1、临时联动封锁那有例外名单，配置后看看是不是OK了。
2、面向互联网的业务，即使有内部同时访问需求，也不能一刀切做SNAT。
优化方案：
1、虚拟服务关闭SNAT，同时配置IPRO脚本或者源地址转换策略，解决内网用户访问双向地址转换问题。
2、引入内网DNS,内部访问流量完全不走出口AD。

补充一下组网结构，出口是深信服的AD，做的80，443的虚拟服务，因为有域名、子域名相关的业务，没配置原地址转换，部分流量通过ad的虚拟服务到内网会变成ad的内网ip。

有攻击的时候，在服务器前的AF就会检测到AD的ip攻击，并不是因为和AD有联动，是AF里自己触发了某个安全策略，将AD的ip加到了临时封锁名单。

因为安全也不能直接把AD的ip加到白名单，这样有些攻击AF就不拦截了。

我查到的资料有下边这个提示，现在想怎么能安全的解决这个问题

没开启联动封锁但是会自动触发联动封锁的功能：
1、AF的IPS与WAF策略动作拒绝、没开联动封锁，IPS策略中口令暴力破解、
WAF策略中的CC攻击，匹配上后会自动进行联动封锁
2、DOS策略拒绝，对应策略的端口扫描、IP扫描以及洪水攻击防护匹配上，也会进行相应的封锁
3、SIP下发的临时封锁策略

优化WAF防护策略
排除AD内网IP段
在WAF的“黑白名单”或“IP豁免”中，添加AD的内网IP段（如192.168.1.0/24），确保其流量不被拦截或封锁。
调整封锁阈值
降低WAF对AD内网IP的敏感度，例如将“每分钟请求数阈值”从默认值（如1000）调整为更高值（如5000），避免误封。
启用日志分析
在WAF的“日志管理”中开启详细日志记录，分析被封锁的AD IP是否确实存在攻击行为。
若为误封，可进一步优化规则或联系厂商支持。

彻底关闭联动封锁功能
进入WAF管理界面
登录WAF的Web控制台（通常为HTTPS://WAF_IP:管理端口），进入安全策略或防护设置模块。
禁用联动封锁相关选项
查找“自动封锁”、“联动封锁”或“IP信誉封锁”等选项（不同厂商命名可能不同）。
取消勾选“启用自动封锁”或“与AD/其他设备联动封锁”，确保WAF不会因AD的报警信息自动封锁IP。
若存在“封锁时间”设置，将其调整为0秒（立即解封）或直接禁用。
保存配置并重启服务
部分WAF需重启服务使配置生效，按界面提示操作即可。

AD路由部署的可以不用开启源地址转换，这样识别到的就是真实的互联网地址了，也就不会误封ad地址了。外网请求都转为ad地址，很可能会报dos攻击，具体需要看安全日志。

我理解8.0.85版本的应该是防火墙设备，而不是WAF防火墙吧？

• 要彻底关闭AF的联动封锁功能，您可以按照以下步骤进行操作：

  
  

  • 以标准版本AF8.0.85为例：
    
    进入AF管理界面，找到【策略】选项。
    选择【安全防护策略】或【业务防护策略】/【用户防护策略】。
    新增策略，点击下一步到【响应】的设置。
    在【联动封锁】设置中，确保不勾选【开启联动封锁】选项。
    
    这样设置后，AF将不会对触发的攻击进行联动封锁，从而避免AD的IP被加入临时封锁名单。
  • 确认策略生效：
    
    在设置完成后，您可以在AF的管理界面中查看当前的策略配置，确保联动封锁功能已被关闭。
    
  • 监控和调整：
    
    监控内网WAF的日志，确保真实的源IP能够被识别，并且AD的IP不再被封锁。
    
    
    

介于楼主所说已经关闭联动封锁的情况下还存在临时封锁行为，建议检查策略有无遗漏的。希望能够帮助到你！