全部產品
Search

搜尋本產品

    Server Load Balancer:TLS安全性原則

    文件中心

    Server Load Balancer:TLS安全性原則

    更新時間:Mar 28, 2026

    為NLB配置TCPSSL監聽時,TLS安全性原則決定了NLB與用戶端進行TLS協商時支援的TLS協議版本和密碼編譯演算法套件。NLB預置了部分常用的系統預設策略供使用者直接選擇。對於有定製安全性原則的特定需求情境,可以使用自訂TLS安全性原則。

    工作原理

    TLS安全性原則配置在NLB側,用於定義其在TLS協商中支援的TLS協議版本和密碼編譯演算法套件。在握手過程中,用戶端通過Client Hello發送支援的協議版本和加密套件列表,NLB根據策略從列表中選擇雙方都支援的協議版本和加密套件組合并以Server Hello響應,後續步驟(如金鑰交換、工作階段金鑰產生)均基於此方案進行。

    系統預設策略

    策略詳情

    策略名稱稱

    tls_cipher_policy_1_0

    tls_cipher_policy_1_1

    tls_cipher_policy_1_2

    tls_cipher_policy_1_2_strict

    tls_cipher_policy_1_2_strict_with_1_3

    TLS協議版本

    v1.0

    支援

    不支援

    不支援

    不支援

    不支援

    v1.1

    支援

    支援

    不支援

    不支援

    不支援

    v1.2

    支援

    支援

    支援

    支援

    支援

    v1.3

    不支援

    不支援

    不支援

    不支援

    支援

    密碼編譯演算法套件

    ECDHE-ECDSA-AES128-GCM-SHA256

    支援

    支援

    支援

    支援

    支援

    ECDHE-ECDSA-AES256-GCM-SHA384

    支援

    支援

    支援

    支援

    支援

    ECDHE-ECDSA-AES128-SHA256

    支援

    支援

    支援

    支援

    支援

    ECDHE-ECDSA-AES256-SHA384

    支援

    支援

    支援

    支援

    支援

    ECDHE-RSA-AES128-GCM-SHA256

    支援

    支援

    支援

    支援

    支援

    ECDHE-RSA-AES256-GCM-SHA384

    支援

    支援

    支援

    支援

    支援

    ECDHE-RSA-AES128-SHA256

    支援

    支援

    支援

    支援

    支援

    ECDHE-RSA-AES256-SHA384

    支援

    支援

    支援

    支援

    支援

    AES128-GCM-SHA256

    支援

    支援

    支援

    不支援

    不支援

    AES256-GCM-SHA384

    支援

    支援

    支援

    不支援

    不支援

    AES128-SHA256

    支援

    支援

    支援

    不支援

    不支援

    AES256-SHA256

    支援

    支援

    支援

    不支援

    不支援

    ECDHE-ECDSA-AES128-SHA

    支援

    支援

    支援

    支援

    支援

    ECDHE-ECDSA-AES256-SHA

    支援

    支援

    支援

    支援

    支援

    ECDHE-RSA-AES128-SHA

    支援

    支援

    支援

    支援

    支援

    ECDHE-RSA-AES256-SHA

    支援

    支援

    支援

    支援

    支援

    AES128-SHA

    支援

    支援

    支援

    不支援

    不支援

    AES256-SHA

    支援

    支援

    支援

    不支援

    不支援

    DES-CBC3-SHA

    支援

    支援

    支援

    不支援

    不支援

    TLS_AES_128_GCM_SHA256

    不支援

    不支援

    不支援

    不支援

    支援

    TLS_AES_256_GCM_SHA384

    不支援

    不支援

    不支援

    不支援

    支援

    TLS_CHACHA20_POLY1305_SHA256

    不支援

    不支援

    不支援

    不支援

    支援

    TLS_AES_128_CCM_SHA256

    不支援

    不支援

    不支援

    不支援

    支援

    TLS_AES_128_CCM_8_SHA256

    不支援

    不支援

    不支援

    不支援

    支援

    ECDHE-ECDSA-CHACHA20-POLY1305

    不支援

    不支援

    不支援

    不支援

    不支援

    ECDHE-RSA-CHACHA20-POLY1305

    不支援

    不支援

    不支援

    不支援

    不支援

    對於面向公網且無特殊相容性要求的應用,建議使用 tls_cipher_policy_1_2 及以上策略。

    控制台

    前往NLB控制台的TLS安全性原則頁面,在系統預設策略頁簽查看策略的詳細資料。

    API

    調用ListSystemSecurityPolicy介面查詢系統預設策略。

    自訂策略

    建立自訂策略

    控制台

    1. 前往NLB控制台的TLS安全性原則頁面,選擇NLB執行個體所在地區。

    2. 單擊建立自訂策略,參考以下資訊進行配置,配置完成後單擊建立

      • 選擇最低版本 :如業務無特殊相容性要求,建議選擇 TLS 1.2及以上 保障安全性。

      • 啟用TLS 1.3版本 :為保障網路通訊的安全性與效率,建議在業務相容的前提下啟用。

      • 選擇密碼編譯演算法套件:需要與TLS協議版本匹配。

    3. 建立完成後,即可在為監聽配置TLS安全性原則中選擇該自訂策略。

    API

    調用CreateSecurityPolicy建立自訂策略。注意自訂策略的地區必須與NLB執行個體的地區保持一致。

    更新自訂策略屬性

    控制台

    1. 前往NLB控制台的TLS安全性原則頁面,選擇自訂策略的地區。

