这两者联动不了，

可以通过IPS功能直接封禁，类似这样：

Web方式：安全策略应用DPI功能的典型配置

一、实现原理（二层串联无 NAT，IP/MAC 双拦截）
两种联动封禁方案，按需选择：
方案 1（推荐）IPS 规则动作 block-source 自动拉黑源 IP
IPS 检测到漏洞攻击、Web 攻击、恶意扫描时，直接触发源 IP 临时阻断，设备底层黑名单直接丢弃该终端所有流量，二层透明模式完全生效，无需额外攻击防范策略。
方案 2 IPS 告警联动全局扫描攻击动态黑名单
IPS 输出攻击日志，配合攻击防范扫描检测，自动将恶意 IP 加入全局黑名单。
前置硬性条件：
① IPS 授权已激活；② IPS 特征库升级至最新；③ 全局黑名单总开关开启；④ 安全策略开启 IPS 检测。
二、完整命令行配置（二层透明桥模式）
步骤 1：全局开启黑名单总开关（拦截基础）
bash
运行
system-view
# 开启全局IP黑名单，黑名单优先级高于安全策略，匹配直接丢弃
blacklist global enable
# 开启黑名单日志，记录封禁/解封事件
blacklist logging enable

步骤 2：配置 IPS 源阻断参数（自定义封禁时长，单位秒）
bash
运行
# 创建阻断参数模板，封禁30分钟（1800秒），按需调整
inspect block-source parameter-profile ips_block_profile
block-period 1800
quit
# 全局IPS引用该阻断模板，所有IPS规则触发block-source均使用该时长
ips block-source parameter-profile ips_block_profile

步骤 3：IPS 全局基础功能开启
bash
运行
# 全局开启IPS入侵防御
ips enable
# 开启IPS事件日志，方便审计
ips logging enable
# 开启特征库检测、漏洞防护、Web攻击防护
ips signature-detect enable
ips vulnerability-detect enable
ips web-attack-detect enable

步骤 4：安全策略绑定 IPS 检测（二层桥接口流量必须调用 IPS）
二层透明模式所有业务流量走 Bridge-template，安全策略全局放行并开启 IPS 检测：
bash
运行
security-policy
# 允许所有内网双向流量，且开启IPS深度检测
rule 10 permit source any destination any service any ips apply
quit

步骤 5：IPS 特征规则配置 —— 匹配攻击时执行阻断源 IP
两种写法：内置特征库统一动作 / 自定义特征单独动作
方式 A：全局 IPS 特征统一动作（简单，所有攻击均拉黑）
bash
运行
ips policy default
action block-source
quit

方式 B：细分特征分级控制（推荐，区分告警 / 阻断）
bash
运行
# 高危漏洞、勒索病毒、Web注入直接拉黑；低危仅告警
ips policy high-risk
signature severity critical
action block-source log
ips policy medium-risk
signature severity high
action block-source log
ips policy low-risk
signature severity medium low
action alert log

步骤 6（可选补充）：扫描攻击联动黑名单兜底防护
针对端口扫描、暴力破解类行为，叠加动态黑名单：
bash
运行
# 全局开启扫描攻击防范
defense scan enable
# 检测到扫描源IP自动加入黑名单，封禁30分钟
defense scan add-to-blacklist timeout 30

三、二层透明模式特殊说明（终端内网 IP 无转换，拦截无差异）
二层桥模式无三层 NAT，IPS 识别真实内网终端源 IP，黑名单直接匹配内网 IP，拦截完全生效；
若存在同 IP 多终端（DHCP 冲突），可叠加 MAC 黑名单辅助拦截；
黑名单作用于整机所有接口，内网进、外网出双向流量全部阻断。
四、Web 可视化配置路径（图形化操作）
【系统→主动防护→IP 黑名单】勾选全局启用 IP 黑名单；
【IPS→全局配置】开启 IPS 总开关、入侵日志；
【IPS→动作参数】新建「源阻断」模板，设置封禁时长；
【IPS→策略配置】按风险等级配置动作：高危 = 阻断源 IP，低危 = 仅告警；
【安全策略】放行双向流量，勾选「启用 IPS 检测」；
【主动防护→攻击防范】开启扫描防护，勾选扫描 IP 自动拉黑。
五、验证、查看与手动解封命令
1. 查看当前自动封禁的恶意 IP
bash
运行
display blacklist all

输出中会显示 IPS 自动添加、带 timeout 老化时间的黑名单条目。
2. 查看 IPS 攻击匹配统计
bash
运行
display ips statistics signature

可看到触发阻断的攻击特征、源 IP 计数。
3. 手动提前解封终端（未到封禁时长）
bash
运行
# 删除被拉黑的内网IP
undo blacklist ip 192.168.1.100

4. 实时监控 IPS 阻断日志
bash
运行
terminal monitor
terminal debugging
debugging ips packet

六、常见失效排查点
未开启 blacklist global enable：IPS 触发 block-source 但无法拉黑，无拦截效果；
安全策略未加 ips apply：流量不经过 IPS 检测，不会触发阻断；
IPS 未授权 / 特征库过期：IPS 检测失效，无攻击匹配；
二层桥接口流量未进入安全策略：透明模式必须全局 permit+ips apply；
阻断时长配置为 0：立即解封，无拦截效果；
内网存在 DHCP 频繁换 IP：可缩短封禁时长，或搭配端口安全绑定 MAC。
七、两种方案优劣对比
表格
方案 优势 适用场景
IPS block-source 动作 实时拦截，精准针对攻击行为，只拦发起攻击 IP 漏洞利用、Web 注入、恶意木马、渗透攻击
扫描攻击动态黑名单 针对端口扫描、暴力破解兜底防护 内网蠕虫、端口扫描、爆破行为
最优落地组合
IPS 高危特征block-source + 扫描攻击自动黑名单，双层联动，二层内网终端攻击行为全部自动封禁。