操作场景
对于银行,金融类加密传输的应用 ,在创建和配置HTTPS监听器时,您可以选择使用 安全策略,可以提高您的业务安全性。安全策略包含TLS协议版本和配套的加密算法套 件。您可以选择默认安全策略,或创建自定义安全策略。
说明
如果您要创建/使用“自定义安全策略”,请进入至ELB服务控制台后,单击页面左下角的“体 验新版”。目前新版控制台在公测中,待公测结束后即可正常使用。
添加安全策略
tls-1-0 支持TLS 1.0、TLS 1.1、TLS 1.2版本
● ECDHE-RSA-AES256-GCM-SHA384
● ECDHE-RSA-AES128-GCM-SHA256
● ECDHE-ECDSA-AES256-GCM-SHA384
● ECDHE-ECDSA-AES128-GCM-SHA256
● AES128-GCM-SHA256
● AES256-GCM-SHA384
● ECDHE-ECDSA-AES128-SHA256
● ECDHE-RSA-AES128-SHA256
● AES128-SHA256
● AES256-SHA256
● ECDHE-ECDSA-AES256-SHA384
● ECDHE-RSA-AES256-SHA384
● ECDHE-ECDSA-AES128-SHA
● ECDHE-RSA-AES128-SHA
● ECDHE-RSA-AES256-SHA
● ECDHE-ECDSA-AES256-SHA
● AES128-SHA
● AES256-SHA tls-1-1 支持TLS
1.1、TLS 1.2版本
tls-1-2 支持TLS 1.2版本
版本类型
tls-1-0-inherit 支持TLS 1.0、TLS 1.1、TLS 1.2版本
● ECDHE-RSA-AES256-GCM-SHA384
● ECDHE-RSA-AES128-GCM-SHA256
● ECDHE-ECDSA-AES256-GCM-SHA384
● ECDHE-ECDSA-AES128-GCM-SHA256
● AES128-GCM-SHA256
● AES256-GCM-SHA384
● ECDHE-ECDSA-AES128-SHA256
● ECDHE-RSA-AES128-SHA256
● AES128-SHA256
● AES256-SHA256
● ECDHE-ECDSA-AES256-SHA384
● ECDHE-RSA-AES256-SHA384
● ECDHE-ECDSA-AES128-SHA
● ECDHE-RSA-AES128-SHA
● DHE-RSA-AES128-SHA
● ECDHE-RSA-AES256-SHA
● ECDHE-ECDSA-AES256-SHA
● AES128-SHA
● AES256-SHA
● DHE-DSS-AES128-SHA
● CAMELLIA128-SHA
● EDH-RSA-DES-CBC3-SHA
● DES-CBC3-SHA
● ECDHE-RSA-RC4-SHA
● RC4-SHA
● DHE-RSA-AES256-SHA
● DHE-DSS-AES256-SHA
● DHE-RSA-CAMELLIA256-SHA
名称 说明 支持的TLS 版本类型
使用的加密套件列表
tls-1-2-Strict 支持TLS 1.2版本 与相关 加密套 件,兼 容性一 般,安 全性 高。
TLS 1.2 ● ECDHE-RSA-AES256-GCM-SHA384
● ECDHE-RSA-AES128-GCM-SHA256
● ECDHE-ECDSA-AES256-GCM-SHA384
● ECDHE-ECDSA-AES128-GCM-SHA256
● AES128-GCM-SHA256
● AES256-GCM-SHA384
● ECDHE-ECDSA-AES128-SHA256
● ECDHE-RSA-AES128-SHA256
● AES128-SHA256
● AES256-SHA256
● ECDHE-ECDSA-AES256-SHA384
● ECDHE-RSA-AES256-SHA384
版本类型
tls-1-0-with-1-3
(独享型实 例)
支持TLS 1.0及以
● ECDHE-RSA-AES256-GCM-SHA384
● ECDHE-RSA-AES128-GCM-SHA256
● ECDHE-ECDSA-AES256-GCM-SHA384
● ECDHE-ECDSA-AES128-GCM-SHA256
● AES128-GCM-SHA256
● AES256-GCM-SHA384
● ECDHE-ECDSA-AES128-SHA256
● ECDHE-RSA-AES128-SHA256
● AES128-SHA256
● AES256-SHA256
● ECDHE-ECDSA-AES256-SHA384
