通过堡垒机访问数据库审计不行，不经过正常

1. 检查堡垒机与应用发布服务器的网络连通性

• 虚拟 IP 路由问题：如果堡垒机开启了虚拟 IP 功能，请检查虚拟 IP 和后端访问的数据库审计服务器之间是否互通。如果不通，需要在业务服务器上设置到虚拟 IP 的回包路由。
• 基础网络测试：在堡垒机的代理网关上对数据库审计服务器（如 10.211.9.37）进行连通性测试（如 telnet 或 curl），确认端口可达且无拦截。

2. 核对安全组与防火墙策略

• 入方向端口放行：确认云堡垒机实例的安全组已放开入方向的相应端口（例如 33306 等通信端口），并且数据库审计系统所在的安全组也明确允许了堡垒机 IP 的访问。
• 中间设备拦截：检查堡垒机与数据库审计系统之间是否存在其他防火墙、ACL 或 Nginx 反向代理，这些中间件可能会错误过滤 TLS 握手包或拦截特定端口的流量。

3. 审查堡垒机内的资源配置

• B/S 资源配置核对：如果您是通过 Web 方式运维，请进入堡垒机后台，重新检查该 B/S 资源的配置信息（IP地址、端口、协议类型）是否填写准确无误。
• 浏览器兼容性：部分老旧的数据库审计系统可能与 IE 浏览器不兼容。您可以尝试在堡垒机的应用发布服务器上更换为 Chrome 等其他浏览器登录目的资源，以排除前端渲染或兼容性问题。

4. 验证安全协议与证书状态

• TLS 版本匹配：检查客户端仅支持的 TLS 版本是否与堡垒机强制要求的版本一致（如 TLS 1.2 与 TLS 1.3 的分歧会导致协商中断）。
• 证书有效性：确认堡垒机使用的证书是否过期、域名是否与请求地址一致，以及系统时间是否同步（时钟偏差会触发证书校验失败）。

堡垒机访问数据库审计 8441 端口报 502 Bad Gateway 故障排查
故障现象：直连数据库审计10.211.9.37:8441正常；经过堡垒机跳转访问页面 502 网关错误，Firefox 提示无法建立连接。
一、核心成因
502 含义：堡垒机反向代理转发请求时，连不上后端数据库审计 8441 服务，四类高频原因：
堡垒机→审计设备三层不通 / 端口 8441 被 ACL 拦截；
堡垒机资源、代理进程异常；
堡垒机资产配置地址、端口写错（填错 IP / 非 8441）；
数据库审计限制来访源 IP，拒绝堡垒机地址接入。
二、分步排查
1、堡垒机内置命令测试连通性（最关键）
登录堡垒机后台 / 运维终端，测试到审计连通：
plaintext
telnet 10.211.9.37 8441
#或curl测试网页
curl -v https://10.211.9.37:8441
不通：排查中间防火墙、三层设备 ACL，放行堡垒机 IP→10.211.9.37 8441；
能通：问题落在堡垒机资产配置、代理模块。
2、核查堡垒机资产配置
资产地址：IP 严格10.211.9.37，端口8441（HTTPS），协议选择 HTTPS，不要错填 80 / 其他端口；
区分：数据库审计是WEB 管理 8441，不是数据库端口 (3306/1521)，资产类型选「WEB 资产」，不要选数据库类型。
3、数据库审计侧白名单配置
登录 10.211.9.37 审计平台→系统设置→访问控制 / IP 白名单，添加堡垒机业务 IP；
多数 H3C 数据库审计自带 WEB 访问黑白名单，拦截陌生 IP（直连本机在白名单、堡垒机不在则 502）。
4、堡垒机代理服务故障
重启堡垒机 WEB 代理 / 网关服务；
更换浏览器：Chrome 测试，部分 Firefox 证书兼容异常误报 502；
若审计是自签 SSL 证书：堡垒机资产配置勾选忽略证书校验。
三、快速定位口诀
直连正常 = 审计服务完好；过堡垒机 502=堡垒机到审计网络不通 / 资产配置错误 / 审计拉黑堡垒机 IP。
四、临时绕过验证
堡垒机开启直接代理（端口映射），本地浏览器用堡垒机 IP + 映射端口访问，快速确认。