In diesem Dokument erhalten Sie einen Überblick über reCAPTCHA für WAF und seine Einbindung in WAF-Dienstanbieter (Web Application Firewall).
reCAPTCHA for WAF ist eine Funktion, die als Dienst auf WAF-Ebene bereitgestellt wird. So können Sie Ihre Website mithilfe von WAFs vor Spam und Missbrauch schützen. Es nutzt fortschrittliche Techniken der Risikoanalyse, um zwischen legitimen und betrügerischen Anfragen zu unterscheiden.
reCAPTCHA for WAF-Integration
reCAPTCHA for WAF kann in WAF-Dienstanbieter eingebunden werden, um Bot-Erkennung auf der WAF-Ebene bereitzustellen und automatisierte Aktivitäten, die auf Ihre Websites oder Dienste zugreifen, zu erkennen, zu stoppen oder zu verwalten.
reCAPTCHA for WAF kann in die folgenden WAF-Dienstanbieter eingebunden werden:
- Die integrierte WAF von Google Cloud: Google Cloud Armor
- WAF-Dienstanbieter: Fastly und Cloudflare
Um den Zugriff auf die Anwendungen oder Dienste zu steuern, verwenden WAF-Anbieter eine Reihe von Regeln, die als Richtlinien bezeichnet werden und den Traffic basierend auf Bedingungen filtern. Zu den Bedingungen gehören die IP-Adresse, der IP-Bereich, der Regionscode oder die Anfrageheader einer eingehenden Anfrage. Google Cloud Armor verwendet Sicherheitsrichtlinien und WAF-Dienstanbieter von Drittanbietern verwenden reCAPTCHA-Firewallrichtlinien (Firewallrichtlinien).
reCAPTCHA for WAF interagiert mit WAF-Dienstanbietern, um Folgendes zu tun:
Reibungslose Bewertung erzwingen
In dieser Interaktion finden folgende Ereignisse statt:
- Der Endnutzer löst eine durch reCAPTCHA für WAF geschützte Anwendungsaktion aus.
- reCAPTCHA for WAF gibt ein verschlüsseltes Token aus, das die reCAPTCHA-Bewertung und die zugehörigen Attribute enthält.
- Das reCAPTCHA-Token wird an Folgeanfragen angehängt.
- Der WAF-Dienstanbieter entschlüsselt dieses Token. Basierend auf den Tokenattributen und den konfigurierten Sicherheits- oder Firewallrichtlinienregeln lässt der WAF-Dienstanbieter die eingehenden Anfragen zu, blockiert sie oder leitet sie weiter.
Das folgende Diagramm ist eine vereinfachte grafische Darstellung davon, wie der WAF-Anbieter mit reCAPTCHA für WAF interagiert, um eine reibungslose Bewertung zu erzwingen:
ReCAPTCHA-Abrufseiten für Endnutzer bereitstellen
In dieser Interaktion finden folgende Ereignisse statt:
- Ein Nutzer ruft Ihre Website auf.
- Ihr WAF-Anbieter leitet den Traffic anhand Ihrer konfigurierten Sicherheitsrichtlinien- oder Firewallrichtlinienregeln weiter, je nachdem, was zutrifft.
- reCAPTCHA für WAF hängt dem Browser von Nutzern, die die reCAPTCHA-Bewertung bestehen, ein Ausnahme-Cookie an.
- Basierend auf den konfigurierten Sicherheits- oder Firewallrichtlinien erlaubt der WAF-Dienstanbieter den Zugriff auf Anfragen mit gültigen Ausnahme-Cookies.
Das folgende Diagramm ist eine vereinfachte grafische Darstellung davon, wie WAF-Anbieter mit reCAPTCHA für WAF interagieren, um reCAPTCHA-Herausforderungen für Endnutzer bereitzustellen:
Wann Sie reCAPTCHA für die WAF-Integration verwenden sollten
Mit dieser Integration können Sie wirksame Strategien bereitstellen, um automatisierte bösartige Aktivitäten zu erkennen, zu stoppen oder zu verwalten, die versuchen, auf Ihre Websites oder Dienste zuzugreifen.
Vorteile
Die Integration von reCAPTCHA for WAF in WAF-Dienstanbieter bietet folgende Vorteile:
- Vereinfacht die Einbindung von reCAPTCHA for WAF. Sie müssen Ihre geschützten Anwendungen oder Anwendungsserver nicht anpassen, um reCAPTCHA-Bewertungen abzurufen oder zu erzwingen.
- Entschärft den Bot-Traffic am Netzwerk-Edge, bevor der Traffic die geschützte Anwendung erreicht.