Web应用防火墙 WAFWeb应用防火墙 WAF

计算
弹性云服务器 ECS
裸金属服务器 BMS
云手机 CPH
专属主机 DeH
弹性伸缩 AS
镜像服务 IMS
函数工作流 FunctionGraph
云耀云服务器 HECS
VR云渲游平台 CVR
特惠算力专区
存储
对象存储服务 OBS
云硬盘 EVS
云备份 CBR
弹性文件服务 SFS
存储容灾服务 SDRS
云硬盘备份 VBS
云服务器备份 CSBS
数据快递服务 DES
专属企业存储服务
云存储网关 CSG
专属分布式存储服务 DSS
CDN与智能边缘
内容分发网络 CDN
智能边缘云 IEC
智能边缘小站 IES
智能边缘平台 IEF
人工智能
AI开发平台ModelArts
华为HiLens
图引擎服务 GES
图像识别 Image
文字识别 OCR
自然语言处理 NLP
内容审核 Moderation
图像搜索 ImageSearch
医疗智能体 EIHealth
园区智能体 CampusGo
企业级AI应用开发专业套件 ModelArts Pro
人脸识别服务 FRS
对话机器人服务 CBS
视频分析服务 VAS
语音交互服务 SIS
知识图谱 KG
人证核身服务 IVS
IoT物联网
设备接入 IoTDA
设备管理 IoTDM(联通用户专用)
全球SIM联接 GSL
IoT数据分析 IoTA
路网数字化服务 DRIS
IoT边缘 IoTEdge
设备发放 IoTDP
IoT行业生态工作台
开发与运维
软件开发平台 DevCloud
项目管理 ProjectMan
代码托管 CodeHub
流水线 CloudPipeline
代码检查 CodeCheck
编译构建 CloudBuild
部署 CloudDeploy
云测 CloudTest
发布 CloudRelease
移动应用测试 MobileAPPTest
CloudIDE
Classroom
开源镜像站 Mirrors
应用魔方 AppCube
云性能测试服务 CPTS
应用管理与运维平台 ServiceStage
云应用引擎 CAE
视频
实时音视频 SparkRTC
视频直播 Live
视频点播 VOD
媒体处理 MPC
视频接入服务 VIS
管理与监管
统一身份认证服务 IAM
消息通知服务 SMN
云监控服务 CES
应用运维管理 AOM
应用性能管理 APM
云日志服务 LTS
云审计服务 CTS
标签管理服务 TMS
资源管理服务 RMS
应用身份管理服务 OneAccess
区块链
区块链服务 BCS
可信跨链服务 TCS
可信分布式身份服务
智能协作
IdeaHub
开发者工具
SDK开发指南
API签名指南
DevStar
HCloud CLI
Terraform
Ansible
云生态
云市场
合作伙伴中心
华为云培训中心
其他
管理控制台
消息中心
产品价格详情
系统权限
我的凭证
客户关联华为云合作伙伴须知
公共问题
宽限期保留期
奖励推广计划
活动
容器
云容器引擎 CCE
云容器实例 CCI
容器镜像服务 SWR
应用编排服务 AOS
多云容器平台 MCP
基因容器 GCS
容器洞察引擎 CIE
云原生服务中心 OSC
容器批量计算 BCE
容器交付流水线 ContainerOps
应用服务网格 ASM
网络
虚拟私有云 VPC
弹性公网IP EIP
弹性负载均衡 ELB
NAT网关 NAT
云专线 DC
虚拟专用网络 VPN
云连接 CC
VPC终端节点 VPCEP
数据库
云数据库 RDS
数据复制服务 DRS
文档数据库服务 DDS
分布式数据库中间件 DDM
云数据库 GaussDB (for openGauss)
云数据库 GaussDB(for MySQL)
云数据库 GaussDB NoSQL
数据管理服务 DAS
数据库和应用迁移 UGO
大数据
MapReduce服务 MRS
数据湖探索 DLI
表格存储服务 CloudTable
可信智能计算服务 TICS
推荐系统 RES
云搜索服务 CSS
数据可视化 DLV
数据湖治理中心 DGC
数据接入服务 DIS
数据仓库服务 GaussDB(DWS)
应用中间件
微服务引擎 CSE
分布式消息服务Kafka版
分布式消息服务RabbitMQ版
API网关 APIG
分布式缓存服务 DCS
分布式消息服务RocketMQ版
企业应用
域名注册服务 Domains
云解析服务 DNS
云速建站 CloudSite
网站备案
商标注册
华为云WeLink
会议
隐私保护通话 PrivateNumber
语音通话 VoiceCall
消息&短信 MSGSMS
云管理网络
SD-WAN 云服务
边缘数据中心管理 EDCM
云桌面 Workspace
应用与数据集成平台 ROMA Connect
ROMA资产中心 ROMAExchange
API全生命周期管理 ROMA API
安全与合规
安全技术与应用
DDoS防护 ADS
Web应用防火墙 WAF
云防火墙 CFW
应用信任中心 ATC
企业主机安全 HSS
容器安全服务 CGS
云堡垒机 CBH
数据库安全服务 DBSS
数据加密服务 DEW
数据安全中心 DSC
云证书管理服务 CCM
SSL证书管理 SCM
漏洞扫描服务 VSS
态势感知 SA
威胁检测服务 MTD
管理检测与响应 MDR
安全治理云图 Compass
认证测试中心 CTC
迁移
主机迁移服务 SMS
对象存储迁移服务 OMS
云数据迁移 CDM
专属云
专属计算集群 DCC
解决方案
高性能计算 HPC
SAP
混合云灾备
华为工业云平台 IMC
价格
成本优化最佳实践
专属云商业逻辑
用户服务
帐号中心
费用中心
成本中心
资源中心
企业管理
工单管理
客户运营能力
国际站常见问题
支持计划
专业服务
合作伙伴支持计划
文档首页> Web应用防火墙 WAF> 最佳实践> 通过配置TLS最低版本和加密套件提升客户端访问域名的通道安全
更新时间:2021-12-02 GMT+08:00
分享

