tls安全策略-凯发k8国际娱乐官网入口
操作场景
对于银行,金融类加密传输的应用 ,在创建和配置https监听器时,您可以选择使用安全策略,可以提高您的业务安全性。安全策略包含tls协议版本和配套的加密算法套件。
- 独享型负载均衡:支持选择默认安全策略或创建自定义策略。
- 共享型负载均衡:仅支持选择默认安全策略。
添加安全策略
- 登录管理控制台。
- 在管理控制台左上角单击图标,选择区域和项目。
- 单击页面左上角的,选择“网络 > 弹性负载均衡”。
- 在“负载均衡器”界面,单击需要创建安全策略的监听器的负载均衡器名称。
- 在该负载均衡界面的“监听器”区域,单击“添加监听器”。
- 在“添加监听器”界面,前端协议选择“https”。
- 在“添加监听器”界面,选择“高级配置 > 安全策略”。
支持选择默认策略或自定义策略。如果列表中无自定义策略,您可以选择创建自定义策略。默认策略如表1所示。
表1 默认安全策略参数说明 名称
说明
支持的tls版本类型
使用的加密套件列表
tls-1-0
支持tls 1.0、tls 1.1、tls 1.2版本与相关加密套件,兼容性好,安全性低。
tls 1.2
tls 1.1
tls 1.0
- ecdhe-rsa-aes256-gcm-sha384
- ecdhe-rsa-aes128-gcm-sha256
- ecdhe-ecdsa-aes256-gcm-sha384
- ecdhe-ecdsa-aes128-gcm-sha256
- aes128-gcm-sha256
- aes256-gcm-sha384
- ecdhe-ecdsa-aes128-sha256
- ecdhe-rsa-aes128-sha256
- aes128-sha256
- aes256-sha256
- ecdhe-ecdsa-aes256-sha384
- ecdhe-rsa-aes256-sha384
- ecdhe-ecdsa-aes128-sha
- ecdhe-rsa-aes128-sha
- ecdhe-rsa-aes256-sha
- ecdhe-ecdsa-aes256-sha
- aes128-sha
- aes256-sha
tls-1-1
支持tls 1.1、tls 1.2版本与相关加密套件,兼容性较好,安全性中。
tls 1.2
tls 1.1
tls-1-2
支持tls 1.2版本与相关加密套件,兼容性较好,安全性高。
tls 1.2
tls-1-0-inherit
支持tls 1.0、tls 1.1、tls 1.2版本与相关加密套件,兼容性好,安全性低。
tls 1.2
tls 1.1
tls 1.0
- ecdhe-rsa-aes256-gcm-sha384
- ecdhe-rsa-aes128-gcm-sha256
- ecdhe-ecdsa-aes256-gcm-sha384
- ecdhe-ecdsa-aes128-gcm-sha256
- aes128-gcm-sha256
- aes256-gcm-sha384
- ecdhe-ecdsa-aes128-sha256
- ecdhe-rsa-aes128-sha256
- aes128-sha256
- aes256-sha256
- ecdhe-ecdsa-aes256-sha384
- ecdhe-rsa-aes256-sha384
- ecdhe-ecdsa-aes128-sha
- ecdhe-rsa-aes128-sha
- dhe-rsa-aes128-sha
- ecdhe-rsa-aes256-sha
- ecdhe-ecdsa-aes256-sha
- aes128-sha
- aes256-sha
- dhe-dss-aes128-sha
- camellia128-sha
- edh-rsa-des-cbc3-sha
- des-cbc3-sha
- ecdhe-rsa-rc4-sha
- rc4-sha
- dhe-rsa-aes256-sha
- dhe-dss-aes256-sha
- dhe-rsa-camellia256-sha
tls-1-2-strict
支持tls 1.2版本与相关加密套件,兼容性一般,安全性高。
tls 1.2
- ecdhe-rsa-aes256-gcm-sha384
- ecdhe-rsa-aes128-gcm-sha256
- ecdhe-ecdsa-aes256-gcm-sha384
- ecdhe-ecdsa-aes128-gcm-sha256
- aes128-gcm-sha256
- aes256-gcm-sha384
- ecdhe-ecdsa-aes128-sha256
- ecdhe-rsa-aes128-sha256
- aes128-sha256
- aes256-sha256
- ecdhe-ecdsa-aes256-sha384
