全部產品
Search
文件中心

Anti-DDoS:自訂TLS安全性原則

更新時間:Jun 30, 2024

DDoS高防支援TLS安全性原則自訂功能,您可以根據實際業務需要,為已接入DDoS高防防護的網站業務設定合適的TLS協議版本、密碼編譯演算法套件以及國密相關配置。本文介紹如何自訂TLS安全性原則。

預設支援的TLS協議版本

DDoS高防(中國內地)支援上傳國際標準認證和國密標準認證,DDoS高防(非中國內地)僅支援上傳國際標準認證。上傳認證後接入執行個體防護的網站業務預設支援的TLS協議版本如下:

  • DDoS高防(中國內地):國際標準認證預設支援TLS 1.0、TLS 1.1和TLS 1.2版本,國密標準認證預設支援NTLS 1.1版本。

  • DDoS高防(非中國內地):國際標準認證預設支援TLS 1.1和TLS 1.2版本。

支援設定的TLS協議版本

如果預設配置不能滿足您的業務需求,您可以手動修改TLS協議版本及對應的加密套件,DDoS高防支援設定的TLS協議版本如下表所示。關於TLS版本對應的加密套件,請參見操作步驟

DDoS高防(中國內地)

功能套餐版本

國際標準認證

國密標準認證

標準功能

  • 支援TLS 1.0及以上版本(包含TLS 1.0、TLS 1.1和TLS 1.2)

  • 支援TLS 1.2及以上版本(包含TLS 1.2)

說明

如果您需要使用TLS 1.3版本或自訂加密套件,請將功能套餐升級至增強功能。具體操作,請參見升級執行個體

暫不支援修改TLS協議版本及加密套件。

增強功能

  • 支援TLS 1.0及以上版本(包含TLS 1.0、TLS 1.1和TLS 1.2)

  • 支援TLS 1.1及以上版本(包含TLS 1.1和TLS 1.2)

  • 支援TLS 1.2及以上版本(包含TLS 1.2)

說明

如果您需要使用TLS 1.3版本,需要單獨設定開啟支援TLS1.3開關。具體操作,請參見操作步驟

DDoS高防(非中國內地)

功能套餐版本

國際標準認證

標準功能

暫不支援自訂TLS安全性原則。

請將功能套餐升級至增強功能,然後再自訂TLS安全性原則。具體操作,請參見升級執行個體

增強功能

  • 支援TLS 1.0及以上版本(包含TLS 1.0、TLS 1.1和TLS 1.2)

  • 支援TLS 1.1及以上版本(包含TLS 1.1和TLS 1.2)

  • 支援TLS 1.2及以上版本(包含TLS 1.2)

說明

如果您需要使用TLS 1.3版本,需要單獨設定開啟支援TLS1.3開關。具體操作,請參見操作步驟

使用情境舉例

例如,您購買了DDoS高防(中國內地)增強功能執行個體,如果您的業務需要通過PCI DSS 3.2認證,希望禁用TLS 1.0協議,您可以在TLS安全性原則配置中修改HTTPS認證TLS版本支援TLS1.1及以上版本,相容性較好,安全性較好。而您的另一個業務的訪問終端需要支援TLS 1.3協議,您可以在TLS安全性原則配置中開啟開啟支援TLS1.3開關。

前提條件

  • 已添加網站配置,且網站配置的協議類型包含HTTPS。具體操作,請參見添加網站配置

  • 已根據網站業務的需要上傳認證。具體操作,請參見上傳HTTPS認證

操作步驟

  1. 登入DDoS高防控制台

  2. 在頂部功能表列左上方處,選擇地區。

    • DDoS高防(中國內地):選擇中國內地地區。

    • DDoS高防(非中國內地):選擇非中國內地地區。

  3. 在左側導覽列,選擇接入管理 > 網域名稱接入

  4. 如果您的執行個體是DDoS高防(中國內地)執行個體,按照以下操作配置TLS安全性原則。

    1. 定位到要操作的網域名稱,單擊認證狀態列下的TLS安全性原則

    2. TLS安全性原則配置對話方塊,配置相關資訊後單擊確定

      配置項

      說明

      HTTPS認證TLS版本

      選擇國際標準HTTPS認證支援的TLS協議版本。可選項:

