與網站適用的 Google Cloud Armor 整合

本文說明如何在網站上，將 reCAPTCHA for WAF 與 Google Cloud Armor 整合。

如要完成整合，您必須導入一或多項 reCAPTCHA for WAF 功能，並設定 Google Cloud Armor 安全性政策。

事前準備

1. 啟用 reCAPTCHA Enterprise API。

   Enable the API

2. 規劃如何導入 reCAPTCHA for WAF 的功能，以保護您的網站。

   1. 選擇一或多項最符合您用途的 WAF 功能。
   2. 找出要保護的網頁，以及要在這些網頁上導入的 WAF 功能類型。

導入 reCAPTCHA for WAF 的功能

您可以根據需求，在單一應用程式中使用一或多項 reCAPTCHA for WAF 功能。

如要使用多項功能，請為每項功能建立 reCAPTCHA 金鑰，並在應用程式中使用。舉例來說，如果您想使用 reCAPTCHA 動作符記和 reCAPTCHA 驗證頁面，就必須建立動作符記金鑰和驗證頁面金鑰，並在應用程式中使用這些金鑰。

實作 reCAPTCHA 動作權杖

您必須在網頁上執行 reCAPTCHA，才能產生動作符記。 reCAPTCHA 產生動作權杖後，您可以在需要保護任何使用者動作 (例如 checkout) 的位置，將動作權杖附加至預先定義的要求標頭。根據預設，動作權杖的效期為 30 分鐘，但可能會因流量而異。 您必須在權杖到期前，將動作權杖附加至預先定義的要求標頭，Google Cloud Armor 才能評估權杖屬性。

如要實作 reCAPTCHA 動作權杖，請按照下列步驟操作：

1. 為網站建立動作符記金鑰。 <0

   Cloud 控制台

   1. 前往 Google Cloud 控制台的「reCAPTCHA」reCAPTCHA頁面。

      前往 reCAPTCHA

   2. 確認頁面頂端的資源選取器中顯示了專案名稱。

      如果沒有看到專案名稱，請按一下資源選取器，然後選取專案。

   3. 按一下「建立金鑰」。
   4. 在「顯示名稱」欄位中，輸入金鑰的顯示名稱。
   5. 視要為 WAF 建立 reCAPTCHA 金鑰的平台而定，請執行適當的動作：
   1. 在「應用程式類型」部分，選取「網頁」。

      系統會顯示「網域清單」部分。

   2. 輸入網站的網域名稱：

      1. 在「網域清單」部分，按一下「新增網域」。
      2. 在「網域」欄位中，輸入網域名稱。

      3. 選用：如要新增其他網域，請按一下「新增網域」，然後在「網域」欄位中輸入其他網域名稱。最多可新增 250 個網域。

         如果是網站，reCAPTCHA 金鑰會專屬於您指定的網域和子網域。如果網站是從多個網域提供服務，可以指定多個網域。 如果您指定網域 (例如 examplepetstore.com)，就不必指定子網域 (例如 subdomain.examplepetstore.com)。

   3. 在「其他設定」中，開啟「您是否要在網頁應用程式防火牆 (WAF) 中部署這個金鑰？」切換鈕。

   4. 在「功能」選項中，選取「動作」。

   5. 選用：開啟「您會使用驗證問題嗎？」切換鈕。

   6. 按一下 [Create key] (建立金鑰)。

   新建立的金鑰會列在「reCAPTCHA keys」(reCAPTCHA 金鑰) 頁面。

   gcloud

   如要建立 reCAPTCHA 金鑰，請使用 gcloud recaptcha keys create 指令。

   使用下方的任何指令資料之前，請先替換以下項目：

   • DISPLAY_NAME：金鑰名稱。通常是網站名稱。
   • INTEGRATION_TYPE：整合類型。 指定 score 或 checkbox。
   • DOMAIN_NAME：允許使用金鑰的網站網域或子網域。

     以逗號分隔清單的形式指定多個網域。 選用：指定 --allow-all-domains 停用網域驗證。

     停用網域驗證會造成安全風險，因為網站沒有任何限制，任何人都能存取及使用 reCAPTCHA 金鑰。

   • WAF_FEATURE：網路應用程式防火牆功能的名稱。 指定 action-token。
   • WAF_SERVICE：網路應用程式防火牆服務供應商的名稱。為 Google Cloud Armor 指定 CA。

