全部產品
Search
文件中心

Server Load Balancer:TLS安全性原則

更新時間:Jun 19, 2024

當您使用四層負載平衡時,如果安全性要求較高需要使用SSL加密,但在每個後端伺服器上配置SSL認證會降低業務處理效率,此時您可以使用NLB提供的大規模SSL卸載功能。通過在流量入口部署NLB並配置SSL認證,後端伺服器無需配置SSL,NLB即可通過TCPSSL監聽來接收加密流量,並將其解析為明文流量然後將流量分發至後端伺服器。這種方式可以提高後端業務的處理效率,簡化了後端伺服器和SSL的配置,同時仍然保證了通訊的安全性。針對TCPSSL情境,NLB預置了部分常用的TLS安全性原則以滿足加密需求,您可根據您的安全需求選擇合適的TLS安全性原則,或者配置自訂TLS安全性原則,從而保證您業務的安全性。

系統預設策略

系統預設策略有哪些

TLS安全性原則包含了可選的TLS協議版本和配套的密碼編譯演算法套件。TLS協議版本越高,加密通訊的安全性越高,但是相較於低版本TLS協議,高版本TLS協議對瀏覽器的相容性較差。

安全性原則

支援的TLS協議版本

支援的密碼編譯演算法套件

tls_cipher_policy_1_0

  • TLSv1.0

  • TLSv1.1

  • TLSv1.2

  • ECDHE-ECDSA-AES128-GCM-SHA256

  • ECDHE-ECDSA-AES256-GCM-SHA384

  • ECDHE-ECDSA-AES128-SHA256

  • ECDHE-ECDSA-AES256-SHA384

  • ECDHE-RSA-AES128-GCM-SHA256

  • ECDHE-RSA-AES256-GCM-SHA384

  • ECDHE-RSA-AES128-SHA256

  • ECDHE-RSA-AES256-SHA384

  • AES128-GCM-SHA256

  • AES256-GCM-SHA384

  • AES128-SHA256

  • AES256-SHA256

  • ECDHE-ECDSA-AES128-SHA

  • ECDHE-ECDSA-AES256-SHA

  • ECDHE-RSA-AES128-SHA

  • ECDHE-RSA-AES256-SHA

  • AES128-SHA

  • AES256-SHA

  • DES-CBC3-SHA

tls_cipher_policy_1_1

  • TLSv1.1

  • TLSv1.2

  • ECDHE-ECDSA-AES128-GCM-SHA256

  • ECDHE-ECDSA-AES256-GCM-SHA384

  • ECDHE-ECDSA-AES128-SHA256

  • ECDHE-ECDSA-AES256-SHA384

  • ECDHE-RSA-AES128-GCM-SHA256

  • ECDHE-RSA-AES256-GCM-SHA384

  • ECDHE-RSA-AES128-SHA256

  • ECDHE-RSA-AES256-SHA384

  • AES128-GCM-SHA256

  • AES256-GCM-SHA384

  • AES128-SHA256

  • AES256-SHA256

  • ECDHE-ECDSA-AES128-SHA

  • ECDHE-ECDSA-AES256-SHA

  • ECDHE-RSA-AES128-SHA

  • ECDHE-RSA-AES256-SHA

  • AES128-SHA

  • AES256-SHA

  • DES-CBC3-SHA

tls_cipher_policy_1_2

TLSv1.2

  • ECDHE-ECDSA-AES128-GCM-SHA256

  • ECDHE-ECDSA-AES256-GCM-SHA384

  • ECDHE-ECDSA-AES128-SHA256

  • ECDHE-ECDSA-AES256-SHA384

  • ECDHE-RSA-AES128-GCM-SHA256

  • ECDHE-RSA-AES256-GCM-SHA384

  • ECDHE-RSA-AES128-SHA256

  • ECDHE-RSA-AES256-SHA384

  • AES128-GCM-SHA256

  • AES256-GCM-SHA384

  • AES128-SHA256

  • AES256-SHA256

  • ECDHE-ECDSA-AES128-SHA

  • ECDHE-ECDSA-AES256-SHA

  • ECDHE-RSA-AES128-SHA

  • ECDHE-RSA-AES256-SHA

  • AES128-SHA

  • AES256-SHA

  • DES-CBC3-SHA

tls_cipher_policy_1_2_strict

TLSv1.2

  • ECDHE-ECDSA-AES128-GCM-SHA256

  • ECDHE-ECDSA-AES256-GCM-SHA384

  • ECDHE-ECDSA-AES128-SHA256

  • ECDHE-ECDSA-AES256-SHA384

  • ECDHE-RSA-AES128-GCM-SHA256

