_FEATURE" } "webSettings": { "allowedDomains": "DOMAINS", "integrationType": "TYPE_OF_INTEGRATION" } }
Pour envoyer votre requête, choisissez l'une des options suivantes :
curl
Enregistrez le corps de la requête dans un fichier nommé
request.json
, puis exécutez la commande suivante :curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys"PowerShell
Enregistrez le corps de la requête dans un fichier nommé
request.json
, puis exécutez la commande suivante :$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }
Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys" | Select-Object -Expand ContentVous devriez recevoir une réponse JSON de ce type :
{ "name": "projects/project-id/keys/7Ldqgs0UBBBBBIn4k7YxEB-LwEh5S9-Gv6QQIWB8m", "displayName": "DISPLAY_NAME, "webSettings": { "allowAllDomains": true, "allowedDomains": [ "localhost" ], "integrationType": "SCORE", }, "wafSettings": { "wafService": "fastly", "wafFeature": "SESSION_TOKEN" } }
Enregistrez votre clé de jeton de session pour une utilisation ultérieure.
-
Ajoutez la clé de jeton de session et
waf=session
au code JavaScript reCAPTCHA.L'exemple de script suivant montre comment implémenter un jeton de session sur une page Web :
<!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>reCAPTCHA WAF Session Token</title> <script src="https://www.google.com/recaptcha/enterprise.js?render=SESSION_TOKEN_KEY&waf=session" async defer></script> <body></body> </head> </html>
challenge-page
Lorsque vous implémentez une page de test reCAPTCHA, reCAPTCHA redirige vers une page interstitielle où il détermine s'il est nécessaire de présenter un test CAPTCHA à un utilisateur. Par conséquent, il est possible que les tests CAPTCHA ne soient pas visibles pour tous les utilisateurs.
Pour implémenter une page de test reCAPTCHA, procédez comme suit:
- Créez une clé de page de défi pour votre site Web.
gcloud
Pour créer des clés reCAPTCHA, utilisez la commande gcloud recaptcha keys create.
Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :
- DISPLAY_NAME: nom de la clé. Généralement un nom de site.
- INTEGRATION_TYPE: type d'intégration.
Spécifiez
invisible
. - DOMAIN_NAME: domaines ou sous-domaines de sites Web autorisés à utiliser la clé.
Spécifiez
--allow-all-domains
. - WAF_FEATURE: nom de la fonctionnalité du WAF.
Spécifiez
challenge-page
. - WAF_SERVICE: nom du fournisseur de service de WAF'application.
Spécifiez
fastly
pour Fastly.
Exécutez la commande gcloud recaptcha keys create:
Linux, macOS ou Cloud Shell
gcloud recaptcha keys create \ --web \ --display-name=DISPLAY_NAME \ --integration-type=INTEGRATION_TYPE \ --domains=DOMAIN_NAME \ --waf-feature=WAF_FEATURE \ --waf-service=WAF_SERVICE
Windows (PowerShell)
gcloud recaptcha keys create ` --web ` --display-name=DISPLAY_NAME ` --integration-type=INTEGRATION_TYPE ` --domains=DOMAIN_NAME ` --waf-feature=WAF_FEATURE ` --waf-service=WAF_SERVICE
Windows (cmd.exe)
gcloud recaptcha keys create ^ --web ^ --display-name=DISPLAY_NAME ^ --integration-type=INTEGRATION_TYPE ^ --domains=DOMAIN_NAME ^ --waf-feature=WAF_FEATURE ^ --waf-service=WAF_SERVICE
La réponse contient la clé reCAPTCHA nouvellement créée.
REST
Pour obtenir des informations de référence sur les types de clés et les types d'intégration, consultez les sections Clé et Type d'intégration.Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :
- DISPLAY_NAME: nom de la clé. Généralement un nom de site.
- INTEGRATION_TYPE: type d'intégration.
Spécifiez
invisible
. - DOMAIN_NAME: domaines ou sous-domaines de sites Web autorisés à utiliser la clé.
