收藏
下载资源 加入VIP免费专享

H3C系统分册-HTTP配置.pdf

上传人:yyf 文档编号:5014825 上传时间:2020-01-28 格式:PDF 页数:8 大小:188.10KB
返回 下载 相关 举报
H3C系统分册-HTTP配置.pdf_第1页
第1页 / 共8页
H3C系统分册-HTTP配置.pdf_第2页
第2页 / 共8页
H3C系统分册-HTTP配置.pdf_第3页
第3页 / 共8页
H3C系统分册-HTTP配置.pdf_第4页
第4页 / 共8页
H3C系统分册-HTTP配置.pdf_第5页
第5页 / 共8页
点击查看更多>>
资源描述

《H3C系统分册-HTTP配置.pdf》由会员分享,可在线阅读,更多相关《H3C系统分册-HTTP配置.pdf(8页珍藏版)》请在三一文库上搜索。

1、i 目 录 1 HTTP配置1-1 1.1 HTTP简介1-1 1.1.1 HTTP的工作过程1-1 1.1.2 通过HTTP登录设备.1-1 1.1.3 协议规范.1-1 1.2 使能HTTP服务 1-1 1.3 配置HTTP服务的端口号1-2 1.4 配置HTTP服务与ACL关联 1-2 1.5 HTTP显示和维护.1-2 2 HTTPS配置 . 2-1 2.1 HTTPS简介.2-1 2.2 HTTPS配置任务简介.2-1 2.3 配置HTTPS服务与SSL服务器端策略关联 2-1 2.4 使能HTTPS服务2-2 2.5 配置HTTPS服务与证书属性访问控制策略关联.2-2 2.6 配

2、置HTTPS服务的端口号 .2-3 2.7 配置HTTPS服务与ACL关联2-3 2.8 HTTPS显示和维护 2-3 2.9 HTTPS典型配置举例.2-4 1-1 1 HTTP 配置配置 1.1 HTTP 简介 HTTP 是 Hypertext Transfer Protocol(超文本传输协议)的简称。它用来在 Internet 上传递 Web 页面信息。HTTP 位于 TCP/IP 协议栈的应用层。传输层采用面向连接的 TCP。 目前,设备支持的 HTTP 协议版本为 HTTP/1.0。 1.1.1 HTTP 的工作过程 HTTP 采用客户端/服务器通信模式。客户端和服务器之间的信息交

3、互过程如下: (1) 在客户端与服务器之间建立 TCP 连接,通常情况下端口号为 80。 (2) 客户端向服务器发送请求消息。 (3) 服务器处理客户请求后,回复响应消息给客户端。 (4) 关闭客户端与服务器之间的 TCP 连接。 1.1.2 通过 HTTP 登录设备 在设备上使能 HTTP 服务后,用户就可以通过 HTTP 协议登录设备,利用 Web 功能访问并控制设 备。 为了实现对设备的安全管理,可以通过下面方法提高设备的安全性: ? 只在需要 HTTP 服务时,使能该功能,否则关闭该功能。 ? 将 HTTP 服务的端口号修改为非常用端口号(80 或 8080),减少非法用户对 HTTP

4、 服务的攻 击。 ? 将 HTTP 服务与 ACL(Access Control List,访问控制列表)关联,只允许通过 ACL 过滤的 客户端访问设备。 1.1.3 协议规范 与 HTTP 相关的协议规范有: RFC 1945:Hypertext Transfer Protocol - HTTP/1.0 1.2 使能 HTTP 服务 只有使能该功能后,设备才能作为 HTTP 服务器,允许用户通过 Web 功能访问和控制设备。 表1-1 使能 HTTP 服务 操作 命令 说明 进入系统视图 system-view - 使能 HTTP 服务 ip http enable 必选 缺省情况下,HT

5、TP 服务处于开启状态 1-2 1.3 配置 HTTP 服务的端口号 通过配置 HTTP 服务的端口号,可以减少非法用户对 HTTP 服务的攻击。 表1-2 配置 HTTP 服务的端口号 操作 命令 说明 进入系统视图 system-view - 配置 HTTP 服务的端口号 ip http port port-number 必选 缺省情况下, HTTP 服务的端口号为 80 如果重复执行 ip http port 命令,HTTP 服务将使用最后一次配置的端口号。 1.4 配置 HTTP 服务与 ACL 关联 通过将 HTTP 服务与 ACL 关联,可以过滤掉来自某些客户端的请求,只允许通过

6、ACL 过滤的客户 端访问设备。 表1-3 配置 HTTP 服务与 ACL 关联 操作 命令 说明 进入系统视图 system-view - 配置 HTTP 服务与 ACL 关联 ip http acl acl-number 必选 缺省情况下,没有 ACL 与 HTTP 服务关联 1.5 HTTP 显示和维护 在完成上述配置后,在任意视图下执行 display 命令可以显示配置后 HTTP 的运行情况,通过查看 显示信息验证配置的效果。 表1-4 HTTP 显示和维护 操作 命令 显示 HTTP 的状态信息 display ip http 2-1 2 HTTPS 配置配置 2.1 HTTPS

