上網(wǎng)行為管理，是很多企事業(yè)單位需要的功能，一來是可以規(guī)范上網(wǎng)行為、提高工作效率、便于管理，二來是可以節(jié)省有限的帶寬資源。

但是，需要上網(wǎng)行為管理的功能，也未必就一定需要購(gòu)買專業(yè)的行為管理設(shè)備，要求不是特別高的情況下，防火墻就能承擔(dān)了，下面就以華為USG6330防火墻為例，來簡(jiǎn)單介紹一下，上網(wǎng)行為管理功能的配置。

客戶訴求：部分電腦禁止上網(wǎng)，但是要允許Foxmail收發(fā)郵件，公司郵箱用的是騰訊企業(yè)郵；還要允許QQ、微信和釘釘。

注意，本文默認(rèn)為防火墻已經(jīng)配置為所有電腦能上網(wǎng)（兩條鏈路），只是做安全策略的調(diào)整，以滿足客戶的要求，其他配置不在本文討論范圍內(nèi)，需要看防火墻配置上網(wǎng)的過程，可以翻閱筆者以前的文章，不便之處，敬請(qǐng)諒解。

綁定mac地址

要說客戶的這臺(tái)防火墻，真是物盡其用，連DHCP Server，都在上面。由于 DHCP的特點(diǎn)，電腦獲取到的IP地址會(huì)有不同，所以在配置禁止上網(wǎng)的策略之前，必須先做MAC地址的綁定，否則就會(huì)有“錯(cuò)殺”之虞。

1、打開“DHCP服務(wù)器”，點(diǎn)擊“監(jiān)控”，先找出需要綁定IP的MAC地址

2、還是在“DHCP服務(wù)器”中，打開”服務(wù)“，點(diǎn)擊接口名稱，然后修改DHCP配置

3、按照 IP地址/MAC 的書寫格式，逐行填寫需要綁定IP地址的MAC地址，完成后點(diǎn)擊確定即可，值得注意的是，如果是多次編輯這個(gè)列表，可能會(huì)報(bào)錯(cuò)，明明沒有重復(fù)地址，會(huì)報(bào)有重復(fù)地址無法添加，這時(shí)候需要?jiǎng)h除DHCP服務(wù)，重新配置，可能是防火墻軟件的BUG導(dǎo)致的；

新建一個(gè)禁止上網(wǎng)的IP地址列表

這個(gè)新建的IP地址列表，將會(huì)應(yīng)用于安全策略，以便禁止其上網(wǎng)。

新建安全策略，滿足客戶的行為管理要求

1、新建一條禁止上網(wǎng)的安全策略，源安全區(qū)域是trust，代表內(nèi)網(wǎng)；目的安全區(qū)域，選擇untrust，筆者前面為ADSL的寬帶單獨(dú)建立了一個(gè)安全區(qū)域，所以這里是PppoeUntrust；服務(wù)選擇http和https，動(dòng)作選擇”禁止“以達(dá)到禁止上網(wǎng)的目的。完成后，把這條策略置頂，以便生效。

2、剛禁止沒兩分鐘，自己還在驗(yàn)證效果、還沒來得及做其他配置的時(shí)候，就被客戶抗議了：有些專業(yè)的網(wǎng)站，他們得查資料用，一旦禁止，簡(jiǎn)直沒法工作了。做IT久了，咱們都習(xí)慣背鍋了，平復(fù)客戶的情緒后，讓他們跟老板申請(qǐng)，我們得到批準(zhǔn)后，會(huì)立刻開通相關(guān)網(wǎng)站。時(shí)間不長(zhǎng)，老板郵件批復(fù)了申請(qǐng)，那咱們又有活兒干了，小事一樁，也就一條策略而已

先新建一個(gè)URL分類，把老板批準(zhǔn)的網(wǎng)址輸入進(jìn)去，還有要允許使用的QQ、微信、釘釘、foxmail的網(wǎng)址也一并放進(jìn)去

再新建一條策略，允許nointernet這個(gè)列表里面的IP地址訪問上面URL分類表里面的網(wǎng)址，別忘了，這條又要置頂，排到最前面去，才能有效

3、第三條策略，禁止上網(wǎng)的這些電腦，要允許他們正常使用foxmail、QQ、微信和釘釘

應(yīng)用那一欄，要點(diǎn)一下后面的”多選“，然后根據(jù)需要，選擇需要開通的應(yīng)用

注意，配置完成后，這條策略又要置頂才可以。

經(jīng)過以上步驟，就達(dá)到客戶的要求了：某些電腦已禁止上網(wǎng)，但是允許訪問一些被批準(zhǔn)的網(wǎng)站，F(xiàn)oxmail正常收發(fā)郵件，QQ、微信、釘釘三個(gè)溝通必備工具也全部正常工作。

——筆者為網(wǎng)絡(luò)工程師，擅長(zhǎng)計(jì)算機(jī)網(wǎng)絡(luò)領(lǐng)域，創(chuàng)業(yè)多年，希望把自己的經(jīng)驗(yàn)分享給大家，覺得有用的，可以關(guān)注、點(diǎn)贊、轉(zhuǎn)發(fā)，如有相同或者不同觀點(diǎn)，歡迎評(píng)論。最近已開通“圈子”，有興趣的朋友歡迎進(jìn)圈共同學(xué)習(xí)和討論。