[故障求助] 求DI 602LB+路由器防火墙的设置方法

最近在做ACL控制，在启用防火墙后要么就全可以上网，要么就全掉线。
    最后没有办法只好在NAT地址映射上设置。
    为什么在NAT地址映射上能实现的配置，在防火墙就不可以。
    比如 Deny 192.168.1.xx  any
    在NAT上实现192.168.1.xx不能上网，但防火墙这样一设置就全掉了。
    再如  Deny 192.168.1.xx  any     
            peimint any any
    则192.168.1.xx也能上网。顺序是上到下。
    请大虾们帮帮忙，说说DI 602LB+路由器防火墙到地是怎么设置的？
    怎么NAT上能实现的规则在防火墙上就不能？举几个例子，谢谢。