低版本AF防火墙地址转换无法支持金蝶文件上传接口？ 20

防火墙版本AF6.6

启用金蝶云星空，内外网通过域名访问，域名解析到防火墙，防火墙设置双向转换转发端口。

一开始没有问题，半年后发现无法在网页上使用附件字段上传文件，单据的附件功能正常。

提工单问金蝶，金蝶检查后回复不是金蝶组件的问题；多次检查后发现金蝶GUI客户端可以正常上传文件。

再次测试后发现，使用mychrome制作的低版本谷歌浏览器(92.0.4515.159)也可以正常上传。

结合AF6.6管理后台无法在高版本浏览器内打开，猜测问题源头可能在防火墙，高版本浏览器某些安全设置阻止了文件上传。

但接下来就没有思路了，该查什么东西呢？

或者，只能换高版本防火墙了吗？

[size=16.002px]根据问题描述，这是一个典型的防火墙兼容性问题，尤其与高版本浏览器安全策略（如CORS、TLS协议等）存在冲突。以下是系统化的排查和解决方案：

---

一、关键问题定位

• 现象特征
  
  
  • 低版本浏览器（如Chrome 92）和GUI客户端正常，高版本浏览器异常
  • 防火墙AF6.6管理后台同样无法在高版本浏览器打开
  • 核心怀疑点：防火墙对高版本浏览器的安全协议（如TLS 1.3、HTTP/2）或头部字段处理异常
    
    
• 可能原因

  
  
  TLS协议不兼容：高版本浏览器默认要求TLS 1.2/1.3，而防火墙可能降级或拦截了协议
  HTTP头部过滤：防火墙可能误删或修改了关键头部（如Content-Type: multipart/form-data）
  WebSocket/CORS限制：附件上传可能依赖跨域或长连接，防火墙策略阻止
  HTTPS双向认证冲突：高版本浏览器对证书校验更严格
  
  

---

二、逐步排查方案步骤1：抓包分析（关键步骤）

• 操作：
  
  
  • 在高版本浏览器上传附件时，用Wireshark/Fiddler抓包（需配置抓取HTTPS流量）
  • 对比低版本浏览器和GUI客户端的请求差异，重点关注：

    
    
    TLS协议版本（如ClientHello报文）
    HTTP头部（如Content-Type、Origin、Sec-*）
    防火墙是否返回了403或Reset包
    
    
• 预期结果：

  
  
  若发现高版本浏览器请求被防火墙丢弃或篡改，可定位具体拦截点
  
  

步骤2：检查防火墙策略

• 关键配置项：
  
  
  • 应用控制策略：检查是否误拦截了multipart/form-data类型的POST请求
  • TLS解密策略：若启用了HTTPS解密，可能因证书问题导致高版本浏览器拒绝连接
  • HTTP协议限制：关闭HTTP/2或WebSocket的强制过滤（如有）
  • 内容过滤：检查是否因文件类型（如.pdf）触发了误判
    
    
• 操作建议：

  
  
  临时创建一条放通策略，仅放行金蝶云星源的IP和端口，测试是否解决问题
  
  

步骤3：浏览器调试

• 操作：
  
  
  • 在高版本Chrome中按F12打开开发者工具，观察控制台（Console）和网络（Network）报错
  • 检查是否存在以下错误：

    
    
    ERR_SSL_VERSION_OR_CIPHER_MISMATCH（TLS不兼容）
    CORS policy blocked（跨域问题）
    413 Request Entity Too Large（文件大小限制）
    
    

步骤4：防火墙日志分析

• 操作：
  
  
  • 在AF6.6后台查看实时日志，筛选金蝶云星源的访问记录
  • 重点关注拒绝或丢弃的日志，匹配上传失败的时间点
    
    

---

三、临时解决方案

[size=16.002px]若需快速恢复业务，可尝试以下方法：

• 强制降级浏览器安全设置（仅临时测试用）：
  
  
  • Chrome地址栏输入：chrome://flags/
  • 禁用以下选项：

    
    
