• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

防火墙的WEB无法访问

3小时前提问
  • 0关注
  • 0收藏,43浏览
粉丝:0人 关注:0人

问题描述:

现在华三的防火墙WEB登不上,但是console口可以登录,导出哪些信息可以排查问题呢

5 个回答
已采纳
粉丝:12人 关注:9人

排查步骤及需导出的信息:
1. 确认WEB服务状态:
命令:display web-manager status
需确认http/https服务是否开启,端口是否正确(默认80/443)。
2. 检查接口IP及可达性:
命令:display ip interface brief
确认管理接口IP配置正确,且PC与防火墙管理IP路由可达(可在PC上ping防火墙管理IP)。
3. 查看访问控制策略:
命令:display acl all
检查是否有ACL限制PC到防火墙的HTTP/HTTPS流量;
命令:display zone-pair security
确认管理PC所在安全域到防火墙本地域的策略是否允许HTTP/HTTPS。
4. 查看会话表:
命令:display session table destination-port 80
命令:display session table destination-port 443
检查是否有PC到防火墙的HTTP/HTTPS会话,若没有则可能被策略阻断。
5. 查看系统日志:
命令:display logbuffer
过滤WEB登录相关日志(关键词:web、login),排查认证失败或服务异常信息。
6. 检查用户权限:
命令:display local-user
确认登录用户是否有web管理权限(service-type包含web)。
需导出的信息:上述命令的输出结果,包括WEB服务状态、接口IP、ACL配置、域间策略、会话表、日志及本地用户配置。

暂无评论

zhiliao_O4XdXM 知了小白
粉丝:0人 关注:0人

console登陆后看下对应接口的配置,接口是否有加安全域,安全策略是否放通了local

暂无评论

粉丝:133人 关注:11人

全部导出来看看吧


安全策略

acl

等 

暂无评论

粉丝:23人 关注:1人

当防火墙的WEB界面无法访问,但Console口还可以登录时,这通常意味着设备本身还在运行,但管理服务或网络通路出了问题。

在收集信息前,有个非常重要的建议:先不要重启设备。重启会丢失宝贵的现场信息(如临时的会话表、动态路由表等),给后续定位根因带来困难。

你可以通过Console口,按照下面的步骤来收集信息并进行排查。

📋 第一步:收集关键诊断信息

这是为了给后续深入分析保留“现场证据”。建议依次执行以下命令,并将输出信息保存下来

  • 收集全面诊断信息:这是最核心的一步,会一次性导出设备各模块的运行状态。

    text
    display diagnostic-information

    执行后,根据提示将信息保存到文件(通常选 Y),以便后续导出分析

  • 收集系统日志:日志中往往记录着问题发生的原因。

    text
    display logbuffer

    关注其中与HTTP/HTTPS、登录失败、接口状态相关的记录。

  • 收集当前配置:对比运行配置和保存的配置,可以快速发现最近是否有人为改动导致了问题。

    text
    display current-configuration
  • 收集会话表信息:如果怀疑有攻击或策略误拦截,可以检查会话表。

    text
    display session table ipv4

    如果会话表很大,可以加上条件过滤,例如 display session table ipv4 source-ip x.x.x.x

🔍 第二步:逐步排查常见原因

在保存好上述信息后,可以按照以下清单进行排查。

  1. 检查基础连通性

    • 确认接口IP:检查你准备访问的接口IP地址是否正确、是否up

      text
      display ip interface brief
      text
      display interface brief

    • 测试连通性:从你的电脑ping一下防火墙的管理IP,确认网络层是否可达

  2. 检查Web服务是否开启

    • 查看HTTP/HTTPS服务状态,确认它们是否处于enable状态

      text
      display ip http display ip https

    • 如果服务被关闭,请在系统视图下重新开启:

      text
      ip http enable ip https enable
  3. 检查安全策略与域间策略
    这是最常见的原因之一。管理流量(去往设备自身的流量)必须匹配正确的安全策略。

    • 检查连接管理PC的接口是否已加入正确的安全域

    • 检查从该安全域到设备自身Local安全域的域间策略,是否放通了HTTP/HTTPS服务

    • 同时,也要检查从Local到该安全域的回程策略是否放通。

  4. 检查用户权限与访问控制

    • 用户服务类型:确认用于登录WEB的管理员账号,其service-type中是否包含httphttps

      text
      local-user admin class manage display this
    • 登录IP限制:检查是否配置了ACL,限制了只有特定源IP才能访问WEB界面

      text
      display acl all
  5. 检查管理端口

    • 确认HTTP(默认80)和HTTPS(默认443)的端口号没有被修改过

  6. 检查路由

    • 如果管理PC和防火墙不在同一个网段,需要检查防火墙的路由表,确保有到达你PC所在网段的路由

      text
      display ip routing-table
  7. 检查客户端与浏览器

    • 浏览器问题:尝试更换浏览器(如Chrome、Firefox),或使用浏览器的无痕/隐私模式访问,排除缓存或插件干扰。

    • TLS版本:部分旧版防火墙可能不支持浏览器默认的高版本TLS,可以尝试调整浏览器设置或使用旧版浏览器。

暂无评论

粉丝:19人 关注:2人

H3C 防火墙 Console 可登录、Web 无法访问,全套排查导出信息清单(分命令、日志、配置、会话四大类)
一、先导出完整运行配置(最核心,优先导出)
完整配置能直接定位 Web 权限、SSL、域策略、ACL、管理 IP、服务开关问题
plaintext
# 导出完整当前运行配置
display current-configuration > flash:/run_cfg.txt
# 导出出厂默认配置对比
display default-configuration > flash:/def_cfg.txt
# 导出启动配置(开机加载配置,防止运行配置和启动配置不一致)
display startup-config > flash:/start_cfg.txt

