边缘安全

概述
DDoS 防护
- DDoS 防护概述
- 使用独立 DDoS 防护
- 配置独立 DDoS 防护策略
  - 调整 DDoS 防护等级
  - 独立 DDoS 攻击流量告警
  - 配置 IP 黑白名单
  - 配置区域封禁
  - 配置端口过滤
  - 配置特征过滤
  - 配置协议封禁
  - 配置连接类攻击防护
  - 相关参考
    - 处置方式
    - 相关概念介绍
Web 防护
- 概述
- Configuring Web Protection Policy
- 托管规则
- CC 攻击防护
- Bandwidth Abuse Protection
- 自定义规则
- 自定义速率限制规则
- 防护例外规则
- 托管定制规则
- Web 安全监控告警
- 相关参考
  - Web 防护请求处理顺序
  - 处置方式
  - 匹配条件
Bot 管理
- 概述
- Bot 智能分析
- Bot 基础特征管理
- 客户端画像分析
- 主动特征识别
- 自定义 Bot 规则
- Bot 管理例外规则
- 相关参考
  - 处置方式
策略模板
IP 和网段分组
源站防护
自定义响应页面
告警通知推送
SSL/TLS
- 概述
- 部署/更新 SSL 托管证书至 EdgeOne 域名
- 使用免费证书部署至 EdgeOne 域名
- Mutual Authentication
- HTTPS 配置
  - 强制 HTTPS 访问
  - 启用 HSTS
  - SSL/TLS 安全配置
    - 配置 SSL/TLS 安全等级
    - TLS 版本及密码套件说明
  - 开启 OCSP 装订
- Refer
  - Using OpenSSL to Generate Self-Signed Certificates
  - Certificate Format Requirements
- Using Keyless Certificate

概述

本文介绍了 HTTPS 相对 HTTP 协议的优势以及 EdgeOne 节点上支持部署的证书类型和加密算法。
HTTPS 介绍
HTTPS 是在 HTTP 的基础上，通过 SSL 协议构建了身份认证和传输加密的方法，SSL 协议需通过 HTTPS 证书来验证服务器的身份，为客户端浏览器和服务器之间构建可信的加密传输通道。相比 HTTP 传输，HTTPS 具有一下优势：
防劫持、防篡改、防监听：HTTPS 协议可对用户与服务端间的数据交互进行加密，从而实现传输数据的防劫持、防篡改、防监听。
增加网站可信度：用户通过 HTTPS 访问至网站并通过证书验证网站的可信身份时，在浏览器内将增加安全的绿色标识，来提升网站的可信度，避免用户访问至钓鱼网站。
提升网站的搜索排名：搜索引擎将优先收录已支持 HTTPS 协议的可信网站，网站支持 HTTPS 协议访问后，有利于提高搜索引擎的排名。
EdgeOne 支持的 HTTPS 证书能力
功能名称
功能介绍
﻿边缘 HTTPS 证书﻿
边缘 HTTPS 证书可支持让用户在访问当前域名时，可通过 HTTPS 与 EdgeOne 边缘节点安全通信。当前 EdgeOne 已支持通过以下方式配置边缘 HTTPS 证书。
﻿腾讯云 SSL 证书：如果您当前已经拥有域名证书，可将上传至腾讯云 SSL 控制台的证书部署至 EdgeOne 边缘节点上。最多支持同时部署一本 RSA、ECC、SM2 证书到 EdgeOne 节点中。
﻿申请免费证书：如果您当前还未购买 SSL 证书，可通过 EdgeOne 自动完成免费证书申请、部署以及续签，减少运维工作量，当前申请的免费证书是来源于 Let‘s Encrypt 的 RSA 证书。
﻿边缘双向认证﻿
边缘双向认证则是指在通信过程中，客户端和服务器都需要向对方证明自己的身份。这通常用于高安全要求的场景，如企业内部网络或金融交易。EdgeOne 可支持在边缘节点内启用双向认证，在访问中要求客户端携带可信任的客户端证书进行验证，进一步加强通信的安全性。
﻿强制 HTTPS 访问﻿
强制 HTTPS 访问可将客户端 HTTP 请求通过301/302重定向至 HTTPS，最终以 HTTPS 访问 EdgeOne。以确保所有客户端都是以 HTTPS 向 EdgeOne 节点发起请求，保障通信的安全性。
﻿HSTS﻿
HSTS（HTTP Strict-Transport-Security）是国际互联网工程组织 IETE 推行的 Web 安全协议，用来通知浏览器使用更安全的 HTTPS 访问该站点。若您需要增强网站的安全性，防止恶意攻击者通过中间人攻击窃取用户敏感信息；或需要遵循数据隐私保护法规，保护用户的隐私信息；或需要提高网站的信誉度，增强用户对网站的信任感，均可以配置 HSTS 来提高网站的安全性和信誉度。
﻿SSL/TLS 安全配置﻿
当您的网站开启 HTTPS 访问后，EdgeOne 默认为您的站点支持了兼容性更高多种 SSL/TLS 版本访问，以适配不同用户终端的访问环境，正常情况下，您无需修改该配置。如果您的网站安全性要求较高，需要禁止用户通过安全较低的 SSL/TLS 版本访问，您可以通过修改此配置来自定义所使用的 SSL/TLS 版本。
 OCSP 装订﻿
OCSP（Online Certificate Status Protocol）是用来检验证书合法性和有效性的在线查询协议，由数字证书颁发机构 CA（Certificate Authority）提供。当用户每次通过 HTTPS 访问网站的时候，浏览器会通过 OCSP 查询验证网站的证书是否有效。
﻿
启用 OCSP 装订后，OCSP 查询的工作将由 EdgeOne 服务器完成，且 EdgeOne 可将查询结果缓存到服务器中。当客户端与 EdgeOne TLS 握手时，EdgeOne 直接响应客户端 OCSP 信息和证书，供客户端验证，无需再由客户端向 CA 发送查询请求，极大地提高了 TLS 握手效率，节省用户验证时间，优化 HTTPS 速度。
﻿

