08-HTTP配置
本章节下载: 08-HTTP配置 (217.37 KB)
目 录
l 不同型号产品的特性功能支持情况略有不同,详细请参见“特性差异化列表”部分的介绍。
l 设备支持的接口类型和编号与设备的实际情况相关,本手册涉及以太网接口的配置举例统一使用Eth口举例说明。实际使用中请根据具体设备的接口类型和编号进行配置。
l 本手册中所述的AP设备可以指代一般意义下的AP设备和无线网桥、无线Mesh设备。
HTTP是Hypertext Transfer Protocol(超文本传输协议)的简称。它用来在Internet上传递Web页面信息。HTTP位于TCP/IP协议栈的应用层。传输层采用面向连接的TCP。
目前,设备支持的HTTP协议版本为HTTP/1.0。
HTTP采用客户端/服务器通信模式。客户端和服务器之间的信息交互过程如下:
(1) 在客户端与服务器之间建立TCP连接,通常情况下端口号为80。
(2) 客户端向服务器发送请求消息。
(3) 服务器处理客户请求后,回复响应消息给客户端。
(4) 关闭客户端与服务器之间的TCP连接。
在设备上使能HTTP服务后,用户就可以通过HTTP协议登录设备,利用Web功能访问并控制设备。
为了实现对设备的安全管理,可以通过下面方法提高设备的安全性:
l 只在需要HTTP服务时,使能该功能,否则关闭该功能。
l 将HTTP服务的端口号修改为非常用端口号(80或8080),减少非法用户对HTTP服务的攻击。
l 将HTTP服务与ACL(Access Control List,访问控制列表)关联,只允许通过ACL过滤的客户端访问设备。
与HTTP相关的协议规范有:
RFC 1945:Hypertext Transfer Protocol -- HTTP/1.0
只有使能该功能后,设备才能作为HTTP服务器,允许用户通过Web功能访问和控制设备。
表1-1 使能HTTP服务
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
使能HTTP服务 |
ip http enable |
必选 缺省情况下, HTTP服务处于使能状态 |
通过配置HTTP服务的端口号,可以减少非法用户对HTTP服务的攻击。
表1-2 配置HTTP服务的端口号
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置HTTP服务的端口号 |
ip http port port-number |
必选 缺省情况下,HTTP服务的端口号为80 |
如果重复执行ip http port命令,HTTP服务将使用最后一次配置的端口号。
通过将HTTP服务与ACL关联,可以过滤掉来自某些客户端的请求,只允许通过ACL过滤的客户端访问设备。
表1-3 配置HTTP服务与ACL关联
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置HTTP服务与ACL关联 |
ip http acl acl-number |
必选 缺省情况下,没有ACL与HTTP服务关联 |
l HTTP服务可以与WLAN ACL(ACL编号为100~199)和基本ACL(ACL编号为2000~2999)关联,且两种类型的ACL之间不会相互覆盖。但是,同种类型的ACL之间会相互覆盖,即如果重复执行ip http acl命令关联同种类型的ACL,HTTP服务将只与最后一次配置的ACL关联。
l HTTP服务与WLAN ACL关联时,HTTP服务仅利用该ACL过滤无线客户端,不会利用该ACL过滤有线方式访问的客户端。
l ACL的详细介绍请参见“ACL和QoS配置指导”中“ACL”。
在完成上述配置后,在任意视图下执行display命令可以显示配置后HTTP的运行情况,通过查看显示信息验证配置的效果。
表1-4 HTTP显示和维护
操作 |
命令 |
显示HTTP的状态信息 |
display ip http |
HTTPS(Secure HTTP,安全的HTTP)是支持SSL(Secure Sockets Layer,安全套接层)协议的HTTP协议。
HTTPS通过SSL协议,从以下几方面提高了设备的安全性:
l 通过SSL协议保证合法客户端可以安全地访问设备,禁止非法的客户端访问设备;
l 客户端与设备之间交互的数据需要经过加密,保证了数据传输的安全性和完整性,从而实现了对设备的安全管理;
l 为设备制定基于证书属性的访问控制策略,对客户端的访问权限进行控制,进一步避免了非法客户对设备进行攻击。
l 设备上,HTTP连接和HTTPS连接的总数不能超过10。
l SSL的详细介绍请参见“安全配置指导”中的“SSL”。
表2-1 HTTPS配置任务简介
配置任务 |
说明 |
详细配置 |
配置HTTPS服务与SSL服务器端策略关联 |
必选 |
|
使能HTTPS服务 |
