• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

防火墙ssl漏洞问题

1小时前提问
  • 0关注
  • 0收藏,25浏览
粉丝:0人 关注:0人

问题描述:

1、SSL证书不可信, 无法信任服务器的X.509证书。这种情况可能以三种不同的方式出现,在这种情况下,信任链可能会断开,如下所述:-首先,服务器发送的证书链的顶部可能不是已知的公共证书颁发机构的后代。如果链的顶部是无法识别的自签名证书,或者缺少将证书链的顶部连接到已知公共证书颁发机构的中间证书,则可能会发生这种情况。-其次,证书链可能包含扫描时无效的证书。当扫描发生在证书的"notBefore"日期之一之前或证书的"notAfter"日期之一之后时,可能会发生这种情况。-第三,证书链可能包含与证书信 不匹配或无法验证的签名。错误的签名可以通过使具有错误签名的证书由其颁发者重新签名来修复。无法验证的签名是证书颁发者使用Nessus不支持或不识别的签名算法的结果。如果远程主机是生产中的公共主机,则链中的任何中断都会增加用户验证web服务器的真实性和身份 难度。这样可以更容易地对远程主机执行中间人攻击。 2、SSL自签名证书 此服务的X.509证书链未由认可的证书颁发机构签名。如果远程主机是生产中的公共主机,这将取消SSL的使用,因为任何人都可以对远程主机建立中间人攻击。请注意,此插件不检查以非自签名证书结尾但由无法识别的证书颁发机构签名的证书链。 3、TLS 1.1版本已丢用协议 远程服务接受使用TLS 1.1加密的连接。TLS 1.1不支持当前和推荐的密码套件。支持 MAC计算前加密和GCM等身份验证加密模式的密码不能与TLS 1.1一起使用。截至2020年3月31日,未启用TLS 1.2及更高版本的端点将无法在主要网络浏览器和主要供应商中正常运行。

4 个回答
粉丝:12人 关注:9人

排查步骤与命令:
1. 检查证书链完整性:
登录防火墙Web界面,进入“SSL VPN”或“证书管理”模块,查看服务器证书链是否包含完整的中间证书和根证书。
命令行:display pki certificate 查看已导入的证书,确认链中证书是否完整。
2. 验证证书有效期:
检查证书的notBefore和notAfter日期,确保当前时间在有效期内。
命令行:display pki certificate verbose 查看证书详细信息中的有效期。
3. 检查签名算法:
确认证书使用的签名算法是否被支持(如SHA256withRSA等),避免使用MD5、SHA1等弱算法。
命令行:同上,查看证书的“Signature Algorithm”字段。
4. 导入缺失的中间证书:
若缺少中间证书,从CA获取并导入防火墙。
命令行:pki import pem filename 导入证书。
5. 替换过期或弱签名证书:
若证书过期或签名算法不支持,重新向可信CA申请符合要求的证书并替换。
配置关键命令:
导入根证书:pki import root-ca pem filename flash:/root.crt
配置SSL服务使用正确证书:ssl server-policy certificate
应用到SSL VPN或HTTPS服务:ssl vpn gateway server-policy
原理:SSL证书不可信的核心原因是信任链断裂,需确保证书链完整、有效期内、签名算法合法,以建立客户端与服务器间的信任关系,防止中间人攻击。

暂无评论

米多 七段
粉丝:5人 关注:0人

应该是需要申请CA证书以后导入防火墙就可以了

暂无评论

粉丝:23人 关注:2人

防火墙三类 SSL/TLS 漏洞完整成因 + 华三 SecPath 防火墙整改方案
一、三类漏洞风险总结
漏洞 1+2:SSL 自签名证书 / 证书不可信
风险原理
设备出厂默认自签名证书,无公共 CA 根证书链,浏览器 / 扫描器无法信任,中间人攻击风险极高;
不可信分三类场景:
根证书为自签、缺失中间 CA 证书,信任链断裂;
证书过期 / 未到生效时间;
签名算法老旧(SHA1)、签名校验失败。
整改目标:替换为公有可信 CA 证书(阿里云 / 腾讯云 / Let’s Encrypt)或企业内网 CA 完整证书链
漏洞 3:TLS1.1 废弃协议
风险原理
TLS1.1 2020 年已主流浏览器淘汰,不支持 GCM 加密套件,存在 BEAST、CRIME 等中间人、数据窃听漏洞;合规要求仅保留 TLS1.2、TLS1.3,必须禁用 SSLv3/TLS1.0/TLS1.1。
二、分模块完整整改配置(H3C SecPath Comware V7/V9 通用)
模块 1:替换可信 CA 证书(消除自签名、证书不可信漏洞)
前置准备
从 CA 机构申请证书,导出文件:
服务器证书 + 私钥 .pfx(带密码);
完整证书链:根 CA 证书、中间 CA 证书(cer/der 格式)。
步骤 1:上传证书文件到防火墙 Flash
通过 Web 管理或 FTP 上传 server.pfx、ca.cer。
步骤 2:创建 PKI 域,导入完整证书链
bash
运行
system-view
# 创建PKI域
pki domain ssl-ca
undo crl check enable # 关闭CRL吊销校验(内网无CRL服务器时)
quit

