凯发k8国际娱乐官网入口-k8凯发> web应用防火墙 waf> > > 通过配置tls最低版本和加密套件提升客户端访问域名的通道安全
更新时间:2023-12-26 gmt 08:00

通过配置tls最低版本和加密套件提升客户端访问域名的通道安全-凯发k8国际娱乐官网入口

https协议是由tls(transport layer security,传输层安全性协议) http协议构建的可进行加密传输、身份认证的网络协议。当域名接入waf时,如果客户端采用https协议请求访问服务器,即防护域名的“对外协议”配置为“https”时,您可以通过为域名配置最低tls版本和加密套件来确保网站安全,详细说明如下:

  • 最低tls版本

    最低tls版本是客户端通过tls访问网站时,被允许访问网站的最低tls版本。配置最低tls版本后,只有满足最低tls版本的请求,才能正常访问网站,可以满足行业网站的安全需求。

    • 截止目前,tls已发布了三个版本(tls v1.0、tls v1.1、tls v1.2),tls v1.0和tls v1.1版本由于发布时间久远,某些加密算法(如sha1、rc4算法)很容易被黑客攻击,且在性能上,tls v1.0和tls v1.1已经无法满足呈几何级增长的数据传输加密,存在安全隐患。同时,为了保障通信协议的安全,满足支付卡行业数据安全标准(pci dss),支付卡行业安全标准委员会(pci ssc)规定,tls v1.0安全通信协议于2018年6月30日不再生效。火狐、safari、chrome、edge等主流浏览器厂商也声明将于2020年全面停止支持tls v1.0和tls v1.1。
    • 您可以通过,检测网站支持的tls版本。
  • 加密套件

    加密套件是多种加密算法的集合。配置安全性更高的加密套件,可以保障网站的保密性和数据完整性。

推荐配置的最低tls版本说明

waf默认配置的最低tls版本为“tls v1.0”,为了确保网站安全,建议您根据业务实际需求进行配置,推荐配置的最低tls版本如表1所示。

表1 推荐配置的最低tls版本说明

场景

最低tls版本(推荐)

防护效果

网站安全性能要求很高(例如,银行金融、证券、电子商务等有重要商业信息和重要数据的行业)

tls v1.2

waf将自动拦截tls v1.0和tls v1.1协议的访问请求。

网站安全性能要求一般(例如,中小企业门户网站)

tls v1.1

waf将自动拦截tls1.0协议的访问请求。

客户端app无安全性要求,可以正常访问网站

tls v1.0

所有的tls协议都可以访问网站。

推荐配置的加密套件说明

waf默认配置的加密套件为“加密套件1”,可以满足浏览器兼容性和安全性,各加密套件相关说明如表2所示。

加密套件配置值中,带“!”的表示不支持。例如,!md5表示不支持md5算法。

表2 加密套件说明

加密套件名称

加密套件配置值

说明

默认加密套件
  • ecdhe-rsa-aes256-sha384
  • aes256-sha256
  • rc4
  • high
  • !md5
  • !anull
  • !enull
  • !null
  • !dh
  • !edh
  • !aesgcm
  • 兼容性:较好,支持的客户端较为广泛
  • 安全性:一般

加密套件1
  • ecdhe-ecdsa-aes256-gcm-sha384
  • high
  • !medium
  • !low
  • !anull
  • !enull
  • !des
  • !md5
  • !psk
  • !rc4
  • !krsa
  • !srp
  • !3des
  • !dss
  • !exp
  • !camellia
  • @strength

推荐配置。

  • 兼容性:较好,支持的客户端较为广泛
  • 安全性:较高

加密套件2
  • eecdh aesgcm
  • edh aesgcm
  • 兼容性:一般,严格符合pci dss的fs要求,较低版本浏览器可能无法访问。
  • 安全性:高

加密套件3
  • ecdhe-rsa-aes128-gcm-sha256
  • ecdhe-rsa-aes256-gcm-sha384
  • ecdhe-rsa-aes256-sha384
  • rc4
  • high
  • !md5
  • !anull
  • !enull
  • !null
  • !dh
  • !edh
  • 兼容性:一般,较低版本浏览器可能无法访问。
  • 安全性:高,支持ecdhe、dhe-gcm、rsa-aes-gcm多种算法。

加密套件4
  • ecdhe-rsa-aes256-gcm-sha384
  • ecdhe-rsa-aes128-gcm-sha256
  • ecdhe-rsa-aes256-sha384
  • aes256-sha256
  • rc4
  • high
  • !md5
  • !anull
  • !enull
  • !null
  • !edh
  • 兼容性:较好,支持的客户端较为广泛
  • 安全性:一般,新增支持gcm算法。

加密套件5
  • aes128-sha:aes256-sha
  • aes128-sha256:aes256-sha256
  • high
  • !medium
  • !low
  • !anull
  • !enull
  • !export
  • !des
  • !md5
  • !psk
  • !rc4
  • !dhe
  • @strength