   執行 gcloud recaptcha keys create 指令：

   Linux、macOS 或 Cloud Shell

   gcloud recaptcha keys create \
   --web \
   --display-name=DISPLAY_NAME  \
   --integration-type=INTEGRATION_TYPE \
   --domains=DOMAIN_NAME \
   --waf-feature=WAF_FEATURE \
   --waf-service=WAF_SERVICE

   Windows (PowerShell)

   gcloud recaptcha keys create `
   --web `
   --display-name=DISPLAY_NAME  `
   --integration-type=INTEGRATION_TYPE `
   --domains=DOMAIN_NAME `
   --waf-feature=WAF_FEATURE `
   --waf-service=WAF_SERVICE

   Windows (cmd.exe)

   gcloud recaptcha keys create ^
   --web ^
   --display-name=DISPLAY_NAME  ^
   --integration-type=INTEGRATION_TYPE ^
   --domains=DOMAIN_NAME ^
   --waf-feature=WAF_FEATURE ^
   --waf-service=WAF_SERVICE

   回應包含新建立的 reCAPTCHA 金鑰。

   REST

   如要查看金鑰類型和整合類型的 API 參考資訊，請參閱「金鑰」和「整合類型」。

   使用任何要求資料之前，請先替換以下項目：

   • DISPLAY_NAME：金鑰名稱。通常是網站名稱。
   • INTEGRATION_TYPE：整合類型。 指定 score 或 checkbox。
   • DOMAIN_NAME：允許使用金鑰的網站網域或子網域。

     以逗號分隔清單的形式指定多個網域。 選用：指定 --allow-all-domains 停用網域驗證。

     停用網域驗證會造成安全風險，因為網站沒有任何限制，任何人都能存取及使用 reCAPTCHA 金鑰。

   • WAF_FEATURE：網路應用程式防火牆功能的名稱。 指定 action-token。
   • WAF_SERVICE：網路應用程式防火牆服務供應商的名稱。為 Google Cloud Armor 指定 CA。

   HTTP 方法和網址：

   POST https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys

   JSON 要求主體：

   
   {
     "displayName": "DISPLAY_NAME",
      'wafSettings': "  {
          "wafService": "WAF_SERVICE",
     
   "wafFeature": "WAF_FEATURE"
     }
     "webSettings": {
       "allowedDomains": "DOMAINS",
       "integrationType": "TYPE_OF_INTEGRATION"
      }
      
   }
   

   如要傳送要求，請選擇以下其中一個選項：

   curl

   將要求主體儲存在名為 request.json 的檔案中，然後執行下列指令：

   curl -X POST \
        -H "Authorization: Bearer $(gcloud auth print-access-token)" \
        -H "Content-Type: application/json; charset=utf-8" \
        -d @request.json \
        "https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys"

   PowerShell

   將要求主體儲存在名為 request.json 的檔案中，然後執行下列指令：

   $cred = gcloud auth print-access-token
   $headers = @{ "Authorization" = "Bearer $cred" }
   
   Invoke-WebRequest `
       -Method POST `
       -Headers $headers `
       -ContentType: "application/json; charset=utf-8" `
       -InFile request.json `
       -Uri "https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys" | Select-Object -Expand Content

   您應該會收到如下的 JSON 回應：

   
   {
     "name": "projects/project-id/keys/7Ldqgs0UBBBBBIn4k7YxEB-LwEh5S9-Gv6QQIWB8m",
   "displayName": "DISPLAY_NAME,
   
   "webSettings": {
     "allowAllDomains": true,
     "allowedDomains": [
       "localhost"
     ],
   
    "integrationType": "SCORE",
   
   
   },
   "wafSettings": {
     "wafService": "CA",
   
     "wafFeature": "ACTION_TOKEN"
     
   
   }
   }
   
   

2. 在網頁中整合 reCAPTCHA JavaScript，並使用您建立的動作權杖金鑰。如需操作說明，請參閱與動作權杖金鑰整合類型相符的文件。

   • 如為 SCORE 整合類型，請參閱「整合前端與評分依據金鑰」。
   • 如要瞭解 CHECKBOX 整合類型，請參閱在前端算繪 reCAPTCHA 小工具。