Spécifiez
--allow-all-domains
. - WAF_FEATURE: nom de la fonctionnalité du WAF.
Spécifiez
challenge-page
. - WAF_SERVICE: nom du fournisseur de service de WAF'application.
Spécifiez
fastly
pour Fastly.
Méthode HTTP et URL :
POST https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys
Corps JSON de la requête :
{ "displayName": "DISPLAY_NAME", 'wafSettings': " { "wafService": "WAF_SERVICE", "wafFeature": "WAF_FEATURE" } "webSettings": { "allowedDomains": "DOMAINS", "integrationType": "TYPE_OF_INTEGRATION" } }
Pour envoyer votre requête, choisissez l'une des options suivantes :
curl
Enregistrez le corps de la requête dans un fichier nommé
request.json
, puis exécutez la commande suivante :curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys"PowerShell
Enregistrez le corps de la requête dans un fichier nommé
request.json
, puis exécutez la commande suivante :$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }
Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys" | Select-Object -Expand ContentVous devriez recevoir une réponse JSON de ce type :
{ "name": "projects/project-id/keys/7Ldqgs0UBBBBBIn4k7YxEB-LwEh5S9-Gv6QQIWB8m", "displayName": "DISPLAY_NAME, "webSettings": { "allowAllDomains": true, "allowedDomains": [ "localhost" ], "integrationType": "INVISIBLE", }, "wafSettings": { "wafService": "fastly", "wafFeature": "CHALLENGE_PAGE" } }
Enregistrez la clé de la page de défi pour une utilisation ultérieure.
- Pour rediriger les utilisateurs vers la page de test reCAPTCHA et recevoir un jeton reCAPTCHA, créez une règle de pare-feu avec l'action
redirect
sur les pages protégées.
express
Pour implémenter reCAPTCHA Express, créez une clé Express.
-
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
-
gcloud
Pour créer des clés reCAPTCHA, utilisez la commande gcloud recaptcha keys create.
Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :
- DISPLAY_NAME: nom de la clé. Généralement un nom de site.
- WAF_SERVICE: nom du fournisseur de service de WAF'application.
Spécifiez
fastly
pour Fastly.
Exécutez la commande gcloud recaptcha keys create:
Linux, macOS ou Cloud Shell
gcloud recaptcha keys create \ --express \ --display-name=DISPLAY_NAME \ --waf-service=WAF_SERVICE
Windows (PowerShell)
gcloud recaptcha keys create ` --express ` --display-name=DISPLAY_NAME ` --waf-service=WAF_SERVICE
Windows (cmd.exe)
gcloud recaptcha keys create ^ --express ^ --display-name=DISPLAY_NAME ^ --waf-service=WAF_SERVICE
La réponse contient la clé reCAPTCHA nouvellement créée.
REST
Pour obtenir des informations de référence sur les types de clés et les types d'intégration, consultez les sections Clé et Type d'intégration.Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :
- DISPLAY_NAME: nom de la clé. Généralement un nom de site.
- WAF_SERVICE: nom du fournisseur de service de WAF'application.
Spécifiez
fastly
pour Fastly.
Méthode HTTP et URL :
POST https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys
Corps JSON de la requête :
{ "displayName": "DISPLAY_NAME", 'wafSettings': " { "wafService": "WAF_SERVICE", }
Pour envoyer votre requête, choisissez l'une des options suivantes :
curl
Enregistrez le corps de la requête dans un fichier nommé
request.json
, puis exécutez la commande suivante :curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys"PowerShell
Enregistrez le corps de la requête dans un fichier nommé
request.json
, puis exécutez la commande suivante :$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }
Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys" | Select-Object -Expand ContentVous devriez recevoir une réponse JSON de ce type :
{ "name": "projects/project-id/keys/7Ldqgs0UBBBBBIn4k7YxEB-LwEh5S9-Gv6QQIWB8m", "displayName": "DISPLAY_NAME, }, "wafSettings": { "wafService": "fastly", } }
Enregistrez votre clé express pour une utilisation ultérieure.
