- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
23-HTTPS配置举例
本章节下载: 23-HTTPS配置举例 (922.80 KB)
目 录
本文档介绍了H3C SecPath G9000-X-G系列多级安全互联交换平台(以下简称为平台)HTTPS通道类型的配置举例。
平台的HTTP通道虽然可以支持WEB应用的访问,但如果WEB应用启用了证书认证来对数据进行加密,那通道就无法对协议内容进行解析过滤了。为了解决这个问题我们设计了HTTPS通道功能。该通道导入证书和密钥后,可以关联HTTP应用策略,能对加密的HTTPS应用数据进行解析和过滤,实现类似HTTP通道的应用层安全过滤功能。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。本文假设您已了解平台特性。
外网客户端访问内网HTTPS server。HTTPS server在HTTP server的基础上,通过传输加密和身份认证,保证传输过程的安全性。部署平台后,在配置HTTPS协议通道的同时,还能关联HTTP策略,对访问内容进行安全过滤。
图1 HTTPS配置举例组网图
· 首先,确保客户端到前置机路由可达,后置机到服务器路由可达。
· 其次,获取HTTPS协议所需的证书文件和密钥。(通常由业主或应用开发人员提供)
· 第二,配置前置机、后置机网络设置。
· 第三,在平台上配置https通道,并在通道配置中上传证书和私钥。
· 第四,配置HTTP应用层策略,并在通道上关联。
· 实现客户端通过平台访问HTTPS server的服务。
表1 业务梳理:
|
访问源IP (源端发起访问的主机地址) |
监听地址 (连接客户端侧的接口地址) |
连接地址 (连接服务器侧的接口地址) |
目的地址 (服务器IP) |
|
192.168.90.11/24 |
192.168.90.145/24 |
192.168.90.144/24 |
192.168.90.65/24 |
本举例是在ESS 6702P01版本上进行配置和验证的。
通过平台前置机MAN管理口登录平台,打开浏览器输入https://192.168.0.1,(MAN口为前置机专用管理口)
系统管理员默认账号:admin;默认密码:adminh3c
安全管理员默认账号:secrecy;默认密码:secrecyh3c
图2 前置机登录页面
点击“网络管理”>“IP地址管理”,选中GE0/0,点击“+”设置平台前置系统的IP。
图3 设置前置系统IP
设置完后点“保存”退出。
图4 添加、保存前置IP设置
通过平台后置机MAN管理口登录平台,打开浏览器输入https://192.168.0.2,(MAN口为后置机专用管理口)
系统管理员默认账号:admin;默认密码:adminh3c
安全管理员默认账号:secrecy;默认密码:secrecyh3c
图5 后置机登录页面
点击“网络管理”>“IP地址管理”,选中GE0/0,点击“+”设置平台后置系统的IP。
图6 设置后置系统IP
添加后置IP设置
图7 添加后置IP
设置完后点“保存”退出。
图8 保存后置IP设置
该配置在前、后置系统的secrecy账户下操作
添加HTTPS监听通道
表2 必填参数说明:
|
参数 |
说明 |
注意事项 |
|
通道ID |
由用户自定义一个1~2000的自然数,将两侧的监听通道和连接通道关联上,形成一条完整的转发规则。 |
前后置同一个应用的通道需要配置相同的ID。部分通道类型只有监听通道,没有连接通道。这类通道配置后,可能会导致两侧自增长的ID错位,后续通道保存前请谨慎核对。 |
|
类型 |
应用类型:配置应用时请选择对应协议类型 |
前后置同一个应用的协议类型必须一致 |
|
通道方向 |
监听通道指入口规则 连接通道指出口规则 |
本端靠近访问源,则选择监听通道 本端靠近访问目标,则选择连接通道 |
|
端口类型 |
选择单个端口或者多个端口 |
前后置同一个应用的端口类型必须一致 |
|
监听地址 |
映射IP和映射端口。监听地址是连接客户端侧的前后置接口地址。这2个参数用于入口规则监听通道上。当访问的请求,其目标IP、目标端口符合监听地址、监听端口时,受理其访问请求,转发到另一端上。 |
同一个监听IP和监听端口的组合只能对应一个服务 |
|
监听端口 |
||
|
上传HTTPS证书 |
点击选择,将证书文件(pem格式)导入,然后点击“读取HTTPS证书内容”。 |
必须点下读取HTTPS证书内容 |
|
上传HTTPS证书私钥 |
点击选择,将证书私钥文件(pem格式)导入,然后点击“读取HTTPS证书私钥”。 |
必须点下读取HTTPS证书私钥 |
图9 HTTPS监听通道配置界面
区别于HTTP通道,HTTPS通道多了4个参数项,下面着重说明:
上传HTTPS证书:点击选择,将证书文件(pem格式)导入,然后点击“读取HTTPS证书内容”。
HTTPS证书内容:无需配置操作,仅显示上面读取的证书内容。
上传HTTPS证书私钥:点击选择,将证书私钥文件(pem格式)导入,然后点击“读取HTTPS证书私钥”。
HTTPS证书密码:如果密钥文件设置过密码,则需要填写。如果没有设置过密码,则可以忽略。
保存HTTPS通道
图10 已保存的前置HTTPS通道
添加HTTPS连接通道
表3 必填参数说明:
|
参数 |
说明 |
注意事项 |
|
通道ID |
由用户自定义一个1~2000的自然数,将两侧的监听通道和连接通道关联上,形成一条完整的转发规则。 |
前后置同一个应用的通道需要配置相同的ID。部分通道类型只有监听通道,没有连接通道。这类通道配置后,可能会导致两侧自增长的ID错位,后续通道保存前请谨慎核对。 |
|
类型 |
应用类型:配置应用时请选择对应协议类型 |
前后置同一个应用的协议类型必须一致 |
|
通道方向 |
监听通道指入口规则 连接通道指出口规则 |
靠近访问源,则选择监听通道 靠近访问目标,则选择连接通道 |
|
端口类型 |
选择单个端口或者多个端口 |
前后置同一个应用的端口类型必须一致 |
|
连接地址 |
出口地址即连接服务器侧的前后置接口地址,重新封装数据包时,会以此IP作为源地址发出。 |
选择连接IP,即选择出口地址。请确保出口地址到目标服务器路由可达。 |
|
目的地址 |
另一端实际服务器的IP地址 |
|
|
目的端口 |
另一端实际服务器的服务端口 |
|
图11 HTTPS连接通道配置界面
保存HTTPS连接通道
图12 已保存的后置HTTPS连接通道
HTTPS通道配置完成后,监听侧就可以配置HTTP应用策略了。下面我们以HTTP URL策略举例,验证HTTPS通道解析和过滤应用层内容是否生效。
前置机登录secrecy账号,进入“策略管理”>“HTTP”>“HTTP URL”,点击添加 “策略集”,输入策略集名称并选择过滤类型为“白名单”,然后选中该策略集,点击添加“策略”,输入策略名称和策略内容
图13 HTTP URL策略
在监听通道上勾选此策略,点击“保存并启用”。然后再启用连接通道
客户端访问https://192.168.90.145下面的1.txt和2.txt文件。
符合HTTP URL白名单策略的请求可以得到正常页面响应。
图14 客户端访问https://192.168.90.145/1.txt访问成功
违反HTTP URL白名单策略的请求遭到拦截,无法显示页面。
图15 客户端访问https://192.168.90.145/2.txt访问失败
此对比,证明HTTPS通道关联上HTTP应用策略后,可以对HTTPS加密内容进行深度解析和过滤。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
