华为防火墙配置上网行为管理，禁止上网，只允许邮件、微信和钉钉上网行为管理

【华为防火墙配置上网行为管理，禁止上网，只允许邮件、微信和钉钉】上网行为管理，是很多企事业单位需要的功能，一来是可以规范上网行为、提高工作效率、便于管理，二来是可以节省有限的带宽资源。
但是，需要上网行为管理的功能，也未必就一定需要购买专业的行为管理设备，要求不是特别高的情况下，防火墙就能承担了，下面就以华为USG6330防火墙为例，来简单介绍一下，上网行为管理功能的配置。
客户诉求：部分电脑禁止上网，但是要允许Foxmail收发邮件，公司邮箱用的是腾讯企业邮；还要允许QQ、微信和钉钉。
注意，本文默认为防火墙已经配置为所有电脑能上网（两条链路），只是做安全策略的调整，以满足客户的要求，其他配置不在本文讨论范围内，需要看防火墙配置上网的过程，可以翻阅笔者以前的文章，不便之处，敬请谅解。
绑定MAC地址要说客户的这台防火墙，真是物尽其用，连DHCP Server ，都在上面。由于 DHCP的特点，电脑获取到的IP地址会有不同，所以在配置禁止上网的策略之前，必须先做MAC地址的绑定，否则就会有“错杀”之虞。
1、打开“DHCP服务器” ，点击“监控” ，先找出需要绑定IP的MAC地址
文章插图
2、还是在“DHCP服务器”中，打开”服务“ ，点击接口名称，然后修改DHCP配置
文章插图
3、按照 IP地址/MAC 的书写格式，逐行填写需要绑定IP地址的MAC地址，完成后点击确定即可，值得注意的是，如果是多次编辑这个列表，可能会报错，明明没有重复地址，会报有重复地址无法添加，这时候需要删除DHCP服务，重新配置，可能是防火墙软件的BUG导致的；
文章插图
新建一个禁止上网的IP地址列表这个新建的IP地址列表，将会应用于安全策略，以便禁止其上网。
文章插图
新建安全策略，满足客户的行为管理要求1、新建一条禁止上网的安全策略，源安全区域是trust ，代表内网；目的安全区域，选择untrust ，笔者前面为ADSL的宽带单独建立了一个安全区域，所以这里是PppoeUntrust；服务选择http和https ，动作选择”禁止“以达到禁止上网的目的。完成后，把这条策略置顶，以便生效。
文章插图
2、刚禁止没两分钟，自己还在验证效果、还没来得及做其他配置的时候，就被客户抗议了：有些专业的网站，他们得查资料用，一旦禁止，简直没法工作了。做IT久了，咱们都习惯背锅了，平复客户的情绪后，让他们跟老板申请，我们得到批准后，会立刻开通相关网站。时间不长，老板邮件批复了申请，那咱们又有活儿干了，小事一桩，也就一条策略而已
先新建一个URL分类，把老板批准的网址输入进去，还有要允许使用的QQ、微信、钉钉、foxmail的网址也一并放进去
文章插图
再新建一条策略，允许nointernet这个列表里面的IP地址访问上面URL分类表里面的网址，别忘了，这条又要置顶，排到最前面去，才能有效
文章插图
3、第三条策略，禁止上网的这些电脑，要允许他们正常使用foxmail、QQ、微信和钉钉
文章插图
应用那一栏，要点一下后面的”多选“ ，然后根据需要，选择需要开通的应用
文章插图
注意，配置完成后，这条策略又要置顶才可以。
经过以上步骤，就达到客户的要求了：某些电脑已禁止上网，但是允许访问一些被批准的网站， Foxmail正常收发邮件， QQ、微信、钉钉三个沟通必备工具也全部正常工作。
——笔者为网络工程师，擅长计算机网络领域，创业多年，希望把自己的经验分享给大家，觉得有用的，可以关注、点赞、转发，如有相同或者不同观点，欢迎评论。最近已开通“圈子” ，有兴趣的朋友欢迎进圈共同学习和讨论。