通过配置TLS最低版本和加密套件提升客户端访问域名的通道安全

HTTPS协议是由TLS(Transport Layer Security,传输层安全性协议)+HTTP协议构建的可进行加密传输、身份认证的网络协议。当域名接入WAF时,如果客户端采用HTTPS协议请求访问服务器,即防护域名的“对外协议”配置为“HTTPS”时,您可以通过为域名配置最低TLS版本和加密套件来确保网站安全,详细说明如下:

  • 最低TLS版本

    最低TLS版本是客户端通过TLS访问网站时,被允许访问网站的最低TLS版本。配置最低TLS版本后,只有满足最低TLS版本的请求,才能正常访问网站,可以满足行业网站的安全需求。

    • 截止目前,TLS已发布了4个版本(TLS v1.0、TLS v1.1、TLS v1.2、TLS v1.3),TLS v1.0和TLS v1.1版本由于发布时间久远,某些加密算法(如SHA1、RC4算法)很容易被黑客攻击,且在性能上,TLS v1.0和TLS v1.1已经无法满足呈几何级增长的数据传输加密,存在安全隐患。同时,为了保障通信协议的安全,满足支付卡行业数据安全标准(PCI DSS),支付卡行业安全标准委员会(PCI SSC)规定,TLS v1.0安全通信协议于2018年6月30日不再生效。火狐、Safari、Chrome、Edge等主流浏览器厂商也声明将于2020年全面停止支持TLS v1.0和TLS v1.1。
    • 您可以通过查看网站TLS版本,检测网站支持的TLS版本。
  • 加密套件

    加密套件是多种加密算法的集合。配置安全性更高的加密套件,可以保障网站的保密性和数据完整性。

推荐配置的最低TLS版本说明

WAF默认配置的最低TLS版本为“TLS v1.0”,为了确保网站安全,建议您根据业务实际需求进行配置,推荐配置的最低TLS版本如表1所示。

表1 推荐配置的最低TLS版本说明

场景

最低TLS版本(推荐)

