防火墙默认是拒绝的,可以试下用any到any测试一下看看,来排除策略问题
按以下步骤排查:
1. 跨安全域策略检查
东西院区属于不同安全域(如东院区为Untrust,西院区为Trust),需在防火墙B上配置Untrust到Trust域的策略,明确放行SMB端口:
创建放行445端口的策略
rule name East_to_West_SMB
source-zone Untrust
destination-zone Trust
destination-ip <文件服务器IP>
service tcp destination-port 445 同时放行139端口
action pass
Local域策略仅管理防火墙自身流量(如Telnet防火墙IP),不控制跨域业务流量。
2. 端口级放行验证
虽然策略放通Local域,但445端口不通表明应用层拦截可能存在:
检查是否启用ASPF应用层检测(如aspf
policy),需放行SMB协议。
在攻击防护配置中确认未启用针对445端口的异常流量阻断(如"端口扫描防护"或"畸形报文过滤")。
3. 特殊协议处理
SMB协议依赖NetBIOS会话,需确保安全策略放行双向通信:
东院区访问西院区:源端口随机 → 目的端口445
西院区响应东院区:源端口445 → 目的端口随机
参考案例(F1050+IPSec VPN)可尝试调整TCP MSS值:
interface <东西院区互联接口>
tcp mss 1400 避免分片问题
4. 防火墙内部路由与接口绑定
确认西院区文件服务器所在网段已正确绑定到Trust安全域(security-zone name Trust import interface <服务器所在接口>)。
若服务器位于无线接口(如WLAN-BSS),需按案例将服务器IP加入安全域:
security-zone name Trust import ip <服务器IP> 补充配置
快速验证步骤:
1. 在防火墙B上抓包诊断:
packet-capture interface <东院区入接口>
acl advanced 3999
ACL 3999: rule permit
tcp destination-port 445
观察东院区发往445端口的SYN包是否到达防火墙。
2. 检查会话表状态:
display session table source-ip <东院区IP> destination-ip <服务器IP> verbose
若无会话或状态为TCP_SYN_SENT,表明策略未放通。
3. 临时放通全量策略测试:
rule name Temp_Permit
source-zone Untrust
destination-zone Trust
action pass
若此时445端口可通,则原策略存在遗漏;否则需检查路由/NAT。
> 若以上步骤未解决,请收集以下信息进一步分析:
> 防火墙B的安全域配置(display security-zone)
> 东西院区互联接口的详细配置
> 完整的安全策略规则(display
security-policy ip)
> 会话表异常记录(display session table 过滤445端口)
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
业务一切正常,就是访问共享文件夹不正常,西院区内网之间访问共享正常,防火墙本地到共享服务器445端口不通