NSX Advanced Load Balancer 提供了许多可帮助了解 SSL 流量利用率及对 SSL 相关问题进行故障排除的功能。

可见性和安全详细信息



NSX Advanced Load Balancer 为虚拟服务提供了许多有用的数据点和衡量指标。一些功能对于深入了解 SSL 终止过程非常有用。

导航到虚拟服务的安全选项卡,以查看其 SSL 和 DDoS 见解。此页面将突出显示 SSL 配置错误或问题,如 SSL 证书即将过期。它还显示在虚拟服务的运行状况评分中,从而产生安全罚分。理想情况下,安全罚分必须为零,这意味着不会影响虚拟服务的运行状况或造成风险。必须调查和修复非零安全罚分。特定于 SSL 的安全详细信息显示在 SSLSSL 评分部分中。

SSL 分布详细信息



虚拟服务安全选项卡中的 SSL 部分显示选定时间段内与 NSX Advanced Load Balancer 上终止的客户端连接最相关的 SSL 数据。如果未在虚拟服务上执行 SSL 终止,此部分将没有任何数据。

证书

细分客户端在 SSL 会话设置的协商阶段使用的证书类型。可以将虚拟服务配置为接受 RSA 和 EC 证书。NSX Advanced Load Balancer 协商客户端支持的类型,并将 EC 作为支持这两种类型的客户端的首选项。根据客户端协商的密码,可以在有或没有完美前向保密的情况下对 RSA 和 EC 进行协商。

TLS 版本

显示客户端协商的 TLS 版本。尽管 NSX Advanced Load Balancer 支持 TLS,但不支持较旧且安全性较低的 SSLv2 或 SSLv3。

事务

在该时间段内协商的新连接的平均每秒事务数 (TPS)。此衡量指标包括新事务和重用的事务。此衡量指标可通过边栏磁贴 SSL 部分中的事务衡量指标磁贴进一步细分,从而进一步细分此数字。

失败的事务

不成功的事务数。通常,由于客户端终止了中游协商,或者客户端和 NSX Advanced Load Balancer 无法就相互支持的密码或 TLS 版本达成一致,事务可能会失败。要查看单个失败的事务,请访问虚拟服务的日志页面。

SSL 分数



虚拟服务安全选项卡中的 SSL 评分部分显示影响 SSL 评分罚分的主要因素。在虚拟服务运行状况评分中查看时,此处的任何罚分将乘以 5。例如,如果站点不使用可信证书,则本地罚分为 4。这会对虚拟服务运行状况分数产生 20 分的安全罚分。

PFS 支持

如果未在虚拟服务的 SSL 配置文件中启用支持 PFS 的密码,则会降低虚拟服务的安全分数,从而对虚拟服务的安全分数产生负面影响。

SSL 协议强度

如果启用了不安全的 SSL/TLS 版本,则降低评分。

最弱加密算法

如果在 SSL 配置文件中启用了弱加密算法,则降低评分。有关弱加密算法如何影响运行状况评分的更多详细信息,请参阅 SSL 配置文件的安全分数。

对称加密密码强度

如果密码套件使用的加密算法被 NSX Advanced Load Balancer 视为不安全,则降低评分。

证书过期时间

如果证书即将过期或已过期,则降低评分。

签名算法

如果在虚拟服务的 SSL 配置文件中启用了弱哈希算法(如 md5 或 SHA1),则降低评分。

禁用客户端重新协商

最佳做法是,NSX Advanced Load Balancer 关闭客户端 SSL 重新协商。此字段不可配置,因此不会影响安全分数。

受信任的 CA 证书

如果虚拟服务使用自签名证书,则降低评分。

DDoS 见解

默认安全页面右侧的 DDoS 部分将虚拟服务的分布式拒绝服务数据拆分为最相关的第 4 层和第 7 层攻击数据。



L4 攻击

每秒的网络攻击次数,例如 IP 分片攻击或 TCP SYN 泛洪。对于此处显示的示例,每个未确认的 SYN 计为一次攻击。(这是 TCP SYN 泛洪攻击的典型特征,大量 SYN 请求后面没有预期的 ACK 以完成会话设置。)

L7 攻击

每秒的应用程序攻击次数,例如 HTTP SlowLoris 攻击或请求泛洪。对于此处显示的示例,每个超过配置的请求限制的请求计为一次攻击。(请参阅应用程序配置文件的 DDoS 选项卡以配置自定义 L7 攻击限制。)

攻击持续时间

发生攻击的时间长度。

阻止的连接

如果阻止了攻击,这是阻止的连接尝试次数。

攻击次数

显示在图表中绘制的攻击随时间的变化情况。

应用程序日志

导航到虚拟服务的日志选项卡,以查看各个连接和请求的详细信息。NSX Advanced Load Balancer 捕获许多衡量指标,包括一些未在 UI 中显示的衡量指标,例如密码。如果需要,可导出日志或筛选其他衡量指标。

  • 版本

  • 证书类型

  • 密码

  • PFS

  • SSL 会话 ID/TLS 票证

日志分析磁贴中,单击 SSL 磁贴以查看所选日志的 SSL 数据摘要。

SSL 密码

导航到模板 > 安全 > SSL 配置文件,以查看指示密码的性能、兼容性和安全性及其顺序的基本评级系统。评级是一种可快速评估密码设置结果的简单方法。

SSL 证书

导航到模板 > 安全 > SSL/TLS 证书,以显示所有可用的证书。此视图细分了证书的类型,并提供了一个简单的颜色代码来指示状态。例如,如果证书即将过期,则证书将变为黄色,过期后会变为红色。还可以查看证书链问题。

故障排除

本主题中提到的工具对常见 SSL 相关问题进行故障排除非常有用。一些常见问题包括:

  • 证书到期日期

证书过期后,虚拟服务将受到安全处罚。此信息显示在虚拟服务的安全页面和 SSL/TLS 证书页面中。有关启用主动证书过期通知的详细信息,请参阅《VMware NSX Advanced Load Balancer 配置指南》中的“SSL 证书过期通知”主题。

  • 与 SSL 版本相关的威胁

SSL 和 TLS 的新漏洞会定期公布,例如 Heartbleed 和 Drown 攻击。其中许多漏洞以旧版本的 SSL 为目标,这些版本未在 NSX Advanced Load Balancer 上启用。要禁用其他版本(如 TLS 1.0),请导航到 SSL 配置文件并进行更改。了解更改对现有用户的影响同样重要。您可以查看安全详细信息日志 页面,了解通过 TLS 1.0 协商的用户数量、他们使用的浏览器版本,以及这些浏览器是否支持较新版本的 SSL/TLS 的信息。

  • 不兼容的密码

许多问题可能会导致此错误。将捕获虚拟服务日志以确定是否存在任何可能的 SSL 不兼容情况。此错误的一个常见原因是,将仅启用 EC 密码的 SSL 配置文件应用于配置了 RSA 证书的虚拟服务。