防护效果

网站安全性能要求很高(例如,银行金融、证券、电子商务等有重要商业信息和重要数据的行业)

TLS v1.2

WAF将自动拦截TLS v1.0和TLS v1.1协议的访问请求。

网站安全性能要求一般(例如,中小企业门户网站)

TLS v1.1

WAF将自动拦截TLS1.0协议的访问请求。

客户端APP无安全性要求,可以正常访问网站

TLS v1.0

所有的TLS协议都可以访问网站。

推荐配置的加密套件说明

WAF默认配置的加密套件为“加密套件1”,可以满足浏览器兼容性和安全性,各加密套件相关说明如表2所示。

表2 加密套件说明

加密套件名称

支持的加密算法

说明

默认加密套件

  • ECDHE-RSA-AES256-SHA384
  • AES256-SHA256
  • HIGH
  • !MD5
  • !aNULL
  • !eNULL
  • !NULL
  • !DH
  • !EDH
  • !AESGCM
  • 兼容性:较好,支持的客户端较为广泛
  • 安全性:一般

加密套件1

  • ECDHE-ECDSA-AES256-GCM-SHA384
  • HIGH
  • !MEDIUM
  • !LOW
  • !aNULL
  • !eNULL
  • !DES
  • !MD5
  • !PSK
  • !kRSA
  • !SRP
  • !3DES
  • !DSS
  • !EXP
  • !CAMELLIA
  • @STRENGTH

推荐配置。

  • 兼容性:较好,支持的客户端较为广泛
  • 安全性:较高

加密套件2

  • EECDH+AESGCM
  • EDH+AESGCM
  • 兼容性:一般,严格符合PCI DSS的FS要求,较低版本浏览器可能无法访问。
  • 安全性:高

加密套件3

  • ECDHE-RSA-AES128-GCM-SHA256
  • ECDHE-RSA-AES256-GCM-SHA384
  • ECDHE-RSA-AES256-SHA384
  • HIGH
  • !MD5
  • !aNULL
  • !eNULL
  • !NULL
  • !DH
  • !EDH
  • 兼容性:一般,较低版本浏览器可能无法访问。
  • 安全性:高,支持ECDHE、DHE-GCM、RSA-AES-GCM多种算法。

加密套件4

  • ECDHE-RSA-AES256-GCM-SHA384
  • ECDHE-RSA-AES128-GCM-SHA256
  • ECDHE-RSA-AES256-SHA384
  • AES256-SHA256
  • HIGH
  • !MD5
  • !aNULL
  • !eNULL
  • !NULL
  • !EDH
  • 兼容性:较好,支持的客户端较为广泛
  • 安全性:一般,新增支持GCM算法。

WAF提供的加密套件对于高版本的浏览器及客户端都可以兼容,不能兼容部分老版本的浏览器。TLS版本不同,加密套件的浏览器或客户端兼容情况也不同。以TLS v1.0协议为例,加密套件的浏览器及客户端兼容性说明如表3所示。

建议您以实际客户端环境测试的兼容情况为准,避免影响现网业务。

表3 加密套件不兼容的浏览器/客户端参考说明(TLS v1.0)

