华三 F1000-AK145+日志错误

一、为什么日志是反的（一句话讲透）

• 去程：A（trust）→ B（untrust）:10022（SYN）
• 回程：B（untrust）:10022 → A（trust）（SYN-ACK/ACK）

• 首包 A→B 匹配 trust→untrust 允许策略，直接放行并创建会话表
• 后续回程包 B→A不查安全策略，直接匹配会话表转发
• 但日志 / 告警模块是按 “报文实际入接口 + 源目 IP / 端口” 记录
• 你看到的 “B:10022→A” 日志，是回程包没匹配到会话（或会话老化），被当成新连接，用 untrust→trust 默认拒绝策略丢弃

二、最常见的 3 个触发原因（按概率从高到低）

1）未放通 untrust→trust 的回程策略（最常见）

• 你只配了 trust→untrust 允许
• 回程包 B→A 进入 untrust 口，防火墙按untrust→trust查策略，默认拒绝，打反向日志
• 会话表因空闲老化、TCP 异常断开、NAT 会话不足被删，回程就变成 “新连接”

2）源 NAT（SNAT）配置问题

• A 访问 untrust 时做了 SNAT（源 IP 改成防火墙公网 IP）
• 会话表记录的是 “防火墙公网 IP→B:10022”
• 回程包是 “B:10022→防火墙公网 IP”，匹配会话正常
• 但如果SNAT 未生效 / 配置错误，回程包源目不变，方向反向，被 untrust→trust 拒绝

3）会话表老化 / 异常清空

• 连接长时间无流量，会话老化（默认 TCP 3600s，UDP 60s）
• 防火墙高负载、板卡切换、配置保存重载，会话被清空
• 回程包无会话匹配，被当成新连接，触发反向拒绝日志

三、快速验证（3 条命令，现场直接敲）

四、解决方案（直接照着配，永久解决）

方案 1：放通 untrust→trust 回程策略（必配，最稳妥）

方案 2：确保 trust→untrust 的 SNAT 生效（关键，避免会话不匹配）

方案 3：优化会话老化时间（可选，减少会话被删概率）

五、关键结论（别再误解）

• ❌ 不是 “策略匹配反了”
• ❌ 不是 “日志 bug”
• ✅ 是回程包无会话匹配，被 untrust→trust 默认拒绝
• ✅ 本质：只放通了去程，没考虑回程的策略 / 会话可靠性

你遇到的这个问题，核心原因在于防火墙记录了它实际处理的“响应报文”。

你已经配置了允许主机A（Trust）访问主机B（Untrust）的策略，这很正确。但关键在于，你看到的这条“反向”日志，是防火墙在记录从主机B返回的“响应报文”。

 日志“颠倒”的原因（防火墙的状态检测机制）

H3C防火墙在转发A（Trust -> Untrust）的首个请求包时，会：

1. 建立会话表：允许通过并创建一条会话（Session），记录下连接的所有信息（源/目IP、端口等）。

2. 放行响应报文：当主机B的响应报文（Untrust -> Trust）从接口A到达防火墙时，防火墙发现它能匹配已存在的会话表，就会直接放行，而不会再回头去检查你的安全策略。

虽然你的策略是为“请求”方向配置的，并未明确放行“响应”方向，但防火墙的状态检测机制保证了通信是双向的。因此，连接本身是成功的。

 日志方向“颠倒”的深层原因

那么，为什么日志会记录成“B访问A”呢？主要有以下三种情况：

1. 记录的是响应报文被拦截（最可能）
   你的“反向”日志如果记录了“拒绝”动作，说明响应报文在匹配时出了问题，例如：

   • 策略配置不完整：安全策略的destination-ip不正确，或service（服务）配置不准确。

   • 路由或VLAN配置不对称：去程和回程的流量走了防火墙的不同接口，导致响应报文被丢弃。

   • NAT转换后的地址不匹配：如果存在NAT，响应报文可能因找不到对应的转换条目而被拒绝。

2. 记录的确实是反向的首个报文
   当主机B主动向主机A发起连接时（Untrust -> Trust），防火墙会检查这个方向的策略。

   • 但在这里不成立：你提到通信是主机A发起的，因此这个场景在此不适用。

3. NAT转换导致的“地址颠倒”幻觉
   如果防火墙配置了NAT，日志记录的源/目地址可能都是转换后的公网地址，这会让你在查看时产生“方向颠倒”的错觉。

   • 验证方法：在防火墙上执行display session table，查看对应会话的原始地址信息，即可确认。

没有NAT，且确实是A访问B，反向的没有明确放行，最后又一条any的阻断策略。应该是1号情况，请问下该怎么处理？其他主机之间远程没有这种反向日志