防信息泄露

最近更新时间:2021-03-25 21:08:53

本文档将为您介绍 Web 应用防火墙的防信息泄露功能。防信息泄露功能支持对网站返回的内容进行过滤(支持替换、脱敏展示和拦截),过滤内容包括敏感信息(如身份证、手机号和银行卡)、关键字和响应码。您可以根据实际需要设置防敏感信息泄露的规则,满足数据安全保护和等保合规需求

背景信息

通过防信息泄露功能,您可以添加防护规则,根据实际需要对网站返回的内容进行过滤。过滤内容包括但不限于身份证、手机号和银行卡等,您也可以自定义关键字(支持正则)对订单号、地址信息等进行过滤、部分替换或者全部替换。针对网站返回的状态码,您可以对非200的状态码进行阻断或者告警,满足合规要求。

说明:

CLB WAF 不支持防信息泄露功能,详细规格信息请参见 计费概述

前提条件

您已经在 Web 应用防火墙(SaaS 版本)添加防护域名,且域名处于正常防护状态。

配置示例

  1. 登录 Web 应用防火墙控制台,在左侧导航栏中,选择 【Web 安全防护】 > 【防护设置】。
  2. 在域名列表中,选择需要防护的站点域名,在右侧操作栏中,单击【防护配置】。
  3. 在防护设置页面,选择【防信息泄露】>【添加规则】 。
  4. 在添加规则页面,填写相关字段,设置完成后,单击【添加】。

    字段说明:
    • 规则名称:防信息泄露规则名称,最长50个字符,可以在攻击日志中按照规则名称进行搜索。
    • 匹配条件:防泄漏信息匹配条件,支持敏感信息、关键字和响应码,不同类型对应不同的匹配内容和动作类型,关系如下:
      匹配条件 匹配内容 匹配动作
      敏感信息 身份证、手机号、银行卡 告警、全部替换、仅显示后四位、仅显示前四位、阻断
      关键字 支持关键字,支持正则 告警、全部替换、阻断
      响应码 400、403、404、其他4xx、500、501、502、504、其他5xx 告警 阻断
    • 匹配内容:匹配内容因匹配条件不同有差异。
    • 防御路径:需要进行防泄露的路径,支持目录和局路径,根据实际需要填写。
    • 执行动作:命中防泄漏匹配条件的执行动作,相关命中信息可在攻击日志中查询。
  5. 添加完成的防泄漏规则后,规则默认启用。您可在防信息泄露页面对规则进行查看,并进行检索、编辑及删除等操作。
  6. 规则生效,会对您网页中返回的敏感信息进行防护,例如执行动作为:替换,则防护效果如下(敏感内容为虚构):
    • 开启防护前:
      开启防护前
    • 开启防护后:
      开启防护后

上一步:自定义策略
下一步:地域封禁

目录