7、简介 HTTPS(Secure HTTP,安全的 HTTP)是支持 SSL(Secure Sockets Layer,安全套接层)协议 的 HTTP 协议。 HTTPS 通过 SSL 协议,从以下几方面提高了设备的安全性: ? 通过 SSL 协议保证合法客户端可以安全地访问设备,禁止非法的客户端访问设备; ? 客户端与设备之间交互的数据需要经过加密,保证了数据传输的安全性和完整性,从而实现 了对设备的安全管理; ? 为设备制定基于证书属性的访问控制策略,对客户端的访问权限进行控制,进一步避免了非 法客户对设备进行攻击。 ? 设备上,HTTP 连接和 HTTPS 连接的总数不能超过 10。 ?

8、SSL 的详细介绍请参见“安全分册”中的“SSL 配置”。 2.2 HTTPS 配置任务简介 表2-1 HTTPS 配置任务简介 配置任务 说明 详细配置 配置 HTTPS 服务与 SSL 服务器端策略关联 必选 2.3 使能 HTTPS 服务 必选 2.4 配置 HTTPS 服务与证书属性访问控制策略关联 可选 2.5 配置 HTTPS 服务的端口号 可选 2.6 配置 HTTPS 服务与 ACL 关联 可选 2.7 2.3 配置 HTTPS 服务与 SSL 服务器端策略关联 使能 HTTPS 服务前,必须先配置 HTTPS 服务与已创建的 SSL 服务器端策略关联。 表2-2 配置 HTT

9、PS 服务与 SSL 服务器端策略关联 操作 命令 说明 进入系统视图 system-view - 配置 HTTPS服务与 SSL服务器 端策略关联 ip https ssl-server-policy policy-name 必选 缺省情况下, 没有 SSL 服务器端策 略与 HTTPS 服务关联 2-2 ? 如果重复执行 ip https ssl-server-policy 命令, HTTPS 服务将只与最后一次配置的 SSL 服务器 端策略关联。 ? 关闭 HTTPS 服务后,将自动取消 HTTPS 服务与 SSL 服务器端策略的关联。再次使能 HTTPS 服务之前,需要重新配置 HTT

10、PS 服务与 SSL 服务器端策略关联。 ? HTTPS 服务处于使能状态时,对与其关联的 SSL 服务器端策略进行的修改不会生效。 2.4 使能 HTTPS 服务 只有使能该功能后,设备才能作为 HTTPS 服务器,允许用户通过 Web 功能访问和控制设备。 表2-3 使能 HTTPS 服务 操作 命令 说明 进入系统视图 system-view - 使能 HTTPS 服务 ip https enable 必选 缺省情况下,HTTPS 服务处于关闭状态 ? 使能 HTTPS 服务后,可以通过 display ip https 命令查看 HTTPS 服务的状态,验证 HTTPS 服 务启动是否

11、成功。 ? 使能 HTTPS 服务,会触发 SSL 的握手协商过程。在 SSL 握手协商过程中,如果设备的本地证 书已经存在,则 SSL 协商可以成功,HTTPS 服务可以正常启动;如果设备的本地证书不存在, 则 SSL 协商过程会触发证书申请流程。由于证书申请需要较长的时间,会导致 SSL 协商不成功, 从而无法正常启动 HTTPS 服务。因此,在这种情况下,需要多次执行 ip https enable 命令,这 样 HTTPS 服务才能正常启动。 2.5 配置 HTTPS 服务与证书属性访问控制策略关联 通过将 HTTPS 服务与已配置的客户端证书属性访问控制策略关联,可以实现对客户端的访

12、问权限 进行控制,进一步保证设备的安全性。 表2-4 配置 HTTPS 服务与证书属性访问控制策略关联 操作 命令 说明 进入系统视图 system-view - 配置 HTTPS 服务与证书属性访 问控制策略关联 ip https certificate access-control-policy policy-name 必选 缺省情况下,没有证书属性访问控制 策略与 HTTPS 服务关联 2-3 ? 如果重复执行 ip https certificate access-control-policy 命令,HTTPS 服务将只与最后一次配 置的证书属性访问控制策略关联。 ? 如果配置 HTT

