Anti-DDoS：自訂TLS安全性原則

支援設定的TLS協議版本

如果預設配置不能滿足您的業務需求，您可以手動修改TLS協議版本及對應的加密套件，DDoS高防支援設定的TLS協議版本如下表所示。關於TLS版本對應的加密套件，請參見操作步驟。

DDoS高防（中國內地）

DDoS高防（非中國內地）

使用情境舉例

例如，您購買了DDoS高防（中國內地）增強功能執行個體，如果您的業務需要通過PCI DSS 3.2認證，希望禁用TLS 1.0協議，您可以在TLS安全性原則配置中修改HTTPS認證TLS版本為支援TLS1.1及以上版本，相容性較好，安全性較好。而您的另一個業務的訪問終端需要支援TLS 1.3協議，您可以在TLS安全性原則配置中開啟開啟支援TLS1.3開關。

前提條件

• 已添加網站配置，且網站配置的協議類型包含HTTPS。具體操作，請參見添加網站配置。

• 已根據網站業務的需要上傳認證。具體操作，請參見上傳HTTPS認證。

操作步驟

1. 登入DDoS高防控制台。

2. 在頂部功能表列左上方處，選擇地區。

   • DDoS高防（中國內地）：選擇中國內地地區。

   • DDoS高防（非中國內地）：選擇非中國內地地區。

3. 在左側導覽列，選擇接入管理 > 網域名稱接入。

4. 如果您的執行個體是DDoS高防（中國內地）執行個體，按照以下操作配置TLS安全性原則。

   1. 定位到要操作的網域名稱，單擊認證狀態列下的TLS安全性原則。

   2. 在TLS安全性原則配置對話方塊，配置相關資訊後單擊確定。

      配置項	說明
      HTTPS認證TLS版本	選擇國際標準HTTPS認證支援的TLS協議版本。可選項： 標準功能： 支援TLS1.0及以上版本，相容性最好，安全性較低（預設）：支援TLS 1.0、TLS 1.1和TLS 1.2。 支援TLS1.2及以上版本，相容性較好，安全性很高：支援TLS 1.2。 增強功能： 支援TLS1.0及以上版本，相容性最好，安全性較低（預設）：支援TLS 1.0、TLS 1.1和TLS 1.2。 支援TLS1.1及以上版本，相容性較好，安全性較好：支援TLS 1.1和TLS 1.2。 支援TLS1.2及以上版本，相容性較好，安全性很高：支援TLS 1.2。 您也可以根據需要選擇開啟支援TLS1.3。
      HTTPS認證加密套件	選擇國際標準HTTPS認證支援的加密套件。標準功能和增強功能具體可選哪些加密套件請參見控制台，此處羅列兩個功能套餐中所有的可選項： 說明 您可以將游標放置在某個加密套件選項上的表徵圖，查看該選項包含的加密套件。 全部加密套件，安全性較低，相容性較高（預設） 該選項包含以下加密套件： ECDHE-ECDSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES128-SHA256 ECDHE-ECDSA-AES256-SHA384 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES256-SHA384 AES128-GCM-SHA256 AES256-GCM-SHA384 AES128-SHA256 AES256-SHA256 ECDHE-ECDSA-AES128-SHA ECDHE-ECDSA-AES256-SHA ECDHE-RSA-AES128-SHA ECDHE-RSA-AES256-SHA AES128-SHA AES256-SHA DES-CBC3-SHA 增強加密套件，安全性很高，相容性很低： 該選項包含以下加密套件： ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES128-SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES256-GCM-SHA384 強加密套件，安全性較高，相容性較低： 該選項包含以下加密套件： ECDHE-ECDSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES128-SHA256 ECDHE-ECDSA-AES256-SHA384 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES256-SHA384 ECDHE-ECDSA-AES128-SHA ECDHE-ECDSA-AES256-SHA 自訂加密套件 選擇該選項後，您需要從全部加密套件中選擇一個或多個加密套件。
      開啟國密	國密標準認證上傳成功後，才支援設定本開關，開關預設關閉。 設定DDoS高防（中國內地）是否支援處理安裝國密標準認證的用戶端發來的請求。 通過驗證，DDoS高防（中國內地）支援處理360瀏覽器和紅蓮花瀏覽器發來的國密請求。 開啟：支援處理 關閉：不支援處理 關閉開啟國密開關前，需要先關閉僅支援國密用戶端訪問。
      僅支援國密用戶端訪問	設定DDoS高防（中國內地）是否僅支援處理安裝國密標準認證的用戶端發來的請求。國密標準認證上傳成功後，預設關閉。 開啟：僅支援處理安裝國密標準認證的用戶端發來的請求。 關閉：支援處理安裝國密標準認證的用戶端，以及安裝國際標準認證的用戶端發來的請求。 開啟開啟國密開關，才支援開啟僅支援國密用戶端訪問。
      國密HTTPS加密套件	國密標準認證上傳成功後，預設支援啟用如下加密套件，暫不支援修改。 ECC-SM2-SM4-CBC-SM3 ECC-SM2-SM4-GCM-SM3 ECDHE-SM2-SM4-CBC-SM3 ECDHE-SM2-SM4-GCM-SM3

5. 如果您的執行個體是DDoS高防（非中國內地）執行個體，按照以下操作配置TLS安全性原則。

   說明

   DDoS高防（非中國內地）僅增強功能支援自訂TLS安全性原則。

   1. 定位到要操作的網域名稱，單擊認證狀態列下的TLS安全性原則。

   2. 在TLS安全性原則配置對話方塊，配置相關資訊後單擊確定。

      配置項	說明
      HTTPS認證TLS版本	選擇國際標準HTTPS認證支援的TLS協議版本。可選項： 支援TLS1.0及以上版本，相容性最好，安全性較低（預設）：支援TLS 1.0、TLS 1.1和TLS 1.2。 支援TLS1.1及以上版本，相容性較好，安全性較好：支援TLS 1.1和TLS 1.2。 支援TLS1.2及以上版本，相容性較好，安全性很高：支援TLS 1.2。 您也可以根據需要選擇開啟支援TLS1.3。
      HTTPS認證加密套件	選擇國際標準HTTPS認證支援的加密套件。可選項： 說明 您可以將游標放置在某個加密套件選項上的表徵圖，查看該選項包含的加密套件。 全部加密套件，安全性較低，相容性較高（預設） 該選項包含以下加密套件： ECDHE-ECDSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES128-SHA256 ECDHE-ECDSA-AES256-SHA384 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES256-SHA384 AES128-GCM-SHA256 AES256-GCM-SHA384 AES128-SHA256 AES256-SHA256 ECDHE-ECDSA-AES128-SHA ECDHE-ECDSA-AES256-SHA ECDHE-RSA-AES128-SHA ECDHE-RSA-AES256-SHA AES128-SHA AES256-SHA DES-CBC3-SHA 強加密套件，安全性較高，相容性較低：只有在TLS版本為支援TLS1.2及以上版本，相容性較好，安全性很高時，支援該選項。 該選項包含以下加密套件： ECDHE-ECDSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES128-SHA256 ECDHE-ECDSA-AES256-SHA384 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES256-SHA384 ECDHE-ECDSA-AES128-SHA ECDHE-ECDSA-AES256-SHA 自訂加密套件： 選擇該選項後，您需要從全部加密套件中選擇一個或多個加密套件。