日本熟妇hd丰满老熟妇,中文字幕一区二区三区在线不卡 ,亚洲成片在线观看,免费女同在线一区二区

AI 助理
備案控制臺
文檔
輸入文檔關鍵字查找
首頁 DDoS防護 DDoS高防 操作指南 接入管理 域名接入 自定義TLS安全策略

自定義TLS安全策略

更新時間:
產品詳情
我的收藏

DDoS高防支持TLS安全策略自定義功能,您可以根據實際業務需要,為已接入DDoS高防防護的網站業務設置合適的TLS協議版本、加密算法套件以及國密相關配置。本文介紹如何自定義TLS安全策略。

默認支持的TLS協議版本

DDoS高防(中國內地)支持上傳國際標準證書和國密標準證書,DDoS高防(非中國內地)僅支持上傳國際標準證書。上傳證書后接入實例防護的網站業務默認支持的TLS協議版本如下:

  • DDoS高防(中國內地):國際標準證書默認支持TLS 1.0、TLS 1.1和TLS 1.2版本,國密標準證書默認支持NTLS 1.1版本。

  • DDoS高防(非中國內地):國際標準證書默認支持TLS 1.1和TLS 1.2版本。

支持設置的TLS協議版本

如果默認配置不能滿足您的業務需求,您可以手動修改TLS協議版本及對應的加密套件,DDoS高防支持設置的TLS協議版本如下表所示。關于TLS版本對應的加密套件,請參見操作步驟

DDoS高防(中國內地)

功能套餐版本

國際標準證書

國密標準證書

標準功能

  • 支持TLS 1.0及以上版本(包含TLS 1.0、TLS 1.1和TLS 1.2)

  • 支持TLS 1.2及以上版本(包含TLS 1.2)

說明

如果您需要使用TLS 1.3版本或自定義加密套件,請將功能套餐升級至增強功能。具體操作,請參見升級實例

暫不支持修改TLS協議版本及加密套件。

增強功能

  • 支持TLS 1.0及以上版本(包含TLS 1.0、TLS 1.1和TLS 1.2)

  • 支持TLS 1.1及以上版本(包含TLS 1.1和TLS 1.2)

  • 支持TLS 1.2及以上版本(包含TLS 1.2)

說明

如果您需要使用TLS 1.3版本,需要單獨設置開啟支持TLS1.3開關。具體操作,請參見操作步驟

DDoS高防(非中國內地)

功能套餐版本

國際標準證書

標準功能

暫不支持自定義TLS安全策略。

請將功能套餐升級至增強功能,然后再自定義TLS安全策略。具體操作,請參見升級實例

增強功能

  • 支持TLS 1.0及以上版本(包含TLS 1.0、TLS 1.1和TLS 1.2)

  • 支持TLS 1.1及以上版本(包含TLS 1.1和TLS 1.2)

  • 支持TLS 1.2及以上版本(包含TLS 1.2)

說明

如果您需要使用TLS 1.3版本,需要單獨設置開啟支持TLS1.3開關。具體操作,請參見操作步驟

使用場景舉例

例如,您購買了DDoS高防(中國內地)增強功能實例,如果您的業務需要通過PCI DSS 3.2認證,希望禁用TLS 1.0協議,您可以在TLS安全策略配置中修改HTTPS證書TLS版本支持TLS1.1及以上版本,兼容性較好,安全性較好。而您的另一個業務的訪問終端需要支持TLS 1.3協議,您可以在TLS安全策略配置中打開開啟支持TLS1.3開關。

前提條件

  • 已添加網站配置,且網站配置的協議類型包含HTTPS。具體操作,請參見添加網站配置

  • 已根據網站業務的需要上傳證書。具體操作,請參見上傳HTTPS證書

操作步驟

  1. 登錄DDoS高防控制臺

  2. 在頂部菜單欄左上角處,選擇地域。

    • DDoS高防(中國內地):選擇中國內地地域。

    • DDoS高防(非中國內地):選擇非中國內地地域。

  3. 在左側導航欄,選擇接入管理 > 域名接入

  4. 如果您的實例是DDoS高防(中國內地)實例,按照以下操作配置TLS安全策略。

    1. 定位到要操作的域名,單擊證書狀態列下的TLS安全策略

    2. TLS安全策略配置對話框,配置相關信息后單擊確定

      配置項

      說明

      HTTPS證書TLS版本

      選擇國際標準HTTPS證書支持的TLS協議版本。可選項:

