配置防敏感信息泄露规则避免敏感信息泄露

前提条件

已添加防护网站或已新增防护策略。

• 云模式-CNAME接入的接入方式参见将网站接入WAF防护（云模式-CNAME接入）章节。
• 独享模式的接入方式参见将网站接入WAF防护（独享模式）章节。

约束条件

• 云模式标准版，以及云模式-ELB接入不支持该防护规则。
• 专业版不支持该功能。
• 添加或修改防护规则后，规则生效需要几分钟。规则生效后，您可以在“防护事件”页面查看防护效果。

配置防敏感信息泄露规则

1. 登录管理控制台。
2. 在管理控制台左上角，单击，选择区域或项目。
3. 在页面左上方，单击，选择“安全与合规 > Web应用防火墙 WAF”。
4. 在左侧导航栏，单击“防护策略”。
5. 如果您已开通企业项目，在左侧导航栏上方，单击“按企业项目筛选”下拉框，选择您所在的企业项目。完成后，页面将为您展示该企业项目下的相关数据。
6. 单击目标策略名称，进入目标策略的防护配置页面。
7. 选择“防敏感信息泄露”配置框，用户可根据自己的需要开启或关闭防敏感信息泄露策略。
   • ：开启状态。
   • ：关闭状态。

8. 在“防敏感信息泄露”规则配置列表的左上方，单击“添加规则”。
9. 在弹出的对话框，添加防敏感信息泄露规则，如图1和图2所示，参数说明如表1所示。

   “防敏感信息泄露”规则既能防止用户的敏感信息（例如：身份证号、电话号码、电子邮箱等）泄露，也能够拦截指定的HTTP响应码页面。

   敏感信息过滤：针对网站页面中可能存在的电话号码和身份证等敏感信息，配置相应的规则对其进行屏蔽处理。例如，您可以通过设置以下防护规则，屏蔽身份证号、电话号码和电子邮箱敏感信息。

   图1 敏感信息泄露
   
   响应码拦截：针对特定的HTTP请求状态码，可配置规则将其拦截，避免服务器敏感信息泄露。例如，您可以通过设置以下防护规则，拦截HTTP 404、502、503状态码。

   图2 响应码拦截
   

   表1 参数说明

   参数名称	参数说明	取值样例
   路径	需要过滤敏感信息（例如：身份证号、电话号码、电子邮箱等）或者拦截响应码的URL不包含域名的路径。 前缀匹配：填写的路径前缀与需要防护的路径相同即可。 如果防护路径为“/admin”，该规则填写为“/admin*”，该规则生效。 精准匹配：需要防护的路径需要与此处填写的路径完全相等。 如果防护路径为“/admin”，该规则必须填写为“/admin”。 说明： 该路径不支持正则，仅支持前缀匹配和精准匹配的逻辑。 路径里不能含有多条斜线的配置，如“///admin”，访问时，引擎会将“///”转为“/”。	/admin*
   类型	敏感信息过滤：防止用户的敏感信息（例如：身份证号、电话号码、电子邮箱等）泄露。 响应码拦截：拦截指定的HTTP响应码页面。	敏感信息过滤
   内容	防护“类型”对应的防护内容，支持多选。	身份证号码
   防护动作	可选择“过滤”或者“仅记录”。	过滤
   规则描述	可选参数，设置该规则的备注信息。	--

10. 单击“确定”，添加的防敏感信息泄露规则展示在防敏感信息泄露规则列表中。
    • 完成以上配置后，您可以在防护规则列表查看已添加的规则。此时，“规则状态”默认为“已开启”。
    • 如果您暂时不想使该规则生效，可在目标规则“操作”列，单击“关闭”。
    • 您也可以在目标规则“操作”列，单击“删除”或“修改”，删除或修改已添加的防护规则。