你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
如何屏蔽 Azure Web 应用程序防火墙上的敏感数据
Web 应用程序防火墙 (WAF) 的日志清理工具可帮助你从 WAF 日志中删除敏感数据。 它使用规则引擎,该引擎允许你生成自定义规则来标识包含敏感信息的请求的特定部分。 标识后,该工具会从日志中清理该信息,并将其替换为 *******。
注意
日志清理功能仅在运行最新的 WAF 引擎的 Web 应用程序防火墙上受支持。 选择 OWASP CRS 3.2 或默认规则集 2.1 作为托管规则集。
注意
启用日志清理功能时,Microsoft 仍会在我们的内部日志中保留 IP 地址以支持关键安全功能。
下表展示了可用于保护敏感数据的日志清理规则示例:
匹配变量 | 运算符 | 选择器 | 被清理的信息 |
---|---|---|---|
请求头名称 | 等于 | X-Forwarded-For | REQUEST_HEADERS:x-forwarded-for.","data":"******" |
请求 Cookie 名称 | 等于 | cookie1 | “在 REQUEST_COOKIES:cookie1: ****** 中找到了匹配的数据: ******” |
请求参数名称 | 等于 | arg1 | "requestUri":"/?arg1=******" |
请求 Post 参数名称 | 等于 | Post1 | “data":"在 ARGS:post1: ****** 中找到了匹配的数据: ******” |
请求 JSON 参数名称 | 等于 | Jsonarg | “data":"在 ARGS:jsonarg: ****** 中找到了匹配的数据: ******” |
请求 IP 地址* | 等于任何 | Null | "clientIp":"******" |
* 请求 IP 地址规则仅支持等于任何运算符,并会清理 WAF 日志中显示的请求者 IP 地址的所有实例。
有关详细信息,请参阅什么是 Azure Web 应用程序防火墙敏感数据保护?
启用敏感数据保护
使用以下信息启用和配置敏感数据保护。
若要启用敏感数据保护:
- 打开现有的应用程序网关 WAF 策略。
- 在“设置”下,选择“敏感数据”。
- 在“敏感数据”页上,选择“启用日志清理”。
若要为敏感数据保护配置日志清理规则:
- 在“日志清理规则”下,选择“匹配变量。
- 选择“运算符”(如果适用)。
- 键入“选择器”(如果适用)。
- 选择“保存”。
重复操作以添加更多规则。
验证敏感数据保护
若要验证敏感数据保护规则,请打开应用程序网关防火墙日志,搜索 ****** 以代替敏感字段。