- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
13-SSL命令
本章節下載: 13-SSL命令 (243.00 KB)
目 錄
1.1.1 certificate-chain-sending enable
1.1.4 display ssl client-policy
1.1.5 display ssl server-policy
1.1.6 pki-domain (SSL client policy view)
1.1.7 pki-domain (SSL server policy view)
1.1.12 ssl renegotiation disable
1.1.14 ssl version ssl3.0 disable
certificate-chain-sending enable命令用來配置SSL協商時SSL服務器端發送完整的證書鏈。
undo certificate-chain-sending enable命令用來恢複缺省情況。
【命令】
certificate-chain-sending enable
undo certificate-chain-sending enable
【缺省情況】
SSL協商時,SSL服務器端隻發送本地證書,不發送證書鏈。
【視圖】
SSL服務器端策略視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
僅當SSL客戶端沒有完整的證書鏈對服務器端的數字證書進行驗證時,請通過本命令要求SSL服務器端在握手協商時向對端發送完整的證書鏈,以保證SSL會話的正常建立。否則,建議關閉此功能,減輕協商階段的網絡開銷。
【舉例】
<Sysname> system-view
[Sysname] ssl server-policy policy1
[Sysname-ssl-server-policy-policy1] certificate-chain-sending enable
ciphersuite命令用來配置SSL服務器端策略支持的加密套件。
undo ciphersuite命令用來恢複缺省情況。
【命令】
ciphersuite { dhe_rsa_aes_128_cbc_sha | dhe_rsa_aes_256_cbc_sha | exp_rsa_des_cbc_sha | exp_rsa_rc2_md5 | exp_rsa_rc4_md5 | rsa_3des_ede_cbc_sha | rsa_aes_128_cbc_sha | rsa_aes_256_cbc_sha | rsa_des_cbc_sha | rsa_rc4_128_md5 | rsa_rc4_128_sha } *
undo ciphersuite
【缺省情況】
SSL服務器端策略支持所有的加密套件。
【視圖】
SSL服務器端策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
dhe_rsa_aes_128_cbc_sha:密鑰交換算法采用DHE RSA、數據加密算法采用128位的AES、MAC算法采用SHA。
dhe_rsa_aes_256_cbc_sha:密鑰交換算法采用DHE RSA、數據加密算法采用256位的AES、MAC算法采用SHA。
exp_rsa_des_cbc_sha:滿足出口限製的算法套件。密鑰交換算法采用RSA、數據加密算法采用DES_CBC、MAC算法采用SHA。
exp_rsa_rc2_md5:滿足出口限製的算法套件。密鑰交換算法采用RSA、數據加密算法采用RC2、MAC算法采用MD5。
設備各款型對於本節所描述的參數支持情況有所不同,詳細差異信息如下:
|
型號 |
參數 |
描述 |
|
F5010/F5020/F5030/F5030-6GW/F5040/F5060/F5080/F5000-M/F5000-S/F5000-C |
exp_rsa_rc2_md5 |
· F5010/F5020/F5040/F5000-S/F5000-C支持 · F5030/F5030-6GW/F5060/F5080/F5000-M不支持 |
|
F1005/F1010/F1020/F1030/F1050/F1060/F1070/F1080/F1070-GM |
支持 |
|
|
F1000-AK108/AK109/AK110/AK115/AK120/AK125/AK130/AK135/AK140/AK145/AK150/AK155/AK160/AK165/AK170/AK175/AK180/AK185/AK710/AK711 |
支持 |
|
|
F1000-GM-AK370/F1000-GM-AK380 |
支持 |
|
|
LSU3FWCEA0/LSUM1FWCEAB0/LSX1FWCEA1 |
支持 |
|
|
LSXM1FWDF1/LSUM1FWDEC0/IM-NGFWX-IV/LSQM1FWDSC0/LSWM1FWD0/LSPM6FWD |
僅LSPM6FWD支持 |
exp_rsa_rc4_md5:滿足出口限製的算法套件。密鑰交換算法采用RSA、數據加密算法采用RC4、MAC算法采用MD5。
設備各款型對於本節所描述的參數支持情況有所不同,詳細差異信息如下:
|
型號 |
參數 |
描述 |
|