3. 從 reCAPTCHA 收到權杖後，請將權杖附加至預先定義的要求標頭，格式如下：

    X-Recaptcha-Token: value-of-your-action-token
   

   您可以使用 XHR、Ajax 或 Fetch API 等語言，將權杖附加至預先定義的要求標頭。

   下列範例指令碼說明如何保護 execute 動作，並使用 JavaScript + XHR 將權杖附加至預先定義的要求標頭：

     
     <script>
       src="https://www.google.com/recaptcha/enterprise.js?render=ACTION_TOKEN_KEY"></script>
   
       <script>
       function onSuccess(action_token) {
            const xhr = new XMLHttpRequest();
            xhr.open('GET','YOUR_URL', false);
            // Attach the action-token to the predefined request header
            xhr.setRequestHeader("X-Recaptcha-Token", action_token);
            xhr.send(null);
          }
          function onError(reason) {
            alert('Response promise rejected: ' + reason);
          grecaptcha.enterprise.ready(function () {
            document.getElementById("execute-button").onclick = () => {
              grecaptcha.enterprise.execute('ACTION_TOKEN_KEY', {
              }).then(onSuccess, onError);
            };
          });
         }
       </script>
     
     

實作 reCAPTCHA 工作階段符記

評估完成後，reCAPTCHA JavaScript 會在使用者瀏覽器上，將 reCAPTCHA 工作階段權杖設為 Cookie。只要 reCAPTCHA JavaScript 保持啟用狀態，使用者瀏覽器就會附加 Cookie 並重新整理 Cookie。

如要以 Cookie 形式提供工作階段符記，請在至少一個符合下列條件的網頁上安裝工作階段符記金鑰：

• 網頁必須是使用者在需要保護的網頁之前瀏覽的網頁。舉例來說，如要保護結帳頁面，請在首頁或產品頁面安裝工作階段權杖金鑰。
• 網頁受到 Google Cloud Armor 安全性政策保護。

您可以使用這個 Cookie，保護特定網域中後續的使用者要求和網頁載入作業。工作階段符記的預設效期為 30 分鐘。不過，如果使用者停留在您導入工作階段符記的網頁，reCAPTCHA 會定期重新整理工作階段符記，避免符記過期。

在需要 reCAPTCHA 保護的每個網頁上安裝工作階段符記。 建議您使用 reCAPTCHA 保護每個網頁，並使用 Google Cloud Armor 規則，在使用者瀏覽的第一個網頁以外的所有網頁上強制執行存取權。

   recaptcha-ca-t=value-of-your-session-token;domain=domain;expires=expiration_time

如要實作 reCAPTCHA 工作階段權杖，請按照下列步驟操作：

1. 為網站建立工作階段符記金鑰。 <

   Cloud 控制台

   1. 前往 Google Cloud 控制台的「reCAPTCHA」reCAPTCHA頁面。

      前往 reCAPTCHA

   2. 確認頁面頂端的資源選取器中顯示了專案名稱。

      如果沒有看到專案名稱，請按一下資源選取器，然後選取專案。

   3. 按一下「建立金鑰」。
   4. 在「顯示名稱」欄位中，輸入金鑰的顯示名稱。
   5. 視要為 WAF 建立 reCAPTCHA 金鑰的平台而定，請執行適當的動作：
   1. 在「應用程式類型」部分，選取「網頁」。

      系統會顯示「網域清單」部分。

   2. 輸入網站的網域名稱：

      1. 在「網域清單」部分，按一下「新增網域」。
      2. 在「網域」欄位中，輸入網域名稱。

      3. 選用：如要新增其他網域，請按一下「新增網域」，然後在「網域」欄位中輸入其他網域名稱。最多可新增 250 個網域。

         如果是網站，reCAPTCHA 金鑰會專屬於您指定的網域和子網域。如果網站是從多個網域提供服務，可以指定多個網域。 如果您指定網域 (例如 examplepetstore.com)，就不必指定子網域 (例如 subdomain.examplepetstore.com)。

   3. 在「其他設定」中，開啟「您是否要在網頁應用程式防火牆 (WAF) 中部署這個金鑰？」切換鈕。

   4. 在「功能」選項中，選取「工作階段」。

   5. 選用：開啟「停用網域驗證」。

      停用網域驗證會造成安全風險，因為網站沒有任何限制，任何人都能存取及使用 reCAPTCHA 金鑰。

   6. 按一下 [Create key] (建立金鑰)。

   新建立的金鑰會列在「reCAPTCHA keys」(reCAPTCHA 金鑰) 頁面。

   gcloud

   如要建立 reCAPTCHA 金鑰，請使用 gcloud recaptcha keys create 指令。

   使用下方的任何指令資料之前，請先替換以下項目：

   • DISPLAY_NAME：金鑰名稱。通常是網站名稱。
   • INTEGRATION_TYPE：整合類型。 指定 score。
   • DOMAIN_NAME：允許使用金鑰的網站網域或子網域。