HTTPS 介绍
EdgeOne 支持的 HTTPS 证书能力

功能名称	功能介绍
边缘 HTTPS 证书	边缘 HTTPS 证书可支持让用户在访问当前域名时，可通过 HTTPS 与 EdgeOne 边缘节点安全通信。当前 EdgeOne 已支持通过以下方式配置边缘 HTTPS 证书。腾讯云 SSL 证书：如果您当前已经拥有域名证书，可将上传至腾讯云 SSL 控制台的证书部署至 EdgeOne 边缘节点上。最多支持同时部署一本 RSA、ECC、SM2 证书到 EdgeOne 节点中。申请免费证书：如果您当前还未购买 SSL 证书，可通过 EdgeOne 自动完成免费证书申请、部署以及续签，减少运维工作量，当前申请的免费证书是来源于 Let‘s Encrypt 的 RSA 证书。
边缘双向认证	边缘双向认证则是指在通信过程中，客户端和服务器都需要向对方证明自己的身份。这通常用于高安全要求的场景，如企业内部网络或金融交易。EdgeOne 可支持在边缘节点内启用双向认证，在访问中要求客户端携带可信任的客户端证书进行验证，进一步加强通信的安全性。
强制 HTTPS 访问	强制 HTTPS 访问可将客户端 HTTP 请求通过301/302重定向至 HTTPS，最终以 HTTPS 访问 EdgeOne。以确保所有客户端都是以 HTTPS 向 EdgeOne 节点发起请求，保障通信的安全性。
HSTS	HSTS（HTTP Strict-Transport-Security）是国际互联网工程组织 IETE 推行的 Web 安全协议，用来通知浏览器使用更安全的 HTTPS 访问该站点。若您需要增强网站的安全性，防止恶意攻击者通过中间人攻击窃取用户敏感信息；或需要遵循数据隐私保护法规，保护用户的隐私信息；或需要提高网站的信誉度，增强用户对网站的信任感，均可以配置 HSTS 来提高网站的安全性和信誉度。
SSL/TLS 安全配置	当您的网站开启 HTTPS 访问后，EdgeOne 默认为您的站点支持了兼容性更高多种 SSL/TLS 版本访问，以适配不同用户终端的访问环境，正常情况下，您无需修改该配置。如果您的网站安全性要求较高，需要禁止用户通过安全较低的 SSL/TLS 版本访问，您可以通过修改此配置来自定义所使用的 SSL/TLS 版本。
OCSP 装订	OCSP（Online Certificate Status Protocol）是用来检验证书合法性和有效性的在线查询协议，由数字证书颁发机构 CA（Certificate Authority）提供。当用户每次通过 HTTPS 访问网站的时候，浏览器会通过 OCSP 查询验证网站的证书是否有效。启用 OCSP 装订后，OCSP 查询的工作将由 EdgeOne 服务器完成，且 EdgeOne 可将查询结果缓存到服务器中。当客户端与 EdgeOne TLS 握手时，EdgeOne 直接响应客户端 OCSP 信息和证书，供客户端验证，无需再由客户端向 CA 发送查询请求，极大地提高了 TLS 握手效率，节省用户验证时间，优化 HTTPS 速度。