F5010/F5020/F5030/F5030-6GW/F5040/F5060/F5080/F5000-M/F5000-S/F5000-C |
exp_rsa_rc4_md5 |
· F5010/F5020/F5040/F5000-S/F5000-C支持 · F5030/F5030-6GW/F5060/F5080/F5000-M不支持 |
|
F1005/F1010/F1020/F1030/F1050/F1060/F1070/F1080/F1070-GM |
支持 |
|
|
F1000-AK108/AK109/AK110/AK115/AK120/AK125/AK130/AK135/AK140/AK145/AK150/AK155/AK160/AK165/AK170/AK175/AK180/AK185/AK710/AK711 |
支持 |
|
|
F1000-GM-AK370/F1000-GM-AK380 |
支持 |
|
|
LSU3FWCEA0/LSUM1FWCEAB0/LSX1FWCEA1 |
支持 |
|
|
LSXM1FWDF1/LSUM1FWDEC0/IM-NGFWX-IV/LSQM1FWDSC0/LSWM1FWD0/LSPM6FWD |
僅LSPM6FWD支持 |
rsa_3des_ede_cbc_sha:密鑰交換算法采用RSA、數據加密算法采用3DES_EDE_CBC、MAC算法采用SHA。
rsa_aes_128_cbc_sha:密鑰交換算法采用RSA、數據加密算法采用128位AES_CBC、MAC算法采用SHA。
rsa_aes_256_cbc_sha:密鑰交換算法采用RSA、數據加密算法采用256位AES_CBC、MAC算法采用SHA。
rsa_des_cbc_sha:密鑰交換算法采用RSA、數據加密算法采用DES_CBC、MAC算法采用SHA。
rsa_rc4_128_md5:密鑰交換算法采用RSA、數據加密算法采用128位的RC4、MAC算法采用MD5。
設備各款型對於本節所描述的參數支持情況有所不同,詳細差異信息如下:
|
型號 |
參數 |
描述 |
|
F5010/F5020/F5030/F5030-6GW/F5040/F5060/F5080/F5000-M/F5000-S/F5000-C |
rsa_rc4_128_md5 |
· F5010/F5020/F5040/F5000-S/F5000-C支持 · F5030/F5030-6GW/F5060/F5080/F5000-M不支持 |
|
F1005/F1010/F1020/F1030/F1050/F1060/F1070/F1080/F1070-GM |
支持 |
|
|
F1000-AK108/AK109/AK110/AK115/AK120/AK125/AK130/AK135/AK140/AK145/AK150/AK155/AK160/AK165/AK170/AK175/AK180/AK185/AK710/AK711 |
支持 |
|
|
F1000-GM-AK370/F1000-GM-AK380 |
支持 |
|
|
LSU3FWCEA0/LSUM1FWCEAB0/LSX1FWCEA1 |
支持 |
|
|
LSXM1FWDF1/LSUM1FWDEC0/IM-NGFWX-IV/LSQM1FWDSC0/LSWM1FWD0/LSPM6FWD |
僅LSPM6FWD支持 |
rsa_rc4_128_sha:密鑰交換算法采用RSA、數據加密算法采用128位的RC4、MAC算法采用SHA。
設備各款型對於本節所描述的參數支持情況有所不同,詳細差異信息如下:
|
型號 |
參數 |
描述 |
|
F5010/F5020/F5030/F5030-6GW/F5040/F5060/F5080/F5000-M/F5000-S/F5000-C |
rsa_rc4_128_sha |
· F5010/F5020/F5040/F5000-S/F5000-C支持 · F5030/F5030-6GW/F5060/F5080/F5000-M不支持 |
|
F1005/F1010/F1020/F1030/F1050/F1060/F1070/F1080/F1070-GM |
支持 |
|
|
F1000-AK108/AK109/AK110/AK115/AK120/AK125/AK130/AK135/AK140/AK145/AK150/AK155/AK160/AK165/AK170/AK175/AK180/AK185/AK710/AK711 |
支持 |
|
|
F1000-GM-AK370/F1000-GM-AK380 |
支持 |
|
|
LSU3FWCEA0/LSUM1FWCEAB0/LSX1FWCEA1 |
支持 |
|
|
LSXM1FWDF1/LSUM1FWDEC0/IM-NGFWX-IV/LSQM1FWDSC0/LSWM1FWD0/LSPM6FWD |
僅LSPM6FWD支持 |
【使用指導】
為了提高安全性,SSL協議采用了如下算法:
· 數據加密算法:用來對傳輸的數據進行加密,以保證數據傳輸的私密性。常用的數據加密算法通常為對稱密鑰算法,如DES_CBC、3DES_EDE_CBC、AES_CBC、RC4等。使用對稱密鑰算法時,要求SSL服務器端和SSL客戶端具有相同的密鑰。
