更新时间:2022-03-31 GMT+08:00
分享

TLS安全策略

操作场景

对于银行,金融类加密传输的应用 ,在创建和配置HTTPS监听器时,您可以选择使用安全策略,可以提高您的业务安全性。安全策略包含TLS协议版本和配套的加密算法套件。您可以选择默认安全策略,或创建自定义安全策略。

如果您要创建/使用“自定义安全策略”,请进入至ELB服务控制台后,单击页面左下角的“体验新版”。目前新版控制台在公测中,待公测结束后即可正常使用。

添加安全策略

  1. 登录管理控制台。
  2. 在管理控制台左上角单击图标,选择区域和项目。
  3. 单击页面左上角的,选择“网络 > 弹性负载均衡”。
  4. 在“负载均衡器”界面,单击需要创建安全策略的监听器的负载均衡器名称。
  5. 在该负载均衡界面的“监听器”区域,单击“添加监听器”。
  6. 在“添加监听器”界面,选择“高级配置 > 安全策略”。支持选择默认策略或自定义策略。如果列表中无自定义策略,您可以选择创建自定义策略。默认策略如表1所示。
    表1 默认安全策略参数说明

    名称

    说明

    支持的TLS版本类型

    使用的加密套件列表

    tls-1-0

    支持TLS 1.0、TLS 1.1、TLS 1.2版本与相关加密套件,兼容性好,安全性低。

    TLS 1.2

    TLS 1.1

    TLS 1.0

    • ECDHE-RSA-AES256-GCM-SHA384
    • ECDHE-RSA-AES128-GCM-SHA256
    • ECDHE-ECDSA-AES256-GCM-SHA384
    • ECDHE-ECDSA-AES128-GCM-SHA256
    • AES128-GCM-SHA256
    • AES256-GCM-SHA384
    • ECDHE-ECDSA-AES128-SHA256
    • ECDHE-RSA-AES128-SHA256
    • AES128-SHA256
    • AES256-SHA256
    • ECDHE-ECDSA-AES256-SHA384
    • ECDHE-RSA-AES256-SHA384
    • ECDHE-ECDSA-AES128-SHA
    • ECDHE-RSA-AES128-SHA
    • ECDHE-RSA-AES256-SHA
    • ECDHE-ECDSA-AES256-SHA
    • AES128-SHA
    • AES256-SHA

    tls-1-1

    支持TLS 1.1、TLS 1.2版本与相关加密套件,兼容性较好,安全性中。

    TLS 1.2

    TLS 1.1

    tls-1-2

    支持TLS 1.2版本与相关加密套件,兼容性较好,安全性高。

    TLS 1.2

    tls-1-0-inherit

    支持TLS 1.0、TLS 1.1、TLS 1.2版本与相关加密套件,兼容性好,安全性低。

    TLS 1.2

    TLS 1.1

    TLS 1.0

    • ECDHE-RSA-AES256-GCM-SHA384
    • ECDHE-RSA-AES128-GCM-SHA256
    • ECDHE-ECDSA-AES256-GCM-SHA384
    • ECDHE-ECDSA-AES128-GCM-SHA256
    • AES128-GCM-SHA256
    • AES256-GCM-SHA384
    • ECDHE-ECDSA-AES128-SHA256
    • ECDHE-RSA-AES128-SHA256
    • AES128-SHA256
    • AES256-SHA256
    • ECDHE-ECDSA-AES256-SHA384
    • ECDHE-RSA-AES256-SHA384
    • ECDHE-ECDSA-AES128-SHA
    • ECDHE-RSA-AES128-SHA
    • DHE-RSA-AES128-SHA
    • ECDHE-RSA-AES256-SHA
    • ECDHE-ECDSA-AES256-SHA
    • AES128-SHA
    • AES256-SHA
    • DHE-DSS-AES128-SHA
    • CAMELLIA128-SHA
    • EDH-RSA-DES-CBC3-SHA
    • DES-CBC3-SHA
    • ECDHE-RSA-RC4-SHA
    • RC4-SHA
    • DHE-RSA-AES256-SHA
    • DHE-DSS-AES256-SHA
    • DHE-RSA-CAMELLIA256-SHA

    tls-1-2-Strict

    支持TLS 1.2版本与相关加密套件,兼容性一般,安全性高。

    TLS 1.2

    • ECDHE-RSA-AES256-GCM-SHA384
    • ECDHE-RSA-AES128-GCM-SHA256
    • ECDHE-ECDSA-AES256-GCM-SHA384
    • ECDHE-ECDSA-AES128-GCM-SHA256
    • AES128-GCM-SHA256
    • AES256-GCM-SHA384
    • ECDHE-ECDSA-AES128-SHA256
    • ECDHE-RSA-AES128-SHA256
    • AES128-SHA256
    • AES256-SHA256
    • ECDHE-ECDSA-AES256-SHA384
    • ECDHE-RSA-AES256-SHA384

    tls-1-0-with-1-3(独享型实例)

