已接入WAF防护的网站域名,如果网站使用的是HTTPS协议传输数据,WAF支持对该域名自定义TLS协议版本和加密套件,更灵活地满足您对于更高安全性(例如,等保合规场景)或更高的TLS通信兼容性(例如,兼容客户端旧版本的TLS协议)的需求。
背景信息
为有效保证您网站的通信安全,WAF对已接入的HTTPS域名指定默认的TLS配置,对不在指定范围内的TLS协议版本和加密套件的访问流量进行拦截。
WAF目前已支持对TLS加密套件自定义,有效避免因网站使用的加密套件和WAF默认配置的加密套件不匹配,导致访问失败的问题。您可以根据网站的实际情况,为已接入的域名修改TLS协议版本和加密套件。
前提条件
- 域名已完成网站接入。具体操作,请参见添加域名。
- 网站域名使用的是HTTPS协议且已上传了HTTPS证书。具体操作,请参见上传HTTPS证书。
配置TLS
- 登录Web应用防火墙控制台。
- 在左侧导航栏,选择。
- 在网站接入页面,定位到需要配置TLS的域名,单击操作列的TLS配置。
注意 只有使用了HTTPS协议的网站域名需要配置TLS。如果网站域名使用的是HTTP协议或者使用HTTPS协议但是未上传HTTPS证书,操作列不显示TLS配置。
- 在TLS安全策略配置页面,对TLS协议版本和加密套件进行自定义配置。
| 配置项 |
说明 |
| 域名 |
需要自定义配置TLS的网站域名。此项已自动填写,无需您手动设置。 |
| TLS协议版本 |
选择网站使用的TLS版本。可选项:
- 支持TLS 1.0及以上版本,兼容性最高,安全性较低:选择该项表示对TLS 1.0及以上所有版本生效。
- 支持TLS 1.1及以上版本,兼容性较好,安全性较好:选择该项表示对TLS 1.1及以上所有版本生效,使用TLS 1.0将无法访问该网站。
- 支持TLS 1.2及以上版本,兼容性较好,安全性最高:选择该项表示对TLS 1.2及以上所有版本生效,使用TLS 1.0和1.1将无法访问该网站。
|
| 开启TLS 1.3 |
支持同时开启TLS 1.3。 |
| 加密套件 |
选择您需要使用的加密套件类型。可选项:
- 全部加密套件,兼容性最高,安全性较低,支持以下强加密套件和弱加密套件:
- 强加密套件:
- TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
- 弱加密套件:
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
- TLS_RSA_WITH_AES_128_GCM_SHA256
- TLS_RSA_WITH_AES_256_GCM_SHA384
- TLS_RSA_WITH_AES_128_CBC_SHA256
- TLS_RSA_WITH_AES_256_CBC_SHA256
- TLS_RSA_WITH_AES_128_CBC_SHA
- TLS_RSA_WITH_AES_256_CBC_SHA
- SSL_RSA_WITH_3DES_EDE_CBC_SHA
- 协议版本的自定义加密套件,请谨慎选择,避免影响业务
|
- 单击保存,配置即可生效。
WAF会拦截使用了非指定范围内的TLS协议版本和加密套件的访问流量。