模拟器：访问防火墙登录失败

模拟器什么版本的，可以更新下版本

最新版模拟器。报错代码：WEB/5/LOGIN_FAILED: -COntext=1

要是配置里面https服务是开启的，可以修改兼容性看下

在 HCL 模拟器中碰到防火墙登录失败，通常不是账户密码问题，而是 HCL 模拟器防火墙的“白板”状态导致了初始 Web 管理权限缺失。

报错的核心原因在于，模拟环境中的防火墙初始状态非常严格，需要手动放行权限才能从电脑通过 Web 访问它。为了帮你一步步恢复访问，可以从以下几个角度依次排查。

🔍 故障原因定位

1. 安全域配置

默认情况下，防火墙的所有接口不属于任何安全域，域间默认无法互访，导致 Web 请求被拦截。

• 检查命令：display security-zone name Management

• 修复命令：

  [H3C] security-zone name Management

  [H3C-security-zone-Management] import interface GigabitEthernet 1/0/1

• 说明：根据你的组网，如果电脑连接的接口不同，请将GigabitEthernet 1/0/1替换为实际接口编号。

2. HTTP/HTTPS服务状态

Web服务默认可能未开启或只开启了其中一种。

• 检查命令：display current-configuration | include http 或 display current-configuration | include https

• 修复命令：

  [H3C] ip http enable

  [H3C] ip https enable

3. 管理员账户的Web服务授权

默认的admin账户可能没有被授权通过HTTP/HTTPS方式登录。

• 检查命令：display local-user admin class manage

• 修复命令：

  [H3C] local-user admin class manage

  [H3C-luser-manage-admin] service-type http https

4. 域间安全策略拦截

即使接口加入了安全域，从电脑所在域到设备本地（Local）的流量也需要被明确允许。这与前文提到的“默认域间无法互访”直接相关。

• 修复命令：

  [H3C] acl basic 2000

  [H3C-acl-ipv4-basic-2000] rule 0 permit source any [H3C] zone-pair security source Management destination Local [H3C-zone-pair-security-Management-Local] packet-filter 2000

5. 接口管理权限未开启

管理接口本身可能没有明确开启HTTPS入站方向的权限。

• 检查命令：display current-configuration interface GigabitEthernet 1/0/1

• 修复命令：

  [H3C] interface GigabitEthernet 1/0/1

  [H3C-GigabitEthernet1/0/1] manage https inbound

• 说明：inbound 表示允许外部主机通过该接口访问防火墙的Web服务。

6. 其它潜在问题

• 配置丢失：直接关闭模拟器可能导致配置丢失，可尝试通过 display current-configuration 检查关键配置是否存在。

• 内存不足：极少数情况下，默认分配的内存太小也可能导致Web服务不稳定。

• 浏览器与模拟器环境：建议清除浏览器缓存或尝试无痕模式，并关闭Windows的Hyper-V、内核隔离等功能，确保VirtualBox正常。

• 客户端本地软件：某些安全软件或防火墙可能误拦截HCL与VirtualBox的通信，可尝试临时关闭后验证。

HCL 里防火墙登录失败（Web / Console / SSH），90% 是 接口 / IP / 安全域没配、Web 服务没开、密码 / 权限不对、浏览器 / 证书问题。下面按 最常见 → 最彻底 给你一套可直接复制的排障 + 修复方案。
一、先确认：你是哪种 “登录失败”？
1）Console / CLI 登录失败（双击设备黑屏 / 要账号）
现象：
提示 Username: Password:，输 admin/admin 报错：Login failed
或一直黑屏、不弹出 CLI
原因：
模拟器启动未完成（要等 2～5 分钟）
配置被改过、密码非默认
设备异常 / 镜像损坏
2）Web 登录失败（浏览器打不开 / 能打开但认证失败）
现象：
无法访问 http://192.168.0.1 / https://...
能打开页面，但 admin/admin 提示 “用户名或密码错误”
证书错误、浏览器拒绝访问
原因（HCL 防火墙最经典坑）：
管理口没加 Management 域
没开 HTTP/HTTPS 服务
缺少 Management ↔ Local 域间策略
admin 用户未开启 http/https 服务类型
新版 HCL 强制首次登录必须改密码，默认密码直接拒绝
二、第一步：先确保能进 CLI（所有修复基础）
1. 重启 + 等待设备完全启动
右键防火墙 → 停止 → 等待 30 秒
右键 → 启动
等待 3～5 分钟（直到风扇声 / 状态灯稳定）
双击打开 CLI：
老版 HCL：直接进命令行
新版 HCL：提示账号密码 → 默认 admin /admin
2. 若 CLI 仍密码错误：重置密码（HCL 通用）
plaintext
# 重启防火墙，启动过程中狂按 Ctrl+B
# 进入 BootMenu 选：
7. Skip current system configuration
# 重启后：
<H3C>
system-view
[H3C]local-user admin class manage
[H3C-luser-manage-admin]password simple admin@123 # 设新密码
[H3C-luser-manage-admin]service-type ssh terminal http https # 开所有服务
[H3C-luser-manage-admin]authorization-attribute user-role network-admin
[H3C-luser-manage-admin]quit
save
reboot
三、第二步：Web 登录必做 5 步（复制粘贴即可）
以 G1/0/1 为管理口、默认 192.168.0.1/24 为例（HCL 防火墙出厂）
1. 进系统 + 确认接口 IP
plaintext
system-view
sysname FW

