Dieses Dokument bietet einen Überblick über reCAPTCHA für WAF und die Integration mit Anbietern von Web Application Firewall-Diensten (WAF).
reCAPTCHA stellt ein Plug-in bereit, das als Dienst auf der WAF-Ebene bereitgestellt wird. So können Sie Ihre Website vor Spam und Missbrauch schützen. Das System basiert auf fortschrittlichen Verfahren zur Risikoanalyse, um zwischen berechtigten und betrügerischen Anfragen zu unterscheiden.
Integration von reCAPTCHA for WAF
reCAPTCHA bietet ein Plug-in, das für die Bot-Erkennung auf der WAF-Ebene zuständig ist, um automatisierte Aktivitäten, die auf Ihre Websites oder Dienste zugreifen, zu erkennen, zu stoppen oder zu bearbeiten.
reCAPTCHA for WAF lässt sich in die folgenden WAF-Dienstanbieter einbinden:
- Die integrierte WAF vonGoogle Cloud: Google Cloud Armor
- Drittanbieter für WAF-Dienste: Fastly Edge Compute und Cloudflare Workers
Um den Zugriff auf die Anwendungen oder Dienste zu steuern, verwenden WAF-Dienstanbieter eine Reihe von Regeln, die als Richtlinien bezeichnet werden und mit denen der Traffic anhand von Bedingungen gefiltert wird. Bedingungen können die IP-Adresse, den IP-Bereich, den Regionscode oder die Anfrageheader einer eingehenden Anfrage umfassen. Google Cloud Armor verwendet Sicherheitsrichtlinien und Drittanbieter von WAF-Diensten verwenden reCAPTCHA-Firewallrichtlinien (Firewallrichtlinien).
reCAPTCHA for WAF interagiert mit WAF-Dienstanbietern, um Folgendes zu tun:
- Der Endnutzer löst eine durch reCAPTCHA für WAF geschützte Anwendungsaktion aus.
- Der reCAPTCHA-JavaScript-Client gibt ein verschlüsseltes Token aus, das die reCAPTCHA-Bewertung und die zugehörigen Attribute enthält.
- Das reCAPTCHA-Token wird an Folgeanfragen angehängt.
Der WAF-Dienstanbieter entschlüsselt dieses Token. Anhand der Tokenattribute und konfigurierten Sicherheitsregeln oder Firewallrichtlinienregeln lässt der WAF-Dienstanbieter die eingehenden Anfragen zu, blockiert sie oder leitet sie an eine Interstitial-Challenge-Seite weiter.
Das folgende Diagramm ist eine vereinfachte grafische Darstellung davon, wie der WAF-Dienstanbieter mit reCAPTCHA für WAF interagiert, um eine reibungslose Bewertung zu erzwingen:
Wann Sie reCAPTCHA für die WAF-Integration verwenden sollten
Verwenden Sie diese Integration, wenn sich Ihre Anwendung bereits hinter einer WAF befindet und Sie Änderungen an reCAPTCHA-Richtlinien vom Frontend- und Backend-Code entkoppeln möchten.
Vorteile
Die Integration von reCAPTCHA for WAF bietet folgende Vorteile:
- Der Backend-Servercode muss nicht geändert werden, da die Integration auf der WAF-Ebene erfolgt.
- Das Frontend-JavaScript muss nicht geändert werden, da bei reCAPTCHA für WAF-Integrationen dynamisch eine JavaScript-Clientintegration (für Sitzungs-Token- und Challenge-Seiten-Schlüssel) eingefügt werden kann. Bei Express-Schlüsseln ist kein Client erforderlich.
- Bot-Traffic wird am Edge Ihres Netzwerks entschärft, wodurch die Last auf Ihrem geschützten Backend reduziert wird.
- Google Cloud Armor-Sicherheitsrichtlinien oder reCAPTCHA-Firewallrichtlinienregeln vereinfachen die Zugriffsregeln für Ihre geschützte Anwendung.