- ecdhe-rsa-aes256-sha384
tls-1-0-with-1-3(独享型实例)
支持tls 1.0及以上版本与相关加密套件,兼容性最好,安全性低。
tls 1.3
tls 1.2
tls 1.1
tls 1.0
- ecdhe-rsa-aes256-gcm-sha384
- ecdhe-rsa-aes128-gcm-sha256
- ecdhe-ecdsa-aes256-gcm-sha384
- ecdhe-ecdsa-aes128-gcm-sha256
- aes128-gcm-sha256
- aes256-gcm-sha384
- ecdhe-ecdsa-aes128-sha256
- ecdhe-rsa-aes128-sha256
- aes128-sha256
- aes256-sha256
- ecdhe-ecdsa-aes256-sha384
- ecdhe-rsa-aes256-sha384
- ecdhe-ecdsa-aes128-sha
- ecdhe-rsa-aes128-sha
- ecdhe-rsa-aes256-sha
- ecdhe-ecdsa-aes256-sha
- aes128-sha
- aes256-sha
- tls_aes_128_gcm_sha256
- tls_aes_256_gcm_sha384
- tls_chacha20_poly1305_sha256
- tls_aes_128_ccm_sha256
- tls_aes_128_ccm_8_sha256
tls-1-2-fs-with-1-3(独享型实例)
支持tls 1.2及以上版本与前向安全相关的加密套件,兼容性较好,安全性最高。
tls 1.3
tls 1.2
- ecdhe-rsa-aes256-gcm-sha384
- ecdhe-rsa-aes128-gcm-sha256
- ecdhe-ecdsa-aes256-gcm-sha384
- ecdhe-ecdsa-aes128-gcm-sha256
- ecdhe-ecdsa-aes128-sha256
- ecdhe-rsa-aes128-sha256
- ecdhe-ecdsa-aes256-sha384
- ecdhe-rsa-aes256-sha384
- tls_aes_128_gcm_sha256
- tls_aes_256_gcm_sha384
- tls_chacha20_poly1305_sha256
- tls_aes_128_ccm_sha256
- tls_aes_128_ccm_8_sha256
tls-1-2-fs(独享型实例)
支持tls 1.2版本与前向安全相关的加密套件,兼容性一般,安全性最高。
tls 1.2
- ecdhe-rsa-aes256-gcm-sha384
- ecdhe-rsa-aes128-gcm-sha256
- ecdhe-ecdsa-aes256-gcm-sha384
- ecdhe-ecdsa-aes128-gcm-sha256
- ecdhe-ecdsa-aes128-sha256
- ecdhe-rsa-aes128-sha256
- ecdhe-ecdsa-aes256-sha384
- ecdhe-rsa-aes256-sha384
hybrid-policy-1-0(独享型实例)
支持tls 1.1、tls 1.2版本与相关加密套件,兼容性较好,安全性中。
tls 1.2
tls 1.1
- ecdhe-rsa-aes256-gcm-sha384
- ecdhe-rsa-aes128-gcm-sha256
- ecdhe-ecdsa-aes256-gcm-sha384
- ecdhe-ecdsa-aes128-gcm-sha256
- aes128-gcm-sha256
- aes256-gcm-sha384
- ecdhe-ecdsa-aes128-sha256
- ecdhe-rsa-aes128-sha256
- aes128-sha256
- aes256-sha256
- ecdhe-ecdsa-aes256-sha384
- ecdhe-rsa-aes256-sha384
- ecdhe-ecdsa-aes128-sha
- ecdhe-rsa-aes128-sha
- ecdhe-rsa-aes256-sha
- ecdhe-ecdsa-aes256-sha
- aes128-sha
- aes256-sha
- ecc-sm4-sm3
- ecdhe-sm4-sm3
tls-1-2-strict-no-cbc(独享型实例)
支持tls 1.2版本与不含cbc模式的加密套件,兼容性一般,安全性高。
tls 1.2
- ecdhe-ecdsa-aes256-gcm-sha384
- ecdhe-ecdsa-aes128-gcm-sha256
