h3C1000-AK109防火墙-浏览器不能登录

浏览器提示“使用了不受支持的协议”，这通常意味着防火墙的Web服务只启用了较低版本的TLS加密协议（如TLS 1.0或1.1），而你的浏览器出于安全考虑，已不再支持它们。因此，你需要对防火墙进行配置调整。

✅ 解决方案一：配置防火墙，启用更高版本的TLS协议 (推荐)

这是从根本上解决问题的方法。你需要通过Console口或SSH登录到防火墙的命令行界面（CLI）进行操作。

1. 确认当前的SSL服务器策略
   首先，查看设备上是否存在名为 https_server 的SSL服务器策略。

   display ssl server-policy 如果没有，则需要创建。如果已存在，可以接着修改。

2. 创建或修改SSL服务器策略
   进入系统视图，创建或修改名为 https_server 的SSL服务器策略。

   system-view

   ssl server-policy https_server 在SSL服务器策略视图下，配置启用TLS 1.2协议，并禁用不安全的低版本协议。
   # 启用 TLS 1.2 (核心步骤)

   version tls1.2
   # 可根据需要，同时启用 TLS 1.0 和 1.1，但这通常不推荐

   # version tls1.0 # version tls1.1 # 可选：禁用不安全的加密套件，如 'rsa_aes_128_cbc_sha' # 启用更安全的加密套件，如 'rsa_aes_128_cbc_sha256' 或 'rsa_aes_128_gcm_sha256' # cipher-suite rsa_aes_128_cbc_sha256
3. H3C设备允许同时启用多个版本以确保兼容性，但为安全考虑，应避免启用不安全的SSL3.0、TLS1.0和TLS1.1。

4. 将SSL策略应用到HTTPS服务
   将创建好的SSL服务器策略应用到设备的HTTPS服务上。

   quit # 退出 SSL 策略视图

   ip https ssl-server-policy https_server

5. 开启或确认HTTPS服务
   确保HTTPS服务已开启。

   ip https enable 完成以上配置后，尝试重新用浏览器访问防火墙，问题应该已解决。

🖥️ 解决方案二：通过防火墙的Web界面配置

如果你的Web界面还能访问，也可以通过图形化界面进行操作。

1. 登录防火墙Web管理页面。

2. 导航至“系统” > “配置” > “证书”或“SSL配置”相关菜单。

3. 在SSL服务器策略配置区域，找到TLS协议版本选项，勾选 TLS 1.2 或更高版本。

4. 保存配置并应用。

🔄 临时解决方案：修改浏览器设置 (仅应急，不推荐)

如果无法立即修改防火墙配置，可以尝试在浏览器端开启对旧协议的支持，但这会降低你的浏览器安全性。

• Windows系统 (IE模式/Edge/Chrome)：打开“控制面板” > “Internet选项” > “高级”选项卡，在“安全”设置中，勾选所有可用的TLS和SSL选项，然后点击“确定”并重启浏览器。

• Edge浏览器 (特定网站)：如果上述方法无效，可以尝试将防火墙的IP地址添加到Edge的“Internet Explorer 模式”页面列表中。

  1. 打开Edge浏览器，点击右上角的“...”菜单，选择“设置”。

  2. 在左侧菜单栏选择“默认浏览器”。

  3. 将“允许在 Internet Explorer 模式下重新加载网站”选项设置为“允许”。

  4. 在“Internet Explorer 模式页面”下，点击“添加”，输入你防火墙的IP地址，然后点击“添加”。

🔍 其他可能的原因排查

如果配置了SSL策略后问题依旧，请排查以下几个方面：

• 检查HTTP服务是否误用HTTPS：有时输入HTTP地址（http://）会被防火墙重定向到HTTPS（https://），但HTTPS服务未正确配置。请确保ip http enable和ip https enable均已开启。

• 检查管理员账户的Web权限：确保你使用的管理员账户（如admin）被授权通过HTTP/HTTPS服务登录。可以通过以下命令检查和修复：

  display local-user admin class manage

  # 如果输出中 service type 没有 http 或 https，请执行以下命令： local-user admin class manage service-type http https quit

• 检查接口是否开启了Web管理访问：确保你连接防火墙的接口（如GigabitEthernet1/0/0）允许Web管理入站流量。

  interface GigabitEthernet1/0/0

  manage https inbound quit

• 尝试清除浏览器缓存并使用无痕模式：浏览器缓存可能导致旧的HTTPS连接信息残留，建议清除缓存或使用无痕/隐私模式访问。

你遇到的 “使用了不受支持的协议”（ERR_SSL_VERSION_OR_CIPHER_MISMATCH） 是 H3C F1000-AK109 老版本防火墙的典型 TLS 版本不兼容问题：设备只开了 TLS 1.0 / 1.1，现代浏览器默认禁用了这些旧协议。
一、快速判断（必做）
报错：ERR_SSL_VERSION_OR_CIPHER_MISMATCH
能 ping 通，但浏览器打不开 WebUI
换 Chrome/Edge 新版必现，用老 IE / 旧 Firefox 可能正常
根本原因：
AK109 老版本默认只支持 TLS 1.0 / TLS 1.1 / SSL 3.0
新版浏览器（Chrome 80+、Edge、Firefox）默认禁用 TLS 1.0/1.1
握手失败 → 协议不支持
二、3 种解决方法（从易到难）
方法 1：浏览器临时兼容（最快，不用登命令行）
Edge / Chrome
地址栏输入：edge://flags/ 或 chrome://flags/
搜索：TLS 1.0、TLS 1.1
把 TLS 1.0 and TLS 1.1 downgrade support 设为 Enabled
重启浏览器 → 再访问 https://x.x.x.x
Firefox
地址栏输入：about:config
搜索：security.tls.version.min
改为：1（允许 TLS 1.0）
方法 2：命令行开启 TLS 1.2（推荐，永久解决）
用 Console / Telnet / SSH 登录防火墙：
plaintext
system-view
# 全局启用 TLS 1.2（关闭旧协议）
undo ssl version tls1.2 disable
ssl version ssl3.0 disable
ssl version tls1.0 disable
ssl version tls1.1 disable

# 重启 HTTPS 服务
ip https enable
save
```{insert\_element\_0\_}

> 说明：
> - 老版本默认 **TLS 1.2 是关闭**的，必须手动打开
> - 只保留 TLS 1.2 最安全，浏览器也兼容

---

### 方法3：升级防火墙版本（彻底根治）
AK109 建议升级到 **R9332Pxx 及以上**：
- 新版默认 **开启 TLS 1.2 / TLS 1.3**
- 支持现代浏览器加密套件
- 修复大量 Web 漏洞

---

## 三、排查清单（还不行时）
1. 确认访问 **https://**（不是 http）
2. 检查是否有本地代理、VPN 干扰
3. 清空浏览器缓存、重启
4. 用命令查看 SSL 状态：
display ssl server-policy defaultdisplay ip https
plaintext
5. 确认未开启 **FIPS 模式**（会强制禁用 TLS 1.2）{insert\_element\_1\_}

---

## 四、一句话总结
**先开浏览器 TLS 1.0/1.1 临时登录，再进命令行开启 TLS 1.2 并关闭旧协议，最稳妥。**