當您使用四層負載平衡時,如果安全性要求較高需要使用SSL加密,但在每個後端伺服器上配置SSL認證會降低業務處理效率,此時您可以使用NLB提供的大規模SSL卸載功能。通過在流量入口部署NLB並配置SSL認證,後端伺服器無需配置SSL,NLB即可通過TCPSSL監聽來接收加密流量,並將其解析為明文流量然後將流量分發至後端伺服器。這種方式可以提高後端業務的處理效率,簡化了後端伺服器和SSL的配置,同時仍然保證了通訊的安全性。針對TCPSSL情境,NLB預置了部分常用的TLS安全性原則以滿足加密需求,您可根據您的安全需求選擇合適的TLS安全性原則,或者配置自訂TLS安全性原則,從而保證您業務的安全性。
系統預設策略
系統預設策略有哪些
TLS安全性原則包含了可選的TLS協議版本和配套的密碼編譯演算法套件。TLS協議版本越高,加密通訊的安全性越高,但是相較於低版本TLS協議,高版本TLS協議對瀏覽器的相容性較差。
安全性原則 | 支援的TLS協議版本 | 支援的密碼編譯演算法套件 |
tls_cipher_policy_1_0 |
|
|
tls_cipher_policy_1_1 |
|
|
tls_cipher_policy_1_2 | TLSv1.2 |
|
tls_cipher_policy_1_2_strict | TLSv1.2 |
|
tls_cipher_policy_1_2_strict_with_1_3 |
|
|
系統預設策略差異對比
下表中,✔表示支援,-表示不支援。
安全性原則 | tls_cipher_policy_1_0 | tls_cipher_policy_1_1 | tls_cipher_policy_1_2 | tls_cipher_policy_1_2_strict | tls_cipher_policy_1_2_strict_with_1_3 | |
TLS | v1.0 | ✔ | - | - | - | - |
v1.1 | ✔ | ✔ | - | - | - | |
v1.2 | ✔ | ✔ | ✔ | ✔ | ✔ | |
v1.3 | - | - | - | - | ✔ | |
CIPHER | ECDHE-ECDSA-AES128-GCM-SHA256 | ✔ | ✔ | ✔ | ✔ | ✔ |
ECDHE-ECDSA-AES256-GCM-SHA384 | ✔ | ✔ | ✔ | ✔ | ✔ | |
ECDHE-ECDSA-AES128-SHA256 | ✔ | ✔ | ✔ | ✔ | ✔ | |
ECDHE-ECDSA-AES256-SHA384 | ✔ | ✔ | ✔ | ✔ | ✔ | |
ECDHE-RSA-AES128-GCM-SHA256 | ✔ | ✔ | ✔ | ✔ | ✔ | |
ECDHE-RSA-AES256-GCM-SHA384 | ✔ | ✔ | ✔ | ✔ | ✔ | |
ECDHE-RSA-AES128-SHA256 | ✔ | ✔ | ✔ | ✔ | ✔ | |
ECDHE-RSA-AES256-SHA384 | ✔ | ✔ | ✔ | ✔ | ✔ | |
AES128-GCM-SHA256 | ✔ | ✔ | ✔ | - | - | |
AES256-GCM-SHA384 | ✔ | ✔ | ✔ | - | - | |
AES128-SHA256 | ✔ | ✔ | ✔ | - | - | |
AES256-SHA256 | ✔ | ✔ | ✔ | - | - | |
ECDHE-ECDSA-AES128-SHA | ✔ | ✔ | ✔ | ✔ | ✔ | |
ECDHE-ECDSA-AES256-SHA | ✔ | ✔ | ✔ | ✔ | ✔ | |
ECDHE-RSA-AES128-SHA | ✔ | ✔ | ✔ | ✔ | ✔ | |
ECDHE-RSA-AES256-SHA | ✔ | ✔ | ✔ | ✔ | ✔ | |
AES128-SHA | ✔ | ✔ | ✔ | - | - | |
AES256-SHA | ✔ | ✔ | ✔ | - | - | |
DES-CBC3-SHA | ✔ | ✔ | ✔ | - | - | |
TLS_AES_128_GCM_SHA256 | - | - | - | - | ✔ | |
TLS_AES_256_GCM_SHA384 | - | - | - | - | ✔ | |
TLS_CHACHA20_POLY1305_SHA256 | - | - | - | - | ✔ | |
TLS_AES_128_CCM_SHA256 | - | - | - | - | ✔ | |
TLS_AES_128_CCM_8_SHA256 | - | - | - | - | ✔ |
自訂策略
什麼時候使用自訂策略
NLB預置了部分常用的TLS安全性原則以滿足通用需求,但當您有特定的安全或合規需求時,例如需要僅支援特定版本的TLS協議、禁用某些密碼編譯演算法套件等,您可在NLB中自訂TLS安全性原則並配置到監聽中,從而進一步提升業務的安全性。
如何配置自訂策略
完成以下操作,建立自訂策略。
在左側導覽列,選擇
。在TLS安全性原則頁面,單擊自訂策略頁簽下的建立自訂策略。
在建立TLS安全性原則對話方塊中,完成以下參數配置(本文僅給出強相關配置參數資訊,其他參數可保持預設值或根據實際情況修改)。配置完成後單擊建立。
配置
說明
名稱
輸入自訂策略名稱稱。
選擇最低版本
選擇最低TLS安全性原則版本:
TLS 1.0及以上
TLS 1.1及以上
TLS 1.2及以上
啟用TLS 1.3版本
選擇是否啟用TLS 1.3版本。
重要如果啟用TLS 1.3版本,請至少選擇一個TLS 1.3的密碼編譯演算法套件,否則可能無法成功建立串連。
選擇密碼編譯演算法套件
選擇TLS版本支援的密碼編譯演算法套件。
自訂策略建立完成後,需要在建立TCPSSL監聽時的配置SSL認證步驟使用,具體細節可參考添加TCPSSL監聽。
相關文檔
NLB的TPCSSL監聽詳細配置步驟與注意事項可參考添加TCPSSL監聽。
NLB的更多TPCSSL應用情境配置教程,您可參考通過NLB實現TCPSSL卸載(單向認證)、通過NLB實現TCPSSL卸載(雙向認證)。