所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级
E600 V200R010C00 配置指南-基础配置

本文档介绍了如何使用命令行接口、如何登录设备,以及文件操作、系统启动等功能的配置。

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
通过FTPS进行文件操作

通过FTPS进行文件操作

FTPS将FTP和SSL结合,通过SSL对服务器进行验证,对传输的数据进行加密,从而实现了安全的文件管理操作。

前置任务

在配置通过FTPS进行文件操作之前,需完成以下任务:

  • 终端与设备之间路由可达。
  • 终端上已经安装支持SSL的FTP客户端软件。

配置流程

通过FTPS进行文件操作的配置流程如表6-27所示。

表6-27  通过FTPS进行文件操作的配置流程
序号 配置任务名称 配置任务说明 配置流程说明
1 上传服务器数字证书文件及私钥文件 通过其他文件上传方式将数字证书文件和私钥文件上传至设备。 序号1、2、3、4配置任务中,加载数字证书(序号2)前必须先上传数字证书(序号1),其他无严格配置顺序。
2 配置SSL策略并加载数字证书 包括配置SSL策略及在服务器上加载数字证书。
3 配置FTPS服务器功能及FTP服务参数 包括为FTPS服务器配置SSL策略、FTPS服务器的使能及FTP服务参数的配置:端口号、源地址、超时断连时间。
4 配置FTP本地用户 包括配置本地用户的服务类型及FTP用户的授权目录。
5 用户通过FTPS访问设备 从终端通过FTPS访问设备。 -

缺省配置

表6-28  缺省配置
参数 缺省值
SSL策略 没有为FTPS服务创建SSL策略
FTPS服务器功能 关闭
端口号 21
FTP用户 没有创建本地用户

操作步骤

  • 上传服务器数字证书文件及私钥文件

    可使用SFTP或SCP方式将服务器数字证书文件和私钥文件上传至设备,且要保存至security中,如设备无此目录,可执行命令mkdir directory创建。

    服务器需要从证书颁发中心CA(Certificate Authority)获得数字证书文件(包括私钥文件),访问服务器的客户端也需要从CA得到CA证书,用来验证服务器数字证书的有效性。

    说明:

    CA是负责发放和管理数字证书的权威机构,当前FTPS服务器上加载的数字证书必须向CA申请。

    设备不支持对其生成的自签名证书进行生命周期管理(如证书更新、证书撤销等),为了确保设备和证书的安全,建议用户替换为自己的证书。

    证书格式分为PEM格式、ASN1格式和PFX格式。虽然证书的格式不相同,但是证书的内容一样。
    • PEM格式的证书是最常用的一种数字证书格式,文件的扩展名是.pem,适用于系统之间的文本模式传输。

    • ASN1是通用的数字证书格式之一,文件的扩展名是.der,是大多数浏览器的默认格式。

    • PFX是通用的数字证书格式之一,文件的扩展名是.pfx,是可移植的二进制格式。

    具体的操作步骤请参考手册中其他文件上传方式的介绍。

  • 配置SSL策略并加载数字证书文件

    加载数字证书文件的同时指定私钥文件。

    表6-29  配置SSL策略并加载数字证书
    操作步骤 命令 说明

    进入系统视图

    system-view

    -

    (可选)定制SSL算法套

    ssl cipher-suite-list customization-policy-name

    创建SSL算法套定制策略并进入定制策略视图。

    缺省情况下,没有配置SSL算法套定制策略。

    set cipher-suite { tls1_ck_rsa_with_aes_256_sha | tls1_ck_rsa_with_aes_128_sha | tls1_ck_rsa_rc4_128_sha | tls1_ck_dhe_rsa_with_aes_256_sha | tls1_ck_dhe_dss_with_aes_256_sha | tls1_ck_dhe_rsa_with_aes_128_sha | tls1_ck_dhe_dss_with_aes_128_sha | tls12_ck_rsa_aes_256_cbc_sha256 }

    配置SSL算法套定制策略中支持的算法套。

    缺省情况下,SSL算法套定制策略中没有配置算法套。

    配置算法套定制策略中支持的算法套后,SSL协商时将使用定制策略中配置的策略进行协商。

    如果算法套定制策略已经被SSL策略引用,可以对算法套进行增加、修改和部分删除,但不能将算法套定制策略中的算法套全部删除。

    quit

    返回系统视图。

    配置SSL策略并进入SSL策略视图

    ssl policy policy-name

    -

    (可选)设置SSL策略所采用的最低SSL版本

    ssl minimum version { ssl3.0 | tls1.0 | tls1.1 | tls1.2 }

    缺省情况下,SSL策略所采用的最低SSL版本为TLS1.1。

    (可选)在SSL策略中绑定指定的SSL算法套定制策略

    binding cipher-suite-customization customization-policy-name

    缺省情况下,SSL策略未绑定算法套定制策略,使用默认的算法套。SSL策略默认支持如下算法套:

    • tls1_ck_rsa_with_aes_256_sha
    • tls1_ck_rsa_with_aes_128_sha
    • tls1_ck_dhe_rsa_with_aes_256_sha
    • tls1_ck_dhe_dss_with_aes_256_sha
    • tls1_ck_dhe_rsa_with_aes_128_sha
    • tls1_ck_dhe_dss_with_aes_128_sha
    • tls12_ck_rsa_aes_256_cbc_sha256

