防火墙应用代理和NAT冲突问题

防火墙配置应用代理和SSL解密保护NAT服务器时，目标地址的正确配置方式及处理建议如下：

解决方案

1. 代理策略目标地址配置
   在应用代理策略中，目标地址应填写服务器的NAT映射后的公网地址（即对外发布的外网地址）。这是因为：

   • 客户端访问的是服务器的外网地址，防火墙需基于此地址匹配代理策略。
   • 填写内网地址会导致策略无法匹配客户端的请求（客户端不会直接访问内网地址）。

2. 解决反向会话缺失问题
   若配置公网地址后出现反向会话缺失（因流量需经过NAT转换），需开启代理反向会话生成功能：

   # 开启代理反向会话支持（隐藏命令，需技术支持启用） proxy reverse-session enable
   • 作用：允许防火墙在NAT转换后仍能生成反向会话，确保代理流量正常处理。
   • 原理：通过标记代理流量，使解密后的反向流量重新关联到安全策略。

3. 配套关键配置

   • 证书配置：
     • 导入CA根证书到防火墙，用于SSL解密。
     • 在代理策略中启用SSL解密（如ssl-decrypt enable）。
   • 安全策略放行：
     • 允许从Untrust到防火墙Local域的HTTPS流量（客户端访问代理端口）。
     • 允许从防火墙到Trust域的流量（代理访问真实服务器）。
   • NAT Server配置：
     nat server protocol tcp global <公网IP> <端口> inside <内网IP> <端口>
     • 确保公网IP与代理策略的目标地址一致。

4. 路由与回包

   • 确保服务器回包路由指向防火墙（网关设为防火墙内网接口IP）。
   • 在防火墙上配置策略路由（如需要），将代理流量定向到服务器。

原因分析

• 填内网地址不生效：客户端请求的目标是公网地址，内网地址无法匹配代理策略。
• 填公网地址无反向会话：NAT转换后，回包流量脱离了代理会话上下文。需通过proxy reverse-session强制关联。

⚠️ 注意事项

• 部分防火墙型号需特定版本支持此功能（如Comware V7后续版本）。
• 启用SSL解密可能影响性能，建议评估业务需求后开启。

配置示例（H3C防火墙）

总结

配置核心：
✅ 代理策略目标地址 = NAT公网地址
✅ 启用proxy reverse-session（或等价功能）解决反向会话问题
✅ 配套SSL解密证书、安全策略放行及正确NAT配置

若遇兼容性问题，可考虑临时方案：在代理策略中同时添加内网地址和公网地址（部分防火墙支持多目标），并确保路由可达性。建议联系官方技术支持获取版本适配确认。