简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

管理 Web 协议引擎

提供者 netapp-barbe

您可以在集群上配置 Web 协议引擎,以控制是否允许 Web 访问以及可以使用哪些 SSL 版本。您还可以显示 Web 协议引擎的配置设置。

您可以通过以下方式在集群级别管理 Web 协议引擎:

  • 您可以使用带有 ` -external` 参数的 ssystem services web modify 命令指定远程客户端是否可以使用 HTTP 或 HTTPS 访问 Web 服务内容。

  • 您可以使用 ssecurityconfig modify 命令和 ` supported -protocol` 参数来指定是否应使用 SSLv3 进行安全 Web 访问。

    默认情况下, SSLv3 处于禁用状态。传输层安全 1.0 ( TLSv1.0 )已启用,可以根据需要将其禁用。

  • 您可以为集群范围控制平面 Web 服务接口启用联邦信息处理标准( Federal Information Processing Standard , FIPS ) 140-2 合规模式。

    注

    默认情况下, FIPS 140-2 合规模式处于禁用状态。

    • * 禁用 FIPS 140-2 合规模式 *

      您可以通过以下方式启用 FIPS 140-2 合规模式:将 security config modify 命令的 is-fips-enabled 参数设置为 true ,然后使用 security config show 命令确认联机状态。

    • * 启用 FIPS 140-2 合规模式 *

      TLSv1 和 SSLv3 均已禁用,只有 TLSv1.1 和 TLSv1.2 保持启用状态。启用 FIPS 140-2 合规模式后, ONTAP 会阻止您同时启用 TLSv1 和 SSLv3 。如果启用 FIPS 140-2 合规模式,然后将其禁用, TLSv1 和 SSLv3 将保持禁用状态,但 TLSv1.2 或 TLSv1.1 和 TLSv1.2 均已启用,具体取决于先前的配置。

  • 您可以使用 ssystem security config show 命令显示集群范围安全性的配置。

如果启用了防火墙,则必须将用于 Web 服务的逻辑接口( LIF )的防火墙策略设置为允许 HTTP 或 HTTPS 访问。

如果使用 HTTPS 访问 Web 服务,则还必须为提供 Web 服务的集群或 Storage Virtual Machine ( SVM )启用 SSL ,并且必须为集群或 SVM 提供数字证书。

在 MetroCluster 配置中,您对集群上的 Web 协议引擎所做的设置更改不会复制到配对集群上。