    #enable-tls13 → 改为Disabled
    #block-insecure-private-network-requests → 改为Disabled
  • 注意：此操作会降低安全性，仅用于验证问题
    
    
• 调整防火墙SSL/TLS配置：

  
  
  启用对TLS 1.2的支持，并禁用老旧加密套件（如RC4）
  
  

---

四、终极解决方案

[size=16.002px]若确认是AF6.6兼容性问题，建议：

• 升级防火墙版本：
  
  
  • AF6.6已停止维护，建议升级至AF8.0+（支持现代TLS协议和HTTP/2）
    
    
• 改用反向代理：

  
  
  在防火墙前部署Nginx反向代理，由Nginx处理HTTPS卸载，防火墙仅做内网转发
  
  

---

五、排查流程图

六、结论

• 根本原因：AF6.6对高版本浏览器的现代安全协议（如TLS 1.3、CORS）支持不足
• 优先尝试：抓包分析→调整防火墙TLS策略→临时降级浏览器设置
• 长期建议：升级防火墙或引入反向代理，避免未来兼容性问题
  
  

[size=16.002px]如果时间紧迫，可先通过抓包明确拦截点，再针对性调整策略，无需立即更换设备。

根本原因：AF6.6对高版本浏览器的现代安全协议（如TLS 1.3、CORS）支持不足
优先尝试：抓包分析→调整防火墙TLS策略→临时降级浏览器设置
长期建议：升级防火墙或引入反向代理，避免未来兼容性问题

根本原因：AF6.6对高版本浏览器的现代安全协议（如TLS 1.3、CORS）支持不足
优先尝试：抓包分析→调整防火墙TLS策略→临时降级浏览器设置
长期建议：升级防火墙或引入反向代理，避免未来兼容性问题

根本原因：AF6.6对高版本浏览器的现代安全协议（如TLS 1.3、CORS）支持不足
• 优先尝试：抓包分析→调整防火墙TLS策略→临时降级浏览器设置
• 长期建议：升级防火墙或引入反向代理，避免未来兼容性问题

升级一下防火墙的版本吧，这样就能解决。

低版本浏览器（如Chrome 92）和GUI客户端正常，高版本浏览器异常
防火墙AF6.6管理后台同样无法在高版本浏览器打开
核心怀疑点：防火墙对高版本浏览器的安全协议（如TLS 1.3、HTTP/2）或头部字段处理异常

11111111111111111111111111

可以尝试以下几个步骤来进一步诊断和解决问题：

检查防火墙配置：确认防火墙双向转换转发端口的设置没有在不知不觉中发生变化，确保其正确无误。特别注意是否有新的安全策略或规则被应用，这些可能会阻止文件上传。
浏览器开发者工具：使用高版本浏览器（如最新版Chrome）访问系统时，打开浏览器的开发者工具（通常可以通过按F12或右键点击页面选择“检查”来打开），查看控制台和网络请求部分。这里可以捕捉到任何可能导致文件上传失败的错误信息或警告。
跨域资源共享(CORS)：如果金蝶云星空服务和你的Web应用位于不同的域名下，确保服务器正确设置了CORS头。某些情况下，严格的CORS策略可能会阻止文件上传。
SSL/TLS配置：检查防火墙上的SSL/TLS设置，确保它们不会因为过于严格的安全设置而阻止了合法的文件上传请求。例如，TLS 1.3启用后的一些行为变化可能会影响旧客户端的行为。
更新防火墙固件：虽然你考虑的是升级整个防火墙设备，但首先应该查询AF6.6是否有可用的固件更新。厂商可能已经发布了针对已知问题的补丁或更新，这些更新可能解决了当前遇到的问题而不必完全更换硬件。
测试不同环境：在其他环境中测试同样的操作（比如不同的网络环境、不同的电脑等），以确定问题是否确实由防火墙引起。

根本原因：AF6.6对高版本浏览器的现代安全协议（如TLS 1.3、CORS）支持不足
• 优先尝试：抓包分析→调整防火墙TLS策略→临时降级浏览器设置
• 长期建议：升级防火墙或引入反向代理，避免未来兼容性问题