- ecdhe-rsa-aes256-gcm-sha384
- ecdhe-rsa-aes128-gcm-sha256
- 安全策略“tls-1-0-with-1-3”、“tls-1-2-fs-with-1-3”、“tls-1-2-fs”、“hybrid-policy-1-0”、“tls-1-2-strict-no-cbc”目前仅支持独享型实例。
- 目前,独享型负载均衡安全策略最高支持tls 1.3协议,共享型负载均衡安全策略最高支持tls 1.2协议。
- 上述列表为elb支持的加密套件,同时客户端也支持多个加密套件,这样在实际使用时,加密套件的选择范围为:elb和客户端支持的加密套件的交集,加密套件的选择顺序为:elb支持的加密套件顺序。
- 配置完成,单击“确定”。
安全策略差异说明
安全策略 |
tls-1-0 |
tls-1-1 |
tls-1-2 |
tls-1-0-inherit |
tls-1-2-strict |
tls-1-0-with-1-3 |
tls-1-2-fs-with-1-3 |
tls-1-2-fs |
hybrid-policy-1-0 |
---|---|---|---|---|---|---|---|---|---|
tls 协议 |
|||||||||
protocol-tls 1.3 |
- |
- |
- |
- |
- |
√ |
√ |
√ |
- |
protocol-tls 1.2 |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
protocol-tls 1.1 |
√ |
√ |
- |
√ |
- |
√ |
- |
- |
√ |
protocol-tls 1.0 |
√ |
- |
- |
√ |
- |
√ |
- |
- |
- |
加密套件 |
|||||||||
edhe-rsa-aes128-gcm-sha256 |
√ |
√ |
√ |
- |
√ |
- |
- |
- |
- |
ecdhe-rsa-aes256-gcm-sha384 |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
ecdhe-rsa-aes128-sha256 |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
ecdhe-rsa-aes256-sha384 |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
aes128-gcm-sha256 |
√ |
√ |
√ |
√ |
√ |
√ |
- |
- |
√ |
aes256-gcm-sha384 |
√ |
√ |
√ |
√ |
√ |
√ |
- |
- |
√ |
aes128-sha256 |
√ |
√ |
√ |
√ |
√ |
√ |
- |
- |
√ |
aes256-sha256 |
√ |
√ |
√ |
√ |
√ |
√ |
- |
- |
√ |
ecdhe-rsa-aes128-sha |
√ |
√ |
√ |
√ |
- |
√ |
- |
- |
√ |
ecdhe-rsa-aes256-sha |
√ |
√ |
√ |
√ |
- |
√ |
- |
- |
√ |
aes128-sha |
√ |
√ |
√ |
√ |
- |
√ |
- |
- |
√ |
aes256-sha |
√ |
√ |
√ |
√ |
- |
√ |
- |
- |
√ |
ecdhe-ecdsa-aes128-gcm-sha256 |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
ecdhe-ecdsa-aes128-sha256 |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
ecdhe-ecdsa-aes128-sha |
√ |
√ |
√ |
√ |
- |
√ |
- |
- |
√ |
ecdhe-ecdsa-aes256-gcm-sha384 |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
ecdhe-ecdsa-aes256-sha384 |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
ecdhe-ecdsa-aes256-sha |
√ |
√ |
√ |
√ |
- |
√ |
- |
- |
√ |
ecdhe-rsa-aes128-gcm-sha256 |
- |
- |
- |
√ |
- |
√ |
√ |
√ |
√ |
