WEB应用防火墙 WAF-通过WAF提升客户端访问域名的通道安全:支持配置的加密套件说明

时间:2024-07-05 10:16:17

支持配置的加密套件说明

WAF默认配置的加密套件为“加密套件1”,可以满足浏览器兼容性和安全性,各加密套件相关说明如表3所示。

表3 加密套件说明

加密套件名称

支持的加密算法

不支持的加密算法

说明

默认加密套件

说明:

WAF默认给网站配置的是“加密套件1”,但是如果请求信息不携带sni信息,WAF就会选择缺省的“默认加密套件”

  • ECDHE-RSA-AES256-SHA384
  • AES256-SHA256
  • RC4
  • HIGH
  • MD5
  • aNULL
  • eNULL
  • NULL
  • DH
  • EDH
  • AESGCM
  • 兼容性:较好,支持的客户端较为广泛
  • 安全性:一般

加密套件1

  • ECDHE-ECDSA-AES256-GCM-SHA384
  • HIGH
  • MEDIUM
  • LOW
  • aNULL
  • eNULL
  • DES
  • MD5
  • PSK
  • RC4
  • kRSA
  • 3DES
  • DSS
  • EXP
  • CAMELLIA

推荐配置。

  • 兼容性:较好,支持的客户端较为广泛
  • 安全性:较高

加密套件2

  • EECDH+AESGCM
  • EDH+AESGCM

-

  • 兼容性:一般,严格符合PCI DSS的FS要求,较低版本浏览器可能无法访问。
  • 安全性:高

加密套件3

  • ECDHE-RSA-AES128-GCM-SHA256
  • ECDHE-RSA-AES256-GCM-SHA384
  • ECDHE-RSA-AES256-SHA384
  • RC4
  • HIGH
  • MD5
  • aNULL
  • eNULL
  • NULL
  • DH
  • EDH
  • 兼容性:一般,较低版本浏览器可能无法访问。
  • 安全性:高,支持ECDHE、DHE-GCM、RSA-AES-GCM多种算法。

加密套件4

  • ECDHE-RSA-AES256-GCM-SHA384
  • ECDHE-RSA-AES128-GCM-SHA256
  • ECDHE-RSA-AES256-SHA384
  • AES256-SHA256
  • RC4
  • HIGH
  • MD5
  • aNULL
  • eNULL
  • NULL
  • EDH
  • 兼容性:较好,支持的客户端较为广泛
  • 安全性:一般,新增支持GCM算法。

加密套件5

  • AES128-SHA:AES256-SHA
  • AES128-SHA256:AES256-SHA256
  • HIGH
  • MEDIUM
  • LOW
  • aNULL
  • eNULL
  • EXPORT
  • DES
  • MD5
  • PSK
  • RC4
  • DHE

仅支持RSA-AES-CBC算法。

加密套件6

  • ECDHE-ECDSA-AES256-GCM-SHA384
  • ECDHE-RSA-AES256-GCM-SHA384
  • ECDHE-ECDSA-AES128-GCM-SHA256
  • ECDHE-RSA-AES128-GCM-SHA256
  • ECDHE-ECDSA-AES256-SHA384
  • ECDHE-RSA-AES256-SHA384
  • ECDHE-ECDSA-AES128-SHA256
  • ECDHE-RSA-AES128-SHA256

-

  • 兼容性:一般
  • 安全性:较好

WAF提供的加密套件对于高版本的浏览器及客户端都可以兼容,不能兼容部分老版本的浏览器。TLS版本不同,加密套件的浏览器或客户端兼容情况也不同。以TLS v1.0协议为例,加密套件的浏览器及客户端兼容性说明如表4所示。

建议您以实际客户端环境测试的兼容情况为准,避免影响现网业务。

表4 加密套件不兼容的浏览器/客户端参考说明(TLS v1.0)

浏览器/客户端

默认加密套件

加密套件1

加密套件2

加密套件3

加密套件4

加密套件5

加密套件6

Google Chrome 63 /macOS High Sierra 10.13.2

×

×

Google Chrome 49/ Windows XP SP3

×

×

×

×

×

Internet Explorer

6/Windows XP

×

×

×

×

×

×

×

Internet Explorer

8/Windows XP

×

×

×

×

×

×

×

Safari 6/iOS 6.0.1

×

Safari 7/iOS 7.1

×

Safari 7/OS X 10.9

×

Safari 8/iOS 8.4

×

Safari 8/OS X 10.10

×

Internet Explorer

7/Windows Vista

×

×

Internet Explorer

8~10/Windows 7

×

×

Internet Explorer

10/Windows Phone 8.0

×

×

Java 7u25

×

×

OpenSSL 0.9.8y

×

×

×

×

×

×

×

Safari 5.1.9/OS X 10.6.8

×

×

Safari 6.0.4/OS X 10.8.4

×

×

support.huaweicloud.com/bestpractice-waf/waf_06_0012.html