如果已通過CNAME接入Web Application Firewall(Web Application Firewall,簡稱WAF)防護的網站使用的是HTTPS協議傳輸資料,WAF支援對該網站網域名稱自訂TLS協議版本和加密套件,攔截不在指定範圍內的TLS協議版本和加密套件的訪問流量。本文介紹如何配置自訂TLS和加密套件。
前提條件
操作步驟
登入Web Application Firewall控制台,在頂部功能表列,選擇WAF執行個體的資源群組和地區(中國內地、非中國內地)。
在左側導覽列,選擇。
- 在網域名稱列表頁簽,定位到需要配置TLS的網域名稱,確認網域名稱對應的接入模式為Cname接入,來源站點資訊對應的認證狀態為更新認證,然後單擊操作列的TLS配置。重要 只有使用了HTTPS協議的網站網域名稱需要配置TLS。如果網站網域名稱使用的是HTTP協議或者使用HTTPS協議但是未上傳HTTPS認證,操作列不顯示TLS配置。
- 在TLS安全性原則配置頁面,配置TLS協議版本和加密套件,單擊儲存。
配置項 說明 網域名稱 需要自訂配置TLS的網站網域名稱。此項已自動填寫,無需您手動設定。 TLS協議版本 選擇網站使用的TLS版本。可選項: - 支援TLS 1.0及以上版本,相容性最高,安全性較低:選擇該項表示對TLS 1.0及以上所有版本生效。
- 支援TLS 1.1及以上版本,相容性較好,安全性較好:選擇該項表示對TLS 1.1及以上所有版本生效,使用TLS 1.0將無法訪問該網站。
- 支援TLS 1.2及以上版本,相容性較好,安全性最高:選擇該項表示對TLS 1.2及以上所有版本生效,使用TLS 1.0和1.1將無法訪問該網站。
開啟TLS 1.3 支援同時開啟TLS 1.3。 加密套件 選擇您需要使用的加密套件類型。可選項: - 全部加密套件,相容性最高,安全性較低,支援以下強加密套件和弱加密套件:
- 強加密套件
- TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
- 弱加密套件
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
- TLS_RSA_WITH_AES_128_GCM_SHA256
- TLS_RSA_WITH_AES_256_GCM_SHA384
- TLS_RSA_WITH_AES_128_CBC_SHA256
- TLS_RSA_WITH_AES_256_CBC_SHA256
- TLS_RSA_WITH_AES_128_CBC_SHA
- TLS_RSA_WITH_AES_256_CBC_SHA
- SSL_RSA_WITH_3DES_EDE_CBC_SHA
- 強加密套件
- 協議版本的自訂加密套件,請謹慎選擇,避免影響業務