H3C S10500 SecBlade IV 墙上随机反向包被deny，对应正向无流量日志

PID：H3C S10500 SecBlade IV 下一代防火墙 
version：H3C Comware Software, Version 7.1.064, Release 8560P22

截图看不到，请见附件压缩包里的word，里面有全文。



直观现象：H3C防火墙的web界面上看到回包（server到client的）流量经过防火墙时被deny掉了。流量具体是ip电话业务，飞塔墙识别协议是STUN协议，H3C 墙general_udp。
web界面看到时action：deny，协议是udp。这个现象是偶然现象，实际上大部分时间点，对应的server、client这2个地址段的来回流量都是被安全策略放行的。现象大概1个月了，就偶尔会有几条被deny的日志，隔个几天就会出1次，现象时间完全随机，而且被deny 的源目的ip和源目的端口也随机，只是源目的ip确定都属于client、server的地址组。

首包命中安全策略：CHC_to_CHC_Qiyu

但是回包是被Untrust_Trust_Default策略拒绝的


环境稳定运行突然发生的,故障发生前没有进行过软硬件改动。偶发性问题，源地址段10.66.55.x 目的地址段 1.95.20.x，回包偶尔会被deny掉，影响语音业务。目前在安全策略上开启了长连接，但是没有效果，deny现象还是随机时间出现。

拓扑图：

昨天看到H3C防火墙上有反向的包（1.95.20.164:38154->10.66.55.87:53438）被拒绝

猜测被deny流量是不是有可能是1.95.20.164主动向10.66.55.87发起的而并非是10.66.55.87向1.95.20.164发起流量的回包，在H3C防火墙及飞塔防火墙上查看了10.66.55.87:53438->1.95.20.164:38154流量日志，发现在飞塔防火墙上是有这个正向流量（10.66.55.87:53438->1.95.20.164:38154）日志的

而在H3C防火墙上并未找到该正向流量（10.66.55.87:53438->1.95.20.164:38154）日志

从拓扑图上可以看到流量是先经过H3C防火墙再到飞塔防火墙的

且今天是有10.66.55.*到1.95.20.*的permit日志的

目前猜测是因为有部分流量经过H3C时没有生成首包会话，导致后续包回来后匹配CHC_to_CHC_Qiyu策略被deny？

但是为什么有流量经过H3C防火墙且被放行的情况下，没有生成对应会话和流量日志了？而后端的飞塔墙就能找到对应的正向流量的日志？

另外由于目前由于源、目的地址是ip地址组内随机出现被deny的情况，源、目的端口也是随机的端口号，deny出现时间完全随机后续无论是debug和抓包都不能立刻在复现时捕捉到，这个后续有什么排查方向、思路和方法吗？