文档首页> Web应用防火墙 WAF> 用户指南> 配置防护规则> 配置防敏感信息泄露规则
更新时间:2022-09-07 GMT+08:00
分享

配置防敏感信息泄露规则

您可以添加两种类型的防敏感信息泄露规则:

  • 敏感信息过滤。配置后可对返回页面中包含的敏感信息做屏蔽处理,防止用户的敏感信息(例如:身份证号、电话号码、电子邮箱等)泄露。
  • 响应码拦截。配置后可拦截指定的HTTP响应码页面。

如果您已开通企业项目,您需要在“企业项目”下拉列表中选择您所在的企业项目并确保已开通操作权限,才能为该企业项目下域名配置防护策略。

前提条件

已添加防护网站。

约束条件

云模式的入门版、标准版(原专业版),以及ELB模式不支持该功能。

添加或修改防护规则后,规则生效需要几分钟。规则生效后,您可以在“防护事件”页面查看防护效果。

操作步骤

  1. 登录管理控制台
  2. 单击管理控制台左上角的,选择区域或项目。
  3. 单击页面左上方的,选择安全与合规 > Web应用防火墙 WAF
  4. 在左侧导航树中,选择“网站设置”,进入“网站设置”页面。
  5. (旧版)在目标域名所在行的“防护策略”栏中,单击“配置防护策略”,进入“防护策略”页面。
  6. (新版)在目标域名所在行的“防护策略”栏中,单击“已开启N项防护”,进入“防护策略”页面。

    图1 域名列表

  7. “防敏感信息泄露”的配置框中,用户可根据自己的需要更改“状态”,单击“自定义防敏感信息泄露规则”,进入“防敏感信息泄露”规则配置页面。

    图2 防敏感信息泄露配置框

  8. “防敏感信息泄露”规则配置页面左上角,单击“添加规则”
  9. 在弹出的对话框,添加防敏感信息泄露规则,如图3图4所示,参数说明如表1所示。

    “防敏感信息泄露”规则既能防止用户的敏感信息(例如:身份证号、电话号码、电子邮箱等)泄露,也能够拦截指定的HTTP响应码页面。

    敏感信息过滤:针对网站页面中可能存在的电话号码和身份证等敏感信息,配置相应的规则对其进行屏蔽处理。例如,您可以通过设置以下防护规则,屏蔽身份证号、电话号码和电子邮箱敏感信息。
    图3 敏感信息泄露
    响应码拦截:针对特定的HTTP请求状态码,可配置规则将其拦截,避免服务器敏感信息泄露。例如,您可以通过设置以下防护规则,拦截HTTP 404、502、503状态码。
    图4 响应码拦截
    表1 参数说明

    参数名称

    参数说明

    取值样例

    路径

    需要过滤敏感信息(例如:身份证号、电话号码、电子邮箱等)或者拦截响应码的URL不包含域名的路径。

    • 前缀匹配:填写的路径前缀与需要防护的路径相同即可。

      如果防护路径为“/admin”,该规则填写为“/admin*”,该规则生效。

    • 精准匹配:需要防护的路径需要与此处填写的路径完全相等。

      如果防护路径为“/admin”,该规则必须填写为“/admin”

      说明:
      • 该路径不支持正则,仅支持前缀匹配和精准匹配的逻辑。
      • 路径里不能含有多条斜线的配置,如“///admin”,访问时,引擎会将“///”转为“/”

    /admin*

    类型

    • 敏感信息过滤:防止用户的敏感信息(例如:身份证号、电话号码、电子邮箱等)泄露。
    • 响应码拦截:拦截指定的HTTP响应码页面。

    敏感信息过滤

    内容

    防护“类型”对应的防护内容,支持多选。

    身份证号码

    规则描述

    可选参数,设置该规则的备注信息。

    --

  10. 单击“确认添加”,添加的防敏感信息泄露规则展示在防敏感信息泄露规则列表中。

    图5 防敏感信息泄露规则列表

相关操作

  • 规则添加成功后,默认的“规则状态”“已开启”,若您暂时不想使该规则生效,可在目标规则所在行的“操作”列,单击“关闭”
  • 当您需要修改添加的防敏感信息泄露规则时,在待修改的防敏感信息泄露规则所在行,单击“修改”,修改防敏感信息泄露规则。
  • 当您需要删除添加的防敏感信息泄露规则时,在待删除的防敏感信息泄露规则所在行,单击“删除”,删除防敏感信息泄露规则。

配置示例-敏感信息过滤

假如防护域名“www.example.com”已接入WAF,您可以参照以下操作步骤验证敏感信息过滤防护效果。

  1. 添加一条敏感信息过滤规则。

    图6 敏感信息泄露

  2. 开启防敏感信息泄露。

    图7 防敏感信息泄露配置框

  3. 清理浏览器缓存,在浏览器中访问“http://www.example.com/admin/”页面。

    该页面的电子邮箱、电话号码和身份号码信息被屏蔽。

    图8 敏感信息屏蔽示例

分享:

    相关文档

    相关产品

close