● ECDHE-RSA-AES256-SHA384
● ECDHE-ECDSA-AES128-SHA
● ECDHE-RSA-AES128-SHA
● ECDHE-RSA-AES256-SHA
● ECDHE-ECDSA-AES256-SHA
● AES128-SHA
● AES256-SHA
● TLS_AES_128_GCM_SHA256
● TLS_AES_256_GCM_SHA384
● TLS_CHACHA20_POLY1305_SHA2 56
● TLS_AES_128_CCM_SHA256
● TLS_AES_128_CCM_8_SHA256
名称 说明 支持的TLS 版本类型
使用的加密套件列表
tls-1-2-fs-with-1-3
(独享型实 例)
支持TLS 1.2及以
● ECDHE-RSA-AES256-GCM-SHA384
● ECDHE-RSA-AES128-GCM-SHA256
● ECDHE-ECDSA-AES256-GCM-SHA384
● ECDHE-ECDSA-AES128-GCM-SHA256
● ECDHE-ECDSA-AES128-SHA256
● ECDHE-RSA-AES128-SHA256
● ECDHE-ECDSA-AES256-SHA384
● ECDHE-RSA-AES256-SHA384
● TLS_AES_128_GCM_SHA256
● TLS_AES_256_GCM_SHA384
● TLS_CHACHA20_POLY1305_SHA2 56
● TLS_AES_128_CCM_SHA256
● TLS_AES_128_CCM_8_SHA256 tls-1-2-fs
(独享型实 例)
支持TLS 1.2版本
TLS 1.2 ● ECDHE-RSA-AES256-GCM-SHA384
● ECDHE-RSA-AES128-GCM-SHA256
● ECDHE-ECDSA-AES256-GCM-SHA384
● ECDHE-ECDSA-AES128-GCM-SHA256
● ECDHE-ECDSA-AES128-SHA256
● ECDHE-RSA-AES128-SHA256
● ECDHE-ECDSA-AES256-SHA384
● ECDHE-RSA-AES256-SHA384
版本类型
hybrid-policy-1-0 支持TLS 1.1、TLS 1.2版本
● ECDHE-RSA-AES256-GCM-SHA384
● ECDHE-RSA-AES128-GCM-SHA256
● ECDHE-ECDSA-AES256-GCM-SHA384
● ECDHE-ECDSA-AES128-GCM-SHA256
● AES128-GCM-SHA256
● AES256-GCM-SHA384
● ECDHE-ECDSA-AES128-SHA256
● ECDHE-RSA-AES128-SHA256
● AES128-SHA256
● AES256-SHA256
● ECDHE-ECDSA-AES256-SHA384
● ECDHE-RSA-AES256-SHA384
● ECDHE-ECDSA-AES128-SHA
● ECDHE-RSA-AES128-SHA
● ECDHE-RSA-AES256-SHA
● ECDHE-ECDSA-AES256-SHA
● AES128-SHA
● AES256-SHA
● ECC-SM4-SM3
● ECDHE-SM4-SM3
说明
● 安全策略“tls-1-0-with-1-3”、“tls-1-2-fs-with-1-3”、“tls-1-2-fs”目前仅支持独 享型实例。
● 目前,独享型负载均衡安全策略最高支持TLS 1.3协议,共享型负载均衡安全策略最高 支持TLS 1.2协议。
● 上述列表为ELB支持的加密套件,同时客户端也支持多个加密套件,这样在实际使用 时,加密套件的选择范围为:ELB和客户端支持的加密套件的交集,加密套件的选择顺 序为:ELB支持的加密套件顺序。
7. 配置完成,单击“确定”。
安全策略差异说明
erittls- 1-2-stric t
tls-1-0- with-1-3
tls-1- 2-fs- with-1-3
tls- 1-2-fs
hybrid - policy-1-0 TLS 协议
Protocol-TLS
1.3 - - - √ √ √
-Protocol-TLS
1.2 √ √ √ √ √ √ √ √ √
Protocol-TLS
1.1 √ √ - √ - √ - - √
Protocol-TLS
1.0 √ - - √ - √ - -
-加密套件 EDHE-RSA- AES128-GCM-SHA256
√ √ √ - √ - - -
- ECDHE-RSA- AES256-GCM-SHA384
√ √ √ √ √ √ √ √ √
ECDHE-RSA- AES128-SHA256
