Activation et modification de la question de vérification avec interaction humaine pour une stratégie en périphérie

Vous pouvez également ouvrir la page Web Application Firewall et cliquer sur Stratégies sous Ressources.

La page Stratégies WAF apparaît.

Toutes les stratégies WAF de ce compartiment sont répertoriées sous forme tabulaire.

• Etat

• Nom

• Type de stratégie : sélectionnez Stratégie en périphérie.

La page Détails de la stratégie en périphérie sélectionnée apparaît.

La liste Gestion des bots apparaît.

La boîte de dialogue Modifier la question de vérification avec interaction humaine apparaît.

• Section Action liée à la question de vérification avec interaction humaine : choisissez l'une des options suivantes :

  • Détecter uniquement : sélectionnez cette option si vous voulez être averti de chaque demande mise en correspondance.

    Renseignez les informations ci-dessous :

    • Définir l'en-tête pour une demande ayant échoué : sélectionnez cette option afin d'ajouter un en-tête HTTP aux demandes ayant échoué à la question de vérification.

      Sous En-tête supplémentaire, saisissez le nom d'en-tête (nom affiché dans l'en-tête de demande HTTP) et la valeur d'en-tête (données demandées par l'en-tête) dans les zones correspondantes.

  • Bloquer : sélectionnez cette option pour bloquer les demandes en renvoyant un code de réponse, une page d'erreur ou un CAPTCHA.

    Renseignez les informations ci-dessous :

    • Activer les conditions : cochez cette case pour activer les conditions. La question de vérification JavaScript est appliquée uniquement aux demandes qui remplissent toutes les conditions répertoriées. Sélectionnez la condition et l'action correspondante dans les listes. Cliquez sur + Autre condition pour afficher une autre ligne de condition dans laquelle entrer une paire condition-action. Cliquez sur X pour supprimer la ligne de condition associée.

      Pour plus d'informations sur les conditions et les règles, reportez-vous à Contrôle d'accès pour les stratégies en périphérie.

    • Action de blocage : sélectionnez l'action à effectuer lorsqu'une demande avec correspondance est bloquée parmi les suivantes.

      • Définir le code de réponse :

        Renseignez les informations ci-dessous :

        • Code de réponse de blocage : sélectionnez un code de statut à renvoyer en réponse aux demandes bloquées.

      • Afficher la page d'erreur :

        Renseignez les informations ci-dessous :

        • Code de réponse de blocage : sélectionnez un code de statut à renvoyer en réponse aux demandes bloquées.

        • Message de page d'erreur de blocage : entrez le message qui définit l'erreur ou le code d'erreur.

        • Description de page d'erreur de blocage : saisissez plus de détails sur l'erreur, y compris la cause et des instructions supplémentaires.

        • Code de page d'erreur de blocage : saisissez le code d'erreur affiché avec l'erreur.

      • Afficher CAPTCHA :

        Renseignez les informations ci-dessous :

        • Titre CAPTCHA : entrez le texte du titre de la page CAPTCHA.

        • En-tête CAPTCHA : saisissez le texte qui apparaît avant l'image CAPTCHA (par exemple, "Je ne suis pas un robot").

        • Texte de bas de page CAPTCHA : saisissez le texte qui apparaît après la zone de saisie CAPTCHA et avant le bouton Soumettre.

        • Bouton de soumission CAPTCHA : saisissez le texte du bouton Soumettre (par exemple, "Oui, je suis humain").

        • Aperçu du CAPTCHA : cliquez sur cette option pour afficher le CAPTCHA tel que les utilisateurs le verraient. Cliquez sur Modifier le CAPTCHA pour revenir à l'écran précédent.

• Seuil d'action (nombre de demandes) : indiquez le nombre de demandes qui doivent échouer avant que l'action soit effectuée. En raison de la demande asynchrone provenant du navigateur lors du chargement de la page, Oracle recommande de définir un seuil de 10 pour les applications Web avec une utilisation d'Ajax de base et de 100 pour les applications avec une utilisation d'Ajax importante.

• Période d'expiration du seuil (secondes) : saisissez le nombre de secondes avant l'expiration du seuil.

• Délai d'expiration de l'action (secondes) : saisissez le nombre de secondes qui s'écoulent entre les questions de vérification sur une même adresse IP. En raison de modifications de l'adresse IP client, Oracle recommande de définir le délai d'expiration sur 120 secondes pour les applications avec utilisateurs mobiles et sur 3 600 secondes pour les applications avec utilisateurs de bureau uniquement.

• Seuil d'interaction (nombre d'interactions) : saisissez le nombre d'interactions avant l'expiration du seuil.

• Période d'enregistrement (secondes) : saisissez le nombre de secondes d'enregistrement des événements de l'utilisateur.

• Activer la prise en charge de NAT : (facultatif) cochez cette case pour activer la prise en charge. Lorsqu'elle est activée, l'utilisateur est identifié par l'adresse IP ainsi que par un hachage unique. Cette vérification empêche le blocage des visiteurs avec des adresses IP partagées. Oracle recommande de désactiver la prise en charge de NAT pour les applications à charge élevée (plus de 200 demandes par seconde).