Mit Sammlungen den Überblick behalten
Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.
Dieses Dokument bietet einen Überblick über reCAPTCHA für WAF und die Integration mit Anbietern von Web Application Firewall-Diensten (WAF).
reCAPTCHA stellt ein Plug-in bereit, das als Dienst auf der WAF-Ebene bereitgestellt wird. So können Sie Ihre Website vor Spam und Missbrauch schützen. Das System basiert auf fortschrittlichen Verfahren zur Risikoanalyse, um zwischen berechtigten und betrügerischen Anfragen zu unterscheiden.
Integration von reCAPTCHA for WAF
reCAPTCHA bietet ein Plug-in, das für die Bot-Erkennung auf der WAF-Ebene zuständig ist, um automatisierte Aktivitäten, die auf Ihre Websites oder Dienste zugreifen, zu erkennen, zu stoppen oder zu bearbeiten.
reCAPTCHA for WAF lässt sich in die folgenden WAF-Dienstanbieter einbinden:
Um den Zugriff auf die Anwendungen oder Dienste zu steuern, verwenden WAF-Dienstanbieter eine Reihe von Regeln, die als Richtlinien bezeichnet werden und mit denen der Traffic anhand von Bedingungen gefiltert wird. Bedingungen können die IP-Adresse, den IP-Bereich, den Regionscode oder die Anfrageheader einer eingehenden Anfrage umfassen. Cloud Armor verwendet Sicherheitsrichtlinien und Drittanbieter von WAF-Diensten verwenden reCAPTCHA-Firewallrichtlinien (Firewallrichtlinien).
reCAPTCHA for WAF interagiert mit WAF-Dienstanbietern, um Folgendes zu tun:
Der Endnutzer löst eine durch reCAPTCHA für WAF geschützte Anwendungsaktion aus.
Der reCAPTCHA-JavaScript-Client gibt ein verschlüsseltes Token aus, das die reCAPTCHA-Bewertung und die zugehörigen Attribute enthält.
Das reCAPTCHA-Token wird an Folgeanfragen angehängt.
Der WAF-Dienstanbieter entschlüsselt dieses Token. Anhand der Tokenattribute und konfigurierten Sicherheitsregeln oder Firewallrichtlinienregeln lässt der WAF-Dienstanbieter die eingehenden Anfragen zu, blockiert sie oder leitet sie an eine Interstitial-Challenge-Seite weiter.
Das folgende Diagramm ist eine vereinfachte grafische Darstellung davon, wie der WAF-Dienstanbieter mit reCAPTCHA für WAF interagiert, um eine reibungslose Bewertung zu erzwingen:
Wann Sie reCAPTCHA für die WAF-Integration verwenden sollten
Verwenden Sie diese Integration, wenn sich Ihre Anwendung bereits hinter einer WAF befindet und Sie Änderungen an reCAPTCHA-Richtlinien vom Frontend- und Backend-Code entkoppeln möchten.
Vorteile
Die Integration von reCAPTCHA for WAF bietet folgende Vorteile:
Der Backend-Servercode muss nicht geändert werden, da die Integration auf der WAF-Ebene erfolgt.
Das Frontend-JavaScript muss nicht geändert werden, da bei reCAPTCHA für WAF-Integrationen dynamisch eine JavaScript-Clientintegration (für Sitzungs-Token- und Challenge-Seiten-Schlüssel) eingefügt werden kann. Bei Express-Schlüsseln ist kein Client erforderlich.
Bot-Traffic wird am Edge Ihres Netzwerks entschärft, wodurch die Last auf Ihrem geschützten Backend reduziert wird.
[[["Leicht verständlich","easyToUnderstand","thumb-up"],["Mein Problem wurde gelöst","solvedMyProblem","thumb-up"],["Sonstiges","otherUp","thumb-up"]],[["Schwer verständlich","hardToUnderstand","thumb-down"],["Informationen oder Beispielcode falsch","incorrectInformationOrSampleCode","thumb-down"],["Benötigte Informationen/Beispiele nicht gefunden","missingTheInformationSamplesINeed","thumb-down"],["Problem mit der Übersetzung","translationIssue","thumb-down"],["Sonstiges","otherDown","thumb-down"]],["Zuletzt aktualisiert: 2025-09-04 (UTC)."],[],[],null,["# Integration with WAF service providers overview\n\nThis document provides an overview of reCAPTCHA for WAF and its\nintegration with web application firewall (WAF) service providers.\n\nreCAPTCHA provides a plugin that is deployed as a service at\nthe WAF layer. It enables WAFs to help you protect your\nsite from spam and abuse. It uses advanced risk analysis techniques to\ndistinguish between legitimate and fraudulent requests.\n\nreCAPTCHA for WAF integration\n-----------------------------\n\nreCAPTCHA provides a plugin that is responsible for\nbot detection at the WAF layer to detect, stop, or manage automated\nactivity accessing your websites or services.\n\nreCAPTCHA for WAF integrates with the following WAF service\nproviders:\n\n- Google Cloud's built in WAF: [Google Cloud Armor](/armor/docs/cloud-armor-overview)\n- Third-party WAF service providers: [Fastly Edge Compute](https://www.fastly.com/products/edge-compute) and [Cloudflare Workers](https://developers.cloudflare.com/workers/)\n\nTo control access to the applications or services, WAF service providers use a\nset of rules called policies that filter traffic based on conditions. Conditions\ninclude IP address, IP range, region code, or request headers of an incoming\nrequest. Cloud Armor uses [security policies](/armor/docs/security-policy-overview)\nand third-party WAF service providers use\n[reCAPTCHA firewall policies](/recaptcha/docs/firewall-policies-overview)\n(firewall policies).\n\nreCAPTCHA for WAF interacts with WAF service providers\nto do the following:\n\n1. The end user triggers an application action protected by reCAPTCHA for WAF.\n2. The reCAPTCHA JavaScript client issues an encrypted token that contains the reCAPTCHA's assessment and the associated attributes.\n3. The reCAPTCHA token is attached to the follow-up requests.\n4. The WAF service provider deciphers this token. Based on the token\n attributes and configured security rules or firewall policy rules, the WAF\n service provider allows, blocks, or redirects the incoming requests to\n an interstitial challenge page.\n\n The following diagram is a simplified graphical representation of how\n the WAF service provider interacts with reCAPTCHA for WAF to\n enforce frictionless assessment:\n\n\nWhen to use reCAPTCHA for WAF integration\n-----------------------------------------\n\nUse this integration when your application is already behind a WAF and you want\nto decouple reCAPTCHA policy changes from frontend and backend code.\n\nBenefits\n--------\n\nThe reCAPTCHA for WAF integration\nprovides the following benefits:\n\n- The backend server code does not need to be modified as the integration occurs at the WAF layer.\n- Frontend JavaScript does not need to be modified as reCAPTCHA for WAF integrations can dynamically inject a JavaScript client integration (for session-token and challenge-page keys) or no client at all is needed (for express keys).\n- Bot traffic is mitigated at the edge of your network, reducing load on your protected backend.\n- [Google Cloud Armor security policies](/armor/docs/security-policy-overview) or [reCAPTCHA firewall policy rules](/recaptcha/docs/firewall-policy-overview) simplify access rules to your protected application.\n\nWhat's next\n-----------\n\n- Learn about the [features](/recaptcha/docs/waf-features) offered by reCAPTCHA for WAF."]]
