接入Web Application Firewall(Web Application Firewall,簡稱WAF)後,您可以通過設定資訊泄露防護規則,使得網站過濾伺服器返回內容(例如異常頁面、關鍵字)中的敏感資訊(包含社會安全號碼、電話號碼、銀行卡號、禁用語),脫敏展示敏感資訊或返回預設異常響應頁面。本文介紹如何建立資訊泄露防護模板並添加防護規則。
使用限制
雲產品接入(ALB、MSE、FC)的防護對象暫不支援該功能。
前提條件
已開通訂用帳戶版WAF 3.0或隨用隨付版WAF 3.0服務。
已將Web業務添加為WAF 3.0的防護對象和防護對象組。
步驟一:建立資訊泄露防護模板
資訊泄露防護規則不提供初始預設防護模板。如果您需要啟用資訊泄露防護規則,您必須建立一個防護模板,再添加對應規則。
登入Web Application Firewall3.0控制台。在頂部功能表列,選擇WAF執行個體的資源群組和地區(中国内地、非中国内地)。
在左側導覽列,選擇。
在Web核心防護頁面下方資訊泄露防護地區,單擊建立模板。
在建立模板 - 資訊泄露防護面板,完成以下模板配置後,單擊確定。
配置項
說明
模板名稱
為該模板設定一個名稱。
長度為1~255個字元,支援中文和大小寫英文字母,可包含數字、半形句號(.)、底線(_)和短劃線(-)。
規則配置
您可以單擊建立規則,為當前模板建立資訊泄露防護規則。您也可以忽略該設定,在建立防護模板後,再為模板建立規則。具體操作,請參見步驟二:在資訊泄露防護模板中添加資訊泄露防護規則。
生效對象
從已添加的防護對象及對象組中,選擇要應用該模板的防護對象和防護對象組。
一個防護對象或對象組只能關聯到當前防護模組下的一個模板。關於添加防護對象和對象組的具體操作,請參見配置防護對象和防護對象組。
建立的防護模板預設開啟,您可以在防護模板列表執行如下操作:
查看模板關聯的防护对象/组的數量。
通過模板开关,開啟或關閉模板。
為該模板新建规则。
编辑、删除或复制防護模板。
單擊防護模板名稱左側的
表徵圖,查看該防護模板包含的規則資訊。
步驟二:在資訊泄露防護模板中添加資訊泄露防護規則
只有添加資訊泄露防護規則後,資訊泄露防護模板才具有防護作用。如果您已在建立防護模板時添加了對應規則,可跳過該步驟。
登入Web Application Firewall3.0控制台。在頂部功能表列,選擇WAF執行個體的資源群組和地區(中国内地、非中国内地)。
在左側導覽列,選擇。
在資訊泄露防護地區,定位到並單擊展開要建立規則的防護模板,單擊操作列的建立規則。
在建立規則對話方塊中,完成以下模板配置後,單擊確定。
配置項
說明
規則名稱
為該規則設定一個名稱。
支援中文和大小寫英文字母,可包含數字、半形句號(.)、底線(_)和短劃線(-)。
匹配條件
定義要在請求響應中檢測的敏感資訊類型,可選值:
響應碼:400、401、402、403、404、500、501、502、503、504、405~499、505~599。
敏感資訊:身份證、信用卡、電話號碼、預設敏感詞。
重要防敏感資訊泄露功能目前僅支援處理中華人民共和國境內使用的資料格式(例如社會安全號碼、電話號碼、銀行卡號),暫不支援處理中國境外的社會安全號碼、電話號碼、銀行卡號等資料格式。
您可以指定檢測響應碼、敏感資訊分類下的一種或多種類型。
如果選中並且,則可以進一步指定要檢測的URL,即只在指定的頁面中檢測敏感資訊。
匹配動作
定義在請求響應中檢測到敏感資訊後執行的操作。
匹配條件為響應碼時,支援以下匹配動作:
觀察:表示不攔截命中規則的請求,只通過日誌記錄請求命中了規則。
攔截:表示攔截命中規則的請求,並向發起請求的用戶端返回攔截響應頁面。
匹配條件為敏感資訊時,支援以下匹配動作:
觀察:表示不攔截命中規則的請求,只通過日誌記錄請求命中了規則。
打碼:表示不攔截命中規則的請求,只將敏感資訊中部分內容替換成星號(*)顯示。
建立的規則預設開啟。您可以在規則列表執行如下操作:
查看规则ID、规则条件等資訊。
通過状态開關,開啟或關閉規則。
编辑或删除規則。
後續步驟
您可以在安全報表頁面的資訊泄露防護頁簽,查詢防護規則的防護詳情。更多資訊,請參見安全報表。
相關文檔
如果您想瞭解WAF 3.0的防護對象、防護模組及防護流程等資訊,請參見防護配置概述。
如果您想使用API建立防護模板,請參見建立防護模板。
如果您想建立一個基礎防護規則,並配置規則內容,請參見建立Web核心防護規則。