· MAC(Message Authentication Code,消息驗證碼)算法:用來計算數據的MAC值,以防止發送的數據被篡改。常用的MAC算法有MD5、SHA等。使用MAC算法時,要求SSL服務器端和SSL客戶端具有相同的密鑰。
· 密鑰交換算法:用來實現密鑰交換,以保證對稱密鑰算法、MAC算法中使用的密鑰在SSL服務器端和SSL客戶端之間安全地傳遞。常用的密鑰交換算法通常為非對稱密鑰算法,如RSA。
通過本命令可以配置SSL服務器端策略支持的各種算法組合。例如,rsa_des_cbc_sha表示SSL服務器端策略支持的密鑰交換算法為RSA、數據加密算法為DES_CBC、MAC算法為SHA。
SSL服務器接收到SSL客戶端發送的客戶端加密套件後,將服務器支持的加密套件與SSL客戶端支持的加密套件比較。如果SSL服務器支持的加密套件中存在SSL客戶端支持的加密套件,則加密套件協商成功;否則,加密套件協商失敗。
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 指定SSL服務器端策略支持如下加密套件:
· 密鑰交換算法為DHE RSA、數據加密算法為128位的AES、MAC算法為SHA
· 密鑰交換算法為RSA、數據加密算法為128位的AES、MAC算法為SHA
<Sysname> system-view
[Sysname] ssl server-policy policy1
[Sysname-ssl-server-policy-policy1] ciphersuite dhe_rsa_aes_128_cbc_sha rsa_aes_128_cbc_sha
【相關命令】
· display ssl server-policy
· prefer-cipher
client-verify命令用來配置SSL服務器端對SSL客戶端的身份驗證方案。
undo client-verify命令用來恢複缺省情況。
【命令】
client-verify { enable | optional }
undo client-verify [ enable ]
【缺省情況】
SSL服務器端不對SSL客戶端進行基於數字證書的身份驗證。
【視圖】
SSL服務器端策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
enable:表示SSL服務器端要求對SSL客戶端進行基於數字證書的身份驗證。
optional:表示SSL服務器端不強製要求對SSL客戶端進行基於數字證書的身份驗證,即身份驗證可選。
【使用指導】
SSL通過數字證書實現對對端的身份進行驗證。數字證書的詳細介紹,請參見“安全配置指導”中的“PKI”。
設備作為SSL服務器端,支持靈活的SSL客戶端認證方案,具體如下:
· 執行了client-verify enable命令的情況下,則SSL客戶端必須將自己的數字證書提供給服務器,以便服務器對客戶端進行基於數字證書的身份驗證。隻有身份驗證通過後,SSL客戶端才能訪問SSL服務器。
· 執行了client-verify optional命令的情況下,若SSL客戶端未提供數字證書給服務器,SSL客戶端也能訪問SSL服務器;若SSL客戶端提供數字證書給服務器,隻有身份驗證通過後,SSL客戶端才能訪問SSL服務器。
· 執行了undo client-verify [ enable ]命令的情況下,SSL服務器端不要求SSL客戶端提供數字證書,也不會對其進行基於數字證書的身份驗證,SSL客戶端可以直接訪問SSL服務器。
SSL服務器端在基於數字證書對SSL客戶端進行身份驗證時,除了對SSL客戶端發送的證書鏈進行驗證,還要檢查證書鏈中的除根CA證書外的每個證書是否均未被吊銷。
【舉例】
# 配置SSL服務器端要求對SSL客戶端進行基於數字證書的身份驗證。
<Sysname> system-view
[Sysname] ssl server-policy policy1
[Sysname-ssl-server-policy-policy1] client-verify enable
# 配置SSL服務器端對SSL客戶端進行基於數字證書的身份驗證是可選的。
<Sysname> system-view
[Sysname] ssl server-policy policy1
[Sysname-ssl-server-policy-policy1] client-verify optional
# 配置SSL服務器端不要求對SSL客戶端進行基於數字證書的身份驗證。
<Sysname> system-view
[Sysname] ssl server-policy policy1
[Sysname-ssl-server-policy-policy1] undo client-verify
【相關命令】
· display ssl server-policy
display ssl client-policy命令用來顯示SSL客戶端策略的信息。
【命令】
display ssl client-policy [ policy-name ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
policy-name:顯示指定的SSL客戶端策略的信息,為1~31個字符的字符串,不區分大小寫。如果不指定本參數,則顯示所有SSL客戶端策略的信息。
【舉例】