  • ECDHE-RSA-AES256-GCM-SHA384

  • ECDHE-RSA-AES128-SHA256

  • ECDHE-RSA-AES256-SHA384

  • ECDHE-ECDSA-AES128-SHA

  • ECDHE-ECDSA-AES256-SHA

  • ECDHE-RSA-AES128-SHA

  • ECDHE-RSA-AES256-SHA

tls_cipher_policy_1_2_strict_with_1_3

  • TLSv1.2

  • TLSv1.3

  • TLS_AES_128_GCM_SHA256

  • TLS_AES_256_GCM_SHA384

  • TLS_CHACHA20_POLY1305_SHA256

  • TLS_AES_128_CCM_SHA256

  • TLS_AES_128_CCM_8_SHA256

  • ECDHE-ECDSA-AES128-GCM-SHA256

  • ECDHE-ECDSA-AES256-GCM-SHA384

  • ECDHE-ECDSA-AES128-SHA256

  • ECDHE-ECDSA-AES256-SHA384

  • ECDHE-RSA-AES128-GCM-SHA256

  • ECDHE-RSA-AES256-GCM-SHA384

  • ECDHE-RSA-AES128-SHA256

  • ECDHE-RSA-AES256-SHA384

  • ECDHE-ECDSA-AES128-SHA

  • ECDHE-ECDSA-AES256-SHA

  • ECDHE-RSA-AES128-SHA

  • ECDHE-RSA-AES256-SHA

系統預設策略差異對比

下表中,✔表示支援,-表示不支援。

安全性原則

tls_cipher_policy_1_0

tls_cipher_policy_1_1

tls_cipher_policy_1_2

tls_cipher_policy_1_2_strict

tls_cipher_policy_1_2_strict_with_1_3

TLS

v1.0

-

-

-

-

v1.1

-

-

-

v1.2

v1.3

-

-

-

-

CIPHER

ECDHE-ECDSA-AES128-GCM-SHA256

ECDHE-ECDSA-AES256-GCM-SHA384

ECDHE-ECDSA-AES128-SHA256

ECDHE-ECDSA-AES256-SHA384

ECDHE-RSA-AES128-GCM-SHA256

ECDHE-RSA-AES256-GCM-SHA384

ECDHE-RSA-AES128-SHA256

ECDHE-RSA-AES256-SHA384

AES128-GCM-SHA256

-

-

AES256-GCM-SHA384

-

-

AES128-SHA256

-

-

AES256-SHA256

-

-

ECDHE-ECDSA-AES128-SHA

ECDHE-ECDSA-AES256-SHA

ECDHE-RSA-AES128-SHA

ECDHE-RSA-AES256-SHA

AES128-SHA

-

-

AES256-SHA

-

-

DES-CBC3-SHA

-

-

TLS_AES_128_GCM_SHA256

-

-

-

-

TLS_AES_256_GCM_SHA384

-

-

-

-

TLS_CHACHA20_POLY1305_SHA256

-

-

-

-

TLS_AES_128_CCM_SHA256

-

-

-

-

TLS_AES_128_CCM_8_SHA256

-

-

-

-

自訂策略

什麼時候使用自訂策略

NLB預置了部分常用的TLS安全性原則以滿足通用需求,但當您有特定的安全或合規需求時,例如需要僅支援特定版本的TLS協議、禁用某些密碼編譯演算法套件等,您可在NLB中自訂TLS安全性原則並配置到監聽中,從而進一步提升業務的安全性。

如何配置自訂策略

完成以下操作,建立自訂策略。

  1. 登入網路型負載平衡NLB控制台

  2. 在左側導覽列,選擇網路型負載均衡 NLB > TLS 安全性原則

  3. TLS安全性原則頁面,單擊自訂策略頁簽下的建立自訂策略

  4. 建立TLS安全性原則對話方塊中,完成以下參數配置(本文僅給出強相關配置參數資訊,其他參數可保持預設值或根據實際情況修改)。配置完成後單擊建立

    配置

    說明

    名稱

    輸入自訂策略名稱稱。

    選擇最低版本

    選擇最低TLS安全性原則版本:

    • TLS 1.0及以上

    • TLS 1.1及以上

    • TLS 1.2及以上

    啟用TLS 1.3版本

    選擇是否啟用TLS 1.3版本。

    重要

    如果啟用TLS 1.3版本,請至少選擇一個TLS 1.3的密碼編譯演算法套件,否則可能無法成功建立串連。

    選擇密碼編譯演算法套件

    選擇TLS版本支援的密碼編譯演算法套件。

  5. 自訂策略建立完成後,需要在建立TCPSSL監聽時的配置SSL認證步驟使用,具體細節可參考添加TCPSSL監聽

相關文檔