      • 標準功能:

        • 支持TLS1.0及以上版本,兼容性最好,安全性較低(默認):支持TLS 1.0、TLS 1.1和TLS 1.2。

        • 支持TLS1.2及以上版本,兼容性較好,安全性很高:支持TLS 1.2。

      • 增強功能:

        • 支持TLS1.0及以上版本,兼容性最好,安全性較低(默認):支持TLS 1.0、TLS 1.1和TLS 1.2。

        • 支持TLS1.1及以上版本,兼容性較好,安全性較好:支持TLS 1.1和TLS 1.2。

        • 支持TLS1.2及以上版本,兼容性較好,安全性很高:支持TLS 1.2。

        您也可以根據需要選擇開啟支持TLS1.3

      HTTPS證書加密套件

      選擇國際標準HTTPS證書支持的加密套件。標準功能和增強功能具體可選哪些加密套件請參見控制臺,此處羅列兩個功能套餐中所有的可選項:

      說明

      您可以將光標放置在某個加密套件選項上的問號圖標,查看該選項包含的加密套件。

      • 全部加密套件,安全性較低,兼容性較高(默認)

        該選項包含以下加密套件:

        • ECDHE-ECDSA-AES128-GCM-SHA256

        • ECDHE-ECDSA-AES256-GCM-SHA384

        • ECDHE-ECDSA-AES128-SHA256

        • ECDHE-ECDSA-AES256-SHA384

        • ECDHE-RSA-AES128-GCM-SHA256

        • ECDHE-RSA-AES256-GCM-SHA384

        • ECDHE-RSA-AES128-SHA256

        • ECDHE-RSA-AES256-SHA384

        • AES128-GCM-SHA256

        • AES256-GCM-SHA384

        • AES128-SHA256

        • AES256-SHA256

        • ECDHE-ECDSA-AES128-SHA

        • ECDHE-ECDSA-AES256-SHA

        • ECDHE-RSA-AES128-SHA

        • ECDHE-RSA-AES256-SHA

        • AES128-SHA

        • AES256-SHA

        • DES-CBC3-SHA

      • 增強加密套件,安全性很高,兼容性很低

        該選項包含以下加密套件:

        • ECDHE-ECDSA-AES256-GCM-SHA384

        • ECDHE-ECDSA-AES128-SHA256

        • ECDHE-RSA-AES128-GCM-SHA256

        • ECDHE-RSA-AES256-GCM-SHA384

      • 強加密套件,安全性較高,兼容性較低

        該選項包含以下加密套件:

