当您使用四层负载均衡时,如果安全性要求较高需要使用SSL加密,但在每个后端服务器上配置SSL认证会降低业务处理效率,此时您可以使用NLB提供的大规模SSL卸载功能。通过在流量入口部署NLB并配置SSL证书,后端服务器无需配置SSL,NLB即可通过TCPSSL监听来接收加密流量,并将其解析为明文流量然后将流量分发至后端服务器。这种方式可以提高后端业务的处理效率,简化了后端服务器和SSL的配置,同时仍然保证了通信的安全性。针对TCPSSL场景,NLB预置了部分常用的TLS安全策略以满足加密需求,您可根据您的安全需求选择合适的TLS安全策略,或者配置自定义TLS安全策略,从而保证您业务的安全性。
系统默认策略
系统默认策略有哪些
TLS安全策略包含了可选的TLS协议版本和配套的加密算法套件。TLS协议版本越高,加密通信的安全性越高,但是相较于低版本TLS协议,高版本TLS协议对浏览器的兼容性较差。
安全策略 | 支持的TLS协议版本 | 支持的加密算法套件 |
tls_cipher_policy_1_0 |
|
|
tls_cipher_policy_1_1 |
|
|
tls_cipher_policy_1_2 | TLSv1.2 |
|
tls_cipher_policy_1_2_strict | TLSv1.2 |
|
tls_cipher_policy_1_2_strict_with_1_3 |
|
|
系统默认策略差异对比
下表中,✔表示支持,-表示不支持。
安全策略 | tls_cipher_policy_1_0 | tls_cipher_policy_1_1 | tls_cipher_policy_1_2 | tls_cipher_policy_1_2_strict | tls_cipher_policy_1_2_strict_with_1_3 | |
TLS | v1.0 | ✔ | - | - | - | - |
v1.1 | ✔ | ✔ | - | - | - | |
v1.2 | ✔ | ✔ | ✔ | ✔ | ✔ | |
v1.3 | - | - | - | - | ✔ | |
CIPHER | ECDHE-ECDSA-AES128-GCM-SHA256 | ✔ | ✔ | ✔ | ✔ | ✔ |
ECDHE-ECDSA-AES256-GCM-SHA384 | ✔ | ✔ | ✔ | ✔ | ✔ | |
ECDHE-ECDSA-AES128-SHA256 | ✔ | ✔ | ✔ | ✔ | ✔ | |
ECDHE-ECDSA-AES256-SHA384 | ✔ | ✔ | ✔ | ✔ | ✔ | |
ECDHE-RSA-AES128-GCM-SHA256 | ✔ | ✔ | ✔ | ✔ | ✔ | |
ECDHE-RSA-AES256-GCM-SHA384 | ✔ | ✔ | ✔ | ✔ | ✔ | |
ECDHE-RSA-AES128-SHA256 | ✔ | ✔ | ✔ | ✔ | ✔ | |
ECDHE-RSA-AES256-SHA384 | ✔ | ✔ | ✔ | ✔ | ✔ | |
AES128-GCM-SHA256 | ✔ | ✔ | ✔ | - | - | |
AES256-GCM-SHA384 | ✔ | ✔ | ✔ | - | - | |
AES128-SHA256 | ✔ | ✔ | ✔ | - | - | |
AES256-SHA256 | ✔ | ✔ | ✔ | - | - | |
ECDHE-ECDSA-AES128-SHA | ✔ | ✔ | ✔ | ✔ | ✔ | |
ECDHE-ECDSA-AES256-SHA | ✔ | ✔ | ✔ | ✔ | ✔ | |
ECDHE-RSA-AES128-SHA | ✔ | ✔ | ✔ | ✔ | ✔ | |
ECDHE-RSA-AES256-SHA | ✔ | ✔ | ✔ | ✔ | ✔ | |
AES128-SHA | ✔ | ✔ | ✔ | - | - | |
AES256-SHA | ✔ | ✔ | ✔ | - | - | |
DES-CBC3-SHA | ✔ | ✔ | ✔ | - | - | |
TLS_AES_128_GCM_SHA256 | - | - | - | - | ✔ | |
TLS_AES_256_GCM_SHA384 | - | - | - | - | ✔ | |
TLS_CHACHA20_POLY1305_SHA256 | - | - | - | - | ✔ | |
TLS_AES_128_CCM_SHA256 | - | - | - | - | ✔ | |
TLS_AES_128_CCM_8_SHA256 | - | - | - | - | ✔ | |
自定义策略
什么时候使用自定义策略
NLB预置了部分常用的TLS安全策略以满足通用需求,但当您有特定的安全或合规需求时,例如需要仅支持特定版本的TLS协议、禁用某些加密算法套件等,您可在NLB中自定义TLS安全策略并配置到监听中,从而进一步提升业务的安全性。
如何配置自定义策略
完成以下操作,创建自定义策略。
在左侧导航栏,选择。
在TLS安全策略页面,单击自定义策略页签下的创建自定义策略。
在创建TLS安全策略对话框中,完成以下参数配置(本文仅给出强相关配置参数信息,其他参数可保持默认值或根据实际情况修改)。配置完成后单击新建。
配置
说明
名称
输入自定义策略名称。
选择最低版本
选择最低TLS安全策略版本:
TLS 1.0及以上
TLS 1.1及以上
TLS 1.2及以上
启用TLS 1.3版本
选择是否启用TLS 1.3版本。
重要如果启用TLS 1.3版本,请至少选择一个TLS 1.3的加密算法套件,否则可能无法成功建立连接。
选择加密算法套件
选择TLS版本支持的加密算法套件。
自定义策略创建完成后,需要在创建TCPSSL监听时的配置SSL证书步骤使用,具体细节可参考添加TCPSSL监听。
相关文档
NLB的TPCSSL监听详细配置步骤与注意事项可参考添加TCPSSL监听。
NLB的更多TPCSSL应用场景配置教程,您可参考通过NLB实现TCPSSL卸载(单向认证)、通过NLB实现TCPSSL卸载(双向认证)。