华为HTTPS安全配置

小乔

HTTPS概述
通过HTTPS功能能够有效提高设备的安全性。

HTTPS（Secure HTTP）是支持安全套接层SSL（Secure Sockets Layer）协议的HTTP协议。

HTTPS通过SSL协议，从以下几方面提高了设备的安全性：
通过SSL协议保证合法客户端可以安全地访问设备，禁止非法的客户端访问设备。
客户端与设备之间交互的数据需要经过加密，保证了数据传输的安全性和完整性，从而实现了对设备的安全管理。
为设备制定基于证书属性的访问控制策略，对客户端的访问权限进行控制，进一步避免了非法客户对设备进行攻击。
在作为HTTP服务器的设备上部署服务器型SSL策略，并使能HTTPS服务器功能后，用户可以通过浏览器登录HTTPS服务器，利用Web页面安全管理远程设备。

配置HTTPS服务器
在设备上配置HTTPS服务器功能后，用户可以利用Web页面安全访问远程的设备。

前提条件
确保已完成了服务器型SSL策略的配置，请参看配置服务器型SSL策略。

背景信息
用户通过Web页面远程访问作为HTTP服务器的设备时，传统的HTTP会有以下问题：

不能使用户对设备进行身份验证。
不能保证用户和设备之间数据传输的私密性与完整性。
为了避免HTTP存在的安全方面的缺陷，设备可以作为HTTPS服务器，利用SSL协议的数据加密、身份验证和消息完整性验证机制，保证用户和设备之间数据传输的安全性，这样用户可以利用Web页面安全访问远程的设备。

操作步骤
执行命令system-view，进入系统视图。
执行命令http secure-server ssl-policy ssl-policy，配置HTTPS服务器关联的服务器型SSL策略。
缺省情况下，HTTPS服务器关联的服务器型SSL策略的名称是default_policy。

（可选）执行命令http secure-server port port-number，配置HTTPS服务的端口号。
缺省情况下，HTTPS服务的端口号是443。

（可选）执行命令http secure-server manager-port port-number，开启HTTPS服务器的管理端口并配置管理端口号。
缺省情况下，HTTPS服务器的管理端口处于关闭状态。


只有3级及以上的用户才能通过管理端口登录Web。

执行命令http secure-server enable，使能设备的HTTPS服务器功能。
缺省情况下，设备的HTTPS服务器功能已经使能。

检查配置结果
执行命令display current-configuration，查看HTTPS服务器的配置信息。
<Huawei> display current-configuration | include http secure-server
http secure-server port 1026
http secure-server ssl-policy user                                                      
http secure-server enable

配置HTTPS服务器示例
组网需求
如图17-2所示，用户通过Web方式访问网关设备Router。

为了防止传输的数据不被窃听和篡改，实现对设备的安全管理，网络管理员要求用户以HTTPS的方式安全访问设备。

图17-2  配置HTTPS服务器组网图

配置思路
采用如下思路在Router上进行配置：

创建VLAN、VLANIF，并配置各接口，使企业用户能够访问Router。
配置服务器型SSL策略并配置缺省的PKI域作为该策略使用的PKI域，无需安装独立的CA服务器。
配置HTTPS服务器功能，保证用户与Router之间数据传输的私密性与完整性。
操作步骤
创建VLAN并配置各接口
# 在Router上创建VLAN 11。

<Huawei> system-view
[Huawei] sysname Router
[Router] vlan batch 11
# 配置Router连接用户的接口Eth0/0/1加入VLAN 11。

[Router] interface ethernet 0/0/1
[Router-Ethernet0/0/1] port link-type access
[Router-Ethernet0/0/1] port default vlan 11
[Router-Ethernet0/0/1] quit
# 创建VLANIF 11，并为VLANIF 11配置IP地址10.1.1.1/24。

[Router] interface vlanif11
[Router-Vlanif11] ip address 10.1.1.1 24
[Router-Vlanif11] quit
配置服务器型SSL策略
# 配置SSL策略使用PKI缺省域default。

[Router] ssl policy userserver type server
[Router-ssl-policy-userserver] pki-realm default
# 配置保存会话的最大数目和最大时长。

[Router-ssl-policy-userserver] session cachesize 20 timeout 7200
[Router-ssl-policy-userserver] quit
配置HTTPS服务器
# 配置HTTPS服务器关联的SSL策略为userserver。

[Router] http secure-server ssl-policy userserver
# 配置HTTPS服务的端口号。

[Router] http secure-server port 1278
# 使能Router的HTTPS服务器功能。

[Router] http secure-server enable
Warning: The HTTP server has not configured with SSL policy. Continue starting HTTP secure server? [Y/N]: y
  This operation will take several minutes, please wait.........................................................
Info: Succeeded in starting the HTTPS server
验证配置结果
# 执行命令display ssl policy userserver，查看SSL策略userserver的配置信息。

[Router] display ssl policy userserver
  ------------------------------------------------------------------------------
  Policy name                             :   userserver                             
  Policy ID                               :   2                                
  Policy type                             :   Server                           
  Cipher suite                            :   rsa_aes_128_cbc_sha               
  PKI realm                               :   default                                 
  Cache number                            :   20                                
  Time out(second)                        :   7200                              
  Server certificate load status          :   loaded                           
  CA certificate chain load status        :   unloaded                           
  SSL renegotiation status                :   enable
  Bind number                             :   1                                 
  SSL connection number                   :   0                                 
  ------------------------------------------------------------------------------
# 当用户在主机user上打开浏览器，输入网址“https://10.1.1.1:1278”后，主机user将以HTTPS的方式访问Web网管页面，用户后续可以利用Web网管页面安全访问和管理Router。

配置文件
Router的配置文件

#                                                                              
sysname Router
#
ssl policy userserver type server
pki-realm default
session cachesize 20 timeout 7200
#
http secure-server ssl-policy userserver
http secure-server enable
http secure-server port 1278
#
vlan batch 11
#
interface Vlanif11
ip address 10.1.1.1 255.255.255.0
#
interface Ethernet0/0/1
port link-type access
port default vlan 11
#
return

游客，如果您要查看本帖隐藏内容请回复