    支持TLS 1.0及以上版本与相关加密套件,兼容性最好,安全性低。

    TLS 1.3

    TLS 1.2

    TLS 1.1

    TLS 1.0

    • ECDHE-RSA-AES256-GCM-SHA384
    • ECDHE-RSA-AES128-GCM-SHA256
    • ECDHE-ECDSA-AES256-GCM-SHA384
    • ECDHE-ECDSA-AES128-GCM-SHA256
    • AES128-GCM-SHA256
    • AES256-GCM-SHA384
    • ECDHE-ECDSA-AES128-SHA256
    • ECDHE-RSA-AES128-SHA256
    • AES128-SHA256
    • AES256-SHA256
    • ECDHE-ECDSA-AES256-SHA384
    • ECDHE-RSA-AES256-SHA384
    • ECDHE-ECDSA-AES128-SHA
    • ECDHE-RSA-AES128-SHA
    • ECDHE-RSA-AES256-SHA
    • ECDHE-ECDSA-AES256-SHA
    • AES128-SHA
    • AES256-SHA
    • TLS_AES_128_GCM_SHA256
    • TLS_AES_256_GCM_SHA384
    • TLS_CHACHA20_POLY1305_SHA256
    • TLS_AES_128_CCM_SHA256
    • TLS_AES_128_CCM_8_SHA256

    tls-1-2-fs-with-1-3(独享型实例)

    支持TLS 1.2及以上版本与前向安全相关的加密套件,兼容性较好,安全性最高。

    TLS 1.3

    TLS 1.2

    • ECDHE-RSA-AES256-GCM-SHA384
    • ECDHE-RSA-AES128-GCM-SHA256
    • ECDHE-ECDSA-AES256-GCM-SHA384
    • ECDHE-ECDSA-AES128-GCM-SHA256
    • ECDHE-ECDSA-AES128-SHA256
    • ECDHE-RSA-AES128-SHA256
    • ECDHE-ECDSA-AES256-SHA384
    • ECDHE-RSA-AES256-SHA384
    • TLS_AES_128_GCM_SHA256
    • TLS_AES_256_GCM_SHA384
    • TLS_CHACHA20_POLY1305_SHA256
    • TLS_AES_128_CCM_SHA256
    • TLS_AES_128_CCM_8_SHA256

    tls-1-2-fs(独享型实例)

    支持TLS 1.2版本与前向安全相关的加密套件,兼容性一般,安全性最高。

    TLS 1.2

    • ECDHE-RSA-AES256-GCM-SHA384
    • ECDHE-RSA-AES128-GCM-SHA256
    • ECDHE-ECDSA-AES256-GCM-SHA384
    • ECDHE-ECDSA-AES128-GCM-SHA256
    • ECDHE-ECDSA-AES128-SHA256
    • ECDHE-RSA-AES128-SHA256
    • ECDHE-ECDSA-AES256-SHA384
    • ECDHE-RSA-AES256-SHA384

    hybrid-policy-1-0

    支持TLS 1.1、TLS 1.2版本与相关加密套件,兼容性较好,安全性中。

    TLS 1.2

    TLS 1.1

    • ECDHE-RSA-AES256-GCM-SHA384
    • ECDHE-RSA-AES128-GCM-SHA256
    • ECDHE-ECDSA-AES256-GCM-SHA384
    • ECDHE-ECDSA-AES128-GCM-SHA256
    • AES128-GCM-SHA256
    • AES256-GCM-SHA384
    • ECDHE-ECDSA-AES128-SHA256
    • ECDHE-RSA-AES128-SHA256
    • AES128-SHA256
    • AES256-SHA256
    • ECDHE-ECDSA-AES256-SHA384
    • ECDHE-RSA-AES256-SHA384
    • ECDHE-ECDSA-AES128-SHA
    • ECDHE-RSA-AES128-SHA
    • ECDHE-RSA-AES256-SHA
    • ECDHE-ECDSA-AES256-SHA
    • AES128-SHA
    • AES256-SHA
    • ECC-SM4-SM3
    • ECDHE-SM4-SM3
    • 安全策略“tls-1-0-with-1-3”、“tls-1-2-fs-with-1-3”、“tls-1-2-fs”目前仅支持独享型实例。
    • 目前,独享型负载均衡安全策略最高支持TLS 1.3协议,共享型负载均衡安全策略最高支持TLS 1.2协议。
    • 上述列表为ELB支持的加密套件,同时客户端也支持多个加密套件,这样在实际使用时,加密套件的选择范围为:ELB和客户端支持的加密套件的交集,加密套件的选择顺序为:ELB支持的加密套件顺序。
  7. 配置完成,单击“确定”。