# 顯示名為policy1的SSL客戶端策略的信息。
<Sysname> display ssl client-policy policy1
SSL client policy: policy1
SSL version: SSL 3.0
PKI domain: client-domain
Preferred ciphersuite:
RSA_AES_128_CBC_SHA
Server-verify: enabled
表1-1 display ssl client-policy命令顯示信息描述表
|
字段 |
描述 |
|
SSL client policy |
SSL客戶端策略名 |
|
SSL version |
SSL客戶端策略使用的SSL協議版本 |
|
PKI domain |
SSL客戶端策略使用的PKI域 |
|
Preferred ciphersuite |
SSL客戶端策略支持的加密套件 |
|
Server-verify |
SSL客戶端策略的服務器端驗證模式,取值包括: · disabled:不要求對SSL服務器進行基於數字證書的身份驗證 · enabled:要求對SSL服務器進行基於數字證書的身份驗證 |
display ssl server-policy命令用來顯示SSL服務器端策略的信息。
【命令】
display ssl server-policy [ policy-name ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
policy-name:顯示指定的SSL服務器端策略的信息,為1~31個字符的字符串,不區分大小寫。如果不指定本參數,則顯示所有SSL服務器端策略的信息。
【舉例】
# 顯示名為policy1的SSL服務器端策略的信息。
<Sysname> display ssl server-policy policy1
SSL server policy: policy1
PKI domain: server-domain
Ciphersuites:
DHE_RSA_AES_128_CBC_SHA
RSA_AES_128_CBC_SHA
Session cache size: 600
Caching timeout: 3600 seconds
Client-verify: Enabled
表1-2 display ssl server-policy命令顯示信息描述表
|
字段 |
描述 |
|
SSL server policy |
SSL服務器端策略名 |
|
PKI domain |
SSL服務器端策略使用的PKI域 |
|
Ciphersuites |
SSL服務器端策略支持的加密套件 |
|
Session cache size |
SSL服務器端可以緩存的最大會話數目 |
|
Caching timeout |
SSL服務器端會話緩存超時時間(單位為秒) |
|
Client-verify |
SSL服務器端策略的客戶端驗證模式,取值包括: · Disabled:不要求對客戶端進行基於數字證書的身份驗證 · Enabled:要求對客戶端進行基於數字證書的身份驗證 · Optional:SSL服務器端對SSL客戶端進行基於數字證書的身份驗證是可選的 |
pki-domain命令用來配置SSL客戶端策略所使用的PKI域。
undo pki-domain命令用來恢複缺省情況。
【命令】
pki-domain domain-name
undo pki-domain
【缺省情況】
未指定SSL客戶端策略所使用的PKI域。
【視圖】
SSL客戶端策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
domain-name:PKI域的域名,為1~31個字符的字符串,不區分大小寫。
【使用指導】
如果通過本命令指定了SSL客戶端策略使用的PKI域,則引用該客戶端策略的SSL客戶端將通過該PKI域獲取客戶端的數字證書。
【舉例】
# 配置SSL客戶端策略所使用的PKI域為client-domain。
<Sysname> system-view
[Sysname] ssl client-policy policy1
[Sysname-ssl-client-policy-policy1] pki-domain client-domain
【相關命令】
· display ssl client-policy
· pki domain(安全命令參考/PKI)
pki-domain命令用來配置SSL服務器端策略所使用的PKI域。
undo pki-domain命令用來恢複缺省情況。
【命令】
pki-domain domain-name
undo pki-domain
【缺省情況】
未指定SSL服務器端策略所使用的PKI域。
【視圖】
SSL服務器端策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
domain-name:PKI域的域名,為1~31個字符的字符串,不區分大小寫。
【使用指導】
如果通過本命令指定了SSL服務器端策略使用的PKI域,則引用該服務器端策略的SSL服務器將通過該PKI域獲取服務器端的數字證書。
【舉例】
# 配置SSL服務器端策略所使用的PKI域為server-domain。
<Sysname> system-view
