如果要拒绝某个固定公网访问内网或防火墙的话要怎么写策略，加在哪里

可以直接加黑名单，记得使能一下黑名单功能。

blacklist ip命令用来添加源IPv4黑名单表项。

undo blacklist ip命令用来删除指定的源IPv4黑名单表项。

【命令】

blacklist ip source-ip-address [ vpn-instance vpn-instance-name ] [ ds-lite-peer ds-lite-peer-address ] [ comment comment-string ] [ timeout minutes ]

undo blacklist ip source-ip-address [ vpn-instance vpn-instance-name ] [ ds-lite-peer ds-lite-peer-address ]

【缺省情况】

不存在源IPv4黑名单表项。

【视图】

系统视图

【缺省用户角色】

network-admin

mdc-admin

vsys-admin

【参数】

source-ip-address：源黑名单的IPv4地址，用于匹配报文的源IP地址。

vpn-instance vpn-instance-name：源黑名单所属的VPN实例。其中，vpn-instance-name表示MPLS L3VPN的VPN实例名称，为1～31个字符的字符串，区分大小写。若未指定本参数，则表示该源黑名单属于公网。

ds-lite-peer ds-lite-peer-address：源黑名单所属的DS-Lite隧道对端地址。其中，ds-lite-peer-address表示源黑名单的IPv4地址所属的DS-Lite隧道B4端IPv6地址。

comment comment-string：黑名单备注信息。其中，comment-string表示备注信息，为1～127个字符的字符串，区分大小写。若未指定本参数，则表示不设置备注信息。

timeout minutes：源黑名单表项的老化时间。其中，minutes表示老化时间，取值范围为1～525600，单位为分钟。若未指定本参数，则表示该源黑名单表项永不老化，除非用户手动将其删除。

【使用指导】

通过执行undo blacklist ip命令可以删除用户手工添加的源黑名单表项，动态生成的源黑名单表项需通过执行reset blacklist ip命令删除。指定了老化时间的源黑名单表项不会被保存在配置文件中，且保存配置重启后会被删除。可通过执行display blacklist ip命令查看当前所有生效的源IPv4黑名单表项。

【举例】

# 将IP地址192.168.1.2加入源黑名单，指定其老化时间为20分钟。

<Sysname> system-view

[Sysname] blacklist ip 192.168.1.2 timeout 20

【相关命令】

·              blacklist enable

·              blacklist global enable

·              display blacklist ip