操作场景:
安全传输层协议(TLS)用于在两个通信应用程序之间提供保密性和数据完整性,您可以在创建和修改HTTPS监听时,配置选择TLS安全策略,提高应用的安全性。仅部分集群模式资源池的性能保障型负载均衡实例支持设置安全策略,主备模式资源池以及经典型负载均衡不支持设置,主备、集群模式资源池列表见 产品简介>产品类型和规格, 实际情况以控制台展现为准。
操作步骤:
添加HTTPS监听器时配置安全策略
具体操作如下:
1.登录弹性负载均衡控制台。
2.在顶部左侧选择弹性负载均衡所属区域。
3.选择以下一种方法打开监听器配置向导。
- 在负载均衡器列表页面,找到目标实例,在操作列单击“监听器配置向导”。
- 在ip类型/监听器端口/健康检查/服务器组列下方单击“开始配置”。
- 在负载均衡器列表页面,找到目标实例,单击实例名称进入实例详情页,单击“添加监听器”。
4.在高级配置中可见安全策略选择,默认选中策略为“TLS-policy-1-2”,可以根据实际应用需要选择不同策略。可选策略如下:
| 安全策略名称 | 支持TLS版本 | 支持加密算法套件 | 说明 |
|---|---|---|---|
| TLS-policy-1-0-with-1-3 | TLS v1.0/TLS v1.1/TLS v1.2//TLSv1.3 | ECDHE-ECDSA-CHACHA20-POLY1305、ECDHE-RSA-CHACHA20-POLY1305、ECDHE-ECDSA-AES128-GCM-SHA256、ECDHE-RSA-AES128-GCM-SHA256、ECDHE-ECDSA-AES256-GCM-SHA384、ECDHE-RSA-AES256-GCM-SHA384、ECDHE-ECDSA-AES128-SHA256、ECDHE-RSA-AES128-SHA256、ECDHE-ECDSA-AES128-SHA、ECDHE-RSA-AES256-SHA384、ECDHE-RSA-AES128-SHA、ECDHE-ECDSA-AES256-SHA384、ECDHE-ECDSA-AES256-SHA、ECDHE-RSA-AES256-SHA、ECDHE-ECDSA-DES-CBC3-SHA、ECDHE-RSA-DES-CBC3-SHA、AES128-GCM-SHA256、AES256-GCM-SHA384、AES128-SHA256、AES256-SHA256、AES128-SHA:AES256-SHA、DES-CBC3-SHA | 支持TLS1.0、TLS1.1、TLS1.2、TLS1.3版本与相关加密套件,兼容性好,安全性低。当前安全策略包含低于TLS 1.2版本的协议,存在安全风险,建议选择高版本安全策略。 |
| TLS-policy-1-0 | TLS v1.0/TLS v1.1/TLS v1.2 | ECDHE-ECDSA-AES128-GCM-SHA256、ECDHE-ECDSA-AES256-GCM-SHA384、ECDHE-ECDSA-AES128-SHA256、ECDHE-ECDSA-AES256-SHA384、ECDHE-RSA-AES128-GCM-SHA256、ECDHE-RSA-AES256-GCM-SHA384、ECDHE-RSA-AES128-SHA256、ECDHE-RSA-AES256-SHA384、AES128-GCM-SHA256、AES256-GCM-SHA384、AES128-SHA256、AES256-SHA256、ECDHE-ECDSA-AES128-SHA、ECDHE-ECDSA-AES256-SHA、ECDHE-RSA-AES128-SHA、ECDHE-RSA-AES256-SHA、AES128-SHA、AES256-SHA、DES-CBC3-SHA | 支持TLS1.0、TLS1.1、TLS1.2版本与相关加密套件,兼容性好,安全性低。当前安全策略包含低于TLS 1.2版本的协议,存在安全风险,建议选择高版本安全策略。 |