Créer des stratégies de pare-feu reCAPTCHA
Vous devez créer une stratégie de pare-feu qui spécifie des règles pour chaque page que vous souhaitez protéger sur votre site Web. Vous pouvez créer des stratégies de pare-feu avec une ou plusieurs fonctionnalités de reCAPTCHA pour WAF.
Dans votre stratégie de pare-feu reCAPTCHA, ajoutez les règles dans l'ordre de priorité souhaité. La première règle a l'ordre le plus élevé. Vous pouvez également réorganiser la priorité à l'aide de ReorderFirewallPoliciesRequest
.
Pour une requête entrante, lorsqu'une condition de stratégie correspond au chemin d'accès spécifié, votre fournisseur de services WAF implémente l'action définie et les règles suivantes ne sont pas évaluées.
- En fonction des fonctionnalités que vous avez choisies, procédez comme suit :
- Identifiez le chemin d'accès que vous souhaitez protéger.
- Identifiez les conditions pour autoriser, rediriger ou bloquer l'accès.
- Définissez la priorité des règles.
- Comprendre les composants des règles de pare-feu et leurs attributs
-
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
- Pour remplacer gcloud CLI afin d'accéder à la version Preview publique de l'API reCAPTCHA, exécutez la commande suivante:
gcloud config set api_endpoint_overrides/recaptchaenterprise https://public-preview-recaptchaenterprise.googleapis.com/
- Pour créer des stratégies de pare-feu reCAPTCHA, utilisez la commande gcloud recaptcha firewall-policies create:
Dans votre stratégie de pare-feu reCAPTCHA, ajoutez les règles dans l'ordre de priorité souhaité. Vous devez d'abord ajouter une règle avec la priorité la plus élevée. Pour une requête entrante, lorsqu'une condition de stratégie correspond au chemin d'accès spécifié, votre fournisseur de services WAF implémente l'action définie et les règles suivantes ne sont pas évaluées. La règle par défaut est d'autoriser l'accès.
gcloud recaptcha firewall-policies create \ --actions=ACTION \ --condition=CONDITION \ --description=DESCRIPTION \ --path=PATH
Indiquez les valeurs suivantes :
- ACTION: actions que votre fournisseur de services de WAF'application doit effectuer pour la requête entrante. Il ne peut contenir qu'une seule action terminale, qui est une action qui force une réponse.
Spécifiez l'une des actions suivantes :
allow
: permet d'accéder à la page demandée. Cette action est irréversible.block
: refuse l'accès à la page demandée. Cette action est irréversible.redirect
: redirige la requête utilisateur entrante vers la page de test reCAPTCHA. Cette action est irréversible.substitute
: affiche une page différente de celle demandée à une requête utilisateur frauduleuse. Cette action est irréversible.set_header
: définit un en-tête personnalisé et permet à la requête utilisateur entrante de continuer vers le backend. Le backend peut alors déclencher une protection personnalisée. Il s'agit d'une action non terminale.
- CONDITION: expression conditionnelle CEL (Common Expression Language) qui spécifie si la règle de pare-feu reCAPTCHA s'applique à une requête utilisateur entrante. Si cette condition renvoie la valeur "true" et que le chemin d'accès demandé correspond au modèle de chemin d'accès, les actions associées sont exécutées par le fournisseur de services WAF. La syntaxe CEL de la chaîne de condition est vérifiée lors de la création. Pour en savoir plus sur la définition du langage, consultez la définition du langage CEL.
- DESCRIPTION: description de l'objectif de la stratégie de pare-feu reCAPTCHA. La description ne doit pas dépasser 256 caractères UTF-8.
- PATH: chemin d'accès auquel la stratégie de pare-feu reCAPTCHA s'applique. Il doit être spécifié sous forme de modèle glob. Pour en savoir plus sur glob, consultez la page de manuel.