     以逗號分隔清單的形式指定多個網域。 選用：指定 --allow-all-domains 停用網域驗證。

     停用網域驗證會造成安全風險，因為網站沒有任何限制，任何人都能存取及使用 reCAPTCHA 金鑰。

   • WAF_FEATURE：網路應用程式防火牆功能的名稱。 指定 session-token。
   • WAF_SERVICE：網路應用程式防火牆服務供應商的名稱。為 Google Cloud Armor 指定 CA。

   執行 gcloud recaptcha keys create 指令：

   Linux、macOS 或 Cloud Shell

   gcloud recaptcha keys create \
   --web \
   --display-name=DISPLAY_NAME  \
   --integration-type=INTEGRATION_TYPE \
   --domains=DOMAIN_NAME \
   --waf-feature=WAF_FEATURE \
   --waf-service=WAF_SERVICE

   Windows (PowerShell)

   gcloud recaptcha keys create `
   --web `
   --display-name=DISPLAY_NAME  `
   --integration-type=INTEGRATION_TYPE `
   --domains=DOMAIN_NAME `
   --waf-feature=WAF_FEATURE `
   --waf-service=WAF_SERVICE

   Windows (cmd.exe)

   gcloud recaptcha keys create ^
   --web ^
   --display-name=DISPLAY_NAME  ^
   --integration-type=INTEGRATION_TYPE ^
   --domains=DOMAIN_NAME ^
   --waf-feature=WAF_FEATURE ^
   --waf-service=WAF_SERVICE

   回應包含新建立的 reCAPTCHA 金鑰。

   REST

   如要查看金鑰類型和整合類型的 API 參考資訊，請參閱「金鑰」和「整合類型」。

   使用任何要求資料之前，請先替換以下項目：

   • DISPLAY_NAME：金鑰名稱。通常是網站名稱。
   • INTEGRATION_TYPE：整合類型。 指定 score。
   • DOMAIN_NAME：允許使用金鑰的網站網域或子網域。

     以逗號分隔清單的形式指定多個網域。 選用：指定 --allow-all-domains 停用網域驗證。

     停用網域驗證會造成安全風險，因為網站沒有任何限制，任何人都能存取及使用 reCAPTCHA 金鑰。

   • WAF_FEATURE：網路應用程式防火牆功能的名稱。 指定 session-token。
   • WAF_SERVICE：網路應用程式防火牆服務供應商的名稱。為 Google Cloud Armor 指定 CA。

   HTTP 方法和網址：

   POST https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys

   JSON 要求主體：

   
   {
     "displayName": "DISPLAY_NAME",
      'wafSettings': "  {
          "wafService": "WAF_SERVICE",
     
   "wafFeature": "WAF_FEATURE"
     }
     "webSettings": {
       "allowedDomains": "DOMAINS",
       "integrationType": "TYPE_OF_INTEGRATION"
      }
      
   }
   

   如要傳送要求，請選擇以下其中一個選項：

   curl

   將要求主體儲存在名為 request.json 的檔案中，然後執行下列指令：

   curl -X POST \
        -H "Authorization: Bearer $(gcloud auth print-access-token)" \
        -H "Content-Type: application/json; charset=utf-8" \
        -d @request.json \
        "https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys"

   PowerShell

   將要求主體儲存在名為 request.json 的檔案中，然後執行下列指令：

   $cred = gcloud auth print-access-token
   $headers = @{ "Authorization" = "Bearer $cred" }
   
   Invoke-WebRequest `
       -Method POST `
       -Headers $headers `
       -ContentType: "application/json; charset=utf-8" `
       -InFile request.json `
       -Uri "https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys" | Select-Object -Expand Content

   您應該會收到如下的 JSON 回應：

   
   {
     "name": "projects/project-id/keys/7Ldqgs0UBBBBBIn4k7YxEB-LwEh5S9-Gv6QQIWB8m",
   "displayName": "DISPLAY_NAME,
   
   "webSettings": {
     "allowAllDomains": true,
     "allowedDomains": [
       "localhost"
     ],
   