tls_aes_256_gcm_sha384 |
- |
- |
- |
- |
- |
√ |
√ |
√ |
- |
tls_chacha20_poly1305_sha256 |
- |
- |
- |
- |
- |
√ |
√ |
√ |
- |
tls_aes_128_gcm_sha256 |
- |
- |
- |
- |
- |
√ |
√ |
√ |
- |
tls_aes_128_ccm_8_sha256 |
- |
- |
- |
- |
- |
√ |
√ |
√ |
- |
tls_aes_128_ccm_sha256 |
- |
- |
- |
- |
- |
√ |
√ |
√ |
- |
dhe-rsa-aes128-sha |
- |
- |
- |
√ |
- |
- |
- |
- |
- |
dhe-dss-aes128-sha |
- |
- |
- |
√ |
- |
- |
- |
- |
- |
camellia128-sha |
- |
- |
- |
√ |
- |
- |
- |
- |
- |
edh-rsa-des-cbc3-sha |
- |
- |
- |
√ |
- |
- |
- |
- |
- |
des-cbc3-sha |
- |
- |
- |
√ |
- |
- |
- |
- |
- |
ecdhe-rsa-rc4-sha |
- |
- |
- |
√ |
- |
- |
- |
- |
- |
rc4-sha |
- |
- |
- |
√ |
- |
- |
- |
- |
- |
dhe-rsa-aes256-sha |
- |
- |
- |
√ |
- |
- |
- |
- |
- |
dhe-dss-aes256-sha |
- |
- |
- |
√ |
- |
- |
- |
- |
- |
dhe-rsa-camellia256-sha |
- |
- |
- |
√ |
- |
- |
- |
- |
- |
ecc-sm4-sm3 |
- |
- |
- |
- |
- |
- |
- |
- |
√ |
ecdhe-sm4-sm3 |
- |
- |
- |
- |
- |
- |
- |
- |
√ |
创建自定义策略
- 登录管理控制台。
- 在管理控制台左上角单击图标,选择区域和项目。
- 单击页面左上角的,选择“网络 > 弹性负载均衡”。
- 单击页面左边的“tls安全策略”。
- 在tls安全策略页面,单击页面右上角的“创建自定义策略”。
- 配置自定义策略参数,参数说明参见表3。
表3 自定义策略参数说明 参数
说明
样例
名称
自定义策略的名称。
tls-test
选择协议版本
自定义策略支持的tls协议版本类型。支持选择多个协议版本。
包含:
- tls 1.0
- tls 1.1
- tls 1.2
- tls 1.3
-
选择加密算法套件
选择与协议版本配套的加密算法套件。支持选择多个加密算法套件。
-
描述
自定义策略相关信息的描述说明。
-
- 确认参数配置,单击“确定”。
修改自定义安全策略
您可跟根据使用需求对创建完成的自定义安全策略进行修改。
- 登录管理控制台。
- 在管理控制台左上角单击图标,选择区域和项目。
- 单击页面左上角的,选择“网络 > 弹性负载均衡”。
- 单击页面左边的“tls安全策略”。
- 在tls安全策略页面,待修改的自定义安全策略所在行的操作列,单击“修改“。
- 在“修改自定义安全策略“弹窗,修改自定义安全策略,参数说明参见表3。
- 确认参数配置,单击“确定”。
删除自定义安全策略
您可对创建完成的自定义安全策略进行删除。
如果自定义安全策略已被关联监听器使用,则无法执行删除,请先修改关联监听器的安全策略。
- 登录管理控制台。
- 在管理控制台左上角单击图标,选择区域和项目。
- 单击页面左上角的,选择“网络 > 弹性负载均衡”。
- 单击左侧导航栏的“tls安全策略”。
- 在tls安全策略页面,待删除的自定义安全策略所在行的操作列,单击“删除“。
- 在确认删除弹窗,单击“是“。
修改安全策略
修改安全策略时,后端服务器需要放通安全组,放开对elb健康检查的限制(100.125ip的限制,udp健康检查icmp报文的限制等),否则后端健康检查没上线,会影响业务。
- 登录管理控制台。
- 在管理控制台左上角单击图标,选择区域和项目。
- 单击页面左上角的,选择“网络 > 弹性负载均衡”。
- 在“负载均衡器”界面,单击需要修改安全策略的监听器的负载均衡器名称。
- 切换至“监听器”页签,单击需要修改安全策略的监听器名称。
- 在监听器的基本信息页面,单击“编辑监听器”。
- 在“编辑监听器”界面,展开高级配置,选择安全策略参数。
- 单击“确定”。
意见反馈
文档内容是否对您有帮助?
如您有其它疑问,您也可以通过华为云社区问答频道来与我们联系探讨