• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

H3C GR3200禁止访问HTTPS

2020-08-11提问
  • 1关注
  • 1收藏,2333浏览
粉丝:0人 关注:0人

问题描述:

如何在路由上禁止访问HTTPS

最佳答案

粉丝:138人 关注:6人

您好,请知:

如果是禁止使用https登陆路由器,可将https的登录方式给去掉,以下是配置方法,请参考:

16.2.1  远程管理

设备为您提供了远程登录管理的功能,即因特网上的主机可以通过设备的WAN口来实现Web或Telnet登录。

远程Web管理支持HTTP和HTTPS两种访问方式。HTTPS相对于HTTP,在安全性方面有所增强,它将HTTP和SSL结合,通过SSL对客户端身份和服务器进行验证,对传输的数据进行加密,从而实现了对设备的安全管理。

HTTPS通过SSL协议,从以下几方面提高了安全性:

·     客户端通过数字证书对服务器进行身份验证,保证客户端访问正确的服务器;

·     服务器通过数字证书对客户端进行身份验证,保证合法客户端可以安全地访问设备,禁止非法的客户端访问设备;

·     客户端与设备之间交互的数据需要经过加密,保证了数据传输的安全性和完整性,从而实现了对设备的安全管理。

说明

·     同一时间,设备最多允许五个用户远程通过Web或Telnet进行管理和设置。

·     缺省情况下,设备的远程Web管理和远程Telnet管理均处于关闭状态。

 

页面向导:设备管理→远程管理→远程管理

本页面为您提供如下主要功能:

·     开启远程Web管理功能(选中“启用远程web管理”复选框,选择访问方式,并设置相关的参数,单击<应用>按钮生效)

·     开启远程Telnet管理功能(选中“启用远程telnet管理”复选框,设置相关的参数,单击<应用>按钮生效)

 

页面中关键项的含义如下表所示。

表16-1 页面关键项描述

页面关键项

描述

访问方式

当选择HTTP访问方式时,远程用户需要在浏览器的地址栏中输入http://xxx.xxx.xxx.xxx:port登录设备;当选择HTTPS访问方式时,远程用户需要在浏览器的地址栏输入https://xxx.xxx.xxx.xxx:port登录设备

说明

·     xxx.xxx.xxx.xxx是指设备WAN口的IP地址,port是指您所指定的“设备的远程管理端口”

·     如果您使用HTTPS方式访问设备,设备会向您发放一份证书。此证书可能因为不受信任而被浏览器阻止,您只要选择信任此证书,继续操作便可进入设备的Web登录页面

远程管理PC的IP范围

设置远程用户的IP地址范围,仅在该指定范围内的用户才允许远程管理设备

缺省情况下,允许所有用户对设备进行远程管理

设备的远程管理端口

设置对设备进行远程管理的端口号

推荐设置10000以上的端口

 


如果是禁止https的协议及端口经过路由器,可以设置路由器的防火墙出入站规则,以下是配置要点:

11.3  设置防火墙

设备的防火墙功能为您实现了根据报文的内容特征(比如:协议类型、源/目的IP地址等),来对入站方向(从因特网发向局域网的方向)和出站方向(从局域网发向因特网的方向)的数据流进行相应的控制,保证了设备和局域网内主机的安全运行。

11.3.1  开启/关闭防火墙功能

仅当防火墙功能开启后,您定制的防火墙出站和入站通信策略才能生效。

页面向导:安全专区→防火墙→防火墙设置

本页面为您提供如下主要功能:

开启/关闭防火墙功能

 

11.3.2  设置出站通信策略

页面向导:安全专区→防火墙→出站通信策略

本页面为您提供如下主要功能:

设置报文在出站方向上未匹配任何您预先设定的规则时,系统所采取的策略(主页面。在“出站通信缺省策略”下拉框中选择指定的方式,单击<应用>按钮生效)

添加匹配规则来控制指定的报文(在主页面上单击<新增>按钮,在弹出的对话框中设置相应的匹配项,单击<增加>按钮完成操作)

 

页面中关键项的含义如下表所示。

表11-1 页面关键项描述

页面关键项

描述

出站通信缺省策略

·     “允许”:允许内网主动发起的访问报文通过

·     “禁止”:禁止内网主动发起的访问报文通过

缺省情况下,出站通信缺省策略为“允许”

说明

·     当缺省策略是“允许”时,您手动添加的策略即为“禁止”,反之亦然

·     缺省策略更改后,所有已配置的出站通信策略将会被清空,且仅对新建立的访问连接生效

·     当您手动添加了出站通信策略后,系统会优先根据该策略对主机进行访问控制,如果未匹配手动添加的策略,则遵循缺省策略

源接口

设置报文的来源接口,即可以对从某一LAN侧接口收到的报文进行控制

源地址

设置需要进行控制的源地址类型:

·     IP地址段:通过源IP地址范围对局域网中的主机进行控制

·     MAC地址:通过源MAC地址对局域网中的主机进行控制

·     用户组:通过您预先划分好的用户组对局域网中的主机进行控制

起始IP/结束IP(源IP地址范围)

输入需要匹配的报文的源IP地址段

说明

·     起始IP地址不能大于结束IP地址

·     如果无需匹配报文的源IP地址,您可以将起始IP地址设置为0.0.0.0,结束IP地址设置为255.255.255.255

源端口范围

输入需要匹配的报文的源端口范围

说明

如果无需匹配报文的源端口号,您可以将其设置为1~65535

起始IP/结束IP(目的IP地址范围)

