USG6300 web界面无法登录

发布时间:  2017-05-05 浏览次数:  530 下载次数:  0
问题描述

客户PC直连FW管理口, ping通管理口地址,但是打不开web界面。

处理过程

1、通过Console口或Telnet登录到设备,检查设备的Web服务是否使能


2、执行display tcp status命令检查TCP8443端口是否处于“Listening”状态,如果处于“Listening” 状态表示已使能Web服务


3、执行web-manager security enable port 8443命令使能Web服务。


4、执行display current-configuration interface命令确认接口是否允许了HTTPS协议访问管理功能:service-manage https permit


5、执行display current-configuration configuration policy-security命令确认是否允许访问防火墙Local域的HTTPS服务:Service https


6、执行display current-configuration configuration aaa命令确认用户信息,查看service-type web是否开启。


7、执行display firewall blacklist item命令确认用户账号是否被锁定。


8、更换浏览器,更换PC依然无法登陆。

根因
缺省情况下,设备支持TLSv1协议。

服务器端和客户端支持的SSL协议和加密算法应该匹配。在SSL协商过程中,客户端发第一个Hello报文的时候,会将客户端支持的SSL协议和加密算法都发送给服务器。

服务器再从这些协议及加密算法中,选择一个它能支持的SSL协议及加密算法。如果客户端支持的协议,服务器端都不能支持,那么SSL协商就会失败。


缺省情况下,设备只支持低强度的加密算法。
服务器端和客户端支持的SSL协议和加密算法应该匹配。在SSL协商过程中,客户端发第一个Hello报文的时候,会将客户端支持的SSL协议和加密算法都发送给服务器。
服务器再从这些协议及加密算法中,选择一个它能支持的SSL协议及加密算法。如果客户端支持的加密算法,服务器端都不能支持,那么SSL协商就会失败。
密钥长度越长,安全性越高。当对安全性要求高的环境下,可以配置设备仅使用高强度的加密算法。
解决方案

1、使用web-manager security version all命令用来配置服务器端支持的SSL协议

2、使用web-manager security cipher-suit all命令用来配置服务器端支持的加密算法

END