管理 Web 协议引擎

您可以在集群上配置 Web 协议引擎，以控制是否允许 Web 访问以及可以使用哪些 SSL 版本。还可以显示 Web 协议引擎的配置设置。

可通过以下方式管理集群级别的 Web 协议引擎：

• 使用带 -external 参数的 system services web modify 命令，可指定远程客户端是否可使用 HTTP 或 HTTPS 访问 Web 服务内容。

• 使用带 -supported-protocol 参数的 security config modify 命令，可指定 SSLv3 是否应用于安全 Web 访问。

  默认情况下禁用 SSLv3。从 ONTAP 9.8 开始，默认情况下，会禁用传输层安全性 1.0（TLSv1.0），TLSv1.1 和 TLSv1.2 仍处于启用状态。对于运行 ONTAP 9.7 或更低版本的系统，使用包含 -supported-protocol 参数的 security config modify 命令升级到 ONTAP 9.8 或更高版本之前需要禁用 TLSv1.0。

• 可对集群范围控制平面 Web 服务接口启用联邦信息处理标准（FIPS）140-2 合规性模式。

  注

  默认情况下，FIPS 140-2 合规性模式已禁用。

  FIPS 140-2 合规性模式已禁用时

  可启用 FIPS 140-2 合规性模式：将 security config modify 命令的 is-fips-enabled 参数设置为 true，然后使用 security config show 命令确认联机状态。

  FIPS 140-2 合规性模式已启用时

  TLSv1 和 SSLv3 均被禁用，只有 TLSv1.1 和 TLSv1.2 保持启用状态。启用 FIPS 140-2 合规性模式后，ONTAP 会阻止您启用 TLSv1 和 SSLv3。如果先启用 FIPS 140-2 合规性模式，然后再将其禁用，TLSv1 和 SSLv3 保持禁用状态，但 TLSv1.2 或 TLSv1.1 和 TLSv1.2 均处于启用状态，具体取决于之前的配置。

• 使用 system security config show 命令可显示集群范围安全性的配置。

如果启用了防火墙，则必须将用于 Web 服务的逻辑接口（LIF）防火墙策略设置为允许 HTTP 或 HTTPS 访问。

如果将 HTTPS 用于 Web 服务访问，还必须启用提供 Web 服务的集群或存储虚拟机（SVM）的 SSL，并且必须为集群或 SVM 提供数字证书。

在 MetroCluster 配置中，您在集群上对 Web 协议引擎进行的设置更改不会在伙伴集群上复制。