浏览器/客户端

默认加密套件

加密套件1

加密套件2

加密套件3

加密套件4

Google Chrome 63 /macOS High Sierra 10.13.2

×

×

Google Chrome 49/ Windows XP SP3

×

×

×

×

×

Internet Explorer

6/Windows XP

×

×

×

×

×

Internet Explorer

8/Windows XP

×

×

×

×

×

Safari 6/iOS 6.0.1

×

Safari 7/iOS 7.1

×

Safari 7/OS X 10.9

×

Safari 8/iOS 8.4

×

Safari 8/OS X 10.10

×

Internet Explorer

7/Windows Vista

×

Internet Explorer

8~10/Windows 7

×

Internet Explorer

10/Windows Phone 8.0

×

Java 7u25

×

OpenSSL 0.9.8y

×

×

×

×

×

Safari 5.1.9/OS X 10.6.8

×

Safari 6.0.4/OS X 10.8.4

×

配置TLS最低版本和加密套件

以下介绍如何配置TLS最低版本为“TLS v1.2”,加密套件为“加密套件1”,以及如何验证配置效果。

  1. 登录管理控制台
  2. 进入网站设置页面入口,如图1所示。

    图1 网站设置入口

  3. 在目标网站所在行的“防护网站”列中,单击目标网站,进入网站基本信息页面。
  4. “TLS配置”所在行,单击,如图2

    图2 修改TLS配置

    WAF支持一键开启PCI DSS和PCI 3DS合规认证功能,开启合规认证后,可以满足PCI DSS和PCI 3DS合规认证要求。

    • PCI DSS
      • 开启PCI DSS合规认证后,不能修改TLS最低版本和加密套件,且最低TLS版本将设置为“TLS v1.2”,加密套件设置为EECDH+AESGCM:EDH+AESGCM。
      • 开启PCI DSS合规认证后,如果您需要修改TLS最低版本和加密套件,请关闭该认证。
    • PCI 3DS
      • 开启PCI 3DS合规认证后,不能修改TLS最低版本,且最低TLS版本将设置为“TLS v1.2”
      • 开启PCI 3DS合规认证后,您将不能关闭该认证,请根据业务实际需求进行操作。

  5. 在弹出的“TLS配置”对话框中,选择最低TLS版本“TLS v1.2”“加密套件1”,如图3所示。

    图3 “TLS配置”对话框

  6. 单击“确定”,TLS配置完成。

效果验证

假定“最低TLS版本”配置为“TLS v1.2”,验证TLS v1.2协议可以正常访问网站,验证TLS v1.1及以下协议不能正常访问网站。

您可以在本地通过命令行方式,验证TLS是否配置成功。在验证前,请确保您本地已安装openssl

  1. 复制防护域名的CNAME值,用于获取WAF的回源IP。

    1. 登录管理控制台
    2. 进入网站配置页面入口,如图4所示。
      图4 网站设置入口
    3. 在左侧导航树中,选择“网站设置”,进入“网站设置”页面。
    4. “CNAME”信息行,单击,复制“CNAME”值,如图5所示。
      图5 复制“CNAME”

  2. 获取WAF的回源IP。

    • 云模式

      在Windows操作系统的命令行窗口,执行以下命令,获取WAF的回源IP。

      ping CNAME值

      在界面回显信息中获取WAF回源IP,如图6所示。
      图6 ping cname
    • 独享模式/ELB模式
      1. 登录管理控制台。
      2. 在页面左上角单击,选择区域,选择安全与合规 > Web应用防火墙,进入“安全总览”页面。
      3. 在左侧导航树中,选择系统管理 > 独享引擎,进入独享引擎实例列表页面。
      4. 在独享引擎列表的“子网IP地址”栏,获取所有创建的独享引擎对应的子网IP地址,即独享引擎实例对应的回源IP。
        图7 获取独享引擎实例对应的子网IP地址

  3. 执行以下命令,验证“TLS v1.2”协议可以访问目标网站。

    openssl s_client -connect WAF回源IP -servername "防护域名" -tls1_2

    界面返回证书相关信息,如图8所示,说明“TLS v1.2”协议可以访问目标网站。
    图8 验证TLS v1.2

  4. 执行以下命令,验证“TLS v1.1”协议不能访问目标网站。

    openssl s_client -connect WAF回源IP -servername "防护域名" -tls1_1

    界面未返回证书相关信息,如图9所示,说明WAF拦截了“TLS v1.1”的访问。
    图9 验证TLS v1.1

分享:

    相关文档

    相关产品

关闭导读