管理 Web 协议引擎
建议更改
PDF
您可以在集群上配置 Web 协议引擎,以控制是否允许 Web 访问以及可以使用哪些 SSL 版本。您还可以显示 Web 协议引擎的配置设置。
您可以通过以下方式在集群级别管理 Web 协议引擎:
-
您可以使用指定远程客户端是否可以使用HTTP或HTTPS访问Web服务内容
system services web modify命令-external参数。 -
您可以使用指定是否应使用SSLv3进行安全Web访问
security config modify命令-supported-protocol参数。
默认情况下, SSLv3 处于禁用状态。传输层安全 1.0 ( TLSv1.0 )已启用,可以根据需要将其禁用。 -
您可以为集群范围控制平面 Web 服务接口启用联邦信息处理标准( Federal Information Processing Standard , FIPS ) 140-2 合规模式。
默认情况下, FIPS 140-2 合规模式处于禁用状态。
-
* 禁用 FIPS 140-2 合规模式 *
您可以通过设置来启用FIPS 140-2合规模式is-fips-enabled参数设置为true。security config modify命令、然后使用security config show命令以确认联机状态。 -
* 启用 FIPS 140-2 合规模式 *
-
从ONTAP 9.11.1开始、TLSv1、TLSv1.1和SSLv3将被禁用、只有TSLv1.2和TSLv1.3保持启用状态。它会影响ONTAP 9内部和外部的其他系统和通信。如果启用FIPS 140-2合规模式、然后再禁用、TLSv1、TLSv1.1和SSLv3将保持禁用状态。TLSv1.2或TLSv1.3将保持启用状态、具体取决于先前的配置。
-
对于9.11.1之前的ONTAP 版本、TLSv1和SSLv3均已禁用、只有TLSv1.1和TLSv1.2保持启用状态。启用 FIPS 140-2 合规模式后, ONTAP 会阻止您同时启用 TLSv1 和 SSLv3 。如果启用 FIPS 140-2 合规模式,然后将其禁用, TLSv1 和 SSLv3 将保持禁用状态,但 TLSv1.2 或 TLSv1.1 和 TLSv1.2 均已启用,具体取决于先前的配置。
-
-
-
您可以使用显示集群范围安全性的配置
system security config show命令:
如果启用了防火墙,则必须将用于 Web 服务的逻辑接口( LIF )的防火墙策略设置为允许 HTTP 或 HTTPS 访问。
如果使用 HTTPS 访问 Web 服务,则还必须为提供 Web 服务的集群或 Storage Virtual Machine ( SVM )启用 SSL ,并且必须为集群或 SVM 提供数字证书。
在 MetroCluster 配置中,您对集群上的 Web 协议引擎所做的设置更改不会复制到配对集群上。