负载均衡，L1000M。如何设置封禁一个外网地址。

网址可以用安全策略限制：

注：本案例是在F100-C-G2的Version 7.1.064, Release 9510P08版本上进行配置和验证的。

配置步骤

在 H3C SecPath L1000-M 负载均衡设备上封禁一个外网地址（禁止该地址访问内部或通过设备上网），不建议使用安全策略或带宽策略，这两种方式在负载均衡场景下可能因流量匹配优先级问题而不生效。

最可靠的方式是通过 NAT 策略中的 ACL 将该地址拒绝掉，使其无法进行 NAT 转换，从而实现阻断。

以下是 Web 界面操作步骤：

 Web界面操作步骤

第一步：创建用于匹配待封禁地址的 ACL（访问控制列表）

1. 登录 L1000-M 的 Web 管理界面。

2. 在导航栏中选择 “策略配置” > “对象管理” > “ACL”。

3. 点击 “新建” 按钮。

4. 配置如下：

   • ACL编号：选择一个高级 ACL 编号，例如 3000。

   • 规则类型：选择 IPv4。

   • 动作：选择 “拒绝”。

   • 匹配条件：填写需要封禁的外网 IP 地址。例如封禁 1.2.3.4：

     • 源IP地址：1.2.3.4（如果是封禁外网地址访问内网，通常匹配源IP）

     • 源地址通配符掩码：0（表示精确匹配该主机）

   • 其他参数：保持默认。

5. 点击 “确定” 保存该 ACL 规则。

6. 注意：如果你还需要放行其他流量，需要创建多条规则。ACL 默认末尾隐含一条“允许所有”规则，所以只需把要拒绝的地址明确写为 deny 即可。

第二步：在 NAT 策略中引用该 ACL

1. 在导航栏中选择 “策略配置” > “NAT” > “NAT策略”。

2. 找到用于内网用户上网的 NAT 出方向策略（通常是源 NAT 策略），点击 “编辑” 或 “修改”。

3. 在 NAT 策略配置页面，找到 “源地址” 或 “匹配条件” 中的 “ACL” 选项。

4. 将上一步创建的 ACL（如 3000）应用到该 NAT 策略的 “ACL过滤” 中。

   • 配置逻辑：该 ACL 的作用是 “匹配的流量不做 NAT 转换”。当 ACL 中配置了 deny 规则时，匹配该规则的 IP 地址将被排除在 NAT 转换之外。

5. 点击 “确定” 或 “提交” 保存 NAT 策略修改。

第三步：验证配置是否生效

1. 方法一（推荐）：让被封禁的外网地址尝试访问内网或经过设备上网，确认无法访问。同时使用一个未被封禁的地址测试，确认正常访问。

2. 方法二：在设备上查看会话信息。如果配置生效，该地址的会话应该无法建立 NAT 转换表项。

 原理说明

为什么用 NAT ACL 方式而不是安全策略？

• 负载均衡设备的流量处理顺序：在 L1000-M 等负载均衡设备上，流量会优先匹配链路负载均衡策略和 NAT 策略，然后才匹配安全策略。如果流量先被负载均衡或 NAT 处理并转发，安全策略可能根本不会被匹配到。

• NAT ACL 的本质：在源 NAT 策略中引用的 ACL，其作用是 “控制哪些流量需要进行 NAT 转换”。当你将某个地址的规则设置为 deny 后，该地址的流量就不会被 NAT 转换。

• 效果：没有被 NAT 转换的流量，会带着私网地址或原地址直接发送到公网接口，公网路由无法将其转发出去，因此实现了阻断上网的效果。

 补充说明

1. 如果封禁后依然可以访问：请检查 ACL 规则是否准确匹配了源地址，确认 ACL 已正确应用到 NAT 策略中，并检查是否存在其他优先级更高的 NAT 策略匹配了该地址。

2. 同时配置多个封禁地址：可以在同一个 ACL 中添加多条 deny 规则，无需为每个地址单独创建 ACL。

3. Web界面找不到对应菜单：不同软件版本的 Web 界面菜单名称可能略有差异。如果找不到“NAT策略”，可以尝试在“策略配置”或“防火墙”菜单下查找“NAT”或“源NAT”相关选项。

1. 登录管理界面

• 打开浏览器，输入 L1000M 管理 IP 地址，使用管理员账号登录。
• 进入 策略 或 安全 模块（不同版本菜单略有差异）。

2. 创建封禁 IP 的地址对象

1. 进入 对象管理 → 地址对象 → 新建
2. 配置参数：
   • 名称：自定义（如 Block_XXX.XXX.XXX.XXX）
   • 类型：IP地址
   • IP 地址：输入需要封禁的外网 IP（如 203.0.113.10）
   • 描述：备注封禁原因（可选）
3. 点击「确定」保存。

3. 配置访问控制 / 安全策略

方式 A：通过访问控制策略（推荐）

1. 进入 策略 → 访问控制策略 → 新建
2. 基础配置：
   • 名称：自定义（如 Block_BadIP）
   • 方向：入站（外网→负载均衡）
   • 源地址：选择刚才创建的封禁 IP 对象
   • 目的地址：全部 或 具体 VS / 服务地址
   • 服务：全部（若仅封禁特定端口，可选择对应服务）
   • 动作：拒绝 / 丢弃（Discard）
3. 高级配置（可选）：
   • 生效时间：可设置临时封禁时间段
   • 日志：开启日志，记录封禁访问
4. 点击「确定」，并将该策略置顶（确保优先匹配）。

方式 B：通过安全策略（若版本支持）

1. 进入 安全 → 安全策略 → 新建
2. 配置：
   • 源安全域：Untrust（外网域）
   • 目的安全域：Local（设备自身）或 Trust（内网 / 业务域）
   • 源地址：封禁 IP 对象
   • 目的地址：全部
   • 服务：全部
   • 动作：拒绝
3. 保存并启用策略。

4. 验证封禁效果

1. 进入 监控 → 会话表，查看是否有来自该 IP 的会话被拒绝。
2. 进入 日志 → 访问日志，确认该 IP 的访问被记录为「拒绝」。
3. 可使用其他外网 IP 测试访问，验证正常业务未受影响。