华三F1050防火墙，防火墙没开通非法地址的策略，SIP协议 UDP5060语音业务被非法访问

检查下是不是有其他策略放行了

F1050防火墙语音业务被非法访问的问题可能由以下原因导致：

1. NAT Server配置与源NAT策略冲突

• 问题现象：外部非法源地址访问NAT Server时，若同时存在源NAT策略（如NAT outbound），可能导致会话冲突，回包被错误转换。
• 解决方案：
  • 在NAT Server配置中增加 reversible 参数，确保反向流量正确匹配NAT Server规则。
  • 检查会话表（display session table），确认非法访问的流量是否因源NAT策略被错误转换。

2. SIP ALG未正确处理非标准端口

• 问题现象：SIP协议默认使用5060端口，但若业务使用其他端口（如5061），需手动配置端口映射。
• 解决方案：
  • 添加SIP协议的非标准端口映射：port-mapping application sip port 5060
  • 确保NAT ALG功能已开启（默认开启），并检查ALG是否正确处理SIP报文内层地址（如Contact头域、SDP中的IP）。

3. 安全策略配置不完整

• 关键配置检查点：
  1. 源安全域与目的安全域：确保从Untrust到Trust的安全策略中，源地址范围需严格限制（如仅允许合法IP段），避免使用any。
  2. 服务匹配：确认安全策略中放行的服务为 UDP 5060，且未与其他宽松策略（如默认允许策略）冲突。
  3. 反向策略：若启用了ASPF检测，需在安全策略中配置 detect sip，否则反向流量可能被丢弃。

4. 会话表或流表异常

• 排查步骤：
  1. 通过 display session table 检查非法访问的会话是否存在异常转换。
  2. 检查流表（display system internal openflow instance flow-table）是否正常下发，确保NAT规则与流表条目一致。
  3. 若会话未正常建立，可能是因安全策略未放行或NAT规则未命中。

5. 非法流量绕过安全策略的可能路径

• 潜在风险：若防火墙接口未正确加入安全域，或存在其他宽松策略（如默认允许策略），可能导致非法流量绕过限制。
• 验证方法：
  • 在防火墙内联口抓包，确认非法流量是否经过防火墙处理。
  • 检查安全域配置（display security-zone），确保外网接口属于Untrust域，内网接口属于Trust域。

建议操作步骤

1. 检查NAT Server配置：nat server protocol udp global <公网IP> 5060 inside <内网IP> 5060 reversible
2. 验证安全策略：security-policy ip rule name SIP_Permit source-zone Untrust destination-zone Trust source-ip <合法IP段> destination-ip <内网服务器IP> service udp 5060 action pass
3. 启用ASPF检测：aspf policy 1 detect sip security-policy ip rule SIP_Permit aspf apply policy 1
4. 抓包与会话分析：
   • 在防火墙外联口抓包，确认非法流量是否命中NAT Server和安全策略。
   • 通过 debugging security-policy packet 查看拒绝日志，定位被拦截的流量。

结论

若上述配置均无误，但非法流量仍可达内网，需排查是否存在以下情况：

• 物理旁路：流量未经过防火墙（如网络拓扑存在直连路径）。
• 其他策略放行：存在更高优先级的策略放行非法源地址。
• 设备版本缺陷：升级至最新版本（如V7系列推荐版本R8860P43及以上）。