13、PS 服务与证书属性访问控制策略关联,则必须同时在与 HTTPS 服务关联的 SSL 服务器端策略中配置 client-verify enable 命令,否则,客户端无法登录设备。 ? 如果配置 HTTPS 服务与证书属性访问控制策略关联,则证书属性访问控制策略中必须至少包括 一条 permit 规则,否则任何 HTTPS 客户端都无法登录设备。 ? 证书属性访问控制策略的详细介绍请参见“安全分册”中的“PKI 配置”。 2.6 配置 HTTPS 服务的端口号 通过配置 HTTPS 服务的端口号,可以减少非法用户对 HTTPS 服务的攻击。 表2-5 配置 HTTPS 服务的端口号 操作 命令

14、 说明 进入系统视图 system-view - 配置 HTTPS 服务的端口 ip https port port-number 可选 缺省情况下,HTTPS 服务的端口号为 443 如果重复执行 ip https port 命令,HTTPS 服务将使用最后一次配置的端口号。 2.7 配置 HTTPS 服务与 ACL 关联 通过将 HTTPS 服务与 ACL 关联,可以过滤掉来自某些客户端的请求,只允许通过 ACL 过滤的客 户端访问设备。 表2-6 配置 HTTPS 服务与 ACL 关联 操作 命令 说明 进入系统视图 system-view - 配置 HTTPS 服务与 ACL 关联 i

15、p https acl acl-number 必选 缺省情况下,没有 ACL 与 HTTPS 服务关联 2.8 HTTPS 显示和维护 在完成上述配置后,在任意视图下执行 display 命令可以显示配置后 HTTPS 的运行情况,通过查 看显示信息验证配置的效果。 2-4 表2-7 HTTPS 显示和维护 操作 命令 显示 HTTPS 的状态信息 display ip https 2.9 HTTPS 典型配置举例 1. 组网需求 ? Host 作为 HTTPS 客户端,Device 作为 HTTPS 服务器; ? Host 通过 Web 访问 Device,并实现对 Device 的控制;

16、? CA(Certificate Authority,认证机构)为 Device 颁发证书,CA 的名称为 new-ca。 本配置举例中,采用 Windows Server 作为 CA。在 CA 上需要安装 SCEP(Simple Certificate Enrollment Protocol,简单证书注册协议)插件。 2. 组网图 图2-1 HTTPS 配置组网图 3. 配置步骤 (1) 为 Device 申请证书 # 配置 PKI 实体。 system-view Device pki entity en Device-pki-entity-en common-name http-serve

17、r1 Device-pki-entity-en fqdn Device-pki-entity-en quit # 配置 PKI 域。 Device pki domain 1 Device-pki-domain-1 ca identifier new-ca Device-pki-domain-1 certificate request url http:/10.1.2.2:8080/certsrv/mscep/mscep.dll Device-pki-domain-1 certificate request from ra Device-pki-domain-1 certificate req

18、uest entity en Device-pki-domain-1 quit 2-5 # 生成本地的 RSA 密钥对。 Device public-key local create rsa # 从 CA 获取服务器证书。 Device pki retrieval-certificate ca domain 1 # 本地证书申请。 Device pki request-certificate domain 1 (2) 配置 HTTPS 服务使用的 SSL 服务器端策略 # 配置 SSL 服务器端策略。 Device ssl server-policy myssl Device-ssl-serv

19、er-policy-myssl pki-domain 1 Device-ssl-server-policy-myssl client-verify enable Device-ssl-server-policy-myssl quit (3) 配置证书访问控制策略 # 配置证书属性组。 Device pki certificate attribute-group mygroup1 Device-pki-cert-attribute-group-mygroup1 attribute 1 issuer-name dn ctn new-ca Device-pki-cert-attribute-grou

20、p-mygroup1 quit # 配置证书访问控制策略 myacp,并建立控制规则。 Device pki certificate access-control-policy myacp Device-pki-cert-acp-myacp rule 1 permit mygroup1 Device-pki-cert-acp-myacp quit (4) 配置 HTTPS 服务引用 SSL 服务器端策略 # 配置 HTTPS 服务与 SSL 服务器端策略 myssl 关联。 Device ip https ssl-server-policy myssl (5) 配置 HTTPS 服务与证书属性

21、访问控制策略关联 # 配置 HTTPS 服务与证书属性访问控制策略 myacp 关联。 Device ip https certificate access-control-policy myacp (6) 使能 HTTPS 服务 # 使能 HTTPS 服务。 Device ip https enable (7) 验证配置结果 在 Host 上打开 IE 浏览器,输入网址 https:/10.1.1.1,可以登录 Device,并实现对 Device 的控制。 ? HTTPS 服务器的 URL 地址以“https:/”开始,HTTP 服务器的 URL 地址以“http:/”开始。 ? PKI 配置命令的详细介绍请参见“安全分册”中的“PKI 命令”; ? public-key local create rsa 命令的详细介绍请参见“安全分册”中的“公钥管理命令”; ? SSL 配置命令的详细介绍请参见“安全分册”中的“SSL 命令”。

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 研究报告 > 商业贸易


经营许可证编号:宁ICP备18001539号-1