本文為您介紹邊緣安全加速 ESA所支援的認證類型,以及相關的基礎配置操作流程。
邊緣認證
在ESA平台配置邊緣認證並啟用SSL/TLS功能,可實現用戶端與邊緣節點之間請求的加密傳輸,確保資料轉送的安全性和完整性。ESA預設開啟了SSL/TLS功能,您可根據實際需要選擇通過配置邊緣認證或配置邊緣認證的方式,為您的網站配置邊緣認證。
為進一步提升使用者訪問速度和安全效能,ESA提供了以下功能,您可根據實際需要進行相關功能配置。
強制HTTPS:當ESA節點收到用戶端發起的HTTP請求後,會通過301重新導向強制將HTTP請求轉為HTTPS。
TLS加密套件與協議版本配置:當用戶端對ESA節點發起HTTPS請求時,節點會響應請求並觸發TLS握手流程,用戶端與節點將共同商定一套相容的加密套件和協議版本,以確保雙向資料轉送的安全性。
OCSP Stapling:可實現ESA預先緩衝線上認證驗證結果並下發給用戶端,無需用戶端直接向CA網站查詢認證狀態,從而減少認證驗證時間,提升使用者訪問速度。
隨機加密:當一個支援隨機加密的瀏覽器訪問啟用該功能的網站時,ESA節點會自動在HTTP響應中加入
Alt-Svc頭資訊來告知瀏覽器該網站具備HTTPS服務能力,在指定連接埠(通常為443)提供HTTP/2 over TLS的支援。HSTS:(HTTP Strict Transport Security,HTTP 嚴格傳輸安全)是一種網路安全性原則機制。它允許網站聲明自身只能通過HTTPS訪問,從而提升網站的安全效能。
功能入口
您可參照如下內容,進入邊緣認證、強制HTTPS、隨機加密等功能的配置介面。
在ESA控制台選擇網站管理,在網站列單擊目標網站。
在左側導覽列,選擇。
在邊緣認證介面根據需要配置認證、加密套件、強制HTTPS等資訊。
用戶端認證
用戶端認證主要用於網路通訊中的用戶端驗證,當用戶端嘗試串連到需要身分識別驗證的伺服器時,通過用戶端認證即可完成身分識別驗證。您可直接通過ESA提供的CA建立用戶端認證,還可通過OpenAPI的方式配置您的自訂用戶端認證。
還可根據實際需要將用戶端認證與特定網域名稱綁定,開啟邊緣mTLS,實現邊緣TLS雙向認證。開啟邊緣mTLS後僅通過驗證用戶端認證的方式校正其有效性,如果需要返回攔截頁面,可在ESA中建立mTLS規則。
功能入口
您可參照如下內容,進入用戶端認證的配置介面。
在ESA控制台選擇網站管理,在網站列單擊目標網站。
在左側導覽列,選擇。
在客戶端認證介面配置認證和網域名稱資訊。
來源站點認證
在ESA的來源站點認證功能中,您可以設定配置回源協議和連接埠、來源站點認證校正以及回源雙向校正。通過設定配置回源協議和連接埠,您可以指定ESA節點回源請求所使用的協議及其對應的來源站點連接埠;通過來源站點認證校正,確保從來源站點返回的認證合法有效;當來源站點啟用了mTLS雙向認證並需要驗證ESA身份時,您可以開啟回源雙向校正功能,從而實現雙方的安全認證。
功能入口
您可參照如下內容,進入回源協議和連接埠、來源站點認證驗證、回源雙向驗證的配置介面。
在ESA控制台選擇網站管理,在網站列單擊目標網站。
在左側導覽列,選擇。
在來源站點認證介面根據需要配置回源協議和連接埠、來源站點認證校正以及回源雙向校正。