必选 |
|
配置HTTPS服务与证书属性访问控制策略关联 |
可选 |
|
配置HTTPS服务的端口号 |
可选 |
|
配置HTTPS服务与ACL关联 |
可选 |
使能HTTPS服务前,必须先配置HTTPS服务与已创建的SSL服务器端策略关联。
表2-2 配置HTTPS服务与SSL服务器端策略关联
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置HTTPS服务与SSL服务器端策略关联 |
ip https ssl-server-policy policy-name |
必选 缺省情况下,没有SSL服务器端策略与HTTPS服务关联 |
l 如果重复执行ip https ssl-server-policy命令,HTTPS服务将只与最后一次配置的SSL服务器端策略关联。
l 关闭HTTPS服务后,将自动取消HTTPS服务与SSL服务器端策略的关联。再次使能HTTPS服务之前,需要重新配置HTTPS服务与SSL服务器端策略关联。
l HTTPS服务处于使能状态时,对与其关联的SSL服务器端策略进行的修改不会生效。
只有使能该功能后,设备才能作为HTTPS服务器,允许用户通过Web功能访问和控制设备。
表2-3 使能HTTPS服务
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
使能HTTPS服务 |
ip https enable |
必选 缺省情况下,HTTPS服务处于关闭状态 |
l 使能HTTPS服务后,可以通过display ip https命令查看HTTPS服务的状态,验证HTTPS服务启动是否成功。
l 使能HTTPS服务,会触发SSL的握手协商过程。在SSL握手协商过程中,如果设备的本地证书已经存在,则SSL协商可以成功,HTTPS服务可以正常启动;如果设备的本地证书不存在,则SSL协商过程会触发证书申请流程。由于证书申请需要较长的时间,会导致SSL协商不成功,从而无法正常启动HTTPS服务。因此,在这种情况下,需要多次执行ip https enable命令,这样HTTPS服务才能正常启动。
通过将HTTPS服务与已配置的客户端证书属性访问控制策略关联,可以实现对客户端的访问权限进行控制,进一步保证设备的安全性。
表2-4 配置HTTPS服务与证书属性访问控制策略关联
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置HTTPS服务与证书属性访问控制策略关联 |
ip https certificate access-control-policy policy-name |
必选 缺省情况下,没有证书属性访问控制策略与HTTPS服务关联 |
l 如果重复执行ip https certificate access-control-policy命令,HTTPS服务将只与最后一次配置的证书属性访问控制策略关联。
l 如果配置HTTPS服务与证书属性访问控制策略关联,则必须同时在与HTTPS服务关联的SSL服务器端策略中配置client-verify enable命令,否则,客户端无法登录设备。
l 如果配置HTTPS服务与证书属性访问控制策略关联,则证书属性访问控制策略中必须至少包括一条permit规则,否则任何HTTPS客户端都无法登录设备。
l 证书属性访问控制策略的详细介绍请参见“安全配置指导”中的“PKI”。
通过配置HTTPS服务的端口号,可以减少非法用户对HTTPS服务的攻击。
表2-5 配置HTTPS服务的端口号
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置HTTPS服务的端口 |
ip https port port-number |
可选 缺省情况下,HTTPS服务的端口号为443 |
如果重复执行ip https port命令,HTTPS服务将使用最后一次配置的端口号。
通过将HTTPS服务与ACL关联,可以过滤掉来自某些客户端的请求,只允许通过ACL过滤的客户端访问设备。
表2-6 配置HTTPS服务与ACL关联
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置HTTPS服务与ACL关联 |
ip https acl acl-number |
必选 缺省情况下,没有ACL与HTTPS服务关联 |
l HTTPS服务可以与WLAN ACL(ACL编号为100~199)和基本ACL(ACL编号为2000~2999)关联,且两种类型的ACL之间不会相互覆盖。但是,同种类型的ACL之间会相互覆盖,即如果重复执行ip https acl命令关联同种类型的ACL,HTTPS服务将只与最后一次配置的ACL关联。
l HTTPS服务与WLAN ACL关联时,HTTPS服务仅利用该ACL过滤无线客户端,不会利用该ACL过滤有线方式访问的客户端。