| TLS-policy-1-1 | TLS v1.1/TLS v1.2 | ECDHE-ECDSA-AES128-GCM-SHA256、ECDHE-ECDSA-AES256-GCM-SHA384、ECDHE-ECDSA-AES128-SHA256、ECDHE-ECDSA-AES256-SHA384、ECDHE-RSA-AES128-GCM-SHA256、ECDHE-RSA-AES256-GCM-SHA384、ECDHE-RSA-AES128-SHA256、ECDHE-RSA-AES256-SHA384、AES128-GCM-SHA256、AES256-GCM-SHA384、AES128-SHA256、AES256-SHA256、ECDHE-ECDSA-AES128-SHA、ECDHE-ECDSA-AES256-SHA、ECDHE-RSA-AES128-SHA、ECDHE-RSA-AES256-SHA、AES128-SHA、AES256-SHA、DES-CBC3-SHA | 支持TLS1.1、TLS1.2版本与相关加密套件,兼容性较好,安全性中。当前安全策略包含低于TLS 1.2版本的协议,存在安全风险,建议选择高版本安全策略。 |
| TLS-policy-1-2 | TLS v1.2 | ECDHE-ECDSA-AES128-GCM-SHA256、ECDHE-ECDSA-AES256-GCM-SHA384、ECDHE-ECDSA-AES128-SHA256、ECDHE-ECDSA-AES256-SHA384、ECDHE-RSA-AES128-GCM-SHA256、ECDHE-RSA-AES256-GCM-SHA384、ECDHE-RSA-AES128-SHA256、ECDHE-RSA-AES256-SHA384、AES128-GCM-SHA256、AES256-GCM-SHA384、AES128-SHA256,AES256-SHA256、ECDHE-ECDSA-AES128-SHA、ECDHE-ECDSA-AES256-SHA、ECDHE-RSA-AES128-SHA、ECDHE-RSA-AES256-SHA、AES128-SHA、AES256-SHA、DES-CBC3-SHA | 支持TLS1.2版本与相关加密套件,兼容性较好,安全性高。 |
| TLS-policy-1-2-Strict | TLS v1.2 | ECDHE-ECDSA-AES128-GCM-SHA256、ECDHE-ECDSA-AES256-GCM-SHA384、ECDHE-ECDSA-AES128-SHA256、ECDHE-ECDSA-AES256-SHA384、ECDHE-RSA-AES128-GCM-SHA256、ECDHE-RSA-AES256-GCM-SHA384、ECDHE-RSA-AES128-SHA256、ECDHE-RSA-AES256-SHA384、ECDHE-ECDSA-AES128-SHA、ECDHE-ECDSA-AES256-SHA、ECDHE-RSA-AES128-SHA、ECDHE-RSA-AES256-SHA | 支持TLS1.2版本与相关加密套件,兼容性一般,安全性高。 |
| TLS-policy-1-2-strict-1.3 | TLSv1.2/TLSv1.3 | TLS_AES_128_GCM_SHA256、TLS_AES_256_GCM_SHA384、TLS_CHACHA20_POLY1305_SHA256、TLS_AES_128_CCM_SHA256、TLS_AES_128_CCM_8_SHA256、ECDHE-ECDSA-AES128-GCM-SHA256、ECDHE-ECDSA-AES256-GCM-SHA384、ECDHE-ECDSA-AES128-SHA256、ECDHE-ECDSA-AES256-SHA384、ECDHE-RSA-AES128-GCM-SHA256、ECDHE-RSA-AES256-GCM-SHA384、ECDHE-RSA-AES128-SHA256、ECDHE-RSA-AES256-SHA384、ECDHE-ECDSA-AES128-SHA、ECDHE-ECDSA-AES256-SHA、ECDHE-RSA-AES128-SHA、ECDHE-RSA-AES256-SHA | 支持TLS1.2和TLS1.3版本与相关加密套件,兼容性较好,安全性很高 |
5.配置其他参数, 添加后端主机组,并配置HTTPS监听器负载方式和健康检查,完成监听创建。详见 添加HTTPS监听器。
修改HTTPS监听器时配置安全策略
具体操作如下:
- 登录天翼云控制中心。
- 选择“网络>弹性负载均衡>负载均衡器”。
- 在顶部左侧选择弹性负载均衡所属区域。
- 单击已创建的负载均衡器实例名称。
- 在该负载均衡界面的“监听器”区域,单击HTTPS监听器所在行的“修改”选项。
- 在“修改监听器”界面高级配置,可查看当前HTTPS监听器的安全策略设置,并根据应用需要修改安全策略。
- 单击“确定”按钮,完成配置。