# 查看管理口默认IP
display ip interface brief
# 正常：G1/0/1 是 192.168.0.1/24

# 如果没IP，手动配：
interface GigabitEthernet 1/0/1
ip address 192.168.0.1 255.255.255.0
undo shutdown
quit
2. 接口加入 Management 安全域（最关键！）
plaintext
security-zone name Management
import interface GigabitEthernet 1/0/1
quit
3. 开启 HTTP/HTTPS 服务
plaintext
ip http enable
ip https enable
4. 放通 Management ↔ Local 域间策略（必配！）
plaintext
# 允许管理PC访问防火墙本身
acl advanced 3000
rule permit ip
quit

zone-pair security source Management destination local
packet-filter 3000
quit

zone-pair security source local destination Management
packet-filter 3000
quit
5. 给 admin 开启 Web/SSH 权限
plaintext
local-user admin class manage
# 密码建议改复杂（新版HCL强制）
password simple admin@123456
# 必须开这4种
service-type ssh terminal http https
authorization-attribute user-role network-admin
quit
6. 保存
plaintext
save
四、第三步：电脑 / 浏览器配置（必做）
电脑网卡设同网段
IP：192.168.0.2
掩码：255.255.255.0
网关 / DNS 留空
测试连通性
CMD：ping 192.168.0.1
不通：检查连线、接口状态、安全域
浏览器访问
优先：http://192.168.0.1（HTTP 默认 80）
或：https://192.168.0.1（HTTPS 默认 443）
证书错误：点 高级 → 继续访问
登录
账号：admin
密码：admin@123456（你刚改的）
五、常见 “坑” 与一句话解决
1. 能 ping 通，但 Web 打不开
原因：没开 http/https 或 没配域间策略
修复：重做上面 3、4 步
2. Web 页面能打开，但账号密码错误
原因：
密码不对（新版 HCL 不让用默认 admin/admin）
用户没开 service-type http https
修复：重置密码 + 开启服务类型（第 5 步）
3. 浏览器提示 “不安全 / 证书错误”
修复：
Chrome：点 高级 → 继续访问
Edge：详情 → 继续访问
或换 Firefox
4. 双击设备黑屏 / 不进 CLI
修复：
等待 5 分钟
重启设备
重装 HCL（用 V3.0.1 正式版）
5. 用了以上所有还是不行
plaintext
# 一键恢复出厂（HCL）
<FW>reset saved-configuration
Warning: The action will delete the saved configuration...... Are you sure? [Y/N]Y
<FW>reboot
# 重启后用默认 admin/admin 登录，再重新配置
六、最简可复制脚本（直接粘贴）
plaintext
system-view
sysname FW
interface GigabitEthernet 1/0/1
ip address 192.168.0.1 255.255.255.0
undo shutdown
quit
security-zone name Management
import interface GigabitEthernet 1/0/1
quit
ip http enable
ip https enable
acl advanced 3000
rule permit ip
quit
zone-pair security source Management destination local
packet-filter 3000
quit
zone-pair security source local destination Management
packet-filter 3000
quit
local-user admin class manage
password simple admin@123456
service-type ssh terminal http https
authorization-attribute user-role network-admin
quit
save
七、你现在 2 分钟就能好
进 CLI → 粘贴上面脚本
电脑设 192.168.0.2/24
浏览器 http://192.168.0.1
账号 admin / 密码 admin@123456