l ACL的详细介绍请参见“ACL和QoS配置指导”中的“ACL”。
在完成上述配置后,在任意视图下执行display命令可以显示配置后HTTPS的运行情况,通过查看显示信息验证配置的效果。
表2-7 HTTPS显示和维护
操作 |
命令 |
显示HTTPS的状态信息 |
display ip https |
l Host作为HTTPS客户端,AP作为HTTPS服务器;
l Host通过Web访问AP,并实现对AP的控制;
l CA(Certificate Authority,认证机构)为AP颁发证书,CA的名称为new-ca。
本配置举例中,采用Windows Server作为CA。在CA上需要安装SCEP(Simple Certificate Enrollment Protocol,简单证书注册协议)插件。
图2-1 HTTPS配置组网图
(1) 为AP申请证书
# 配置PKI实体。
<AP> system-view
[AP] pki entity en
[AP-pki-entity-en] common-name http-server1
[AP-pki-entity-en] fqdn ssl.security.com
[AP-pki-entity-en] quit
# 配置PKI域。
[AP] pki domain 1
[AP-pki-domain-1] ca identifier new-ca
[AP-pki-domain-1] certificate request url http://10.1.2.2:8080/certsrv/mscep/mscep.dll
[AP-pki-domain-1] certificate request from ra
[AP-pki-domain-1] certificate request entity en
[AP-pki-domain-1] quit
# 生成本地的RSA密钥对。
[AP] public-key local create rsa
# 从CA获取服务器证书。
[AP] pki retrieval-certificate ca domain 1
# 本地证书申请。
[AP] pki request-certificate domain 1
(2) 配置HTTPS服务使用的SSL服务器端策略
# 配置SSL服务器端策略。
[AP] ssl server-policy myssl
[AP-ssl-server-policy-myssl] pki-domain 1
[AP-ssl-server-policy-myssl] client-verify enable
[AP-ssl-server-policy-myssl] quit
(3) 配置证书访问控制策略
# 配置证书属性组。
[AP] pki certificate attribute-group mygroup1
[AP-pki-cert-attribute-group-mygroup1] attribute 1 issuer-name dn ctn new-ca
[AP-pki-cert-attribute-group-mygroup1] quit
# 配置证书访问控制策略myacp,并建立控制规则。
[AP] pki certificate access-control-policy myacp
[AP-pki-cert-acp-myacp] rule 1 permit mygroup1
[AP-pki-cert-acp-myacp] quit
(4) 配置HTTPS服务引用SSL服务器端策略
# 配置HTTPS服务与SSL服务器端策略myssl关联。
[AP] ip https ssl-server-policy myssl
(5) 配置HTTPS服务与证书属性访问控制策略关联
# 配置HTTPS服务与证书属性访问控制策略myacp关联。
[AP] ip https certificate access-control-policy myacp
(6) 使能HTTPS服务
# 使能HTTPS服务。
[AP] ip https enable
(7) 验证配置结果
在Host上打开IE浏览器,输入网址https://10.1.1.1,可以登录AP,并实现对AP的控制。
l HTTPS服务器的URL地址以“https://”开始,HTTP服务器的URL地址以“http://”开始。
l PKI配置命令的详细介绍请参见“安全命令参考”中的“PKI”;
l public-key local create rsa命令的详细介绍请参见““安全命令参考”中的“公钥管理”;
l SSL配置命令的详细介绍请参见“安全分册”中的“安全命令参考”中的“SSL”。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!