请问能否做到就源地址的目标排除地址？例如，某些服务器

请问能否做到就源地址的目标排除地址？
例如，某些服务器希望开放某些特定的目标IP地址
但是又不想全局开放
如何设置比较好？
（希望跟上网账号独立。不等了上网账号，服务器可以访问目标地址，登录了上网账号，就可以正常上外网）

目前的状况：

使用深信服的AC和AF

内网用户访问外网，在AC做上网账号认证，需要登录才能访问外网

有些外网的特定IP地址，内网某些用户（主要是服务器）需要直接访问，而不需要登录账号（登录账号，就是全部放通访问外网了）

原本是使用排除地址来放通这些外网特定IP地址

但是排除地址是全局的，没法做到针对部分源地址

所以想寻求做基于源地址的排除地址的办法

说的有点含糊了，现有的设备是什么呢，这个跟认证没关系，应用控制策略应该可以解决你说的问题，或者服务器上安装杀毒，对服务器进行策略管理都行，麻烦带一下是什么设备再提问谢谢

可以把需求描述得再详细些

上网行为和防火墙都能满足你的需要。

这应该是防火墙上做一个ip地址组，然后允许服务器访问这些ip地址组就好？

防火墙策略？或者是权限分配相关？

AC认证策略可以配置认证前策略，可以在认证前策略放通某些应用或者地址

说的有点含糊了，现有的设备是什么呢，这个跟认证没关系，应用控制策略应该可以解决你说的问题，或者服务器上安装杀毒，对服务器进行策略管理都行，麻烦带一下是什么设备再提问谢谢

防火墙做两条策略应该可以吧，一条针对源地址放通，另一条拒绝所有。

深信服 AC/AF 策略配置思路
在深信服的设备（AC 和 AF）中，要实现基于源地址的目标排除访问控制，可以利用自定义策略来实现。
首先，在 AC 设备上，对于上网账号认证部分，这是已经存在的全局策略用于控制用户访问外网。可以考虑在这个基础上添加新的策略规则来满足服务器的特殊需求。
在 AF 设备（如果涉及防火墙策略配置）上，同样可以结合访问控制策略来进行设置。
具体操作步骤
创建地址对象组
在深信服设备的控制台中，分别创建源地址对象组和目标地址对象组。将需要直接访问特定外网 IP 的服务器 IP 地址添加到源地址对象组中，把那些特定的外网 IP 地址添加到目标地址对象组中。
创建访问控制策略
新建一条访问控制策略，在策略的源地址选项中选择刚刚创建的源地址对象组（服务器 IP 地址组），目标地址选择目标地址对象组（特定外网 IP 组）。
设置动作允许，并且在认证选项中选择 “不认证”。这样就可以让这些服务器能够直接访问特定的外网 IP 地址，而不需要进行上网账号认证。
调整策略顺序
注意策略的顺序，将这条新创建的策略放置在上网账号认证策略之前。因为设备会按照策略顺序从上到下匹配，这样可以确保服务器的流量首先匹配到这条不需要认证就可以访问特定 IP 的策略，而不是被上网账号认证策略拦截后要求认证才能访问。
测试与验证
在配置完成后，需要进行测试。可以从需要直接访问特定外网 IP 的服务器上进行访问测试，例如使用 ping 命令或者其他应用层协议（如 HTTP 等）来访问目标 IP 地址，检查是否能够正常访问，并且检查是否不需要进行上网账号认证。
同时，从普通用户终端进行访问外网测试，确认普通用户仍然需要进行上网账号认证才能访问外网，不会因为新策略的添加而受到影响。
深信服设备的其他功能辅助（可选）
可以利用深信服设备的日志功能，对访问情况进行详细记录。通过查看日志，可以确认策略是否按照预期执行，以及是否存在异常访问情况。
如果在后续的使用过程中，需要对访问的内容（如应用层协议、端口等）进行更精细的控制，可以在访问控制策略中添加相应的应用控制和端口控制选项。例如，如果服务器只需要通过 HTTP 协议访问特定外网 IP 的某个 Web 服务，可以在策略中指定允许 HTTP 协议，禁止其他协议，进一步增强访问控制的安全性。