防火墙F1000-D-XI所有接口的25端口都能被访问

这不是BUG，而是H3C防火墙为了自身业务功能，在Local域默认开启了这几个端口。

简单来说，你通过安全策略放行的“端口”是控制平面的访问，而你现在探测到的是数据平面的端口，两者走的是不同的处理通道。400工程师抓包没发现问题，恰恰说明报文确实到了防火墙，但被Local域自己的服务处理了，没有进入你的安全策略匹配流程。

 问题根因：Local域的系统服务

H3C防火墙的Local域为了自身运行，会默认开启一些服务端口。你探测到的25(SMTP)、110(POP3)、143(IMAP)，极有可能是设备为了支持邮件过滤、病毒查杀等安全功能而预置的。这些端口是防火墙自身的服务，和接口上配置的SSH、HTTPS管理服务是两回事。

因此，你手动配置拒绝策略无效，因为这些策略拦截的是经过防火墙的流量，而你的访问流量是到达防火墙的流量，直接被Local域的服务接管了。

 排查与解决方法

你需要按照以下步骤，从根源上关闭这些服务：

1. 检查Local域当前开启的服务

这是最关键的一步。登录防火墙，执行以下命令查看Local域默认开启了哪些服务：

2. 关闭不需要的服务

如果确认这些服务对当前业务没有用途，可以使用以下命令将其关闭：

3. 检查域间策略的默认动作

如果关闭服务后问题依旧，或者你发现display ip host-service里根本就没开启这些服务，那么问题可能出在域间策略上。你需要检查并收紧其他安全域到Local域的访问策略：

• 检查现有策略：display security-policy ip 查看是否有从Trust（或其他你电脑所在域）到Local域，且目的端口包含25、110、143的放行规则。如果有，将其修改为拒绝或删除。

• 检查默认动作：执行display default zone-pair security。如果结果显示默认动作为permit，那么所有域间流量都是互通的，必须收紧。可以通过命令packet-filter default deny在域间策略视图下将默认动作改为拒绝。

4. 确认接口所属安全域

确保所有被探测的接口（如10.37.1.2所在的接口）都已经加入了正确的安全域（例如Trust或Management）。未加入安全域的接口，其流量可能不受安全策略管控。