F1000+安全策略

源安全域 untrust  ；目的安全域  local   ，源IP地址 any，目的IP地址：防火墙公网IP，服务选择 https，动作允许。

1. NAT映射—— 把公网IP的443端口，映射到内网服务器

2. 安全策略 —— 允许从 untrust 到 local/trust 的访问

3. 放行端口 —— 确保防火墙自身的HTTPS管理端口不冲突

F1000 V7 外网 Untrust 仅允许访问防火墙本机 HTTPS Web 完整配置
核心原理说明
Local 安全域：代表防火墙设备自身，Untrust（互联网）访问防火墙管理页面属于 Untrust → Local 域间流量，防火墙默认全部阻断；
需求最小权限：仅放行TCP 443(HTTPS) 访问防火墙本机，拒绝外网所有其他流量（ICMP、SSH、HTTP、其他端口）；
双层管控：①域间安全策略精准放行 HTTPS；②HTTPS 服务绑定 ACL 限制访问来源，双重防护。
一、前置基础检查（必须先确认）
1. 开启防火墙 HTTPS Web 服务
bash
运行
system-view
# 开启HTTPS管理服务（生产环境禁用明文HTTP）
ip https enable
undo ip http enable
# 可选：自定义HTTPS端口（推荐，规避扫描）
# ip https port 8443
2. 确认外网接口归属 Untrust 域
bash
运行
# 查看接口所属安全域，外网口必须加入Untrust
display zone untrust
# 若未加入，示例GE1/0/0为外网口
zone name untrust
interface GigabitEthernet 1/0/0
quit
3. 配置管理员账号（具备 Web 权限）
bash
运行
local-user admin class manage
password simple Admin@123456
service-type https
authorization-attribute user-role network-admin
二、方式 1：域间安全策略精准放行（核心配置，推荐）
1. 创建 IPv4 安全策略，仅放通 Untrust→Local HTTPS
bash
运行
# 进入IPv4安全策略视图
security-policy ip
# 规则命名：仅允许外网访问防火墙443端口Web
rule name Untrust_Local_Allow_HTTPS
action pass
source-zone untrust
destination-zone local
service HTTPS # 匹配TCP 443
quit

# 兜底拒绝：外网所有其他访问防火墙本机的流量
rule name Untrust_Local_Deny_All
action drop
source-zone untrust
destination-zone local
quit
规则顺序不可颠倒：先放行 HTTPS，再全量拒绝其他流量。
2. 校验内置服务对象 HTTPS
service HTTPS 预定义 TCP 443，若修改过 HTTPS 端口，需自定义服务：
bash
运行
# 示例：自定义8443端口HTTPS服务
service object HTTPS-MODIFY
port tcp eq 8443
quit
# 策略中替换 service HTTPS-MODIFY
三、方式 2：二次加固 ——HTTPS 服务绑定 ACL（限制指定公网 IP 访问）
如果只允许特定公网固定 IP远程登录防火墙，叠加 ACL 双重限制，外网其他 IP 即使匹配策略也无法建立 HTTPS 连接。
bash
运行
# 基础ACL：仅放行指定公网IP 113.XX.XX.XX
acl basic 2000
rule permit source 113.10.20.30 0
rule deny
quit
# HTTPS服务绑定ACL，仅ACL允许的IP能发起443连接
ip https acl 2000
不配置此 ACL = 所有外网 IP 均可通过 443 访问；
配置后 = 只有 ACL 内 IP 可访问 Web，扫描器 / 其他公网 IP 直接被服务层拦截。
四、Web 图形界面配置步骤（可视化操作）


安全策略新建入口


策略参数填写
登录防火墙 Web 管理 → 顶部菜单【策略】→【安全策略】→【新建】
第一条放行策略参数：
名称：Untrust-Local-HTTPS
源安全域：Untrust
目的安全域：Local
服务：HTTPS
动作：允许
第二条兜底拒绝策略：
名称：Untrust-Local-Deny-Other
源安全域：Untrust
目的安全域：Local
动作：拒绝
调整策略顺序，放行规则置顶，保存策略并生效。
五、配置验证 & 排错命令
1. 查看安全策略匹配计数，确认外网 HTTPS 命中放行规则
bash
运行
display security-policy ip rule name Untrust_Local_Allow_HTTPS statistics
2. 查看 HTTPS 服务状态、绑定 ACL
bash
运行
display current-configuration | include ip https
3. 测试外网访问，抓包验证其他端口被阻断
bash
运行
# 查看Untrust→Local所有阻断流量统计
display security-policy ip rule name Untrust_Local_Deny_All statistics
4. 查看安全域成员，确认外网接口在 Untrust
bash
运行
display zone untrust member
六、现场高频踩坑规避
策略顺序颠倒：拒绝规则放在放行规则上方，外网 HTTPS 直接被阻断；
未关闭ip http enable：外网可访问 80 明文页面，存在安全风险；
外网接口未加入 Untrust 域：流量归属其他域，策略不生效；
未配置兜底 deny 规则：外网可 SSH、ping、访问防火墙其他端口；
公网动态 IP 场景：不要绑定 ip https acl，仅靠域间策略放行 HTTPS 即可。
极简总结
开启防火墙 HTTPS 服务，关闭 HTTP 明文；
安全策略两条规则：Untrust→Local 仅允许 HTTPS，其余全部拒绝；
如需仅指定公网 IP 访问，叠加ip https acl做二次访问限制；
外网接口必须归属 Untrust 安全域，否则策略不匹配。

一、 开启防火墙 HTTPS 服务并修改端口

二、 配置安全策略（核心步骤）

• 源安全域：选择 Untrust
• 目的安全域：选择 Local
• 服务：选择 https（或您自定义的端口服务）
• 动作：选择 允许/Pass

三、 配置 NAT 映射（视网络拓扑而定）

• 情况 A：防火墙外网接口直接绑定了公网 IP
  无需配置 NAT Server。配置完上述两步后，直接在浏览器通过 https://公网IP:8443 即可访问。
• 情况 B：防火墙外网接口为私网 IP，公网 IP 由上级路由器分配
  需要在上一级网关设备上配置端口映射，将公网 IP 的 8443 端口映射到防火墙管理 IP 的 8443 端口。如果公网 IP 直接配置在 F1000+ 上，但需要映射到防火墙内网管理地址，则需在 F1000+ 上配置 NAT Server：
  [H3C] nat server protocol tcp global 公网IP 8443 inside 防火墙管理IP 8443

⚠️ 极高危安全警告与加固建议

1. 限制访问源 IP（ACL 控制）：配置基础 ACL，仅允许特定的公网 IP（如公司办公网出口 IP）访问管理页面，拒绝其他所有公网 IP。
   [H3C] acl basic 2000 [H3C-acl-ipv4-basic-2000] rule permit source 您的公网IP 0 [H3C] ip https acl 2000
2. 使用 VPN 替代直连（最佳实践）：最安全的做法是关闭公网直连 Web 管理。管理员先通过 SSL VPN 或 IPsec VPN 拨入内网，然后以“内网身份”访问防火墙的管理地址，彻底避免管理端口暴露于公网。