Une fois la commande exécutée, un résultat semblable à celui-ci s'affiche:
Created [100].
L'exemple suivant crée une stratégie de pare-feu reCAPTCHA pour bloquer le ciblage du trafic pour
/example/page.html
lorsque le score est inférieur à 0,1.gcloud recaptcha firewall-policies create \ --description="example policy" \ --path="/example/page.html" \ --condition="recaptcha.score < 0.1" \ --actions="block"
- ACTION: actions que votre fournisseur de services de WAF'application doit effectuer pour la requête entrante. Il ne peut contenir qu'une seule action terminale, qui est une action qui force une réponse.
Spécifiez l'une des actions suivantes :
Intégrer le service de calcul Fastly
Pour utiliser les règles du pare-feu reCAPTCHA, vous devez configurer un service de calcul Fastly pour intercepter et traiter les requêtes.
Vous pouvez créer et configurer un service de calcul ou intégrer des règles de pare-feu reCAPTCHA à un service Fastly existant, en les enchaînant. Si vous souhaitez utiliser la chaîne, le service reCAPTCHA doit être le service Fastly ou tout autre proxy en amont le plus éloigné pour une détection correcte des adresses IP.
Pour créer un service de calcul, vous devez disposer des informations suivantes:
- Nom de votre domaine
- Package reCAPTCHA pour FASTLY au format ZIP
- Nom d'origine de votre serveur de backend
- Nom d'origine du serveur backend reCAPTCHA:
Recaptcha Enterprise
- Nom d'origine du serveur backend Google:
Google
- Votre clé API que vous avez créée pour l'authentification
- L'ID de votre projet Google Cloud
- Les clés reCAPTCHA que vous avez créées pour vos fonctionnalités WAF
Pour configurer un service Fastly avec des stratégies de pare-feu reCAPTCHA, procédez comme suit:
- Connectez-vous à Fastly.
Pour créer un service de calcul, suivez les instructions de la section Créer un service de calcul.
Lorsque vous créez un service de calcul, procédez comme suit:
Pour créer une origine pour le serveur backend reCAPTCHA, spécifiez les valeurs suivantes:
- Nom de votre origine = Recaptcha Enterprise
- Adresse IP (ou nom d'hôte) de votre serveur d'origine = public-preview-recaptchaenterprise.googleapis.com
Pour créer une origine pour le serveur backend Google, spécifiez les valeurs suivantes:
- Nom de l'origine : Google
- Adresse IP (ou nom d'hôte) de votre serveur d'origine = www.google.com:443
Pour créer une origine pour votre serveur backend, spécifiez les valeurs suivantes:
- Nom de votre origine = tout nom significatif pour votre serveur backend.
- Adresse IP (ou nom d'hôte) de votre serveur d'origine = nom d'hôte de votre serveur backend.
Importez le package reCAPTCHA pour Fastly
recaptcha_fastly_client_0.1.0.tar.gz
.Utilisez
recaptcha
comme nom de votre dictionnaire et ajoutez les informations suivantes sous forme de paires clé-valeur dans le dictionnaire:Clé Valeur customer_backend_name Nom que vous avez donné lors de la création d'une origine pour votre serveur backend. recaptcha_backend_name reCAPTCHA Enterprise google_backend_name Google cloud_api_key Clé API que vous avez créée pour l'authentification. cloud_project_number L'ID de votre projet Google Cloud. action_site_key Clé de jeton d'action reCAPTCHA WAF. Cette clé est requise si vous utilisez des jetons d'action pour protéger vos pages. session_site_key Clé de jeton de session reCAPTCHA WAF. Cette clé est requise si vous utilisez des jetons de session pour protéger vos pages. challengepage_site_key Clé de la page de test du WAF reCAPTCHA. Cette clé est requise si vous utilisez la page de test reCAPTCHA pour protéger vos pages. express_site_key Clé reCAPTCHA express. Cette clé est requise si vous utilisez reCAPTCHA Express pour protéger vos pages.