共用方式為


如何在 Azure Web 應用程式防火牆上遮罩敏感性資料

Web 應用程式防火牆 (WAF) 的記錄清除工具可協助您從 WAF 記錄中移除敏感性資料。 其運作方式是使用可讓您建置自訂規則的規則引擎,以識別包含敏感性資料之要求的特定部分。 識別之後,此工具會從您的記錄中清除該資訊,並將其取代為 *******

注意

執行最新 WAF 引擎Web 應用程式防火牆 才支持記錄清除功能。 選取 [OWASP CRS 3.2] 或 [默認規則集 2.1] 作為受控規則集。

注意

當您啟用記錄清除功能時,Microsoft 仍會保留內部記錄中的 IP 位址,以支援重要的安全性功能。

下表顯示可用來保護敏感性資料的記錄清除規則範例:

比對變數 運算子 選取器 清除的內容
要求標頭名稱 Equals X-Forwarded-For REQUEST_HEADERS:x-forwarded-for.","data":"******"
要求 Cookie 名稱 Equals cookie1 "Matched Data: ****** found within REQUEST_COOKIES:cookie1: ******"
要求引數名稱 Equals arg1 "requestUri":"/?arg1=******"
要求 POST 引數名稱 Equals Post1 "data":"Matched Data: ****** found within ARGS:post1: ******"
要求 JSON 引數名稱 Equals Jsonarg "data":"Matched Data: ****** found within ARGS:jsonarg: ******"
要求 IP 位址* 等於任何 NULL "clientIp":"******"

* 要求 IP 位址規則只支援等於任何運算子,並清除出現在 WAF 記錄中之要求者 IP 位址的所有執行個體。

如需詳細資訊,請參閱什麼是 Azure Web 應用程式防火牆敏感性資料保護?

啟用敏感性資料保護

使用下列資訊來啟用及設定敏感性資料保護。

若要啟用敏感性資料保護:

  1. 開啟現有的應用程式閘道 WAF 原則。
  2. 在 [設定] 底下,選取 [敏感性資料]
  3. 在 [敏感性資料] 頁面上,選取 [啟用記錄清除]

若要設定敏感性資料保護的記錄清除規則:

  1. 在 [記錄清除規則] 底下,選取[比對變數]
  2. 選取 [運算子] (如果適用)。
  3. 輸入選取器 (如果適用)。
  4. 選取 [儲存]。

重複以新增更多規則。

驗證敏感性資料保護

若要驗證敏感性資料保護規則,請開啟應用程式閘道防火牆記錄,並搜尋 ****** 以取代敏感性欄位。

下一步