WEB应用防火墙 WAF-配置PCI DSS/3DS合规与TLS:应用场景
下载WEB应用防火墙 WAF用户手册完整版
应用场景
WAF默认配置的最低TLS版本为“TLS v1.0”,为了确保网站安全,建议您根据业务实际需求进行配置,支持配置的最低TLS版本如表1所示。
场景 |
最低TLS版本(推荐) |
防护效果 |
|---|---|---|
网站安全性能要求很高(例如,银行金融、证券、电子商务等有重要商业信息和重要数据的行业) |
TLS v1.2 |
WAF将自动拦截TLS v1.0和TLS v1.1协议的访问请求。 |
网站安全性能要求一般(例如,中小企业门户网站) |
TLS v1.1 |
WAF将自动拦截TLS1.0协议的访问请求。 |
客户端APP无安全性要求,可以正常访问网站 |
TLS v1.0 |
所有的TLS协议都可以访问网站。 |
WAF推荐配置的加密套件为“加密套件1”,可以满足浏览器兼容性和安全性,各加密套件相关说明如表2所示。
加密套件名称 |
支持的加密算法 |
不支持的加密算法 |
说明 |
|---|---|---|---|
默认加密套件 说明:
WAF默认给网站配置的是“加密套件1”,但是如果请求信息不携带sni信息,WAF就会选择缺省的“默认加密套件”。 |
|
|
|
加密套件1 |
|
|
推荐配置。
|
加密套件2 |
|
- |
|
加密套件3 |
|
|
|
加密套件4 |
|
|
|
加密套件5 |
|
|
仅支持RSA-AES-CBC算法。 |
加密套件6 |
|
- |
|
WAF提供的TLS加密套件对于高版本的浏览器及客户端都可以兼容,不能兼容部分老版本的浏览器,以TLS v1.0协议为例,加密套件不兼容的浏览器及客户端参考说明如表3所示。
建议您以实际客户端环境测试的兼容情况为准,避免影响现网业务。
浏览器/客户端 |
默认加密套件 |
加密套件1 |
加密套件2 |
加密套件3 |
加密套件4 |
|---|---|---|---|---|---|
Google Chrome 63 /macOS High Sierra 10.13.2 |
× |
√ |
√ |
√ |
× |
Google Chrome 49/ Windows XP SP3 |
× |
× |
× |
× |
× |
Internet Explorer 6/Windows XP |
× |
× |
× |
× |
× |
Internet Explorer 8/Windows XP |
× |
× |
× |
× |
× |
Safari 6/iOS 6.0.1 |
√ |
√ |
× |
√ |
√ |
Safari 7/iOS 7.1 |
√ |
√ |
× |
√ |
√ |
Safari 7/OS X 10.9 |
√ |
√ |
× |
√ |
√ |
Safari 8/iOS 8.4 |
√ |
√ |
× |
√ |
√ |
Safari 8/OS X 10.10 |
√ |
√ |
× |
√ |
√ |
Internet Explorer 7/Windows Vista |
√ |
√ |
× |
√ |
√ |
Internet Explorer 8~10/Windows 7 |
√ |
√ |
× |
√ |
√ |
Internet Explorer 10/Windows Phone 8.0 |
√ |
√ |
× |
√ |
√ |
Java 7u25 |
√ |
√ |
× |
√ |
√ |
OpenSSL 0.9.8y |
× |
× |
× |
× |
× |
Safari 5.1.9/OS X 10.6.8 |
√ |
√ |
× |
√ |
√ |
Safari 6.0.4/OS X 10.8.4 |
√ |
√ |
× |
√ |
√ |
