NATIVE_NETWORK_ENCRYPTION 選項設定 - Amazon Relational Database Service

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

NATIVE_NETWORK_ENCRYPTION 選項設定

您可以同時在伺服器和用戶端上指定加密需求。例如,當資料庫執行個體使用資料庫連結連線到另一個資料庫時,資料庫執行個體可以充當用戶端。您可能想要避免在伺服器端強制加密。例如,您可能不希望因為伺服器要求而強制所有用戶端通訊使用加密。在這種情況下,您可以使用 SQLNET.*CLIENT 選項,強制在用戶端上執行加密。

Amazon RDS支援 NATIVE_NETWORK_ENCRYPTION選項的下列設定。

注意

當您使用逗號區隔選項設定的值時,請不要在逗號後面加上空格。

選項設定 有效值 預設值 描述

SQLNET.ALLOW_WEAK_CRYPTO_CLIENTS

TRUE, FALSE

TRUE

使用非安全加密的用戶端嘗試連接至資料庫時伺服器的行為。如果 TRUE,即使用戶端未修補 2021 年 7 月 ,也可以連線PSU。

如果設定為 FALSE,用戶端只能在使用 2021 年 7 月 修補時連線到資料庫PSU。在設定 SQLNET.ALLOW_WEAK_CRYPTO_CLIENTSFALSE 之前,請確保滿足以下條件:

  • SQLNET.ENCRYPTION_TYPES_SERVERSQLNET.ENCRYPTION_TYPES_CLIENT 具有一個相符的加密方法,但該方法不是 DES3DESRC4 (所有金鑰長度)。

  • SQLNET.CHECKSUM_TYPES_SERVERSQLNET.CHECKSUM_TYPES_CLIENT 具有一個相符的檢查總和方法,但該方法不是 MD5

  • 用戶端已使用 2021 年 7 月的 進行修補PSU。如果用戶端未修補,則用戶端會失去連線並接收到 ORA-12269 錯誤。

SQLNET.ALLOW_WEAK_CRYPTO

TRUE, FALSE

TRUE

使用非安全加密的用戶端嘗試連接至資料庫時伺服器的行為。以下加密方式被視為不安全:

  • DES 加密方法 (所有金鑰長度)

  • 3DES 加密方法 (所有金鑰長度)

  • RC4 加密方法 (所有金鑰長度)

  • MD5 檢查總和方法

如果設定為 TRUE,用戶端可在使用上述非加密方式時進行連線。

如果設定為 FALSE,當用戶端使用上述非安全加密方式時,資料庫會阻止用戶端連線。在設定 SQLNET.ALLOW_WEAK_CRYPTOFALSE 之前,請確保滿足以下條件:

  • SQLNET.ENCRYPTION_TYPES_SERVERSQLNET.ENCRYPTION_TYPES_CLIENT 具有一個相符的加密方法,但該方法不是 DES3DESRC4 (所有金鑰長度)。

  • SQLNET.CHECKSUM_TYPES_SERVERSQLNET.CHECKSUM_TYPES_CLIENT 具有一個相符的檢查總和方法,但該方法不是 MD5

