本主题介绍了安全相关详细信息。 后续主题 NSX Advanced Load Balancer 安全性概览本节重点介绍了 NSX Advanced Load Balancer 服务引擎和控制器的安全性。 SSL 证书NSX Advanced Load Balancer 支持在虚拟服务中终止客户端 SSL 和 TLS 连接,这要求它向客户端发送证书,以对站点进行身份验证并建立安全通信。 SSL 的多级域支持NSX Advanced Load Balancer SSL 支持包括多级域名支持。多级域支持允许为池配置包含多个域名的列表,以验证服务器证书。在后端服务器和服务引擎 (SE) 之间建立 SSL 会话期间,NSX Advanced Load Balancer 检查服务器证书是否包含池中列出的域名。如果在证书中找到任何域名,则允许 SSL 会话。不过,如果后端服务器提供的证书不包含池中列出的任何域名,则不允许 SSL 会话。 将 Let's Encrypt 证书颁发机构与 NSX Advanced Load Balancer 系统集成Let’s Encrypt 是免费、自动化(自动颁发和续订证书)和开放的证书颁发机构。本节详细阐述了将 Let's Encrypt 与 NSX Advanced Load Balancer 集成在一起的配置摘要。 NSX Advanced Load Balancer 中的 OCSP 装订联机证书状态协议 (Online Certificate Status Protocol, OCSP) 装订是 OCSP 协议的扩展。可以使用 OCSP 装订检查 SSL/TLS 证书的有效性。本节详细介绍了 OCSP 装订。 客户端 SSL 证书验证本文介绍了应用程序配置文件和 PKI 配置文件配置。 基于客户端 IP 的 SSL 配置文件要终止客户端 SSL 连接,必须将 SSL 配置文件和 SSL 证书分配给虚拟服务。通过将多个 SSL 配置文件与单个虚拟服务相关联,NSX Advanced Load Balancer 可以满足客户端社区中更广泛的安全需求,并且它可以允许服务引擎根据客户端的 IP 地址进行选择。 SSL/TLS 配置文件NSX Advanced Load Balancer 支持终止客户端和虚拟服务之间的 SSL 连接以及在 NSX Advanced Load Balancer 和后端服务器之间启用加密。 NSX Advanced Load Balancer 上的应用程序日志中的 SSL 客户端密码NSX Advanced Load Balancer 支持在 NSX Advanced Load Balancer 上的应用程序日志中捕获 SSL 客户端的密码详细信息。它在客户端 Hello SSL 数据包中记录客户端发送的密码。用于与虚拟服务建立 SSL 连接的密码详细信息位于应用程序日志中。 服务器名称指示服务器名称指示 (SNI) 提供了一种方法,为启用了 SSL 的虚拟 IP 虚拟托管多个域名。将为多个虚拟服务通告单个 VIP。在客户端连接到该 VIP 时,只有在客户端通过 TLS Hello 数据包的域字段按名称请求站点时,NSX Advanced Load Balancer 才会开始进行 SSL/TLS 协商并选择虚拟服务或 SSL 证书。如果在虚拟 IP 上配置了请求的域名,则会向客户端返回相应的证书,并将连接绑定到正确的虚拟服务。 L7 安全功能中的真正客户端 IP本节介绍了使用真正的客户端 IP 及其配置的优点。 应用程序传输安全性在 iOS 9 和更高版本中,Apple 规定了最低安全设置以符合其应用程序传输安全性 (App Transport Security, ATS) 标准。要通过 NSX Advanced Load Balancer 为应用程序代理启用该级别的 SSL 安全性,请将以下设置用于 SSL/TLS 证书和 SSL/TLS 配置文件。 Venafi 集成可以设置 NSX Advanced Load Balancer 以与 Venafi Trust Protection Platform™ 集成在一起,以实现 SSL 和 TLS 证书生命周期管理自动化。 所有证书将通过 TPP 进行保护和控制。 该过程对 NSX Advanced Load Balancer Controller 是透明的。 基本身份验证基本身份验证是在基于 HTTP 的服务或 API 中使用最广泛的简单身份验证机制。 OAuth 和 OIDC在传统身份验证方法中,客户端使用用户名和密码进行身份验证以请求服务器上的受保护资源。为了向第三方应用程序提供受限制资源的访问权限,资源所有者与第三方共享其凭据。 在 NTLM 身份验证期间进行负载均衡的要求很多 Microsoft 应用程序(例如 SharePoint 和 Outlook Anywhere)依靠 NTLM 进行会话身份验证。NTLM 对负载均衡具有一些独特的要求,在本主题中介绍了这些要求,并建议了对受影响的应用程序或虚拟服务进行的更改。 NSX Advanced Load Balancer 中的 IPv6 支持随着 IPv6 在传统网络中的兴起,Web 应用程序进行调整以支持 IPv4 和 IPv6 请求。网络基础架构需要能够处理来自基于 IPv4 或 IPv6 的设备的客户端请求。具有服务器负载均衡功能的服务器集群已成为一种非常有前途的技术,可用于构建可扩展的 Web 服务器。 在 NSX Advanced Load Balancer 上的应用程序日志中屏蔽和移除个人身份信息 (PII)NSX Advanced Load Balancer 收集不同类型的日志以排查各种性能或中断问题,改善最终用户体验以及成功运行任何应用程序。在入站客户端请求和后端服务器之间建立连接时,NSX Advanced Load Balancer 控制器 收集 HTTP 请求标头和响应标头信息。