[Sysname] ssl server-policy policy1
[Sysname-ssl-server-policy-policy1] pki-domain server-domain
【相關命令】
· display ssl server-policy
· pki domain(安全命令參考/PKI)
prefer-cipher命令用來配置SSL客戶端策略支持的加密套件。
undo prefer-cipher命令用來恢複缺省情況。
【命令】
prefer-cipher { dhe_rsa_aes_128_cbc_sha | dhe_rsa_aes_256_cbc_sha | exp_rsa_des_cbc_sha | exp_rsa_rc2_md5 | exp_rsa_rc4_md5 | rsa_3des_ede_cbc_sha | rsa_aes_128_cbc_sha | rsa_aes_256_cbc_sha | rsa_des_cbc_sha | rsa_rc4_128_md5 | rsa_rc4_128_sha }
undo prefer-cipher
【缺省情況】
SSL客戶端策略支持的加密套件為dhe_rsa_aes_128_cbc_sha、dhe_rsa_aes_256_cbc_sha、rsa_3des_ede_cbc_sha、rsa_aes_128_cbc_sha、rsa_aes_256_cbc_sha。
【視圖】
SSL客戶端策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
dhe_rsa_aes_128_cbc_sha:密鑰交換算法采用DHE RSA、數據加密算法采用128位的AES、MAC算法采用SHA。
dhe_rsa_aes_256_cbc_sha:密鑰交換算法采用DHE RSA、數據加密算法采用256位的AES、MAC算法采用SHA。
exp_rsa_des_cbc_sha:滿足出口限製的算法套件。密鑰交換算法采用RSA、數據加密算法采用DES_CBC、MAC算法采用SHA。
exp_rsa_rc2_md5:滿足出口限製的算法套件。密鑰交換算法采用RSA、數據加密算法采用RC2、MAC算法采用MD5。
設備各款型對於本節所描述的參數支持情況有所不同,詳細差異信息如下:
|
型號 |
參數 |
描述 |
|
F5010/F5020/F5030/F5030-6GW/F5040/F5060/F5080/F5000-M/F5000-S/F5000-C |
exp_rsa_rc2_md5 |
· F5010/F5020/F5040/F5000-S/F5000-C支持 · F5030/F5030-6GW/F5060/F5080/F5000-M不支持 |
|
F1005/F1010/F1020/F1030/F1050/F1060/F1070/F1080/F1070-GM |
支持 |
|
|
F1000-AK108/AK109/AK110/AK115/AK120/AK125/AK130/AK135/AK140/AK145/AK150/AK155/AK160/AK165/AK170/AK175/AK180/AK185/AK710/AK711 |
支持 |
|
|
F1000-GM-AK370/F1000-GM-AK380 |
支持 |
|
|
LSU3FWCEA0/LSUM1FWCEAB0/LSX1FWCEA1 |
支持 |
|
|
LSXM1FWDF1/LSUM1FWDEC0/IM-NGFWX-IV/LSQM1FWDSC0/LSWM1FWD0/LSPM6FWD |
僅LSPM6FWD支持 |
exp_rsa_rc4_md5:滿足出口限製的算法套件。密鑰交換算法采用RSA、數據加密算法采用RC4、MAC算法采用MD5。
設備各款型對於本節所描述的參數支持情況有所不同,詳細差異信息如下:
|
型號 |
參數 |
描述 |
|
F5010/F5020/F5030/F5030-6GW/F5040/F5060/F5080/F5000-M/F5000-S/F5000-C |
exp_rsa_rc4_md5 |
· F5010/F5020/F5040/F5000-S/F5000-C支持 · F5030/F5030-6GW/F5060/F5080/F5000-M不支持 |
|
F1005/F1010/F1020/F1030/F1050/F1060/F1070/F1080/F1070-GM |
支持 |
|
|
F1000-AK108/AK109/AK110/AK115/AK120/AK125/AK130/AK135/AK140/AK145/AK150/AK155/AK160/AK165/AK170/AK175/AK180/AK185/AK710/AK711 |
支持 |
|
|
F1000-GM-AK370/F1000-GM-AK380 |
支持 |
|
|
LSU3FWCEA0/LSUM1FWCEAB0/LSX1FWCEA1 |
支持 |
|
|
LSXM1FWDF1/LSUM1FWDEC0/IM-NGFWX-IV/LSQM1FWDSC0/LSWM1FWD0/LSPM6FWD |
僅LSPM6FWD支持 |
rsa_3des_ede_cbc_sha:密鑰交換算法采用RSA、數據加密算法采用3DES_EDE_CBC、MAC算法采用SHA。
