ALB的TLS安全策略怎么配置_负载均衡(SLB)-阿里云帮助中心

用户在阿里云上部署的网站或应用程序对互联网提供服务时，通常会配置HTTPS加密以确保数据的安全传输。针对HTTPS场景，ALB预置了部分常用的TLS安全策略以满足加密需求，您可根据您的安全需求选择合适的TLS安全策略，或者配置自定义TLS安全策略，从而保证您业务的安全性。

系统默认策略

系统默认策略有哪些

TLS安全策略包含了可选的TLS协议版本和配套的加密算法套件。TLS协议版本越高，加密通信的安全性越高，但是相较于低版本TLS协议，高版本TLS协议对浏览器的兼容性较差。

安全策略	支持的TLS协议版本	支持的加密算法套件
tls_cipher_policy_1_0	TLSv1.0 TLSv1.1 TLSv1.2	ECDHE-ECDSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES128-SHA256 ECDHE-ECDSA-AES256-SHA384 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES256-SHA384 AES128-GCM-SHA256 AES256-GCM-SHA384 AES128-SHA256 AES256-SHA256 ECDHE-ECDSA-AES128-SHA ECDHE-ECDSA-AES256-SHA ECDHE-RSA-AES128-SHA ECDHE-RSA-AES256-SHA AES128-SHA AES256-SHA DES-CBC3-SHA
tls_cipher_policy_1_1	TLSv1.1 TLSv1.2	ECDHE-ECDSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES128-SHA256 ECDHE-ECDSA-AES256-SHA384 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES256-SHA384 AES128-GCM-SHA256 AES256-GCM-SHA384 AES128-SHA256 AES256-SHA256 ECDHE-ECDSA-AES128-SHA ECDHE-ECDSA-AES256-SHA ECDHE-RSA-AES128-SHA ECDHE-RSA-AES256-SHA AES128-SHA AES256-SHA DES-CBC3-SHA
tls_cipher_policy_1_2	TLSv1.2	ECDHE-ECDSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES128-SHA256 ECDHE-ECDSA-AES256-SHA384 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES256-SHA384 AES128-GCM-SHA256 AES256-GCM-SHA384 AES128-SHA256 AES256-SHA256 ECDHE-ECDSA-AES128-SHA ECDHE-ECDSA-AES256-SHA ECDHE-RSA-AES128-SHA ECDHE-RSA-AES256-SHA AES128-SHA AES256-SHA DES-CBC3-SHA
tls_cipher_policy_1_2_strict	TLSv1.2	ECDHE-ECDSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES128-SHA256 ECDHE-ECDSA-AES256-SHA384 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES256-SHA384 ECDHE-ECDSA-AES128-SHA ECDHE-ECDSA-AES256-SHA ECDHE-RSA-AES128-SHA ECDHE-RSA-AES256-SHA
tls_cipher_policy_1_2_strict_with_1_3	TLSv1.2 TLSv1.3	TLS_AES_128_GCM_SHA256 TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_CCM_SHA256 TLS_AES_128_CCM_8_SHA256 ECDHE-ECDSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES128-SHA256 ECDHE-ECDSA-AES256-SHA384 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES256-SHA384 ECDHE-ECDSA-AES128-SHA ECDHE-ECDSA-AES256-SHA ECDHE-RSA-AES128-SHA ECDHE-RSA-AES256-SHA

系统默认策略差异对比

下表中，✔表示支持，-表示不支持。

安全策略		tls_cipher_policy_1_0	tls_cipher_policy_1_1	tls_cipher_policy_1_2	tls_cipher_policy_1_2_strict	tls_cipher_policy_1_2_strict_with_1_3
TLS	v1.0	✔	-	-	-	-
	v1.1	✔	✔	-	-	-
	v1.2	✔	✔	✔	✔	✔
	v1.3	-	-	-	-	✔
CIPHER	ECDHE-ECDSA-AES128-GCM-SHA256	✔	✔	✔	✔	✔
	ECDHE-ECDSA-AES256-GCM-SHA384	✔	✔	✔	✔	✔
	ECDHE-ECDSA-AES128-SHA256	✔	✔	✔	✔	✔
	ECDHE-ECDSA-AES256-SHA384	✔	✔	✔	✔	✔
	ECDHE-RSA-AES128-GCM-SHA256	✔	✔	✔	✔	✔
	ECDHE-RSA-AES256-GCM-SHA384	✔	✔	✔	✔	✔
	ECDHE-RSA-AES128-SHA256	✔	✔	✔	✔	✔
	ECDHE-RSA-AES256-SHA384	✔	✔	✔	✔	✔
	AES128-GCM-SHA256	✔	✔	✔	-	-
	AES256-GCM-SHA384	✔	✔	✔	-	-
	AES128-SHA256	✔	✔	✔	-	-
	AES256-SHA256	✔	✔	✔	-	-
	ECDHE-ECDSA-AES128-SHA	✔	✔	✔	✔	✔
	ECDHE-ECDSA-AES256-SHA	✔	✔	✔	✔	✔
	ECDHE-RSA-AES128-SHA	✔	✔	✔	✔	✔
	ECDHE-RSA-AES256-SHA	✔	✔	✔	✔	✔
	AES128-SHA	✔	✔	✔	-	-
	AES256-SHA	✔	✔	✔	-	-
	DES-CBC3-SHA	✔	✔	✔	-	-
	TLS_AES_128_GCM_SHA256	-	-	-	-	✔
	TLS_AES_256_GCM_SHA384	-	-	-	-	✔
	TLS_CHACHA20_POLY1305_SHA256	-	-	-	-	✔
	TLS_AES_128_CCM_SHA256	-	-	-	-	✔
	TLS_AES_128_CCM_8_SHA256	-	-	-	-	✔

自定义策略

什么时候使用自定义策略

ALB预置了部分常用的TLS安全策略以满足通用需求，但当您有特定的安全或合规需求时，例如需要仅支持特定版本的TLS协议、禁用某些加密算法套件等，您可在ALB中自定义TLS安全策略并配置到监听中，从而进一步提升业务的安全性。

使用限制

基础版ALB实例不支持自定义策略。
标准版、WAF增强版ALB实例仅HTTPS监听模式下支持自定义策略。

如何配置自定义策略

完成以下操作，创建自定义策略。

登录应用型负载均衡ALB控制台。
在左侧导航栏，选择应用型负载均衡ALB > TLS安全策略。
在TLS安全策略页面，单击自定义策略页签下的创建自定义策略。

在创建TLS安全策略对话框中，完成以下参数配置（本文仅给出强相关配置参数信息，其他参数可保持默认值或根据实际情况修改）。配置完成后单击新建。

配置	说明
名称	输入自定义策略名称。
选择最低版本	选择最低TLS安全策略版本： TLS 1.0及以上 TLS 1.1及以上 TLS 1.2及以上
启用TLS 1.3版本	选择是否启用TLS 1.3版本。重要如果启用TLS 1.3版本，请至少选择一个TLS 1.3的加密算法套件，否则可能无法成功建立连接。
选择加密算法套件	选择TLS版本支持的加密算法套件。

自定义策略创建完成后，需要在创建HTTPS监听时的配置SSL证书步骤使用，具体细节可参考添加HTTPS监听。