你观察到的现象非常合理，这背后是安全区域和策略路由这两种机制的准确工作方式。

结论很明确：在H3C Comware V7平台的防火墙上，这个会话的源安全区域（Zone）一定是 untrust-1，而不是 untrust-2。

 会话源区域的“一次性”决定原则

安全策略的核心是对“会话”进行检查，而不是对单个报文进行检查。一个会话的源区域和目的区域，在会话创建的第一个报文进入设备时就已经被锁定。

在你的场景中：

• 第一个报文：200.1.1.1 访问 100.1.1.1 的初始SYN请求，是从接口 G1/0/1（属于安全域 untrust-1）进入防火墙的。

• 会话表项创建：此时，会话表项被创建，其源zone被永久固定为 untrust-1。

此后，无论是会话的正向报文还是回程报文，都只会依据这个已创建的会话表项进行转发，而不会再次触发安全策略检查。

• 会话表项记录了报文的信息，包括源IP/端口、目的IP/端口、协议类型等。

• 防火墙会基于会话表项转发报文，而不是重新检查安全策略。

 策略路由的“局部”影响力

策略路由（PBR）的作用，是改变报文的出接口和下一跳，从而影响报文的最终转发路径。但它不会影响防火墙已经为该会话创建的安全区域等核心信息。这个变更后的出接口，并不会改变源安全域的信息。

 为什么你会感到困惑？

防火墙虽然能容忍非对称路径，但这并不是它的常规处理模式。策略路由的存在导致了入接口和出接口的不对称，这种非常规的流量模型可能就是让你感到费解的原因。

一句话先给结论

一、先把原理讲透（M9000 全系都这样）

1. 首包：200.1.1.1 → 100.1.1.1
   • 从 G1/0/1 进 → 归属安全域 Untrust-1
   • 防火墙建立会话，把 源域 = Untrust-1 写死在会话表里
2. 后续回程流量：100.1.1.1 回应 200.1.1.1
   • 查路由 / PBR → 匹配你接口 PBR
   • 强行从 G1/0/2（Untrust-2）转发出去

关键规则

• 安全域只看「首包入接口所属域」，一旦建会话永久不变
• PBR / 静态路由 只控制「回程出接口、下一跳」，不修改会话源域
• 所以你看会话：
  • 发起方源 zone：永远是 Untrust-1
  • 回程实际转发接口：G1/0/2 属于 Untrust-2

二、你现场现象完全正常

1. 客户端 200.1.1.1 从 G1/0/1 Untrust-1 进防火墙（首包）
2. 防火墙建会话：源域固定 Untrust-1
3. 访问 DMZ 100.1.1.1 通
4. 服务器回包到防火墙
5. 防火墙查路由 / PBR，命中 G1/0/3 接口下 PBR
6. 强制从 G1/0/2 Untrust-2 往外发

三、延伸容易踩的坑

1. 策略放行必须用 首包源域 Untrust-1 → DMZ

   你放策略不能写 Untrust-2 → DMZ，不命中，会通不了。
2. 做域间策略、带宽策略、安全策略，全部以首包入域为准，不以回程出接口域为准。
3. 这种属于入域和出域不对称，M9K、F1000 系列都是同样机制，不是 BUG，是机制设计。

四、最简总结

• 会话源安全域：只认 TCP/IP 首包进入的接口域 Untrust-1，永久固化
• PBR / 路由：只管回程流量往哪走、从哪个接口出去
• 回程走了 Untrust-2，只是转发路径变了，不会改写会话表里的源安全域