        • ECDHE-ECDSA-AES128-GCM-SHA256

        • ECDHE-ECDSA-AES256-GCM-SHA384

        • ECDHE-ECDSA-AES128-SHA256

        • ECDHE-ECDSA-AES256-SHA384

        • ECDHE-RSA-AES128-GCM-SHA256

        • ECDHE-RSA-AES256-GCM-SHA384

        • ECDHE-RSA-AES128-SHA256

        • ECDHE-RSA-AES256-SHA384

        • ECDHE-ECDSA-AES128-SHA

        • ECDHE-ECDSA-AES256-SHA

      • 自定義加密套件

        選擇該選項后,您需要從全部加密套件中選擇一個或多個加密套件。

      開啟國密

      國密標準證書上傳成功后,才支持設置本開關,開關默認關閉。

      設置DDoS高防(中國內地)是否支持處理安裝國密標準證書的客戶端發來的請求。

      通過驗證,DDoS高防(中國內地)支持處理360瀏覽器和紅蓮花瀏覽器發來的國密請求。

      • 開啟:支持處理

      • 關閉:不支持處理

      關閉開啟國密開關前,需要先關閉僅支持國密客戶端訪問

      僅支持國密客戶端訪問

      設置DDoS高防(中國內地)是否僅支持處理安裝國密標準證書的客戶端發來的請求。國密標準證書上傳成功后,默認關閉。

      • 開啟:僅支持處理安裝國密標準證書的客戶端發來的請求。

      • 關閉:支持處理安裝國密標準證書的客戶端,以及安裝國際標準證書的客戶端發來的請求。

      開啟開啟國密開關,才支持開啟僅支持國密客戶端訪問

      國密HTTPS加密套件

      國密標準證書上傳成功后,默認支持啟用如下加密套件,暫不支持修改。

      • ECC-SM2-SM4-CBC-SM3

      • ECC-SM2-SM4-GCM-SM3

      • ECDHE-SM2-SM4-CBC-SM3

      • ECDHE-SM2-SM4-GCM-SM3

  5. 如果您的實例是DDoS高防(非中國內地)實例,按照以下操作配置TLS安全策略。

    說明

    DDoS高防(非中國內地)僅增強功能支持自定義TLS安全策略。

    1. 定位到要操作的域名,單擊證書狀態列下的TLS安全策略

    2. TLS安全策略配置對話框,配置相關信息后單擊確定

      配置項

      說明

      HTTPS證書TLS版本

      選擇國際標準HTTPS證書支持的TLS協議版本。可選項:

      • 支持TLS1.0及以上版本,兼容性最好,安全性較低(默認):支持TLS 1.0、TLS 1.1和TLS 1.2。

      • 支持TLS1.1及以上版本,兼容性較好,安全性較好:支持TLS 1.1和TLS 1.2。

      • 支持TLS1.2及以上版本,兼容性較好,安全性很高:支持TLS 1.2。

      您也可以根據需要選擇開啟支持TLS1.3

      HTTPS證書加密套件

      選擇國際標準HTTPS證書支持的加密套件。可選項:

      說明

      您可以將光標放置在某個加密套件選項上的問號圖標,查看該選項包含的加密套件。

      • 全部加密套件,安全性較低,兼容性較高(默認)

        該選項包含以下加密套件:

        • ECDHE-ECDSA-AES128-GCM-SHA256

        • ECDHE-ECDSA-AES256-GCM-SHA384

        • ECDHE-ECDSA-AES128-SHA256

        • ECDHE-ECDSA-AES256-SHA384

        • ECDHE-RSA-AES128-GCM-SHA256

        • ECDHE-RSA-AES256-GCM-SHA384

        • ECDHE-RSA-AES128-SHA256

        • ECDHE-RSA-AES256-SHA384

        • AES128-GCM-SHA256

        • AES256-GCM-SHA384

        • AES128-SHA256

        • AES256-SHA256

        • ECDHE-ECDSA-AES128-SHA

        • ECDHE-ECDSA-AES256-SHA

        • ECDHE-RSA-AES128-SHA

        • ECDHE-RSA-AES256-SHA

        • AES128-SHA

        • AES256-SHA

        • DES-CBC3-SHA

      • 強加密套件,安全性較高,兼容性較低:只有在TLS版本支持TLS1.2及以上版本,兼容性較好,安全性很高時,支持該選項。

        該選項包含以下加密套件:

        • ECDHE-ECDSA-AES128-GCM-SHA256

        • ECDHE-ECDSA-AES256-GCM-SHA384

        • ECDHE-ECDSA-AES128-SHA256

        • ECDHE-ECDSA-AES256-SHA384

        • ECDHE-RSA-AES128-GCM-SHA256

        • ECDHE-RSA-AES256-GCM-SHA384

        • ECDHE-RSA-AES128-SHA256

        • ECDHE-RSA-AES256-SHA384

        • ECDHE-ECDSA-AES128-SHA

        • ECDHE-ECDSA-AES256-SHA

      • 自定義加密套件

        選擇該選項后,您需要從全部加密套件中選擇一個或多個加密套件。

執行結果

為網站業務修改TLS安全策略后,DDoS高防實例在處理網站域名的請求流量時,會采用已配置的TLS協議版本、加密套件及國密相關配置。當請求不滿足條件時將被丟棄。