    绑定的SSL算法套定制策略中如果仅有一种类型的算法(RSA或DSS),SSL策略需要加载对应类型的证书,确保SSL协商时能成功。

    加载PEM格式的证书

    certificate load pem-cert cert-filename key-pair { dsa | rsa } key-file key-filename auth-code cipher auth-code

    根据证书类型,选其一。

    说明:
    • 一个SSL策略只能加载一个证书或者证书链。如果已经加载了证书或者证书链,加载新证书或者证书链之前必须先卸载旧证书或者证书链。
    • 配置SSL策略加载证书或证书链时,证书或证书链中密钥对长度最大为2048位。如果该长度超过2048位,证书文件或证书链文件将无法上传到设备中使用。

    加载ASN1格式的证书

    certificate load asn1-cert cert-filename key-pair { dsa | rsa } key-file key-filename

    加载PFX格式的证书

    certificate load pfx-cert cert-filename key-pair { dsa | rsa } { mac cipher mac-code | key-file key-filename } auth-code cipher auth-code

    加载PEM格式的证书链

    certificate load pem-chain cert-filename key-pair { dsa | rsa } key-file key-filename auth-code cipher auth-code

  • 配置FTPS服务器功能及FTP服务参数

    基于FTP协议的FTPS,除了配置FTPS服务器功能外,还可以对FTP服务参数进行配置。

    表6-30  配置FTPS服务器功能及FTP服务参数
    操作步骤 命令 说明

    进入系统视图

    system-view -

    (可选)指定FTP服务器端口号

    ftp [ ipv6 ] server port port-number

    缺省情况下,FTP服务器端口号是21。

    如果配置了新的端口号,FTP服务器端先断开当前已经建立的所有FTP连接,然后使用新的端口号开始尝试连接。这样可以有效防止攻击者对FTP服务标准端口的访问。

    为FTPS服务器配置SSL策略

    ftp secure-server ssl-policy policy-name

    此处配置的SSL策略即为上个操作步骤中创建的SSL策略。

    使能FTPS服务器功能

    ftp [ ipv6 ] secure-server enable

    缺省情况下,未使能FTPS服务器。

    说明:

    使能FTPS服务功能前,必须去使能FTP服务器功能。

    (可选)指定FTP服务器的源地址

    ftp server-source { -a source-ip-address | -i interface-type interface-number }

    指定FTP服务器的源地址,实现对设备进出报文的过滤,保证安全性。

    配置了服务器的源地址后,登录服务器时,所输入的服务器地址必须与该命令中配置的一致,否则无法成功登录。

    (可选)配置FTP连接空闲时间

    ftp [ ipv6 ] timeout minutes

    缺省情况下,连接空闲时间为10分钟。

    在设定的时间内,如果FTP连接始终处于空闲状态时,系统将自动断开FTP连接。

    说明:
    • 如果变更端口号前FTPS服务已经启动,则不能变更成功。需执行undo ftp [ ipv6 ] secure-server命令关闭FTPS服务,再进行端口号变更。

    • 当客户端与设备之间的文件操作结束后,请执行undo ftp [ ipv6 ] secure-server命令,及时关闭FTPS服务器功能,从而保证设备的安全。

  • 配置FTP本地用户

    当用户通过FTPS进行文件操作时,需要在作为FTPS服务器的设备上配置本地用户名及口令,指定用户的服务类型以及可以访问的目录。否则用户将无法访问设备。

    表6-31  配置FTP本地用户
    操作步骤 命令 说明

    进入系统视图

    system-view -

    进入AAA视图

    aaa -

    配置本地用户名和密码

    local-user user-name password irreversible-cipher password -

    配置本地用户级别

    local-user user-name privilege level level
    说明:

    必须将用户级别配置在3级或3级以上,否则FTP连接将无法成功。

    配置本地用户的服务类型为FTP

    local-user user-name service-type ftp

    缺省情况下,本地用户可以使用所有的接入类型。

    配置FTP用户的授权目录

    local-user user-name ftp-directory directory

    缺省情况下,本地用户的FTP目录为空。

    当有多个FTP用户且有相同的授权目录时,可以执行set default ftp-directory directory命令,为FTP用户配置缺省工作目录。此时,不需要通过local-user user-name ftp-directory directory命令为每个用户配置授权目录。

  • 用户通过FTPS访问设备

    需要在用户终端安装支持SSL的FTP客户端软件,通过第三方软件从用户终端登录FTPS服务器,实现对FTPS服务器进行文件的安全管理。

    说明:

    由于文件系统对根目录下的文件个数有限制,当根目录中文件个数大于50个时,继续在根目录中创建文件可能会失败。

检查配置结果

  • 使用display ssl policy命令,查看配置的SSL策略及加载的数字证书。
  • 使用display [ ipv6 ] ftp-server命令,查看FTPS服务器的状态。
  • 使用display ftp-users命令,查看登录的FTP用户信息。

下载文档
更新时间:2018-10-24

文档编号:EDOC1000141359

浏览量:22247

下载量:49

平均得分:
本文档适用于这些产品

相关版本

相关文档

Share
上一页 下一页