DDoS 防护：自定义TLS安全策略

支持设置的TLS协议版本

如果默认配置不能满足您的业务需求，您可以手动修改TLS协议版本及对应的加密套件，DDoS高防支持设置的TLS协议版本如下表所示。关于TLS版本对应的加密套件，请参见操作步骤。

DDoS高防（中国内地）

DDoS高防（非中国内地）

使用场景举例

例如，您购买了DDoS高防（中国内地）增强功能实例，如果您的业务需要通过PCI DSS 3.2认证，希望禁用TLS 1.0协议，您可以在TLS安全策略配置中修改HTTPS证书TLS版本为支持TLS1.1及以上版本，兼容性较好，安全性较好。而您的另一个业务的访问终端需要支持TLS 1.3协议，您可以在TLS安全策略配置中打开开启支持TLS1.3开关。

前提条件

• 已添加网站配置，且网站配置的协议类型包含HTTPS。具体操作，请参见添加网站配置。

• 已根据网站业务的需要上传证书。具体操作，请参见上传HTTPS证书。

操作步骤

1. 登录DDoS高防控制台。

2. 在顶部菜单栏左上角处，选择地域。

   • DDoS高防（中国内地）：选择中国内地地域。

   • DDoS高防（非中国内地）：选择非中国内地地域。

3. 在左侧导航栏，选择接入管理 > 域名接入。

4. 如果您的实例是DDoS高防（中国内地）实例，按照以下操作配置TLS安全策略。

   1. 定位到要操作的域名，单击证书状态列下的TLS安全策略。

   2. 在TLS安全策略配置对话框，配置相关信息后单击确定。

      配置项	说明
      HTTPS证书TLS版本	选择国际标准HTTPS证书支持的TLS协议版本。可选项： 标准功能： 支持TLS1.0及以上版本，兼容性最好，安全性较低（默认）：支持TLS 1.0、TLS 1.1和TLS 1.2。 支持TLS1.2及以上版本，兼容性较好，安全性很高：支持TLS 1.2。 增强功能： 支持TLS1.0及以上版本，兼容性最好，安全性较低（默认）：支持TLS 1.0、TLS 1.1和TLS 1.2。 支持TLS1.1及以上版本，兼容性较好，安全性较好：支持TLS 1.1和TLS 1.2。 支持TLS1.2及以上版本，兼容性较好，安全性很高：支持TLS 1.2。 您也可以根据需要选择开启支持TLS1.3。
      HTTPS证书加密套件	选择国际标准HTTPS证书支持的加密套件。标准功能和增强功能具体可选哪些加密套件请参见控制台，此处罗列两个功能套餐中所有的可选项： 说明 您可以将光标放置在某个加密套件选项上的图标，查看该选项包含的加密套件。 全部加密套件，安全性较低，兼容性较高（默认） 该选项包含以下加密套件： ECDHE-ECDSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES128-SHA256 ECDHE-ECDSA-AES256-SHA384 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES256-SHA384 AES128-GCM-SHA256 AES256-GCM-SHA384 AES128-SHA256 AES256-SHA256 ECDHE-ECDSA-AES128-SHA ECDHE-ECDSA-AES256-SHA ECDHE-RSA-AES128-SHA ECDHE-RSA-AES256-SHA AES128-SHA AES256-SHA DES-CBC3-SHA 增强加密套件，安全性很高，兼容性很低： 该选项包含以下加密套件： ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES128-SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES256-GCM-SHA384 强加密套件，安全性较高，兼容性较低： 该选项包含以下加密套件： ECDHE-ECDSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES128-SHA256 ECDHE-ECDSA-AES256-SHA384 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES256-SHA384 ECDHE-ECDSA-AES128-SHA ECDHE-ECDSA-AES256-SHA 自定义加密套件 选择该选项后，您需要从全部加密套件中选择一个或多个加密套件。
      开启国密	国密标准证书上传成功后，才支持设置本开关，开关默认关闭。 设置DDoS高防（中国内地）是否支持处理安装国密标准证书的客户端发来的请求。 通过验证，DDoS高防（中国内地）支持处理360浏览器和红莲花浏览器发来的国密请求。 开启：支持处理 关闭：不支持处理 关闭开启国密开关前，需要先关闭仅支持国密客户端访问。
      仅支持国密客户端访问	设置DDoS高防（中国内地）是否仅支持处理安装国密标准证书的客户端发来的请求。国密标准证书上传成功后，默认关闭。 开启：仅支持处理安装国密标准证书的客户端发来的请求。 关闭：支持处理安装国密标准证书的客户端，以及安装国际标准证书的客户端发来的请求。 开启开启国密开关，才支持开启仅支持国密客户端访问。
      国密HTTPS加密套件	国密标准证书上传成功后，默认支持启用如下加密套件，暂不支持修改。 ECC-SM2-SM4-CBC-SM3 ECC-SM2-SM4-GCM-SM3 ECDHE-SM2-SM4-CBC-SM3 ECDHE-SM2-SM4-GCM-SM3

5. 如果您的实例是DDoS高防（非中国内地）实例，按照以下操作配置TLS安全策略。

   说明

   DDoS高防（非中国内地）仅增强功能支持自定义TLS安全策略。

   1. 定位到要操作的域名，单击证书状态列下的TLS安全策略。

   2. 在TLS安全策略配置对话框，配置相关信息后单击确定。

      配置项	说明
      HTTPS证书TLS版本	选择国际标准HTTPS证书支持的TLS协议版本。可选项： 支持TLS1.0及以上版本，兼容性最好，安全性较低（默认）：支持TLS 1.0、TLS 1.1和TLS 1.2。 支持TLS1.1及以上版本，兼容性较好，安全性较好：支持TLS 1.1和TLS 1.2。 支持TLS1.2及以上版本，兼容性较好，安全性很高：支持TLS 1.2。 您也可以根据需要选择开启支持TLS1.3。
      HTTPS证书加密套件	选择国际标准HTTPS证书支持的加密套件。可选项： 说明 您可以将光标放置在某个加密套件选项上的图标，查看该选项包含的加密套件。 全部加密套件，安全性较低，兼容性较高（默认） 该选项包含以下加密套件： ECDHE-ECDSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES128-SHA256 ECDHE-ECDSA-AES256-SHA384 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES256-SHA384 AES128-GCM-SHA256 AES256-GCM-SHA384 AES128-SHA256 AES256-SHA256 ECDHE-ECDSA-AES128-SHA ECDHE-ECDSA-AES256-SHA ECDHE-RSA-AES128-SHA ECDHE-RSA-AES256-SHA AES128-SHA AES256-SHA DES-CBC3-SHA 强加密套件，安全性较高，兼容性较低：只有在TLS版本为支持TLS1.2及以上版本，兼容性较好，安全性很高时，支持该选项。 该选项包含以下加密套件： ECDHE-ECDSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES128-SHA256 ECDHE-ECDSA-AES256-SHA384 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES256-SHA384 ECDHE-ECDSA-AES128-SHA ECDHE-ECDSA-AES256-SHA 自定义加密套件： 选择该选项后，您需要从全部加密套件中选择一个或多个加密套件。