当防火墙的WEB界面无法访问,但Console口还可以登录时,这通常意味着设备本身还在运行,但管理服务或网络通路出了问题。
在收集信息前,有个非常重要的建议:先不要重启设备。重启会丢失宝贵的现场信息(如临时的会话表、动态路由表等),给后续定位根因带来困难。
你可以通过Console口,按照下面的步骤来收集信息并进行排查。
这是为了给后续深入分析保留“现场证据”。建议依次执行以下命令,并将输出信息保存下来。
收集全面诊断信息:这是最核心的一步,会一次性导出设备各模块的运行状态。
收集系统日志:日志中往往记录着问题发生的原因。
关注其中与HTTP/HTTPS、登录失败、接口状态相关的记录。
收集当前配置:对比运行配置和保存的配置,可以快速发现最近是否有人为改动导致了问题。
收集会话表信息:如果怀疑有攻击或策略误拦截,可以检查会话表。
如果会话表很大,可以加上条件过滤,例如 display session table ipv4 source-ip x.x.x.x。
在保存好上述信息后,可以按照以下清单进行排查。
检查基础连通性
检查Web服务是否开启
检查安全策略与域间策略
这是最常见的原因之一。管理流量(去往设备自身的流量)必须匹配正确的安全策略。
检查用户权限与访问控制
检查管理端口
检查路由
检查客户端与浏览器
浏览器问题:尝试更换浏览器(如Chrome、Firefox),或使用浏览器的无痕/隐私模式访问,排除缓存或插件干扰。
TLS版本:部分旧版防火墙可能不支持浏览器默认的高版本TLS,可以尝试调整浏览器设置或使用旧版浏览器。
暂无评论
H3C 防火墙 Console 可登录、Web 无法访问,全套排查导出信息清单(分命令、日志、配置、会话四大类)
一、先导出完整运行配置(最核心,优先导出)
完整配置能直接定位 Web 权限、SSL、域策略、ACL、管理 IP、服务开关问题
plaintext
# 导出完整当前运行配置
display current-configuration > flash:/run_cfg.txt
# 导出出厂默认配置对比
display default-configuration > flash:/def_cfg.txt
# 导出启动配置(开机加载配置,防止运行配置和启动配置不一致)
display startup-config > flash:/start_cfg.txt
下载 flash 下 3 个 txt 文件到本地分析,重点检索关键词:ip https、ssl server-policy、allow access、security-policy、control-plane
二、Web 服务本身状态信息(定位 Web 服务是否正常运行)
1、Web/HTTPS 服务开关、监听端口
plaintext
display ip https
display ip http
重点看:HTTPS 是否开启、监听端口(默认 7443)、绑定的 SSL 策略、允许访问的接口。
2、SSL 证书、SSL 策略详情(Web 证书过期 / 套件错误是高频故障)
plaintext
display ssl local-certificate all
display ssl server-policy all
display ssl version
display ssl ciphersuite
查看证书有效期、是否绑定 https、是否禁用 TLS1.0/1.1 导致浏览器无法连接。
3、设备管理访问权限(接口是否允许 Web 管理)
plaintext
display allow access interface all
检查管理接口是否配置allow access https,未配置则 Web 直接拦截。
三、安全策略 & 控制平面 ACL(拦截 Web 访问最常见原因)
1、IPv4 安全策略(Untrust/Trust/DMZ→Local 本地设备的访问策略)
plaintext
display security-policy rule all statistics > flash:/sec_policy.txt
检索目的域local、服务HTTPS(7443),看是否有拒绝规则拦截访问防火墙本机 Web。
2、控制平面报文过滤(全局拦截本机管理报文)
plaintext
display current-configuration | include control-plane
display packet-filter control-plane statistics
若 control-plane 绑定 ACL,查看 ACL 是否放行 TCP 7443。
3、域间对象、服务对象
plaintext
display object service all
display security-zone all
确认 Local 安全域正常,HTTPS 服务对象存在。
四、会话表、连接统计(判断浏览器请求是否到达防火墙)
plaintext
# 查看所有访问本机7443端口的TCP会话
display connection table destination-port 7443
# 查看全局会话统计
display connection statistics
# 查看TCP连接异常统计(握手失败、重置)
display tcp statistics
有会话:防火墙收到浏览器请求,问题在 SSL / 证书 / 页面服务;
无会话:报文被安全策略 / ACL / 路由拦截,根本没送到防火墙本机。
五、系统日志(Syslog,定位 Web 服务崩溃、证书报错、访问拒绝)
1、本地缓存日志(必导出,包含 Web 启动、认证、拦截报错)
plaintext
# 全部日志导出到文件
display logbuffer > flash:/logbuffer_all.txt
# 过滤web/https/ssl关键字日志
display logbuffer | include HTTPS
display logbuffer | include SSL
display logbuffer | include allow access
display logbuffer | include security-policy deny
日志典型报错:
SSL 证书过期、套件协商失败;
安全策略拒绝 XX 地址访问 Local HTTPS;
https 服务进程异常退出。
2、系统诊断内部日志(研发级深层日志,服务卡死时必抓)
plaintext
display system internal web server status
display system internal ssl all
display system internal process all
查看 web 服务进程是否 running,有无 CPU / 内存溢出卡死。
六、网络连通性基础信息(管理 IP、路由、接口 UP 状态)
plaintext
# 接口IP、状态
display ip interface brief
# 路由表(客户端访问防火墙管理IP路由可达)
display ip routing-table
# 接口物理/协议状态
display interface brief
确认管理接口 UP、管理 IP 存在、客户端回程路由正常。
七、用户认证、管理员权限信息(输入账号密码后无法登录场景)
plaintext
# 本地管理员账号配置
display local-user
# 管理员权限级别,web最低需要level3
display local-user admin
# 登录在线用户
display user
账号锁定、密码错误、权限等级不足会导致 Web 登录失败;
开启了 AAA / 服务器认证,外部服务器故障导致 Web 鉴权失败。
八、一键打包导出所有文件(现场快速操作)
依次执行上面所有> flash:/xxx.txt命令,将全部信息保存到 flash;
通过 TFTP/FTP 把 flash 下所有 txt 文件下载到本地电脑;
同时记录浏览器侧报错:证书错误、连接超时、403 拒绝、500 服务错误。
快速故障定位逻辑(结合导出信息判断)
display ip https显示 HTTPS 未开启 → 直接开启ip https enable;
会话表无 7443 连接 → 查安全策略 /control-plane ACL 拦截;
会话表有连接,但页面打不开 → 查 SSL 证书、TLS 版本、浏览器兼容;
日志提示账号认证失败 → 检查 local-user 管理员账号权限;
system internal web 进程异常 → 重启 web 服务:undo ip https enable / ip https enable。
暂无评论
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论