仅支持rsa-aes-cbc算法。

加密套件6
  • ecdhe-ecdsa-aes256-gcm-sha384
  • ecdhe-rsa-aes256-gcm-sha384
  • ecdhe-ecdsa-aes128-gcm-sha256
  • ecdhe-rsa-aes128-gcm-sha256
  • ecdhe-ecdsa-aes256-sha384
  • ecdhe-rsa-aes256-sha384
  • ecdhe-ecdsa-aes128-sha256
  • ecdhe-rsa-aes128-sha256
  • 兼容性:一般
  • 安全性:较好

waf提供的加密套件对于高版本的浏览器及客户端都可以兼容,不能兼容部分老版本的浏览器。tls版本不同,加密套件的浏览器或客户端兼容情况也不同。以tls v1.0协议为例,加密套件的浏览器及客户端兼容性说明如表3所示。

建议您以实际客户端环境测试的兼容情况为准,避免影响现网业务。

表3 加密套件不兼容的浏览器/客户端参考说明(tls v1.0)

浏览器/客户端

默认加密套件

加密套件1

加密套件2

加密套件3

加密套件4

google chrome 63 /macos high sierra 10.13.2

×

×

google chrome 49/ windows xp sp3

×

×

×

×

×

internet explorer

6/windows xp

×

×

×

×

×

internet explorer

8/windows xp

×

×

×

×

×

safari 6/ios 6.0.1

×

safari 7/ios 7.1

×

safari 7/os x 10.9

×

safari 8/ios 8.4

×

safari 8/os x 10.10

×

internet explorer

7/windows vista

×

internet explorer

8~10/windows 7

×

internet explorer

10/windows phone 8.0

×

java 7u25

×

openssl 0.9.8y

×

×

×

×

×

safari 5.1.9/os x 10.6.8

×

safari 6.0.4/os x 10.8.4

×

配置tls最低版本和加密套件

以下介绍如何配置tls最低版本为“tls v1.2”,加密套件为“加密套件1”,以及如何验证配置效果。

  2. 单击管理控制台左上角的,选择区域或项目。
  3. 单击页面左上方的,选择安全与合规 > web应用防火墙 waf
  4. 在左侧导航树中,选择“网站设置”,进入“网站设置”页面。
  5. 在目标网站所在行的“域名”列中,单击目标网站,进入网站基本信息页面。
  6. “tls配置”所在行,单击
    图1 修改tls配置

    waf支持一键开启pci dss和pci 3ds合规认证功能,开启合规认证后,可以满足pci dss和pci 3ds合规认证要求。

    • pci dss
      • 开启pci dss合规认证后,不能修改tls最低版本和加密套件,且最低tls版本将设置为“tls v1.2”,加密套件设置为eecdh aesgcm:edh aesgcm。
      • 开启pci dss合规认证后,如果您需要修改tls最低版本和加密套件,请关闭该认证。
    • pci 3ds
      • 开启pci 3ds合规认证后,不能修改tls最低版本,且最低tls版本将设置为“tls v1.2”
      • 开启pci 3ds合规认证后,您将不能关闭该认证,请根据业务实际需求进行操作。
  7. 在弹出的“tls配置”对话框中,选择最低tls版本“tls v1.2”“加密套件1”
    图2 “tls配置”对话框
  8. 单击“确认”,tls配置完成。

效果验证

假定“最低tls版本”配置为“tls v1.2”,验证tls v1.2协议可以正常访问网站,验证tls v1.1及以下协议不能正常访问网站。

您可以在本地通过命令行方式,验证tls是否配置成功。在验证前,请确保您本地已安装。

  1. 复制防护域名的cname值,用于获取waf的回源ip。
    2. 单击管理控制台左上角的,选择区域或项目。
    3. 单击页面左上方的,选择安全与合规 > web应用防火墙 waf
    4. 在左侧导航树中,选择“网站设置”,进入“网站设置”页面。
    5. 在目标网站所在行的“域名”列中,单击目标网站,进入域名基本信息页面。
    6. “cname”信息行,单击,复制“cname”值。
      图3 复制cname
  2. 获取waf的回源ip。
    • 云模式

      在windows操作系统的命令行窗口,执行以下命令,获取waf的回源ip。

      ping cname值

      在界面回显信息中获取waf回源ip,如图4所示。
      图4 ping cname
    • 独享模式
      1. 在左侧导航树中,选择系统管理 > 独享引擎,进入独享引擎实例列表页面。
      2. 在独享引擎列表的“ip地址”栏,获取所有创建的独享引擎对应的子网ip地址,即独享引擎实例对应的回源ip。
  3. 执行以下命令,验证“tls v1.2”协议可以访问目标网站。

    openssl s_client -connect waf回源ip -servername "防护域名" -tls1_2

    界面返回证书相关信息,如图5所示,说明“tls v1.2”协议可以访问目标网站。
    图5 验证tls v1.2
  4. 执行以下命令,验证“tls v1.1”协议不能访问目标网站。

    openssl s_client -connect waf回源ip -servername "防护域名" -tls1_1

    界面未返回证书相关信息,如图6所示,说明waf拦截了“tls v1.1”的访问。
    图6 验证tls v1.1
父主题:
分享:
网站地图