接入Web應用防火墻(Web Application Firewall,簡稱WAF)后,您可以通過設置信息泄露防護規則,使得網站過濾服務器返回內容(例如異常頁面、關鍵字)中的敏感信息(包含身份證號、電話號碼、銀行卡號、敏感詞匯),脫敏展示敏感信息或返回默認異常響應頁面。本文介紹如何創建信息泄露規則模板并添加防護規則。
使用限制
云產品接入(ALB、MSE、FC或SAE)的防護對象暫不支持該功能。
前提條件
已開通WAF 3.0服務。具體操作,請參見開通包年包月WAF 3.0、開通按量付費WAF 3.0。
已將Web業務添加為WAF 3.0的防護對象。具體操作,請參見配置防護對象和防護對象組。
步驟一:創建信息泄露防護規則模板
信息泄露防護規則不提供默認規則模板。如果您需要啟用信息泄露防護規則,您必須新建一個規則模板,再添加對應規則。
登錄Web應用防火墻3.0控制臺。在頂部菜單欄,選擇WAF實例的資源組和地域(中國內地、非中國內地)。
在左側導航欄,選擇。
在Web基礎防護頁面下方信息泄露防護區域,單擊新建模板。
說明如果您是第一次創建信息泄露防護規則模板,您也可以在Web基礎防護頁面上方的信息泄露防護卡片區域,單擊立即配置。
在新建模板 - 信息泄露防護面板,完成以下模板配置后,單擊確定。
配置項
說明
模板名稱
為該模板設置一個名稱。
長度為1~255個字符,支持中文和大小寫英文字母,可包含數字、半角句號(.)、下劃線(_)和短劃線(-)。
規則配置
您可以單擊新建規則,為當前模板新建信息泄露防護規則。您也可以忽略該設置,在創建規則模板后,再為模板新建規則。具體操作,請參見步驟二:在信息泄露防護規則模板中添加信息泄露防護規則。
生效對象
從已添加的防護對象及對象組中,選擇要應用該模板的防護對象和防護對象組。
一個防護對象或對象組只能關聯到當前防護模塊下的一個模板。關于添加防護對象和對象組的具體操作,請參見配置防護對象和防護對象組。
新建的規則模板默認開啟。您可以在規則模板列表執行如下操作:
查看模板關聯的防護對象/組的數量。
通過模板開關,開啟或關閉模板。
編輯或刪除規則模板。
單擊規則模板名稱左側的
圖標,查看規則模板包含的規則。
步驟二:在信息泄露防護規則模板中添加信息泄露防護規則
只有添加信息泄露防護規則后,信息泄露防護規則模板才具有防護作用。如果您已在創建規則模板時添加了對應規則,可跳過該步驟。
登錄Web應用防火墻3.0控制臺。在頂部菜單欄,選擇WAF實例的資源組和地域(中國內地、非中國內地)。
在左側導航欄,選擇。
在信息泄露防護區域,定位到要新建規則的規則模板,單擊操作列的新建規則。
在新建規則對話框中,完成以下模板配置后,單擊確定。
配置項
說明
規則名稱
為該規則設置一個名稱。
支持中文和大小寫英文字母,可包含數字、半角句號(.)、下劃線(_)和短劃線(-)。
匹配條件
定義要在請求響應中檢測的敏感信息類型,可選值:
響應碼:400、401、402、403、404、500、501、502、503、504、405~499、505~599。
敏感信息:身份證、信用卡、電話號碼、默認敏感詞。
重要防敏感信息泄露功能目前僅支持處理中華人民共和國境內使用的數據格式(例如身份證號、電話號碼、銀行卡號),暫不支持處理中國境外的身份證號、電話號碼、銀行卡號等數據格式。
您可以指定檢測響應碼、敏感信息分類下的一種或多種類型。
如果選中并且,則可以進一步指定要檢測的URL,即只在指定的頁面中檢測敏感信息。
匹配動作
定義在請求響應中檢測到敏感信息后執行的操作。
匹配條件為響應碼時,支持以下匹配動作:
觀察:表示不攔截命中規則的請求,只通過日志記錄請求命中了規則。
攔截:表示攔截命中規則的請求,并向發起請求的客戶端返回攔截響應頁面。
匹配條件為敏感信息時,支持以下匹配動作:
觀察:表示不攔截命中規則的請求,只通過日志記錄請求命中了規則。
打碼:表示不攔截命中規則的請求,只將敏感信息中部分內容替換成星號(*)顯示。
新建的規則默認開啟。您可以在規則模板列表執行如下操作:
通過狀態開關,開啟或關閉規則。
編輯或刪除規則。
后續步驟
您可以在安全報表頁面的信息泄露防護頁簽,查詢防護規則的防護詳情。更多信息,請參見信息泄露防護。
相關文檔
如果您想了解WAF 3.0的防護對象、防護模塊及防護流程等信息,請參見防護配置概述。
如果您想使用API創建防護模板,請參見CreateDefenseTemplate - 創建防護模板。
如果您想創建一個基礎防護規則,并配置規則內容,請參見CreateDefenseRule - 創建防護規則。