接入Web应用防火墙(Web Application Firewall,简称WAF)后,您可以通过设置信息泄露防护规则,使得网站过滤服务器返回内容(例如异常页面、关键字)中的敏感信息(包含身份证号、电话号码、银行卡号、敏感词汇),脱敏展示敏感信息或返回默认异常响应页面。本文介绍如何创建信息泄露规则模板并添加防护规则。
使用限制
云产品接入(ALB、MSE、FC或SAE)的防护对象暂不支持该功能。
前提条件
已开通WAF 3.0服务。具体操作,请参见开通包年包月WAF 3.0、开通按量付费WAF 3.0。
已将Web业务添加为WAF 3.0的防护对象。具体操作,请参见配置防护对象和防护对象组。
步骤一:创建信息泄露防护规则模板
信息泄露防护规则不提供默认规则模板。如果您需要启用信息泄露防护规则,您必须新建一个规则模板,再添加对应规则。
登录Web应用防火墙3.0控制台。在顶部菜单栏,选择WAF实例的资源组和地域(中国内地、非中国内地)。
在左侧导航栏,选择 。
在Web基础防护页面下方信息泄露防护区域,单击新建模板。
说明如果您是第一次创建信息泄露防护规则模板,您也可以在Web基础防护页面上方的信息泄露防护卡片区域,单击立即配置。
在新建模板 - 信息泄露防护面板,完成以下模板配置后,单击确定。
配置项
说明
模板名称
为该模板设置一个名称。
长度为1~255个字符,支持中文和大小写英文字母,可包含数字、半角句号(.)、下划线(_)和短划线(-)。
规则配置
您可以单击新建规则,为当前模板新建信息泄露防护规则。您也可以忽略该设置,在创建规则模板后,再为模板新建规则。具体操作,请参见步骤二:在信息泄露防护规则模板中添加信息泄露防护规则。
生效对象
从已添加的防护对象及对象组中,选择要应用该模板的防护对象和防护对象组。
一个防护对象或对象组只能关联到当前防护模块下的一个模板。关于添加防护对象和对象组的具体操作,请参见配置防护对象和防护对象组。
新建的规则模板默认开启。您可以在规则模板列表执行如下操作:
查看模板关联的防护对象/组的数量。
通过模板开关,开启或关闭模板。
编辑或删除规则模板。
单击规则模板名称左侧的图标,查看规则模板包含的规则。
步骤二:在信息泄露防护规则模板中添加信息泄露防护规则
只有添加信息泄露防护规则后,信息泄露防护规则模板才具有防护作用。如果您已在创建规则模板时添加了对应规则,可跳过该步骤。
登录Web应用防火墙3.0控制台。在顶部菜单栏,选择WAF实例的资源组和地域(中国内地、非中国内地)。
在左侧导航栏,选择 。
在信息泄露防护区域,定位到要新建规则的规则模板,单击操作列的新建规则。
在新建规则对话框中,完成以下模板配置后,单击确定。
配置项
说明
规则名称
为该规则设置一个名称。
支持中文和大小写英文字母,可包含数字、半角句号(.)、下划线(_)和短划线(-)。
匹配条件
定义要在请求响应中检测的敏感信息类型,可选值:
响应码:400、401、402、403、404、500、501、502、503、504、405~499、505~599。
敏感信息:身份证、信用卡、电话号码、默认敏感词。
重要防敏感信息泄露功能目前仅支持处理中华人民共和国境内使用的数据格式(例如身份证号、电话号码、银行卡号),暂不支持处理中国境外的身份证号、电话号码、银行卡号等数据格式。
您可以指定检测响应码、敏感信息分类下的一种或多种类型。
如果选中并且,则可以进一步指定要检测的URL,即只在指定的页面中检测敏感信息。
匹配动作
定义在请求响应中检测到敏感信息后执行的操作。
匹配条件为响应码时,支持以下匹配动作:
观察:表示不拦截命中规则的请求,只通过日志记录请求命中了规则。
拦截:表示拦截命中规则的请求,并向发起请求的客户端返回拦截响应页面。
匹配条件为敏感信息时,支持以下匹配动作:
观察:表示不拦截命中规则的请求,只通过日志记录请求命中了规则。
打码:表示不拦截命中规则的请求,只将敏感信息中部分内容替换成星号(*)显示。
新建的规则默认开启。您可以在规则模板列表执行如下操作:
通过状态开关,开启或关闭规则。
编辑或删除规则。
后续步骤
您可以在安全报表页面的信息泄露防护页签,查询防护规则的防护详情。更多信息,请参见信息泄露防护。
相关文档
如果您想了解WAF 3.0的防护对象、防护模块及防护流程等信息,请参见防护配置概述。
如果您想使用API创建防护模板,请参见CreateDefenseTemplate - 创建防护模板。
如果您想创建一个基础防护规则,并配置规则内容,请参见CreateDefenseRule - 创建防护规则。