rsa_aes_128_cbc_sha:密鑰交換算法采用RSA、數據加密算法采用128位AES_CBC、MAC算法采用SHA。
rsa_aes_256_cbc_sha:密鑰交換算法采用RSA、數據加密算法采用256位AES_CBC、MAC算法采用SHA。
rsa_des_cbc_sha:密鑰交換算法采用RSA、數據加密算法采用DES_CBC、MAC算法采用SHA。
rsa_rc4_128_md5:密鑰交換算法采用RSA、數據加密算法采用128位的RC4、MAC算法采用MD5。
設備各款型對於本節所描述的參數支持情況有所不同,詳細差異信息如下:
|
型號 |
參數 |
描述 |
|
F5010/F5020/F5030/F5030-6GW/F5040/F5060/F5080/F5000-M/F5000-S/F5000-C |
rsa_rc4_128_md5 |
· F5010/F5020/F5040/F5000-S/F5000-C支持 · F5030/F5030-6GW/F5060/F5080/F5000-M不支持 |
|
F1005/F1010/F1020/F1030/F1050/F1060/F1070/F1080/F1070-GM |
支持 |
|
|
F1000-AK108/AK109/AK110/AK115/AK120/AK125/AK130/AK135/AK140/AK145/AK150/AK155/AK160/AK165/AK170/AK175/AK180/AK185/AK710/AK711 |
支持 |
|
|
F1000-GM-AK370/F1000-GM-AK380 |
支持 |
|
|
LSU3FWCEA0/LSUM1FWCEAB0/LSX1FWCEA1 |
支持 |
|
|
LSXM1FWDF1/LSUM1FWDEC0/IM-NGFWX-IV/LSQM1FWDSC0/LSWM1FWD0/LSPM6FWD |
僅LSPM6FWD支持 |
rsa_rc4_128_sha:密鑰交換算法采用RSA、數據加密算法采用128位的RC4、MAC算法采用SHA。
設備各款型對於本節所描述的參數支持情況有所不同,詳細差異信息如下:
|
型號 |
參數 |
描述 |
|
F5010/F5020/F5030/F5030-6GW/F5040/F5060/F5080/F5000-M/F5000-S/F5000-C |
rsa_rc4_128_sha |
· F5010/F5020/F5040/F5000-S/F5000-C支持 · F5030/F5030-6GW/F5060/F5080/F5000-M不支持 |
|
F1005/F1010/F1020/F1030/F1050/F1060/F1070/F1080/F1070-GM |
支持 |
|
|
F1000-AK108/AK109/AK110/AK115/AK120/AK125/AK130/AK135/AK140/AK145/AK150/AK155/AK160/AK165/AK170/AK175/AK180/AK185/AK710/AK711 |
支持 |
|
|
F1000-GM-AK370/F1000-GM-AK380 |
支持 |
|
|
LSU3FWCEA0/LSUM1FWCEAB0/LSX1FWCEA1 |
支持 |
|
|
LSXM1FWDF1/LSUM1FWDEC0/IM-NGFWX-IV/LSQM1FWDSC0/LSWM1FWD0/LSPM6FWD |
僅LSPM6FWD支持 |
【使用指導】
為了提高安全性,SSL協議采用了如下算法:
· 數據加密算法:用來對傳輸的數據進行加密,以保證數據傳輸的私密性。常用的數據加密算法通常為對稱密鑰算法,如DES_CBC、3DES_EDE_CBC、AES_CBC、RC4等。使用對稱密鑰算法時,要求SSL服務器端和SSL客戶端具有相同的密鑰。
· MAC(Message Authentication Code,消息驗證碼)算法:用來計算數據的MAC值,以防止發送的數據被篡改。常用的MAC算法有MD5、SHA等。使用MAC算法時,要求SSL服務器端和SSL客戶端具有相同的密鑰。
· 密鑰交換算法:用來實現密鑰交換,以保證對稱密鑰算法、MAC算法中使用的密鑰在SSL服務器端和SSL客戶端之間安全地傳遞。常用的密鑰交換算法通常為非對稱密鑰算法,如RSA。
通過本命令可以配置SSL客戶端策略支持的算法組合。例如,rsa_des_cbc_sha表示SSL客戶端支持的密鑰交換算法為RSA、數據加密算法為DES_CBC、MAC算法為SHA。
SSL客戶端將本端支持的加密套件發送給SSL服務器,SSL服務器將自己支持的加密套件與SSL客戶端支持的加密套件比較。如果SSL服務器支持的加密套件中存在SSL客戶端支持的加密套件,則加密套件協商成功;否則,加密套件協商失敗。
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 配置SSL客戶端策略支持的加密套件為:密鑰交換算法采用RSA、數據加密算法采用128位AES_CBC、MAC算法采用SHA。
<Sysname> system-view
[Sysname] ssl client-policy policy1
[Sysname-ssl-client-policy-policy1] prefer-cipher rsa_aes_128_cbc_sha