# 导入根/中间CA证书
pki import domain ssl-ca der ca filename ca.cer
# 导入服务器证书+私钥(输入pfx密码)
pki import domain ssl-ca p12 local filename server.pfx
步骤 3:创建 SSL 服务策略,绑定可信证书域
bash
运行
# 创建SSL服务器策略
ssl server-policy safe-ssl
pki-domain ssl-ca
# 全局禁用不安全协议(同步修复TLS1.1漏洞)
ssl version ssl3.0 tls1.0 tls1.1 disable
# 仅保留TLS1.2、TLS1.3协商
undo ssl version tls1.2 disable
undo ssl version tls1.3 disable
# 配置安全加密套件(仅ECDHE前向保密GCM套件)
cipher-suite ecdhe-rsa-aes128-gcm-sha256 ecdhe-rsa-aes256-gcm-sha384
quit
步骤 4:防火墙 HTTPS 管理界面引用安全 SSL 策略
bash
运行
# 重启HTTPS服务加载新证书策略
undo ip https enable
ip https ssl-server-policy safe-ssl
ip https enable


Web新建PKI域


导入CA/本地证书
补充内网无公网 CA 临时方案(仅内网使用,过外部扫描无效)
企业内网搭建 Windows AD CA,生成内网完整证书链导入防火墙,仅内网终端导入根证书可消除告警;公网对外业务必须使用公有可信 CA 证书。
模块 2:彻底禁用 TLS1.1(废弃协议漏洞根治)
全局强制禁用弱协议(整机所有 SSL 服务生效)
bash
运行
system-view
# 一次性关闭SSL3.0、TLS1.0、TLS1.1,仅放行1.2/1.3
ssl version ssl3.0 tls1.0 tls1.1 disable
单独 SSL 策略精细化管控(VPN/HTTPS/Portal 分别绑定)
每个 ssl server-policy 内重复配置禁用弱协议,避免全局配置失效:
bash
运行
ssl server-policy safe-ssl
ssl version ssl3.0 tls1.0 tls1.1 disable
cipher-suite ecdhe-rsa-aes-gcm-sha*
验证 TLS 版本是否禁用
bash
运行
# 查看SSL全局版本配置
display current-configuration | include ssl version
# 查看SSL策略详情
display ssl server-policy safe-ssl
使用 OpenSSL 验证:
bash
运行
# TLS1.1应提示握手失败
openssl s_client -connect 防火墙IP:443 -tls1_1
# TLS1.2/1.3正常握手
openssl s_client -connect 防火墙IP:443 -tls1_2
模块 3:配套加固(规避证书签名 / 算法漏洞)
禁用 SHA1 老旧签名算法
申请证书时强制使用 SHA256 签名;SSL 策略只启用 GCM 加密套件,关闭 CBC 弱套件。
时间同步防止证书过期校验失败
配置 NTP 服务器,设备系统时间与证书有效期匹配:
bash
运行
ntp server 时间服务器IP
清理过期自签名默认证书
bash
运行
display pki local-certificate
undo pki local-certificate default
三、特殊场景:防火墙 SSL VPN/Portal 认证同步整改
SSL VPN 网关引用同一安全 ssl server-policy;
Web Portal 认证页面同样绑定safe-ssl策略,统一使用可信证书 + TLS1.2+;
bash
运行
portal web-server portal1
ssl-server-policy safe-ssl
四、漏洞复测判断标准
自签名 / 证书不可信漏洞消失
扫描器识别完整公有 CA 信任链,无证书链中断、签名校验失败告警;
TLS1.1 废弃协议漏洞消失
扫描 ssl-enum-ciphers 仅返回 TLS1.2/TLS1.3,无 TLSv1.1 协商记录;
无弱加密套件、SHA1 签名、RSA 静态密钥交换告警。
五、常见踩坑点
仅上传服务器证书,缺失中间 CA 证书:信任链断裂,扫描依旧报证书不可信;
只全局关闭 TLS1.1,SSL 策略内未重复配置,VPN/Portal 仍可协商 TLS1.1;
证书 PFX 私钥密码错误、文件损坏,导入失败继续使用旧自签证书;
设备系统时间偏差过大,误判证书过期,触发证书无效告警。

暂无评论

粉丝:133人 关注:11人

漏洞cve发一下

暂无评论

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明