√ √ √ √ √ √ √ √ √
ECDHE-RSA- AES256-SHA384
√ √ √ √ √ √ √ √ √
AES128-GCM-SHA256 √ √ √ √ √ √ - - √
AES256-GCM-SHA384 √ √ √ √ √ √ - - √
AES128-SHA256 √ √ √ √ √ √ - - √
AES256-SHA256 √ √ √ √ √ √ - - √
ECDHE-RSA-AES128-SHA √ √ √ √ - √ - - √
1-0 1-1 1-2 1-0-inherit
1-2-stric t
0- with-1-3
2-fs- with-1-3
1-2-fs - policy-1-0
ECDHE-RSA-AES256-SHA √ √ √ √ - √ - - √ AES128-SHA √ √ √ √ - √ - - √ AES256-SHA √ √ √ √ - √ - - √
ECDHE- ECDSA- AES128-GCM-SHA256
√ √ √ √ √ √ √ √ √
ECDHE- ECDSA- AES128-SHA256
√ √ √ √ √ √ √ √ √
ECDHE- ECDSA-AES128-SHA
√ √ √ √ - √ - - √
ECDHE- ECDSA- AES256-GCM-SHA384
√ √ √ √ √ √ √ √ √
ECDHE- ECDSA- AES256-SHA384
√ √ √ √ √ √ √ √ √
ECDHE- ECDSA-AES256-SHA
√ √ √ √ - √ - - √
ECDHE-RSA- AES128-GCM-SHA256
- - - √ - √ √ √ √
TLS_AES_256_
GCM_SHA384 - - - √ √ √ -TLS_CHACHA2
0_POLY1305_S HA256
- - - √ √ √
-TLS_AES_128_
GCM_SHA256 - - - √ √ √
-安全策略 tls-1-0
tls-1-1 tls-1-2
tls-1-0-inh erit
tls- 1-2-stric t
tls-1-0- with-1-3
tls-1- 2-fs- with-1-3
tls- 1-2-fs
hybrid - policy-1-0 TLS_AES_128_
CCM_8_SHA25 6
- - - √ √ √
-TLS_AES_128_
CCM_SHA256 - - - √ √ √ -
DHE-RSA-AES128-SHA - - - √ - - - - -
DHE-DSS-AES128-SHA - - - √ - - - - -CAMELLIA128
-SHA - - - √ - - - -
- EDH-RSA- DES-CBC3-SHA
- - - √ - - - -
-
DES-CBC3-SHA - - - √ - - - -
-
ECDHE-RSA-RC4-SHA - - - √ - - - -
-RC4-SHA - - - √ - - - -
-
DHE-RSA-AES256-SHA - - - √ - - - - -
DHE-DSS-AES256-SHA - - - √ - - - - -
DHE-RSA-CAMELLIA256 -SHA
- - - √ - - - -
-ECC-SM4-SM3 - - - √
ECDHE-SM4-SM3 - - - √
创建自定义策略
1. 登录管理控制台。
2. 在管理控制台左上角单击 图标,选择区域和项目。
3. 单击页面左上角的 ,选择“网络 > 弹性负载均衡”。
5. 在TLS安全策略页面,单击页面右上角的“创建自定义策略”。
6. 配置自定义策略参数,参数说明参见表3-10。
表3-10 自定义策略参数说明
参数 说明 样例
名称 自定义策略的名称。 tls-test
选择协议版
本 自定义策略支持的TLS协议版本类型。支持选择 多个协议版本。
包含:
● TLS 1.0
● TLS 1.1
● TLS 1.2
● TLS 1.3
-选择加密算 法套件
选择与协议版本配套的加密算法套件。支持选择
多个加密算法套件。
-描述 自定义策略相关信息的描述说明。
-7. 确认参数配置,单击“确定”。
修改安全策略
修改安全策略时,后端服务器需要放通安全组,放开对ELB健康检查的限制
(100.125IP的限制,UDP健康检查icmp报文的限制等),否则后端健康检查没上线,
会影响业务。
1. 登录管理控制台。
2. 在管理控制台左上角单击 图标,选择区域和项目。
3. 单击页面左上角的 ,选择“网络 > 弹性负载均衡”。
4. 在“负载均衡器”界面,单击需要修改安全策略的监听器的负载均衡器名称。
5. 单击需要修改安全策略的监听器名称右侧的 。
6. 在“修改监听器”界面,展开高级配置,选择安全策略参数。
7. 单击“确认”。