安全策略差异说明

表2 安全策略差异说明

安全策略

tls-1-0

tls-1-1

tls-1-2

tls-1-0-inherit

tls-1-2-strict

tls-1-0-with-1-3

tls-1-2-fs-with-1-3

tls-1-2-fs

hybrid-policy-1-0

TLS 协议

Protocol-TLS 1.3

-

-

-

-

-

-

Protocol-TLS 1.2

Protocol-TLS 1.1

-

-

-

-

Protocol-TLS 1.0

-

-

-

-

-

-

加密套件

EDHE-RSA-AES128-GCM-SHA256

-

-

-

-

-

ECDHE-RSA-AES256-GCM-SHA384

ECDHE-RSA-AES128-SHA256

ECDHE-RSA-AES256-SHA384

AES128-GCM-SHA256

-

-

AES256-GCM-SHA384

-

-

AES128-SHA256

-

-

AES256-SHA256

-

-

ECDHE-RSA-AES128-SHA

-

-

-

ECDHE-RSA-AES256-SHA

-

-

-

AES128-SHA

-

-

-

AES256-SHA

-

-

-

ECDHE-ECDSA-AES128-GCM-SHA256

ECDHE-ECDSA-AES128-SHA256

ECDHE-ECDSA-AES128-SHA

-

-

-

ECDHE-ECDSA-AES256-GCM-SHA384

ECDHE-ECDSA-AES256-SHA384

ECDHE-ECDSA-AES256-SHA

-

-

-

ECDHE-RSA-AES128-GCM-SHA256

-

-

-

-

TLS_AES_256_GCM_SHA384

-

-

-

-

-

-

TLS_CHACHA20_POLY1305_SHA256

-

-

-

-

-

-

TLS_AES_128_GCM_SHA256

-

-

-

-

-

-

TLS_AES_128_CCM_8_SHA256

-

-

-

-

-

-

TLS_AES_128_CCM_SHA256

-

-

-

-

-

-

DHE-RSA-AES128-SHA

-

-

-

-

-

-

-

-

DHE-DSS-AES128-SHA

-

-

-

-

-

-

-

-

CAMELLIA128-SHA

-

-

-

-

-

-

-

-

EDH-RSA-DES-CBC3-SHA

-

-

-

-

-

-

-

-

DES-CBC3-SHA

-

-

-

-

-

-

-

-

ECDHE-RSA-RC4-SHA

-

-

-

-

-

-

-

-

RC4-SHA

-

-

-

-

-

-

-

-

DHE-RSA-AES256-SHA

-

-

-

-

-

-

-

-

DHE-DSS-AES256-SHA

-

-

-

-

-

-

-

-

DHE-RSA-CAMELLIA256-SHA

-

-

-

-

-

-

-

-

ECC-SM4-SM3

-

-

-

-

-

-

-

-

ECDHE-SM4-SM3

-

-

-

-

-

-

-

-

创建自定义策略

  1. 登录管理控制台。
  2. 在管理控制台左上角单击图标,选择区域和项目。
  3. 单击页面左上角的,选择“网络 > 弹性负载均衡”。
  4. 单击页面左边的“TLS安全策略”。
  5. 在TLS安全策略页面,单击页面右上角的“创建自定义策略”。
  6. 配置自定义策略参数,参数说明参见表3
    表3 自定义策略参数说明

    参数

    说明

    样例

    名称

    自定义策略的名称。

    tls-test

    选择协议版本

    自定义策略支持的TLS协议版本类型。支持选择多个协议版本。

    包含:

    • TLS 1.0
    • TLS 1.1
    • TLS 1.2
    • TLS 1.3

    -

    选择加密算法套件

    选择与协议版本配套的加密算法套件。支持选择多个加密算法套件。

    -

    描述

    自定义策略相关信息的描述说明。

    -

  7. 确认参数配置,单击“确定”。

修改安全策略

修改安全策略时,后端服务器需要放通安全组,放开对ELB健康检查的限制(100.125IP的限制,UDP健康检查icmp报文的限制等),否则后端健康检查没上线,会影响业务。

  1. 登录管理控制台。
  2. 在管理控制台左上角单击图标,选择区域和项目。
  3. 单击页面左上角的,选择“网络 > 弹性负载均衡”。
  4. 在“负载均衡器”界面,单击需要修改安全策略的监听器的负载均衡器名称。
  5. 单击需要修改安全策略的监听器名称右侧的
  6. 在“修改监听器”界面,展开高级配置,选择安全策略参数。
  7. 单击“确认”。
分享:

    相关文档

    相关产品

close