ICG5000T WEB配置命令

（可选）配置用户访问Web的固定校验码

web captcha verification-code

缺省情况下，用户只能使用Web页面显示的校验码访问Web

进入系统视图

system-view

-

开启HTTP服务

ip http enable

缺省情况下，HTTP服务处于关闭状态

（可选）配置HTTP服务的端口号

ip http port port-number

缺省情况下，HTTP服务的端口号为80

（可选）配置HTTP服务在响应OPTIONS请求时返回的方法列表

http method { delete | get | head | options | post | put } *

缺省情况下，未配置任何方法

（可选）设置Web登录用户连接的超时时间

web idle-timeout minutes

缺省情况下，Web闲置超时时间为10分钟

（可选）设置同时在线的最大HTTP用户连接数

aaa session-limit http max-sessions

缺省情况下，最大用户连接数为32

配置本命令后，已经在线的用户连接不会受到影响，只对新的用户连接生效。如果当前在线的用户连接数已经达到最大值，则新的连接请求会被拒绝，登录会失败

关于该命令的详细描述，请参见“安全命令参考”中的“AAA”

（可选）开启Web操作日志输出功能

webui log enable

缺省情况下，Web操作日志输出功能处于关闭状态

创建本地用户用于Web登录，并进入本地用户视图

local-user user-name [ class manage ]

缺省情况下，无本地用户

（可选）设置本地用户的密码

非FIPS模式下：

password [ { hash | simple } password ]

FIPS模式下：

password

用户的密码将在哈希计算后以密文的方式保存到配置文件中

非FIPS模式下：

不存在本地用户密码，即本地用户认证时无需输入密码，只要用户名有效且其它属性验证通过即可认证成功

FIPS模式下：

不存在本地用户密码，但本地用户认证时不能成功

配置Web用户的角色

authorization-attribute user-role user-role

缺省情况下，Web用户的角色为network-operator

配置Web用户的服务类型为HTTP

service-type http

缺省情况下，未配置用户的服务类型

（可选）配置用户访问Web的固定校验码

web captcha verification-code

缺省情况下，用户只能使用Web页面显示的校验码访问Web

进入系统视图

system-view

-

（可选）配置HTTPS服务与SSL服务器端策略关联

ip https ssl-server-policy policy-name

缺省情况下，HTTPS服务未与SSL服务器端策略关联，HTTPS使用自签名证书

·     HTTP服务和HTTPS服务处于开启状态时，对与HTTPS服务关联的SSL服务器端策略进行的修改不会生效。如需更改HTTPS服务与SSL服务器端的关联策略，首先执行undo ip http enable和undo ip https enable两条命令，再执行ip https ssl-server-policy policy-name命令，最后重新开启HTTP服务和HTTPS服务，新的策略即可生效。

·     如需恢复缺省情况，必须先执行undo ip http enable和undo ip https enable两条命令，再执行undo ip https ssl-server-policy，最后重新开启HTTP服务和HTTPS服务即可。

开启HTTPS服务

ip https enable

缺省情况下，HTTPS服务处于关闭状态

开启HTTPS服务，会触发SSL的握手协商过程。在SSL握手协商过程中，如果设备的本地证书已经存在，则SSL协商可以成功，HTTPS服务可以正常启动；如果设备的本地证书不存在，则SSL协商过程会触发证书申请流程。由于证书申请需要较长的时间，会导致SSL协商不成功，从而无法正常启动HTTPS服务。因此，在这种情况下，需要多次执行ip https enable命令，这样HTTPS服务才能正常启动

（可选）配置HTTPS服务与证书属性访问控制策略关联

ip https certificate access-control-policy policy-name

缺省情况下，HTTPS服务未与证书属性访问控制策略关联

·     通过将HTTPS服务与已配置的客户端证书属性访问控制策略关联，可以实现对客户端的访问权限进行控制，进一步保证设备的安全性

·     如果配置HTTPS服务与证书属性访问控制策略关联，则必须同时在与HTTPS服务关联的SSL服务器端策略中配置client-verify enable命令，否则，客户端无法登录设备。

·     如果配置HTTPS服务与证书属性访问控制策略关联，则证书属性访问控制策略中必须至少包括一条permit规则，否则任何HTTPS客户端都无法登录设备。

·     证书属性访问控制策略的详细介绍请参见“安全配置指导”中的“PKI”

（可选）配置HTTPS服务的端口

ip https port port-number

缺省情况下，HTTPS服务的端口号为443

（可选）配置使用HTTPS登录设备时的认证方式

web https-authorization mode { auto | manual }

缺省情况下，用户使用HTTPS登录设备时采用的认证模式为manual

（可选）设置Web登录用户连接的超时时间

web idle-timeout minutes

缺省情况下，Web闲置超时时间为10分钟

（可选）设置同时在线的最大HTTPS用户连接数

aaa session-limit https max-sessions

缺省情况下，最大用户连接数为32

配置本命令后，已经在线的用户连接不会受到影响，只对新的用户连接生效。如果当前在线的用户连接数已经达到最大值，则新的连接请求会被拒绝，登录会失败

关于该命令的详细描述，请参见“安全命令参考”中的“AAA”

（可选）开启Web操作日志输出功能

webui log enable

缺省情况下，Web操作日志输出功能处于关闭状态

创建本地用户用于Web登录，并进入本地用户视图

local-user user-name [ class manage ]

缺省情况下，无本地用户

（可选）设置本地用户的密码

非FIPS模式下：

password [ { hash | simple } password ]

FIPS模式下：

password

用户的密码将在哈希计算后以密文的方式保存到配置文件中

非FIPS模式下：

不存在本地用户密码，即本地用户认证时无需输入密码，只要用户名有效且其它属性验证通过即可认证成功

FIPS模式下：

不存在本地用户密码，但本地用户认证时不能成功

配置Web登录的用户角色

authorization-attribute user-role user-role

缺省情况下，Web登录的用户角色为network-operator

配置Web登录用户的服务类型为HTTPS

service-type https

缺省情况下，未配置用户的服务类型