  • 用戶端已使用 2021 年 7 月的 進行修補PSU。如果用戶端未修補,則用戶端會失去連線並接收到 ORA-12269 錯誤。

SQLNET.CRYPTO_CHECKSUM_CLIENT

Accepted, Rejected, Requested, Required

Requested

資料庫執行個體連線至用戶端或充當用戶端的伺服器時的資料完整性行為。當資料庫執行個體使用資料庫連結時,它會充當用戶端。

Requested 表示用戶端不需要資料庫執行個體執行檢查總和。

SQLNET.CRYPTO_CHECKSUM_SERVER

Accepted, Rejected, Requested, Required

Requested

用戶端或做為用戶端的伺服器連線至資料庫執行個體時的資料完整性。當資料庫執行個體使用資料庫連結時,它會充當用戶端。

Requested 表示資料庫執行個體不需要用戶端執行檢查總和。

SQLNET.CRYPTO_CHECKSUM_TYPES_CLIENT

SHA256, SHA384, SHA512, SHA1, MD5

SHA256, SHA384, SHA512

總和檢查演算法的清單。

您可以指定一值或逗號分隔的值清單。如果您使用逗號,請不要在逗號後面插入空格;否則,您會收到 InvalidParameterValue 錯誤。

此參數和 SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER 必須有一個共同的密碼。

SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER

SHA256, SHA384, SHA512, SHA1, MD5

SHA256, SHA384, SHA512, SHA1, MD5

總和檢查演算法的清單。

您可以指定一值或逗號分隔的值清單。如果您使用逗號,請不要在逗號後面插入空格;否則,您會收到 InvalidParameterValue 錯誤。

此參數和 SQLNET.CRYPTO_CHECKSUM_TYPES_CLIENT 必須有一個共同的密碼。

SQLNET.ENCRYPTION_CLIENT

Accepted, Rejected, Requested, Required

Requested

用戶端或充當用戶端的伺服器連線至資料庫執行個體時用戶端的加密行為。當資料庫執行個體使用資料庫連結時,它會充當用戶端。

Requested 表示用戶端不需要加密來自伺服器的流量。

SQLNET.ENCRYPTION_SERVER

Accepted, Rejected, Requested, Required

Requested

用戶端或充當用戶端的伺服器連線至資料庫執行個體時伺服器的加密行為。當資料庫執行個體使用資料庫連結時,它會充當用戶端。

Requested 表示資料庫執行個體不需要將來自用戶端的流量進行加密。

SQLNET.ENCRYPTION_TYPES_CLIENT

RC4_256, AES256, AES192, 3DES168, RC4_128, AES128, 3DES112, RC4_56, DES, RC4_40, DES40

RC4_256, AES256, AES192, 3DES168, RC4_128, AES128, 3DES112, RC4_56, DES, RC4_40, DES40

用戶端所使用之加密演算法的清單。用戶端會依序嘗試每一種演算法來試圖解密伺服器輸入,直到演算法成功或達到清單結尾為止。

Amazon RDS使用 Oracle 的下列預設清單。RDS 以 開頭RC4_256,然後依序向下處理清單。您可以變更順序或限制資料庫執行個體將接受的演算法。

  1. RC4_256: RSA RC4 (256 位元金鑰大小)

  2. AES256: AES (256 位元金鑰大小)

  3. AES192: AES (192 位元金鑰大小)

  4. 3DES168:3 金鑰三重金鑰 DES(112 位元有效金鑰大小)

  5. RC4_128: RSA RC4 (128 位元金鑰大小)

  6. AES128: AES (128 位元金鑰大小)

  7. 3DES112:2 金鑰三重金鑰 DES(80 位元有效金鑰大小)

  8. RC4_56: RSA RC4 (56 位元金鑰大小)

  9. DES:標準 DES(56 位元金鑰大小)

  10. RC4_40: RSA RC4 (40 位元金鑰大小)

  11. DES40:DES40 (40 位元金鑰大小)

您可以指定一值或逗號分隔的值清單。如果您使用逗號,請不要在逗號後面插入空格;否則,您會收到 InvalidParameterValue 錯誤。

此參數和 SQLNET.SQLNET.ENCRYPTION_TYPES_SERVER 必須有一個共同的密碼。

SQLNET.ENCRYPTION_TYPES_SERVER

RC4_256, AES256, AES192, 3DES168, RC4_128, AES128, 3DES112, RC4_56, DES, RC4_40, DES40

RC4_256, AES256, AES192, 3DES168, RC4_128, AES128, 3DES112, RC4_56, DES, RC4_40, DES40

資料庫執行個體所使用之加密演算法的清單。資料庫執行個體會依序使用每一個演算法,以嘗試解密用戶端輸入,直到演算法成功或直到達到清單結尾。

Amazon RDS使用 Oracle 的下列預設清單。您可以變更順序或限制用戶端將接受的演算法。

  1. RC4_256: RSA RC4 (256 位元金鑰大小)

  2. AES256: AES (256 位元金鑰大小)

  3. AES192: AES (192 位元金鑰大小)

  4. 3DES168:3 金鑰三重金鑰 DES(112 位元有效金鑰大小)

  5. RC4_128: RSA RC4 (128 位元金鑰大小)

  6. AES128: AES (128 位元金鑰大小)

  7. 3DES112:2 金鑰三重金鑰 DES(80 位元有效金鑰大小)

  8. RC4_56: RSA RC4 (56 位元金鑰大小)

  9. DES:標準 DES(56 位元金鑰大小)

  10. RC4_40: RSA RC4 (40 位元金鑰大小)

  11. DES40:DES40 (40 位元金鑰大小)

您可以指定一值或逗號分隔的值清單。如果您使用逗號,請不要在逗號後面插入空格;否則,您會收到 InvalidParameterValue 錯誤。

此參數和 SQLNET.SQLNET.ENCRYPTION_TYPES_SERVER 必須有一個共同的密碼。