华三 F1000-AI-65+关闭外网侧https访问

H3C F1000-AI-65+ 接口不受控协议隔离配置方案（外网 untrust 关闭本机 HTTPS，内网 trust 不受影响）
一、先讲核心原理（你之前出错的根源）
页面里不受控协议是接口粒度的本机访问控制，每个三层接口独立生效，不是全局统一开关。
你之前内网 HTTPS 跟着失效，大概率两种误操作：
错误在全局ip http/https enable关闭了 web 管理，全局关所有接口都不能访问；
修改 untrust 接口不受控协议后，没点【应用】，或 trust 接口配置被同步改动；
安全域策略额外放行了 / 阻断了防火墙本机服务，叠加干扰。
二、图形界面分步操作（对应你截图界面）
步骤 1：进入 untrust 外网三层接口编辑页
网络 → 接口 → 找到归属 untrust 安全域的外网三层接口，点击编辑，和你截图界面一致；
切换到【不受控协议】栏：
本机接收：取消勾选 HTTPS（外网侧任何人无法通过 HTTPS 访问防火墙管理页）
本机发起：按需取消 HTTPS（防火墙主动对外发起 HTTPS，如特征库升级、云管理，业务需要就保留，不需要就取消）
Ping、其他协议不动，只取消 HTTPS 勾选；
点击底部【应用】→【确定】保存当前接口配置。
步骤 2：核对 trust 内网三层接口配置（保证内网 HTTPS 正常）
打开 trust 内网三层接口编辑 → 不受控协议；
本机接收必须勾选 HTTPS，保持 SSH、HTTP、Ping 正常勾选；
同样点【应用】保存，两个接口配置相互独立，互不影响。
步骤 3：关键校验：不要全局关闭 HTTPS 服务
不要在「设备管理→Web 管理」里关闭全局 HTTPS 服务（undo ip https enable），全局关闭后所有接口都无法访问防火墙 web，只靠接口不受控协议做分域拦截才是正确方案。
三、配套命令行配置（WEB 异常时兜底，精准隔离）
登录防火墙 CLI，替换接口名（G1/0/0=untrust 外网口，G1/0/1=trust 内网口）
bash
运行
# 1. 外网untrust接口：禁止本机接收HTTPS，阻断外网管理访问
interface GigabitEthernet 1/0/0
undo service permit https inbound
# inbound=本机接收（别人连防火墙）；outbound=本机发起（防火墙往外连）

# 2. 内网trust接口：允许本机接收HTTPS，内网正常web管理
interface GigabitEthernet 1/0/1
service permit https inbound

# 3. 验证接口不受控协议放行规则
display interface GigabitEthernet 1/0/0 service-permit
display interface GigabitEthernet 1/0/1 service-permit

四、补充避坑排查（改完外网 HTTPS，内网还是打不开的情况）
安全域本地策略拦截
进入「安全策略→本地安全策略」，放行 trust→local 域 HTTPS，拒绝 untrust→local 域 HTTPS：
策略 1：源 trust、目的 local、服务 HTTPS，动作允许
策略 2：源 untrust、目的 local、服务 HTTPS，动作拒绝
本地策略优先级高于接口不受控协议，漏配会导致内网也无法访问。
管理 IP 绑定在 untrust 口
不要把防火墙管理 IP 配置在 untrust 外网接口，管理 IP 统一放在 trust 内网接口，从根源杜绝外网直连管理。
HTTPS 端口自定义冲突
若修改过 web 管理端口，在不受控协议中 HTTPS 会同步生效，不影响分接口隔离逻辑。
保存配置
WEB 界面修改完所有接口后，右上角【保存】设备配置，重启后配置不丢失。
总结最简操作
编辑 untrust 外网接口 → 不受控协议 → 取消本机接收 HTTPS → 应用；
确认 trust 内网接口本机接收 HTTPS 保持勾选；
本地安全策略放行 trust 访问防火墙本机 HTTPS，阻断 untrust 访问本机 HTTPS；
不关闭全局 ip https 服务，仅做接口粒度拦截，内外网完全隔离互不干扰。