F100-C-G5防火墙如何在nat acl拒绝ipsec流量？

操作会断网，谨慎操作

在配置IPSEC VPN时需要注意外网口配置地址转换时一定要排除掉VPN的感兴趣流，因为NAT转换在接口出方向优先于IPSEC策略，如果不修改会导致数据先经过NAT地址转换后无法匹配兴趣流。

在“对象”>“ACL”>“IPv4”中点击新建按钮。

#在“类型”中选择高级ACL，ACL编号输入3999。

#以总部防火墙为例，动作选择拒绝，IP协议类型选择拒绝，匹配条件匹配总部侧内网到分部侧内网的网段（在分部侧防火墙匹配条件取反）后点击确定添加下一条策略。

#不需要改变此页面配置，可以直接点击确定按钮。当有多个网段访问VPN的需求时，需要先添加拒绝的策略，再添加全部允许的策略。

#在“策略”>“NAT”>“NAT动态转换”>“策略配置”中点击新建按钮。接口选择外网接口，ACL选择之前创建的3999，转换后地址选择接口IP地址。

注意：如果配置策略中已经存在动态转换策略，请在此策略的基础上添加或者更换ACL选项。该操作可能导致断网请谨慎操作。

4.2  保存配置

在设备右上角选择“保存”选项，点击“是”完成配置。