TLS安全策略

操作场景

对于银行，金融类加密传输的应用，在创建和配置HTTPS监听器时，您可以选择使用安全策略，可以提高您的业务安全性。安全策略包含TLS协议版本和配套的加密算法套件。

添加安全策略

登录管理控制台。
在管理控制台左上角单击图标，选择区域和项目。
单击页面左上角的，选择“网络 > 弹性负载均衡”。
在“负载均衡器”界面，单击需要创建安全策略的监听器的负载均衡器名称。
在该负载均衡界面的“监听器”区域，单击“添加监听器”。
在“添加监听器”界面，前端协议选择“HTTPS”。

在“添加监听器”界面，选择“高级配置 > 安全策略”。

默认策略如表1所示。

表1 默认安全策略参数说明
名称	说明	支持的TLS版本类型	使用的加密套件列表
TLS-1-0	支持TLS 1.0、TLS 1.1、TLS 1.2版本与相关加密套件，兼容性好，安全性低。	TLS 1.2 TLS 1.1 TLS 1.0	ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES128-GCM-SHA256 AES128-GCM-SHA256 AES256-GCM-SHA384 ECDHE-ECDSA-AES128-SHA256 ECDHE-RSA-AES128-SHA256 AES128-SHA256 AES256-SHA256 ECDHE-ECDSA-AES256-SHA384 ECDHE-RSA-AES256-SHA384 ECDHE-ECDSA-AES128-SHA ECDHE-RSA-AES128-SHA ECDHE-RSA-AES256-SHA ECDHE-ECDSA-AES256-SHA AES128-SHA AES256-SHA
TLS-1-1	支持TLS 1.1、TLS 1.2版本与相关加密套件，兼容性较好，安全性中。	TLS 1.2 TLS 1.1
TLS-1-2	支持TLS 1.2版本与相关加密套件，兼容性较好，安全性高。	TLS 1.2
TLS-1-2-Strict	支持TLS 1.2版本与相关加密套件，兼容性一般，安全性高。	TLS 1.2	ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES128-GCM-SHA256 AES128-GCM-SHA256 AES256-GCM-SHA384 ECDHE-ECDSA-AES128-SHA256 ECDHE-RSA-AES128-SHA256 AES128-SHA256 AES256-SHA256 ECDHE-ECDSA-AES256-SHA384 ECDHE-RSA-AES256-SHA384
TLS-1-0-WITH-1-3	支持TLS 1.0及以上版本与相关加密套件，兼容性最好，安全性低。	TLS 1.3 TLS 1.2 TLS 1.1 TLS 1.0	ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES128-GCM-SHA256 AES128-GCM-SHA256 AES256-GCM-SHA384 ECDHE-ECDSA-AES128-SHA256 ECDHE-RSA-AES128-SHA256 AES128-SHA256 AES256-SHA256 ECDHE-ECDSA-AES256-SHA384 ECDHE-RSA-AES256-SHA384 ECDHE-ECDSA-AES128-SHA ECDHE-RSA-AES128-SHA ECDHE-RSA-AES256-SHA ECDHE-ECDSA-AES256-SHA AES128-SHA AES256-SHA TLS_AES_128_GCM_SHA256 TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_CCM_SHA256 TLS_AES_128_CCM_8_SHA256
TLS-1-2-FS-WITH-1-3	支持TLS 1.2及以上版本与前向安全相关的加密套件，兼容性较好，安全性最高。	TLS 1.3 TLS 1.2	ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES128-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-ECDSA-AES256-SHA384 ECDHE-RSA-AES256-SHA384 TLS_AES_128_GCM_SHA256 TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_CCM_SHA256 TLS_AES_128_CCM_8_SHA256
hybrid-policy-1-0	支持TLS 1.1、TLS 1.2版本与相关加密套件，兼容性较好，安全性中。	TLS 1.2 TLS 1.1	ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES128-GCM-SHA256 AES128-GCM-SHA256 AES256-GCM-SHA384 ECDHE-ECDSA-AES128-SHA256 ECDHE-RSA-AES128-SHA256 AES128-SHA256 AES256-SHA256 ECDHE-ECDSA-AES256-SHA384 ECDHE-RSA-AES256-SHA384 ECDHE-ECDSA-AES128-SHA ECDHE-RSA-AES128-SHA ECDHE-RSA-AES256-SHA ECDHE-ECDSA-AES256-SHA AES128-SHA AES256-SHA ECC-SM4-SM3 ECDHE-SM4-SM3

上述列表为ELB支持的加密套件，同时客户端也支持多个加密套件，这样在实际使用时，加密套件的选择范围为：ELB和客户端支持的加密套件的交集，加密套件的选择顺序为：ELB支持的加密套件顺序。

配置完成，单击“确定”。

安全策略差异说明

表2 安全策略差异说明
安全策略	TLS-1-0	TLS-1-1	TLS-1-2	TLS-1-2-Strict
TLS 协议
Protocol-TLS 1.3	-	-	-	-
Protocol-TLS 1.2	√	√	√	√
Protocol-TLS 1.1	√	√	-	-
Protocol-TLS 1.0	√	-	-	-
加密套件
EDHE-RSA-AES128-GCM-SHA256	√	√	√	√
ECDHE-RSA-AES256-GCM-SHA384	√	√	√	√
ECDHE-RSA-AES128-SHA256	√	√	√	√
ECDHE-RSA-AES256-SHA384	√	√	√	√
AES128-GCM-SHA256	√	√	√	√
AES256-GCM-SHA384	√	√	√	√
AES128-SHA256	√	√	√	√
AES256-SHA256	√	√	√	√
ECDHE-RSA-AES128-SHA	√	√	√	-
ECDHE-RSA-AES256-SHA	√	√	√	-
AES128-SHA	√	√	√	-
AES256-SHA	√	√	√	-
ECDHE-ECDSA-AES128-GCM-SHA256	√	√	√	√
ECDHE-ECDSA-AES128-SHA256	√	√	√	√
ECDHE-ECDSA-AES128-SHA	√	√	√	-
ECDHE-ECDSA-AES256-GCM-SHA384	√	√	√	√
ECDHE-ECDSA-AES256-SHA384	√	√	√	√
ECDHE-ECDSA-AES256-SHA	√	√	√	-

修改安全策略

修改安全策略时，后端需要放通安全组，放开对ELB健康检查的限制（100.125IP的限制，UDP健康检查icmp报文的限制等），否则后端健康检查没上线，会影响业务。

登录管理控制台。
在管理控制台左上角单击图标，选择区域和项目。
单击页面左上角的，选择“网络 > 弹性负载均衡”。
在“负载均衡器”界面，单击需要修改安全策略的监听器的负载均衡器名称。
切换至“监听器”页签，单击需要修改安全策略的监听器名称。
在监听器的基本信息页面，单击“编辑监听器”。
在“编辑监听器”界面，展开高级配置，选择安全策略参数。
单击“确定”。

上一篇：删除IP地址组

下一篇：访问日志

意见反馈

文档内容是否对您有帮助？

有帮助没帮助

提供反馈

提交成功！非常感谢您的反馈，我们会继续努力做到更好！

系统繁忙，请稍后重试

在使用文档中是否遇到以下问题

内容与产品页面不一致

内容不易理解

缺失示例代码

步骤不可操作

搜不到想要的内容

缺少最佳实践

意见反馈（选填）

0/500

请至少选择一项反馈信息并填写问题反馈

字符长度不能超过500

直接提交取消