    "integrationType": "SCORE",
   
   
   },
   "wafSettings": {
     "wafService": "CA",
   
     "wafFeature": "SESSION_TOKEN"
   
   
   }
   }
   
   

2. 將 session-token 金鑰和 waf=session 新增至 reCAPTCHA JavaScript。

   下列範例指令碼說明如何在網頁上實作工作階段權杖：

   <!DOCTYPE html>
   <html lang="en">
   <head>
    <meta charset="UTF-8">
    <title>reCAPTCHA WAF Session Token</title>
    <script src="https://www.google.com/recaptcha/enterprise.js?render=SESSION_TOKEN_KEY&waf=session" async defer></script>
    <body></body>
   </head>
   </html>

導入 reCAPTCHA 驗證頁面

導入 reCAPTCHA 驗證頁面時，reCAPTCHA 會重新導向至插頁式廣告，判斷是否需要向使用者顯示人機驗證問題。因此，部分使用者可能不會看到人機驗證問題。

如要導入 reCAPTCHA 驗證頁面，請為網站建立驗證頁面金鑰。

gcloud recaptcha keys create \
--web \
--display-name=DISPLAY_NAME  \
--integration-type=INTEGRATION_TYPE \
--domains=DOMAIN_NAME \
--waf-feature=WAF_FEATURE \
--waf-service=WAF_SERVICE

gcloud recaptcha keys create `
--web `
--display-name=DISPLAY_NAME  `
--integration-type=INTEGRATION_TYPE `
--domains=DOMAIN_NAME `
--waf-feature=WAF_FEATURE `
--waf-service=WAF_SERVICE

gcloud recaptcha keys create ^
--web ^
--display-name=DISPLAY_NAME  ^
--integration-type=INTEGRATION_TYPE ^
--domains=DOMAIN_NAME ^
--waf-feature=WAF_FEATURE ^
--waf-service=WAF_SERVICE

POST https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys

{
  "displayName": "DISPLAY_NAME",
   'wafSettings': "  {
       "wafService": "WAF_SERVICE",
  
"wafFeature": "WAF_FEATURE"
  }
  "webSettings": {
    "allowedDomains": "DOMAINS",
    "integrationType": "TYPE_OF_INTEGRATION"
   }
   
}

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys" | Select-Object -Expand Content

{
  "name": "projects/project-id/keys/7Ldqgs0UBBBBBIn4k7YxEB-LwEh5S9-Gv6QQIWB8m",
"displayName": "DISPLAY_NAME,

"webSettings": {
  "allowAllDomains": true,
  "allowedDomains": [
    "localhost"
  ],

  "integrationType": "INVISIBLE",
 

},
"wafSettings": {
  "wafService": "CA",

  "wafFeature": "CHALLENGE_PAGE"
  

}
}

設定 Google Cloud Armor 安全性政策

導入 reCAPTCHA for WAF 的功能後，您必須設定 Google Cloud Armor 安全性政策，才能管理機器人。

如果您實作了 reCAPTCHA 驗證問題頁面，則必須執行下列操作：

1. 將驗證頁面金鑰與安全政策建立關聯。
2. 設定安全性政策規則，將 reCAPTCHA 評估要求重新導向。

如果您實作了 reCAPTCHA 動作符記或工作階段符記，就必須設定安全性政策規則，評估 reCAPTCHA 符記。

設定 Google Cloud Armor 安全性政策前，請先瞭解 Google Cloud Armor 的 reCAPTCHA 權杖屬性。

如要瞭解如何設定 Google Cloud Armor 安全性政策，並搭配安全性政策使用 reCAPTCHA for WAF 金鑰，請參閱「設定機器人管理規則」。

取得 reCAPTCHA 分數

如要取得 reCAPTCHA 動作符記和工作階段符記的分數，請查看 X-Recaptcha-Wafdata 標頭。您可以根據這些分數，為使用者要求設定任何需要執行的自訂動作。

以下範例顯示 X-Recaptcha-Wafdata 標頭範例：

X-Recaptcha-Wafdata: waf_service="Google Cloud Armor", action_token;score=0.9, session_token;score=0.8\r\n

您也可以在 Google Cloud Armor 記錄檔中查看 reCAPTCHA 分數。

後續步驟

• 與 Google Cloud Armor 整合的範例。
• 瞭解如何透過 Google Cloud Armor 導入 reCAPTCHA WAF 功能。