已接入WAF防护的网站域名,如果网站使用的是HTTPS协议传输数据,WAF支持对该域名自定义TLS协议版本和加密套件,更灵活地满足您对于更高安全性(例如等保合规场景)或更高的TLS通信兼容性(例如兼容客户端旧版本的TLS协议)的需求。

前提条件

  • 域名已完成网站接入。
  • 网站域名使用的是HTTPS协议且已上传了HTTPS证书。

背景信息

为有效保证您网站的通信安全,WAF对已接入的HTTPS域名会指定默认的TLS配置,对不在指定范围内的TLS协议版本和加密套件的访问流量进行拦截。

WAF目前已支持对TLS加密套件自定义,有效避免因网站使用的加密套件和WAF默认配置的加密套件不匹配,导致访问失败的问题。您可以根据网站的实际情况,为已接入的域名修改TLS协议的版本和加密套件。

注意 如果网站使用的是HTTP协议传输数据,则无需配置TLS,您可以直接跳过本文。

支持的TLS配置说明

TLS协议版本 加密套件
WAF支持以下TLS协议版本:
  • TLS 1.0及以上(包括1.0、1.1、1.2)
  • TLS 1.1及以上(包括1.1、1.2)
  • TLS 1.2及以上(仅包括1.2)
说明 支持同时开启TLS 1.3。
WAF支持以下加密套件类型:
  • 强加密套件:
    • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
    • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
    • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
    • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
    • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
    • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
    • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  • 弱加密套件:
    • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
    • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
    • TLS_RSA_WITH_AES_128_GCM_SHA256
    • TLS_RSA_WITH_AES_256_GCM_SHA384
    • TLS_RSA_WITH_AES_128_CBC_SHA256
    • TLS_RSA_WITH_AES_256_CBC_SHA256
    • TLS_RSA_WITH_AES_128_CBC_SHA
    • TLS_RSA_WITH_AES_256_CBC_SHA
    • SSL_RSA_WITH_3DES_EDE_CBC_SHA

配置TLS

  1. 登录Web应用防火墙控制台
  2. 在左侧导航栏,选择资产中心 > 网站接入
  3. 网站接入页面,定位到需要配置TLS的域名,单击操作列的TLS配置
    说明 仅使用了HTTPS协议的网站域名需要配置TLS。如果网站域名使用的是HTTP协议或者使用HTTPS协议但是未上传HTTPS证书,此处您将不会看到TLS配置按钮。
  4. TLS安全策略配置页面,对TLS协议版本和加密套件进行自定义配置。
    配置项 说明
    域名 需要自定义配置TLS的网站域名。此项已自动填写,无需您手动设置。
    TLS协议版本 选择网站使用的TLS版本。可选项:
    • 支持TLS 1.0及以上版本,兼容性最高,安全性较低:选择该项表示对TLS 1.0及以上所有版本生效。
    • 支持TLS 1.1及以上版本,兼容性较好,安全性较好:选择该项表示对TLS 1.1及以上所有版本生效,使用TLS 1.0将无法访问该网站。
    • 支持TLS 1.2及以上版本,兼容性较好,安全性最高:选择该项表示对TLS 1.2及以上所有版本生效,使用TLS 1.0和1.1将无法访问该网站。
    开启TLS 1.3 支持同时开启TLS 1.3。
    加密套件 选择您需要使用的加密套件类型。可选项:
    • 全部加密套件,兼容性最高,安全性较低,支持以下强加密套件和弱加密套件:
      • 强加密套件:
        • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
        • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
        • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
        • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
        • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
        • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
        • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
        • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
        • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
        • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
      • 弱加密套件:
        • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
        • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
        • TLS_RSA_WITH_AES_128_GCM_SHA256
        • TLS_RSA_WITH_AES_256_GCM_SHA384
        • TLS_RSA_WITH_AES_128_CBC_SHA256
        • TLS_RSA_WITH_AES_256_CBC_SHA256
        • TLS_RSA_WITH_AES_128_CBC_SHA
        • TLS_RSA_WITH_AES_256_CBC_SHA
        • SSL_RSA_WITH_3DES_EDE_CBC_SHA
    • 协议版本的自定义加密套件,请谨慎选择,避免影响业务
  5. 单击保存,配置即可生效。
    WAF会对使用了不在指定范围内的TLS协议版本和加密套件的访问流量进行拦截。