SecPath F5010+自身无法访问服务器445

防火墙默认是拒绝的，可以试下用any到any测试一下看看，来排除策略问题

按以下步骤排查：
1. 跨安全域策略检查
东西院区属于不同安全域（如东院区为Untrust，西院区为Trust），需在防火墙B上配置Untrust到Trust域的策略，明确放行SMB端口：
 创建放行445端口的策略
rule name East_to_West_SMB
source-zone Untrust
destination-zone Trust
destination-ip <文件服务器IP>
service tcp destination-port 445  同时放行139端口
action pass
Local域策略仅管理防火墙自身流量（如Telnet防火墙IP），不控制跨域业务流量。
2. 端口级放行验证
虽然策略放通Local域，但445端口不通表明应用层拦截可能存在：
检查是否启用ASPF应用层检测（如aspf policy），需放行SMB协议。
在攻击防护配置中确认未启用针对445端口的异常流量阻断（如"端口扫描防护"或"畸形报文过滤"）。
3. 特殊协议处理
SMB协议依赖NetBIOS会话，需确保安全策略放行双向通信：
东院区访问西院区：源端口随机 → 目的端口445
西院区响应东院区：源端口445 → 目的端口随机
参考案例（F1050+IPSec VPN）可尝试调整TCP MSS值：
interface <东西院区互联接口>
tcp mss 1400  避免分片问题

4. 防火墙内部路由与接口绑定
确认西院区文件服务器所在网段已正确绑定到Trust安全域（security-zone name Trust import interface <服务器所在接口>）。
若服务器位于无线接口（如WLAN-BSS），需按案例将服务器IP加入安全域：
security-zone name Trust import ip <服务器IP>  补充配置
 快速验证步骤：
1. 在防火墙B上抓包诊断：
packet-capture interface <东院区入接口> acl advanced 3999
 ACL 3999: rule permit tcp destination-port 445
观察东院区发往445端口的SYN包是否到达防火墙。
2. 检查会话表状态：
display session table source-ip <东院区IP> destination-ip <服务器IP> verbose
若无会话或状态为TCP_SYN_SENT，表明策略未放通。
3. 临时放通全量策略测试：
rule name Temp_Permit
source-zone Untrust
destination-zone Trust
action pass
若此时445端口可通，则原策略存在遗漏；否则需检查路由/NAT。
> 若以上步骤未解决，请收集以下信息进一步分析：
> 防火墙B的安全域配置（display security-zone）
> 东西院区互联接口的详细配置
> 完整的安全策略规则（display security-policy ip）
> 会话表异常记录（display session table 过滤445端口）