Créer des règles de stratégie de pare-feu reCAPTCHA

Ce document vous explique comment créer des règles de stratégie de pare-feu reCAPTCHA.

Avant de commencer

Vous devez créer une stratégie de pare-feu qui spécifie des règles pour chaque page que vous souhaitez protéger sur votre site Web. Vous pouvez créer des stratégies de pare-feu avec une ou plusieurs fonctionnalités de reCAPTCHA pour WAF.

Dans votre stratégie de pare-feu reCAPTCHA, ajoutez les règles dans l'ordre de priorité souhaité. La première règle a l'ordre le plus élevé. Vous pouvez également réorganiser la priorité à l'aide de ReorderFirewallPoliciesRequest. Pour une requête entrante, lorsqu'une condition de règle correspond au chemin d'accès spécifié, votre fournisseur de services WAF implémente l'action définie et les règles suivantes ne sont pas évaluées.

  1. En fonction des fonctionnalités que vous avez choisies, procédez comme suit :
    • Identifiez le chemin d'accès que vous souhaitez protéger.
    • Identifiez les conditions pour autoriser, rediriger ou bloquer l'accès.
    • Définissez la priorité des règles.
  2. Comprendre les composants des règles de pare-feu et leurs attributs.

  3. In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

  4. Pour remplacer gcloud CLI et accéder à la version Preview publique de l'API reCAPTCHA, exécutez la commande suivante : 
        gcloud config set api_endpoint_overrides/recaptchaenterprise https://public-preview-recaptchaenterprise.googleapis.com/
  5. Pour créer des stratégies de pare-feu reCAPTCHA, utilisez la commande gcloud recaptcha firewall-policies create :

    Dans votre stratégie de pare-feu reCAPTCHA, ajoutez des règles dans l'ordre de priorité souhaité. Vous devez d'abord ajouter une règle avec la priorité la plus élevée. Pour une requête entrante, lorsqu'une condition de règle correspond au chemin d'accès spécifié, votre fournisseur de services WAF implémente l'action définie et les règles suivantes ne sont pas évaluées. La règle par défaut consiste à autoriser l'accès.

       gcloud recaptcha firewall-policies create \
      --actions=ACTION \
      --condition=CONDITION \
      --description=DESCRIPTION \
      --path=PATH

    Indiquez les valeurs suivantes :

    • ACTION : actions que votre fournisseur de services WAF doit effectuer pour la requête entrante. Il ne peut contenir qu'une seule action terminale, c'est-à-dire une action qui force une réponse. Spécifiez l'une des actions suivantes :
      • allow : permet d'accéder à la page demandée. Il s'agit d'une action définitive.
      • block : refuse l'accès à la page demandée. Il s'agit d'une action définitive.
      • redirect : redirige la requête utilisateur entrante vers la page de test reCAPTCHA. Il s'agit d'une action définitive.
      • substitute : sert une page différente de celle demandée pour une requête utilisateur frauduleuse. Il s'agit d'une action définitive.
      • set_header : définit un en-tête personnalisé et permet à la requête utilisateur entrante de se poursuivre vers le backend. Le backend peut alors déclencher une protection personnalisée. Il s'agit d'une action non terminale.
    • CONDITION : expression conditionnelle CEL (Common Expression Language) qui indique si la règle de pare-feu reCAPTCHA s'applique à une requête utilisateur entrante. Si cette condition renvoie la valeur "true" et que le chemin d'accès demandé correspond au modèle de chemin d'accès, les actions associées sont exécutées par le fournisseur de services WAF. L'exactitude de la syntaxe CEL de la chaîne de condition est vérifiée lors de la création. Pour en savoir plus sur la définition du langage, consultez la définition du langage CEL.
    • DESCRIPTION : description de l'objectif de la stratégie de pare-feu reCAPTCHA. La description ne doit pas dépasser 256 caractères UTF-8.
    • PATH : chemin d'accès auquel s'applique le règlement du pare-feu reCAPTCHA. Il doit être spécifié sous forme de modèle glob. Pour en savoir plus sur les glob, consultez la page du manuel.

    Une fois la commande exécutée, une sortie semblable à celle-ci s'affiche :

         Created [100].

    L'exemple suivant crée une stratégie de pare-feu reCAPTCHA pour bloquer le trafic ciblant /example/page.html lorsque le score est inférieur à 0,1.

       gcloud recaptcha firewall-policies create \
     --description="example policy" \
     --path="/example/page.html" \
     --condition="recaptcha.score < 0.1" \
     --actions="block"

Étapes suivantes