下载 flash 下 3 个 txt 文件到本地分析,重点检索关键词:ip https、ssl server-policy、allow access、security-policy、control-plane
二、Web 服务本身状态信息(定位 Web 服务是否正常运行)
1、Web/HTTPS 服务开关、监听端口
plaintext
display ip https
display ip http

重点看:HTTPS 是否开启、监听端口(默认 7443)、绑定的 SSL 策略、允许访问的接口。
2、SSL 证书、SSL 策略详情(Web 证书过期 / 套件错误是高频故障)
plaintext
display ssl local-certificate all
display ssl server-policy all
display ssl version
display ssl ciphersuite

查看证书有效期、是否绑定 https、是否禁用 TLS1.0/1.1 导致浏览器无法连接。
3、设备管理访问权限(接口是否允许 Web 管理)
plaintext
display allow access interface all

检查管理接口是否配置allow access https,未配置则 Web 直接拦截。
三、安全策略 & 控制平面 ACL(拦截 Web 访问最常见原因)
1、IPv4 安全策略(Untrust/Trust/DMZ→Local 本地设备的访问策略)
plaintext
display security-policy rule all statistics > flash:/sec_policy.txt

检索目的域local、服务HTTPS(7443),看是否有拒绝规则拦截访问防火墙本机 Web。
2、控制平面报文过滤(全局拦截本机管理报文)
plaintext
display current-configuration | include control-plane
display packet-filter control-plane statistics

若 control-plane 绑定 ACL,查看 ACL 是否放行 TCP 7443。
3、域间对象、服务对象
plaintext
display object service all
display security-zone all

确认 Local 安全域正常,HTTPS 服务对象存在。
四、会话表、连接统计(判断浏览器请求是否到达防火墙)
plaintext
# 查看所有访问本机7443端口的TCP会话
display connection table destination-port 7443
# 查看全局会话统计
display connection statistics
# 查看TCP连接异常统计(握手失败、重置)
display tcp statistics

有会话:防火墙收到浏览器请求,问题在 SSL / 证书 / 页面服务;
无会话:报文被安全策略 / ACL / 路由拦截,根本没送到防火墙本机。
五、系统日志(Syslog,定位 Web 服务崩溃、证书报错、访问拒绝)
1、本地缓存日志(必导出,包含 Web 启动、认证、拦截报错)
plaintext
# 全部日志导出到文件
display logbuffer > flash:/logbuffer_all.txt
# 过滤web/https/ssl关键字日志
display logbuffer | include HTTPS
display logbuffer | include SSL
display logbuffer | include allow access
display logbuffer | include security-policy deny

日志典型报错:
SSL 证书过期、套件协商失败;
安全策略拒绝 XX 地址访问 Local HTTPS;
https 服务进程异常退出。
2、系统诊断内部日志(研发级深层日志,服务卡死时必抓)
plaintext
display system internal web server status
display system internal ssl all
display system internal process all

查看 web 服务进程是否 running,有无 CPU / 内存溢出卡死。
六、网络连通性基础信息(管理 IP、路由、接口 UP 状态)
plaintext
# 接口IP、状态
display ip interface brief
# 路由表(客户端访问防火墙管理IP路由可达)
display ip routing-table
# 接口物理/协议状态
display interface brief

确认管理接口 UP、管理 IP 存在、客户端回程路由正常。
七、用户认证、管理员权限信息(输入账号密码后无法登录场景)
plaintext
# 本地管理员账号配置
display local-user
# 管理员权限级别,web最低需要level3
display local-user admin
# 登录在线用户
display user

账号锁定、密码错误、权限等级不足会导致 Web 登录失败;
开启了 AAA / 服务器认证,外部服务器故障导致 Web 鉴权失败。
八、一键打包导出所有文件(现场快速操作)
依次执行上面所有> flash:/xxx.txt命令,将全部信息保存到 flash;
通过 TFTP/FTP 把 flash 下所有 txt 文件下载到本地电脑;
同时记录浏览器侧报错:证书错误、连接超时、403 拒绝、500 服务错误。
快速故障定位逻辑(结合导出信息判断)
display ip https显示 HTTPS 未开启 → 直接开启ip https enable;
会话表无 7443 连接 → 查安全策略 /control-plane ACL 拦截;
会话表有连接,但页面打不开 → 查 SSL 证书、TLS 版本、浏览器兼容;
日志提示账号认证失败 → 检查 local-user 管理员账号权限;
system internal web 进程异常 → 重启 web 服务:undo ip https enable / ip https enable。

暂无评论

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明