输入需要匹配的报文的目的IP地址段

说明

·     起始IP地址不能大于目的IP地址

·     如果无需匹配报文的目的IP地址,您可以将起始IP地址设置为0.0.0.0,结束IP地址设置为255.255.255.255

服务类型

选择局域网中主机访问因特网资源的服务类型

说明

缺省情况下,系统预定义了常用的服务类型。如果您需要自定义服务类型,相关操作请参见“11.3.4  设置服务类型

生效时间

设置此新增规则的生效时间

说明

生效时间需要您指定具体的时间段,比如:某天的某个时间段

是否启用

在下拉列表框中选择“启用”,表示此匹配策略生效;选择“禁用”,表示此匹配策略不生效

描述

对此新增规则进行简单的描述

 

11.3.3  设置入站通信策略

页面向导:安全专区→防火墙→入站通信策略

本页面为您提供如下主要功能:

设置报文在入站方向上未匹配任何您预先设定的规则时,系统所采取的策略(主页面。在“入站通信缺省策略”下拉框中选择指定的方式,单击<应用>按钮生效)

添加匹配规则来控制指定的报文(在主页面上单击<新增>按钮,在弹出的对话框中设置相应的匹配项,单击<增加>按钮完成操作)

 

页面中关键项的含义如下表所示。

表11-2 页面关键项描述

页面关键项

描述

入站通信缺省策略

·     “禁止”:禁止外网主动发起的访问报文通过

·     “允许”:允许外网主动发起的访问报文通过

说明

·     当设备工作于NAT模式下时(即开启了NAT功能),入站通信缺省策略不允许配置,且仅为“禁止”;当设备工作于路由模式下时(即关闭了NAT功能),入站通信缺省策略才允许选择配置,且缺省情况下为“允许”

·     当缺省策略是“禁止”时,您手动添加的策略即为“允许”,反之亦然

·     缺省策略更改后,所有已配置的出站通信策略将会被清空,且仅对新建立的访问连接生效

·     当您手动添加了入站通信策略后,设备会优先根据该策略对主机进行访问控制,如果未匹配手动添加的策略,则遵循缺省策略

源接口

设置报文的来源接口,即可以对从某一WAN侧接口收到的报文进行控制

起始IP/结束IP(源IP地址范围)

输入需要匹配的报文的源IP地址段

说明

·     起始IP地址不能大于结束IP地址

·     如果无需匹配报文的源IP地址,您可以将起始IP地址设置为0.0.0.0,结束IP地址设置为255.255.255.255

源端口范围

输入需要匹配的报文的源端口范围

说明

如果无需匹配报文的源端口号,您可以将其设置为1~65535

目的IP地址(目的IP地址范围)

输入需要匹配的报文的目的IP地址

说明

当设备工作于NAT模式下时(即开启了NAT功能),仅允许设置单个目的IP地址;当设备工作于路由模式下时(即关闭了NAT功能),允许设置目的IP地址范围

服务类型

选择因特网中的主机访问局域网资源的服务类型

说明

缺省情况下,系统预定义了常用的服务类型。如果您需要自定义服务类型,相关操作请参见“11.3.4  设置服务类型

生效时间

设置此新增规则的生效时间

说明

生效时间需要您指定具体的时间段,比如:某天的某个时间段

是否启用

在下拉列表框中选择“启用”,表示此匹配策略生效;选择“禁用”,表示此匹配策略不生效

描述

对此新增规则进行简单的描述

 

11.3.4  设置服务类型

为了让您能够在定制防火墙策略时比较方便地指定需要过滤的协议和端口号,设备提供了服务类型管理功能。每一个服务类型均由协议和端口号两部分构成,系统预定义一些常用的服务类型(比如:HTTP、FTP、TELNET等);同时,您也可以根据实际需求添加自定义的服务类型。

页面向导:安全专区→防火墙→服务类型

本页面为您提供如下主要功能:

显示和修改已定义的服务类型(主页面。系统预定义的服务类型均不可修改和删除)

自定义服务类型(单击主页面上的<新增>按钮,在弹出的对话框中设置服务类型名称、协议类型及目的端口范围,单击<增加>按钮完成操作)

 


以下是用户手册连接,请参考:

https://www.h3c.com/cn/Service/Document_Software/Document_Center/Routers/Catalog/H3C_GR/GR3200/  

您好,可以在“上网行为管理”部分来禁止看下,如果还是不行,可以在电脑使用nsloopup解析淘宝的IP出来,然后在防火墙出入站规则那里直接封堵看下。

得闲饮茶013 发表时间:2020-08-11 更多>>

无HTTPS的选项

zhiliao_qC7oF1 发表时间:2020-08-11

您好,是禁止使用https登陆路由器么?

得闲饮茶013 发表时间:2020-08-11

不是,是禁止局域网的机子访问HTTPS的网站

zhiliao_qC7oF1 发表时间:2020-08-11

您好,可以禁止访问端口号为443的TCP或UDP,https默认端口号是443.

得闲饮茶013 发表时间:2020-08-11

能不能设置只禁止某个网站,例如淘宝

zhiliao_qC7oF1 发表时间:2020-08-11

您好,可以在“上网行为管理”部分来禁止看下,如果还是不行,可以在电脑使用nsloopup解析淘宝的IP出来,然后在防火墙出入站规则那里直接封堵看下。

得闲饮茶013 发表时间:2020-08-11
0 个回答

该问题暂时没有网友解答

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明