【相關命令】
· ciphersuite
· display ssl client-policy
server-verify enable命令用來配置對服務器端進行基於數字證書的身份驗證。
undo server-verify enable命令用取消對服務器端進行基於數字證書的身份驗證,默認SSL服務器身份合法。
【命令】
server-verify enable
undo server-verify enable
【缺省情況】
SSL客戶端需要對SSL服務器端進行基於數字證書的身份驗證。
【視圖】
SSL客戶端策略視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
SSL通過數字證書實現對對端的身份進行驗證。數字證書的詳細介紹,請參見“安全配置指導”中的“PKI”。
如果執行了server-verify enable命令,則SSL服務器端需要將自己的數字證書提供給客戶端,以便客戶端對服務器端進行基於數字證書的身份驗證。隻有身份驗證通過後,SSL客戶端才會訪問該SSL服務器。
【舉例】
# 配置SSL客戶端需要對SSL服務器端進行基於數字證書的身份驗證。
<Sysname> system-view
[Sysname] ssl client-policy policy1
[Sysname-ssl-client-policy-policy1] server-verify enable
【相關命令】
· display ssl client-policy
session命令用來配置SSL服務器上緩存的最大會話數目和SSL會話緩存的超時時間。
undo session命令用來恢複缺省情況。
【命令】
session { cachesize size | timeout time } *
undo session { cachesize | timeout } *
【缺省情況】
SSL服務器上緩存的最大會話數目為500個,SSL會話緩存的超時時間為3600秒。
【視圖】
SSL服務器端策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
cachesize size:指定SSL服務器上緩存的最大會話數目。size為緩存的最大會話數目,取值範圍為100~20480。
timeout time:指定SSL會話緩存的超時時間。time為會話緩存超時時間,取值範圍為1~4294967295,單位為秒。
【使用指導】
通過SSL握手協議協商會話參數並建立會話的過程比較複雜。為了簡化SSL握手過程,SSL允許重用已經協商出的會話參數建立會話。為此,SSL服務器上需要保存已有的會話信息。保存的會話信息的數目和保存時間具有一定的限製:
· 如果緩存的會話數目達到最大值,SSL將拒絕緩存新協商出的會話。
· 會話保存的時間超過設定的時間後,SSL將刪除該會話的信息。
【舉例】
# 配置SSL服務器上緩存的最大會話數目為600個,SSL會話緩存超時時間為1800秒。
<Sysname> system-view
[Sysname] ssl server-policy policy1
[Sysname-ssl-server-policy-policy1] session cachesize 600 timeout 1800
【相關命令】
· display ssl server-policy
ssl client-policy命令用來創建SSL客戶端策略,並進入SSL客戶端策略視圖。如果指定的SSL客戶端策略已經存在,則直接進入SSL客戶端策略視圖。
undo ssl client-policy命令用來刪除指定的SSL客戶端策略。
【命令】
ssl client-policy policy-name
undo ssl client-policy policy-name
【缺省情況】
不存在SSL客戶端策略。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
policy-name:SSL客戶端策略名,為1~31個字符的字符串,不區分大小寫。
【使用指導】
SSL客戶端策略視圖下可以配置SSL客戶端啟動時使用的SSL參數,如使用的PKI域、支持的加密套件等。隻有與應用層協議,如DDNS(Dynamic Domain Name System,動態域名係統),關聯後,SSL客戶端策略才能生效。
【舉例】
# 創建SSL客戶端策略policy1,並進入SSL客戶端策略視圖。
<Sysname> system-view
[Sysname] ssl client-policy policy1
[Sysname-ssl-client-policy-policy1]
【相關命令】
· display ssl client-policy
ssl renegotiation disable命令用來關閉SSL重協商。
undo ssl renegotiation disable命令用來恢複缺省情況。
【命令】
ssl renegotiation disable
undo ssl renegotiation disable
【缺省情況】
允許SSL重協商。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
