セフオブジェクトチェック

セーフオブジェクトチェックでは,顧客番号,注文番号,国固有または地域固有の電話番号または郵便番号などの重要なビジネス情報をユーザーが構成可能な保護を提供します。ユーザー定義の正規表現またはカスタムプラグインは,Web应用防火墙にこの情報の形式を伝え,保護に使用するルールを定義します。ユーザー要求内の文字列が安全なオブジェクト定義と一致する場合,Web应用防火墙は特定のセーフオブジェクトルールの設定方法に応じて,応答をブロックするか,保護された情報をマスクするか,または応答から保護された情報を削除してからユーザーに送信します。

セーフオブジェクトチェックは,攻撃者がWebサーバーソフトウェアまたはWebサイトのセキュリティ上の欠陥を悪用して,会社のクレジットカード番号や社会保障番号などの機密性の高い個人情報を取得することを防ぎます。Webサイトがこれらのタイプの情報にアクセスできない場合は,このチェックを構成する必要はありません。そのような情報にアクセスできるショッピングカートやその他のアプリケーションがある場合,またはWebサイトがそのような情報を含むデータベースサーバーにアクセスできる場合は,処理および保存する機密性の高い個人情報の種類ごとに保護を構成する必要があります。

注：

SQLデタベスにアクセスしないWebサ、通常、機密性の高い個人情報にアクセスできません。

[セフオブジェクトチェック]ダ。作成する各セーフオブジェクト式は,クレジットカードチェックと同様に,その種類の情報に対する個別のセキュリティチェックに相当します。ウィザードまたはGUIを使用する場合は,[追加]をクリックし,[セーフオブジェクトの追加]ダイアログボックスで式を構成して,新しい式を追加します。既存の式を変更するには,その式を選択して[開く]をクリックし,[セーフオブジェクトの修正]ダイアログボックスで式を設定します。

各セフオブジェクト式の[セフオブジェクト]ダ，次の項目を設定できます。

• セフオブジェクト名。新しいセフオブジェクトの名前。名前は、文字、数字、またはアンダースコア記号で始まり、1 ～ 255 文字の文字、数字、ハイフン (-)、ピリオド (.)、ポンド (#)、スペース ()、アットマーク (@)、等号 (=)、コロン (:)、およびアンダースコア (_) 記号で構成されます。
• アクション。ブロック，ログ，統計のアクション，および次のアクションを有効または無効にします。
  • x。セフオブジェクト式に一致する情報を文字" x "でマスクします。
  • 删除- - - - - -セフオブジェクト式に一致する情報をすべて削除します。
• 正規表現。セフオブジェクトを定義するpcre互換の正規表現を入力します。正規表現を作成するには，テキストボックスに正規表現を直接入力する方法，[正規表現.トクン]メニューを使用して正規表現の要素とシンボルをテキストボックスに直接入力する方法,または[正規表現エディタ]を開いて式を作成します。正規表現はASCII码文字のみで構成する必要があります。基本的な128文字のASCIIセットに含まれていない文字は,切り取って貼り付けないでください。非ASCII文字を含める場合は,これらの文字をPCRE 16進文字エンコード形式で手動で入力する必要があります。メモ:セーフオブジェクト式の先頭に開始アンカー(^)セーフオブジェクト式の末尾に終了アンカー($)を使用しないでください。これらのPCREエンティティは安全对象式ではサポトされていません。使用すると，式が一致するものと一致しなくなります。

• [最大一致長]。照合する文字列の最大長を表す正の整数を入力します。たとえば，米国の社会保障番号を照合する場合は，このフィルドに番号11(11)を入力します。これにより，正規表現は9の数字と2のハ。カリフォルニア州の運転免許証番号を照合する場合は，8と入力します。

  注意：

  このフィールドに最大一致長を入力しない場合,Web应用防火墙では,安全なオブジェクト式に一致する文字列をフィルタリングするときに,デフォルト値の1が使用されます。その結果，ほとんどの安全なオブジェクト式はタゲット文字列と一致しません。

コマンドラopenstackンopenstackンタopenstackスを使用して，セopenstackフオブジェクトチェックを構成することはできません。Web应用防火墙ウィザドまたはGUI界面を使用して構成する必要があります。

以下は，セフオブジェクトチェック正規表現の例です。

• 米国の社会保障番号であると思われる文字列を探します。3つの数字(最初の数字はゼロであってはいけません),ハイフン,さらに2つの数字,2番目のハイフン,さらに4つの数字で終わる文字列で終わります。

  [1 - 9] [0 - 9] {3 3} - [0 - 9] {2,} [0 - 9] {4 4} < !——NeedCopy >

• カリフォルニア州の運転免許証idのように見える文字列を探します。文字列は文字で始まり，その後に正確に7の数字の文字列が続きます。

  [A-Za-z] [0 - 9] {7} < !——NeedCopy >

• 顧客idと思われる文字列を探します。これらの文字列は5つの16進文字(すべての数字と一からFまでの文字),ハイフン,3文字のコード,2番目のハイフン,10個の数字の文字列で終わる文字列で構成されます。

  [0-9A-Fa-f] {5, 5} - [A-Za-z]{3 3}[0 - 9]{10、10}< !——NeedCopy >

注意：

正規表現は強力です。特にPCRE-formatの正規表現に精通していない場合は,記述する正規表現をダブルチェックして,安全なオブジェクト定義として追加する文字列のタイプを正確に定義していることを確認してください。それ以外は何も定義しません。ワイルドカード,特にドットとアスタリスク(. *)メタキャラクタとワイルドカードの組み合わせを不注意に使用すると,ブロックする意図がなかったWebコンテンツへのアクセスをブロックするなど,望ましくない結果が生じる可能性があります。