reCAPTCHA-Firewallrichtlinien-Regeln erstellen

In diesem Dokument erfahren Sie, wie Sie reCAPTCHA-Firewallrichtlinienregeln erstellen.

Hinweise

Sie müssen eine Firewallrichtlinie erstellen, in der Regeln für jede Seite angegeben sind, die Sie auf Ihrer Website schützen möchten. Sie können Firewallrichtlinien mit einem oder mehreren Features von reCAPTCHA for WAF erstellen.

Fügen Sie in Ihrer reCAPTCHA-Firewallrichtlinie Regeln in der Reihenfolge der beabsichtigten Priorität hinzu. Die erste Regel hat die höchste Priorität. Sie können die Priorität auch mit ReorderFirewallPoliciesRequest neu anordnen. Wenn bei einer eingehenden Anfrage eine Richtlinienbedingung für den angegebenen Pfad zutrifft, führt Ihr WAF-Dienstanbieter die definierte Aktion aus und die nachfolgenden Regeln werden nicht ausgewertet.

  1. Führen Sie je nach den von Ihnen ausgewählten Funktionen die folgenden Schritte aus:
    • Ermitteln Sie den Pfad, den Sie schützen möchten.
    • Bedingungen für das Zulassen, Weiterleiten oder Blockieren des Zugriffs festlegen
    • Priorisieren Sie die Regeln.
  2. Sie kennen die Komponenten von Firewallrichtlinien und ihre Attribute.

  3. In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

  4. Führen Sie den folgenden Befehl aus, um die gcloud CLI so zu überschreiben, dass auf die öffentliche Vorschauversion der reCAPTCHA API zugegriffen wird: 
        gcloud config set api_endpoint_overrides/recaptchaenterprise https://public-preview-recaptchaenterprise.googleapis.com/
  5. Verwenden Sie den Befehl gcloud recaptcha firewall-policies create, um reCAPTCHA-Firewallrichtlinien zu erstellen:

    Fügen Sie Ihrer reCAPTCHA-Firewallrichtlinie Regeln in der Reihenfolge der gewünschten Priorität hinzu. Sie müssen zuerst eine Regel mit der höchsten Priorität hinzufügen. Wenn bei einer eingehenden Anfrage eine Richtlinienbedingung für den angegebenen Pfad zutrifft, führt Ihr WAF-Dienstanbieter die definierte Aktion aus und die nachfolgenden Regeln werden nicht ausgewertet. Die Standardregel besteht darin, den Zugriff zuzulassen.

       gcloud recaptcha firewall-policies create \
      --actions=ACTION \
      --condition=CONDITION \
      --description=DESCRIPTION \
      --path=PATH

    Geben Sie folgende Werte an:

    • ACTION: Die Aktionen, die Ihr WAF-Dienstanbieter für die eingehende Anfrage ausführen muss. Sie kann höchstens eine Terminal-Aktion enthalten, die eine Antwort erzwingt. Geben Sie eine der folgenden Aktionen an:
      • allow: ermöglicht den Zugriff auf die angeforderte Seite. Dies ist eine endgültige Aktion.
      • block: verweigert den Zugriff auf die angeforderte Seite. Dies ist eine endgültige Aktion.
      • redirect: Leitet die eingehende Nutzeranfrage zur reCAPTCHA-Aufgabenseite weiter. Dies ist eine endgültige Aktion.
      • substitute: Bei einer betrügerischen Nutzeranfrage wird eine andere Seite als die angeforderte Seite ausgeliefert. Dies ist eine endgültige Aktion.
      • set_header: Legt einen benutzerdefinierten Header fest und ermöglicht, dass die eingehende Nutzeranfrage an das Backend weitergeleitet wird. Das Backend kann dann einen benutzerdefinierten Schutz auslösen. Dies ist keine endgültige Aktion.
    • CONDITION: Ein CEL-Bedingungsausdruck (Common Expression Language), der angibt, ob die reCAPTCHA-Firewallrichtlinie auf eine eingehende Nutzeranfrage angewendet wird. Wenn diese Bedingung „true“ ergibt und der angeforderte Pfad mit dem Pfadmuster übereinstimmt, werden die zugehörigen Aktionen vom WAF-Dienstanbieter ausgeführt. Der Bedingungsstring wird beim Erstellen auf die Richtigkeit der CEL-Syntax geprüft. Weitere Informationen zur Sprachdefinition finden Sie unter CEL-Sprachdefinition.
    • DESCRIPTION: Eine Beschreibung der Ziele der reCAPTCHA-Firewallrichtlinie. Die Beschreibung darf maximal 256 UTF-8-Zeichen lang sein.
    • PATH: Der Pfad, für den die reCAPTCHA-Firewallrichtlinie gilt. Er muss als Glob-Muster angegeben werden. Weitere Informationen zu Glob finden Sie auf der Manpage.

    Nach erfolgreicher Ausführung des Befehls wird eine Ausgabe angezeigt, die in etwa so aussieht:

         Created [100].

    Im folgenden Beispiel wird eine reCAPTCHA-Firewallrichtlinie erstellt, um Traffic für /example/page.html zu blockieren, wenn die Punktzahl unter 0,1 liegt.

       gcloud recaptcha firewall-policies create \
     --description="example policy" \
     --path="/example/page.html" \
     --condition="recaptcha.score < 0.1" \
     --actions="block"

Nächste Schritte