配置防敏感信息泄露规则避免敏感信息泄露

前提条件

已添加防护网站或已新增防护策略。

约束条件

• 添加或修改防护规则后，规则生效需要几分钟。规则生效后，您可以在“防护事件”页面查看防护效果。

配置防敏感信息泄露规则

1. 登录管理控制台，在页面左上方，单击图标，选择“安全 > Web应用防火墙 WAF”。
2. 在控制台左上角，单击图标，选择区域或项目。
3. 在左侧导航栏，单击“防护策略”。
4. 单击目标策略名称，进入目标策略的防护规则配置页面。

   在配置防护规则前，请确认目标防护策略已绑定防护域名，即绑定策略生效目标。一条防护策略可以适用于多个防护域名，但一个防护域名只能绑定一个防护策略。

5. 单击“防敏感信息泄露”配置框，开启防敏感信息泄露防护规则。

   ：开启状态。

6. 在“防敏感信息泄露”规则配置列表的左上方，单击“添加规则”。
7. 在弹出的对话框，添加防敏感信息泄露规则，参数说明如表1所示。

   “防敏感信息泄露”规则既能防止用户的敏感信息（例如：身份证号、电话号码、电子邮箱等）泄露，也能够拦截指定的HTTP响应码页面。

   敏感信息过滤：针对网站页面中可能存在的电话号码和身份证等敏感信息，配置相应的规则对其进行屏蔽处理。例如，您可以通过设置以下防护规则，屏蔽身份证号、电话号码和电子邮箱敏感信息。

   响应码拦截：针对特定的HTTP请求状态码，可配置规则将其拦截，避免服务器敏感信息泄露。例如，您可以通过设置以下防护规则，拦截HTTP 404、502、503状态码。

   表1 参数说明

   参数名称	参数说明	取值样例
   路径	填写防敏感信息泄露的路径。 路径不包含域名。例如：需要防护的URL为“http://www.example.com/admin”，则“路径”设置为“/admin”。 路径支持前缀匹配、精准匹配。 前缀匹配：填写的路径前缀与需要防护的路径相同即可。 如果防护路径为“/admin”，该规则填写为“/admin*”。 精准匹配：填写的路径与需要防护的路径完全相等。 如果防护路径为“/admin”，该规则必须填写为“/admin”。 路径不支持正则表达。 路径里不能含有多条斜线的配置，例如路径为“///admin”，访问时，引擎会将“///”转为“/”。	/admin*
   类型	选择要防护的敏感信息类型，支持敏感信息过滤、响应码拦截。 敏感信息过滤：支持过滤身份证号、电话号码、电子邮箱的敏感信息。 响应码拦截：支持拦截指定的HTTP响应码页面，支持400、401、402、403、404、405、500、501、502、503、504、507响应码。	敏感信息过滤
   内容	选择防护内容，支持多选。 “类型”为“敏感信息过滤”时，选择要过滤的敏感信息内容：身份证号、电话号码、电子邮箱。 “类型”为“响应码拦截”时，选择要拦截的HTTP响应码：400、401、402、403、404、405、500、501、502、503、504、507。	身份证号码
   规则描述	设置该规则的备注信息。	--

8. 单击“确认”，添加的防敏感信息泄露规则展示在防敏感信息泄露规则列表中。

   完成以上配置后，您还可以执行以下操作：

   • 查看规则状态：在防护规则列表，查看已添加的规则。此时，“规则状态”默认为“已开启”。
   • 关闭规则：如果您暂时不想使该规则生效，可在目标规则“操作”列，单击“关闭”。
   • 删除或修改规则：您也可以在目标规则“操作”列，单击“删除”或“修改”，删除或修改已添加的防护规则。