    2. 找到目標自訂策略,單擊 操作 列的 編輯 ,在編輯TLS安全性原則對話方塊更新TLS協議版本或密碼編譯演算法套件。

    API

    調用UpdateSecurityPolicyAttribute更新自訂策略屬性。

    複製自訂策略到其他地區

    控制台

    1. 前往NLB控制台的TLS安全性原則頁面,選擇自訂策略的地區。

    2. 找到目標自訂策略,單擊操作 列的複製到其他地區,選擇目標地區並確定

    API

    調用ListSecurityPolicy擷取自訂策略的TlsVersionCiphers等參數,在調用CreateSecurityPolicy建立自訂策略時傳入,注意RegionId欄位傳入目標地區ID。

    刪除自訂策略

    若自訂策略已被監聽使用,請先修改監聽的TLS安全性原則或刪除監聽,方可刪除自訂策略。

    控制台

    1. 前往NLB控制台的TLS安全性原則頁面,選擇自訂策略的地區。

    2. 找到目標自訂策略,單擊操作列的刪除確定

    API

    調用DeleteSecurityPolicy刪除自訂策略。

    為監聽配置TLS安全性原則

    控制台

    API

    調用CreateListener建立TCPSSL監聽或調用UpdateListenerAttribute更新TCPSSL監聽配置時,SecurityPolicyId欄位傳入TLS安全性原則。

    計費說明

    TLS安全性原則本身不產生任何費用。購買和使用NLB執行個體將產生費用,詳見NLB計費規則

    應用於生產環境

    • 後端流量安全:用戶端與NLB之間流量進行TCPSSL加密,但NLB與後端伺服器之間的流量預設是明文的。為確保端到端安全,應將NLB和後端伺服器部署在同一 VPC 內,並通過安全性群組等策略嚴格限制訪問。

    • TLS協議版本:如應用無特殊相容性要求,建議使用TLS 1.2和TLS 1.3保障安全性。

    • 變更復原:調整TLS安全性原則後,若出現異常,可立即通過修改監聽配置復原。建議在業務低峰期進行變更。

    • 金鑰交換演算法:如應用無特殊相容性要求,生產環境不建議使用以下RSA金鑰交換演算法套件:AES128-GCM-SHA256AES256-GCM-SHA384AES128-SHA256AES256-SHA256AES128-SHAAES256-SHADES-CBC3-SHA。此類套件不支援前向保密(PFS),且存在側通道攻擊風險。建議優先選擇包含ECDHE或DHE金鑰交換的套件。

    TLS密碼編譯演算法套件名稱對照表

    下表提供了各密碼編譯演算法套件在OpenSSL格式、IANA標準格式和十六進位之間的對照關係。

    對照表詳情

    OpenSSL格式

    IANA標準格式

    十六進位

    ECDHE-ECDSA-AES128-GCM-SHA256

    TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

    0xC02B

    ECDHE-ECDSA-AES256-GCM-SHA384

    TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

    0xC02C

    ECDHE-ECDSA-AES128-SHA256

    TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256

    0xC023

    ECDHE-ECDSA-AES256-SHA384

    TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384

    0xC024

    ECDHE-RSA-AES128-GCM-SHA256

    TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

    0xC02F

    ECDHE-RSA-AES256-GCM-SHA384

    TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

    0xC030

    ECDHE-RSA-AES128-SHA256

    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

    0xC027

    ECDHE-RSA-AES256-SHA384

    TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

    0xC028

    AES128-GCM-SHA256

    TLS_RSA_WITH_AES_128_GCM_SHA256

    0x009C

    AES256-GCM-SHA384

    TLS_RSA_WITH_AES_256_GCM_SHA384

    0x009D

    AES128-SHA256

    TLS_RSA_WITH_AES_128_CBC_SHA256

    0x003C

    AES256-SHA256

    TLS_RSA_WITH_AES_256_CBC_SHA256

    0x003D

    ECDHE-ECDSA-AES128-SHA

    TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA

    0xC009

    ECDHE-ECDSA-AES256-SHA

    TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

    0xC00A

    ECDHE-RSA-AES128-SHA

    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

    0xC013

    ECDHE-RSA-AES256-SHA

    TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

    0xC014

    AES128-SHA

    TLS_RSA_WITH_AES_128_CBC_SHA

    0x002F

    AES256-SHA

    TLS_RSA_WITH_AES_256_CBC_SHA

    0x0035

    DES-CBC3-SHA

    TLS_RSA_WITH_3DES_EDE_CBC_SHA

    0x000A

    TLS_AES_256_GCM_SHA384

    TLS_AES_256_GCM_SHA384

    0x1302

    TLS_CHACHA20_POLY1305_SHA256

    TLS_CHACHA20_POLY1305_SHA256

    0x1303

    TLS_AES_128_CCM_SHA256

    TLS_AES_128_CCM_SHA256

    0x1304

    TLS_AES_128_CCM_8_SHA256

    TLS_AES_128_CCM_8_SHA256

    0x1305