当服务器SSL/TLS的瞬时Diffie-Hellman公共密钥小于等于1024位时,存在可以恢复纯文本信息的风险
1,配置SSL服务器端策略需要引用PKI域,首先新建PKI域。
如下图所示,在防火墙Web界面【对象/PKI/证书】菜单栏中点击【新建PKI域】按钮,新建一个名称为“test”的PKI域。
2,然后为新建的PKI域导入CA证书和本地证书
3,证书可以通过 Microsoft Active Directory 证书服务 或者 Linux OpenSSL 来进行获取。如果需要权威CA证书,则需要向权威CA机构付费获取。防火墙flash包含一个自签名证书,https和sslvpn默认使用的就是这个自签名证书,可以将这个证书导出将公钥和私钥分离后分别作为CA证书和本地证书导入创建的PKI域,操作如下:
3.1,使用FTP或者SFTP的方式从防火墙的/pki/文件夹下获取对应的https-server.p12证书文件放置桌面。
3.2,双击证书文件,将导出的证书再导入到本地PC中,用来分离出不含私钥的CA证书。
3.3,由于防火墙自带的自签名证书没有对私钥进行口令保护,所以这里无须输入密码,直接点击“下一步”。
3.4,将证书存储在【个人】目录下,继续点击“下一步”并“完成”。
3.5,导入到设备的证书可以再IE浏览器中查看,选中IE浏览器的【Internet选项/内容/证书/个人】菜单,即可看到导入的H3C自签名证书。
3.6,将导入到设备的证书进行导出,即可生成不含私钥的CA证书。
3.7,这样1分2,经过IE浏览器操作产生的证书即可以作为PKI域的CA证书,从设备导出的原始证书作为PKI域的本地证书,再次导入设备。
3.8,经过上述一系列操作,PKI域配置完成,如下:
4,新建一个SSL服务器端策略“test"并引用创建好的PKI域“test",同时将【加密套件】已选的包含DHE的算法剔除,并点击【确定】
5,HTTPS使能SSL服务器端策略
禁用当前对外提供的https/http服务
[H3C] undo ip https enable
[H3C] undo ip http enable
配置SSL服务如HTTPS服务引用前面自定义的SSL Server端策略:
[H3C] ip https ssl-server-policy test
重新使能https/http服务[H3C] ip https enable
[H3C] ip http enable
6,如果有SSL VPN业务,且漏洞报告中对应漏洞的端口号为设备SSL VPN网关的端口,则需要在SSL VPN网关下应用SSL服务器端策略,并重新使能网关服务。
同时重新使能HTTPS /HTTP 服务
[H3C] undo ip https enable
[H3C] undo ip http enable
[H3C] ip https enable
[H3C] ip http enable
7, 如果设备开启了基于 HTTP/HTTPS的SOAP功能,如果漏洞报告中出现TCP 832端口扫描出对应漏洞, 则防火墙设备需要对netconf功能进行修复。使用以下命令,D045SP分支版本支持。
netconf soap https ssl-server-policy test.
对于D045SP分支的防火墙没有找到此命令netconf over soap ssl server-policy test,用Release 9153P2412版本的M9006测试
[M9006-probe]display system internal version
H3C SecPath M9006 V900R001B03D645SP2412
Comware V700R001B64D045SP2412
对应的应该是这条命令:
netconf soap https ssl-server-policy命令用来配置基于HTTPS的NETCONF over SOAP功能与SSL服务器端策略关联。
undo netconf soap https ssl-server-policy命令用来恢复缺省情况。
【命令】
netconf soap https ssl-server-policy policy-name
undo netconf soap https ssl-server-policy
【缺省情况】
基于HTTPS的NETCONF over SOAP功能未与SSL服务器端策略关联。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
policy-name:SSL服务器端策略名,为1~31个字符的字符串。
【使用指导】
配置本命令后,设备将使用SSL服务器端策略指定的加密套件等SSL参数建立NETCONF连接,以加强基于HTTPS的NETCONF over SOAP功能的安全性。有关SSL服务器端策略的配置,请参见“安全配置指导”中的“SSL”。
多次执行本命令,最后一次执行的命令生效。
基于HTTPS的NETCONF over SOAP功能处于开启状态时,必须先执行undo netconf soap https enable命令,才能配置本命令。
配置本命令后,需要执行netconf soap https enable命令,配置才会生效。
如果修改了关联的SSL服务器端策略,NETCONF客户端和设备新建立的HTTPS连接将会引用新的策略,已建立的HTTPS连接不会受到影响,依然引用旧的策略。
【举例】
# 配置基于HTTPS的NETCONF over SOAP功能关联的SSL服务器端策略为myssl。
<Sysname> system-view
[Sysname] netconf soap https ssl-server-policy myssl
(0)
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作