      • 標準功能:

        • 支援TLS1.0及以上版本,相容性最好,安全性較低(預設):支援TLS 1.0、TLS 1.1和TLS 1.2。

        • 支援TLS1.2及以上版本,相容性較好,安全性很高:支援TLS 1.2。

      • 增強功能:

        • 支援TLS1.0及以上版本,相容性最好,安全性較低(預設):支援TLS 1.0、TLS 1.1和TLS 1.2。

        • 支援TLS1.1及以上版本,相容性較好,安全性較好:支援TLS 1.1和TLS 1.2。

        • 支援TLS1.2及以上版本,相容性較好,安全性很高:支援TLS 1.2。

        您也可以根據需要選擇開啟支援TLS1.3

      HTTPS認證加密套件

      選擇國際標準HTTPS認證支援的加密套件。標準功能和增強功能具體可選哪些加密套件請參見控制台,此處羅列兩個功能套餐中所有的可選項:

      說明

      您可以將游標放置在某個加密套件選項上的問號表徵圖,查看該選項包含的加密套件。

      • 全部加密套件,安全性較低,相容性較高(預設)

        該選項包含以下加密套件:

        • ECDHE-ECDSA-AES128-GCM-SHA256

        • ECDHE-ECDSA-AES256-GCM-SHA384

        • ECDHE-ECDSA-AES128-SHA256

        • ECDHE-ECDSA-AES256-SHA384

        • ECDHE-RSA-AES128-GCM-SHA256

        • ECDHE-RSA-AES256-GCM-SHA384

        • ECDHE-RSA-AES128-SHA256

        • ECDHE-RSA-AES256-SHA384

        • AES128-GCM-SHA256

        • AES256-GCM-SHA384

        • AES128-SHA256

        • AES256-SHA256

        • ECDHE-ECDSA-AES128-SHA

        • ECDHE-ECDSA-AES256-SHA

        • ECDHE-RSA-AES128-SHA

        • ECDHE-RSA-AES256-SHA

        • AES128-SHA

        • AES256-SHA

        • DES-CBC3-SHA

      • 增強加密套件,安全性很高,相容性很低

        該選項包含以下加密套件:

        • ECDHE-ECDSA-AES256-GCM-SHA384

        • ECDHE-ECDSA-AES128-SHA256

        • ECDHE-RSA-AES128-GCM-SHA256

        • ECDHE-RSA-AES256-GCM-SHA384

      • 強加密套件,安全性較高,相容性較低

        該選項包含以下加密套件:

        • ECDHE-ECDSA-AES128-GCM-SHA256

        • ECDHE-ECDSA-AES256-GCM-SHA384

        • ECDHE-ECDSA-AES128-SHA256

        • ECDHE-ECDSA-AES256-SHA384

        • ECDHE-RSA-AES128-GCM-SHA256

        • ECDHE-RSA-AES256-GCM-SHA384

        • ECDHE-RSA-AES128-SHA256

        • ECDHE-RSA-AES256-SHA384

        • ECDHE-ECDSA-AES128-SHA

        • ECDHE-ECDSA-AES256-SHA

      • 自訂加密套件

        選擇該選項後,您需要從全部加密套件中選擇一個或多個加密套件。

      開啟國密

      國密標準認證上傳成功後,才支援設定本開關,開關預設關閉。

      設定DDoS高防(中國內地)是否支援處理安裝國密標準認證的用戶端發來的請求。

      通過驗證,DDoS高防(中國內地)支援處理360瀏覽器和紅蓮花瀏覽器發來的國密請求。

      • 開啟:支援處理

      • 關閉:不支援處理

      關閉開啟國密開關前,需要先關閉僅支援國密用戶端訪問

      僅支援國密用戶端訪問

      設定DDoS高防(中國內地)是否僅支援處理安裝國密標準認證的用戶端發來的請求。國密標準認證上傳成功後,預設關閉。

      • 開啟:僅支援處理安裝國密標準認證的用戶端發來的請求。

      • 關閉:支援處理安裝國密標準認證的用戶端,以及安裝國際標準認證的用戶端發來的請求。

      開啟開啟國密開關,才支援開啟僅支援國密用戶端訪問

      國密HTTPS加密套件

      國密標準認證上傳成功後,預設支援啟用如下加密套件,暫不支援修改。

      • ECC-SM2-SM4-CBC-SM3

      • ECC-SM2-SM4-GCM-SM3

      • ECDHE-SM2-SM4-CBC-SM3

      • ECDHE-SM2-SM4-GCM-SM3

  5. 如果您的執行個體是DDoS高防(非中國內地)執行個體,按照以下操作配置TLS安全性原則。

    說明

    DDoS高防(非中國內地)僅增強功能支援自訂TLS安全性原則。

    1. 定位到要操作的網域名稱,單擊認證狀態列下的TLS安全性原則

    2. TLS安全性原則配置對話方塊,配置相關資訊後單擊確定

      配置項

      說明

      HTTPS認證TLS版本

      選擇國際標準HTTPS認證支援的TLS協議版本。可選項:

      • 支援TLS1.0及以上版本,相容性最好,安全性較低(預設):支援TLS 1.0、TLS 1.1和TLS 1.2。

      • 支援TLS1.1及以上版本,相容性較好,安全性較好:支援TLS 1.1和TLS 1.2。

      • 支援TLS1.2及以上版本,相容性較好,安全性很高:支援TLS 1.2。

      您也可以根據需要選擇開啟支援TLS1.3

      HTTPS認證加密套件

      選擇國際標準HTTPS認證支援的加密套件。可選項:

      說明

      您可以將游標放置在某個加密套件選項上的問號表徵圖,查看該選項包含的加密套件。

      • 全部加密套件,安全性較低,相容性較高(預設)

        該選項包含以下加密套件:

        • ECDHE-ECDSA-AES128-GCM-SHA256

        • ECDHE-ECDSA-AES256-GCM-SHA384

        • ECDHE-ECDSA-AES128-SHA256

        • ECDHE-ECDSA-AES256-SHA384

        • ECDHE-RSA-AES128-GCM-SHA256

        • ECDHE-RSA-AES256-GCM-SHA384

        • ECDHE-RSA-AES128-SHA256

        • ECDHE-RSA-AES256-SHA384

        • AES128-GCM-SHA256

        • AES256-GCM-SHA384

        • AES128-SHA256

        • AES256-SHA256

        • ECDHE-ECDSA-AES128-SHA

        • ECDHE-ECDSA-AES256-SHA

        • ECDHE-RSA-AES128-SHA

        • ECDHE-RSA-AES256-SHA

        • AES128-SHA

        • AES256-SHA

        • DES-CBC3-SHA

      • 強加密套件,安全性較高,相容性較低:只有在TLS版本支援TLS1.2及以上版本,相容性較好,安全性很高時,支援該選項。

        該選項包含以下加密套件:

        • ECDHE-ECDSA-AES128-GCM-SHA256

        • ECDHE-ECDSA-AES256-GCM-SHA384

        • ECDHE-ECDSA-AES128-SHA256

        • ECDHE-ECDSA-AES256-SHA384

        • ECDHE-RSA-AES128-GCM-SHA256

        • ECDHE-RSA-AES256-GCM-SHA384

        • ECDHE-RSA-AES128-SHA256

        • ECDHE-RSA-AES256-SHA384

        • ECDHE-ECDSA-AES128-SHA

        • ECDHE-ECDSA-AES256-SHA

      • 自訂加密套件

        選擇該選項後,您需要從全部加密套件中選擇一個或多個加密套件。

執行結果

為網站業務修改TLS安全性原則後,DDoS高防執行個體在處理網站網域名稱的請求流量時,會採用已配置的TLS協議版本、加密套件及國密相關配置。當請求不滿足條件時將被丟棄。