Skip to main content
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

管理 Web 协议引擎

贡献者

您可以在集群上配置 Web 协议引擎,以控制是否允许 Web 访问以及可以使用哪些 SSL 版本。您还可以显示 Web 协议引擎的配置设置。

您可以通过以下方式在集群级别管理 Web 协议引擎:

  • 您可以使用指定远程客户端是否可以使用HTTP或HTTPS访问Web服务内容 system services web modify 命令 -external 参数。

  • 您可以使用指定是否应使用SSLv3进行安全Web访问 security config modify 命令 -supported-protocol 参数。
    默认情况下, SSLv3 处于禁用状态。传输层安全 1.0 ( TLSv1.0 )已启用,可以根据需要将其禁用。

  • 您可以为集群范围控制平面 Web 服务接口启用联邦信息处理标准( Federal Information Processing Standard , FIPS ) 140-2 合规模式。

    备注

    默认情况下, FIPS 140-2 合规模式处于禁用状态。

    • * 禁用 FIPS 140-2 合规模式 *
      您可以通过设置来启用FIPS 140-2合规模式 is-fips-enabled 参数设置为 truesecurity config modify 命令、然后使用 security config show 命令以确认联机状态。

    • * 启用 FIPS 140-2 合规模式 *

      • 从ONTAP 9.11.1开始、TLSv1、TLSv1.1和SSLv3将被禁用、只有TSLv1.2和TSLv1.3保持启用状态。它会影响ONTAP 9内部和外部的其他系统和通信。如果启用FIPS 140-2合规模式、然后再禁用、TLSv1、TLSv1.1和SSLv3将保持禁用状态。TLSv.1或TLSv1.3将保持启用状态、具体取决于先前的配置。

      • 对于9.11.1之前的ONTAP 版本、TLSv1和SSLv3均已禁用、只有TLSv1.1和TLSv1.2保持启用状态。启用 FIPS 140-2 合规模式后, ONTAP 会阻止您同时启用 TLSv1 和 SSLv3 。如果启用 FIPS 140-2 合规模式,然后将其禁用, TLSv1 和 SSLv3 将保持禁用状态,但 TLSv1.2 或 TLSv1.1 和 TLSv1.2 均已启用,具体取决于先前的配置。

  • 您可以使用显示集群范围安全性的配置 system security config show 命令:

如果启用了防火墙,则必须将用于 Web 服务的逻辑接口( LIF )的防火墙策略设置为允许 HTTP 或 HTTPS 访问。

如果使用 HTTPS 访问 Web 服务,则还必须为提供 Web 服务的集群或 Storage Virtual Machine ( SVM )启用 SSL ,并且必须为集群或 SVM 提供数字证书。

在 MetroCluster 配置中,您对集群上的 Web 协议引擎所做的设置更改不会复制到配对集群上。