一、原因分析

1. HTTP 服务禁用后端口仍监听
   H3C 交换机在 undo ip http enable 后，HTTP 进程确实停止，但 TCP 80 端口仍可能被系统保留，处于 LISTEN 状态，但不会响应任何 HTTP 请求。Telnet 到 80 端口仅建立 TCP 连接，并不会触发 HTTP 响应，所以看起来“通”。这是 Comware V7 的一个实现特性。

2. 其他服务可能占用 80 端口

   • Web 认证（Portal）：如果配置了 Portal 认证，有时会占用 80 端口进行重定向。

   • ACL 或端口镜像：某些配置可能导致端口监听。

   • 设备本身的 telnet 服务：不会占用 80，但可能有其他应用。

二、如何彻底关闭 80 端口访问

方法 1：使用 ACL 阻止对 80 端口的访问

这是最直接的方法，通过包过滤方式限制任何外部对 80 端口的连接。

方法 2：彻底关闭 HTTP 服务并确认无其他占用

虽然已显示 Disabled，但可以再次执行关闭命令并重启 HTTP 进程：

方法 3：检查并关闭 Portal 或其它占用 80 端口的服务

三、验证结果

执行以下命令确认 80 端口已无法连接：

也可使用 nmap -p 80 <IP> 从外部扫描验证。

已经关闭：undo netconf http enable`  ，整个配置里面没有 http了。还是有80 的端口监听

一、为什么 HTTP 已禁用，还能 Telnet 通 80？

1. ip http shutdown 只是关闭 Web 服务，不是关闭端口监听
   系统仍然会对 80 端口ACK 握手，但不返回任何页面、拒绝服务。
2. 这是 Comware V7 低端型号（LI 版）的通用行为：
   • 端口 80、23、22 属于系统保留端口
   • 即使服务关闭，端口依然会响应 SYN 包（能 ping 通、能 telnet 通）
   • 只是不会建立业务连接
3. 你看到的：
   • Operation status : Disabled → Web 服务确实关了
   • telnet 80 能通 → 只是 TCP 握手成功，不代表服务可用

二、怎么验证确实没风险？

三、如果你要求 “80 端口完全不通、不响应”

配置如下（直接复制）

或只关闭管理口方向：

• Telnet 80 端口会 直接超时、不响应
• HTTP 服务本身已经关闭，双重安全

四、总结一句话

• HTTP 已关闭 = 服务不可用，安全没问题
• 能 Telnet 通 80 = Comware 底层端口保留机制，不是漏洞
• 想要彻底不通，必须用 ACL 封堵 80 端口