關閉SSL重協商是指,不允許複用已有的SSL會話進行SSL快速協商,每次SSL協商必須進行完整的SSL握手過程。關閉SSL重協商會導致係統付出更多的計算開銷,但可以避免潛在的風險,安全性更高。
通常情況下,不建議關閉SSL重協商。本命令僅用於用戶明確要求關閉重協商的場景。
【舉例】
# 關閉SSL重協商。
<Sysname> system-view
[Sysname] ssl renegotiation disable
ssl server-policy命令用來創建SSL服務器端策略,並進入SSL服務器端策略視圖。如果指定的SSL服務器端策略已經存在,則直接進入SSL服務器端策略視圖。
undo ssl server-policy命令用來刪除指定的SSL服務器端策略。
【命令】
ssl server-policy policy-name
undo ssl server-policy policy-name
【缺省情況】
不存在SSL服務器端策略。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
policy-name:SSL服務器端策略名,為1~31個字符的字符串,不區分大小寫。
【使用指導】
SSL服務器端策略視圖下可以配置SSL服務器啟動時使用的SSL參數,如使用的PKI域、支持的加密套件等。隻有與HTTPS等應用關聯後,SSL服務器端策略才能生效。
【舉例】
# 創建SSL服務器端策略policy1,並進入SSL服務器端策略視圖。
<Sysname> system-view
[Sysname] ssl server-policy policy1
[Sysname-ssl-server-policy-policy1]
【相關命令】
· display ssl server-policy
ssl version ssl3.0 disable命令用來關閉SSL 3.0版本。
undo ssl version ssl3.0 disable命令用來恢複缺省情況。
【命令】
ssl version ssl3.0 disable
undo ssl version ssl3.0 disable
【缺省情況】
允許使用SSL 3.0版本。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
由於SSL 3.0版本存在一些已知的安全漏洞,當設備對係統安全性有較高要求時可以通過命令行關閉SSL 3.0版本。
對於SSL客戶端,如果在係統視圖下關閉了SSL 3.0版本,但在SSL客戶端策略視圖下配置使用SSL 3.0版本(通過命令version ssl 3.0),則該SSL客戶端仍可使用SSL 3.0版本。
對於SSL服務器端,如果在係統視圖下關閉了SSL 3.0版本,則SSL服務器端隻能使用TLS 1.0版本,否則SSL服務器端自動采用對端設備采用的版本。
如果對端設備僅支持SSL 3.0版本,則為保持互通,本端設備不應關閉SSL 3.0版本,但為了提高安全性,建議對端設備盡快升級,以支持TLS 1.0版本。
【舉例】
# 關閉SSL 3.0。
<Sysname> system-view
[Sysname] ssl version ssl3.0 disable
version命令用來配置SSL客戶端策略使用的SSL協議版本。
undo version命令恢複缺省情況。
【命令】
version { ssl3.0 | tls1.0 }
undo version
【缺省情況】
SSL客戶端策略使用的SSL協議版本為TLS 1.0。
【視圖】
SSL客戶端策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ssl3.0:版本為SSL 3.0。
tls1.0:版本為TLS 1.0。
【使用指導】
多次執行本命令,最後一次執行的命令生效。
如果使用本命令配置SSL協議版本為SSL 3.0,但在係統視圖下關閉了SSL 3.0版本(通過命令ssl version ssl3.0 disable),則根據局部優先全局的原則,SSL客戶端仍可使用SSL 3.0版本。
使用本命令配置SSL協議版本為TLS 1.0後,如果係統視圖下開啟了SSL 3.0版本(通過命令undo ssl version ssl3.0 disable),則客戶端首先嚐試使用TLS 1.0版本的協議連接服務器,若握手失敗,則切換為SSL 3.0版本的協議繼續嚐試連接;如果係統視圖下關閉了SSL 3.0版本,使用TLS 1.0版本的協議連接服務器失敗後,不會切換為SSL 3.0版本的協議再連接。
因此,在對安全性要求較高的環境下,建議通過本命令配置SSL協議版本為TLS 1.0,並在係統視圖下關閉SSL3.0版本。
【舉例】
# 配置SSL客戶端策略使用的SSL協議版本為TLS 1.0。
<Sysname> system-view
[Sysname] ssl client-policy policy1
[Sysname-ssl-client-policy-policy1] version tls1.0
【相關命令】
· display ssl client-policy
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
