上網(wǎng)行為管理服務(wù)器是什么設(shè)備（華為上網(wǎng)行為管理配置實例）

發(fā)布時間：2025-08-18 | 來源：互聯(lián)網(wǎng)轉(zhuǎn)載和整理

上網(wǎng)行為管理，是很多企事業(yè)單位需要的功能，一來是可以規(guī)范上網(wǎng)行為、提高工作效率、便于管理，二來是可以節(jié)省有限的帶寬資源。

但是，需要上網(wǎng)行為管理的功能，也未必就一定需要購買專業(yè)的行為管理設(shè)備，要求不是特別高的情況下，防火墻就能承擔了，下面就以華為USG6330防火墻為例，來簡單介紹一下，上網(wǎng)行為管理功能的配置。

客戶訴求：部分電腦禁止上網(wǎng)，但是要允許Foxmail收發(fā)郵件，公司郵箱用的是騰訊企業(yè)郵；還要允許QQ、微信和釘釘。

注意，本文默認為防火墻已經(jīng)配置為所有電腦能上網(wǎng)（兩條鏈路），只是做安全策略的調(diào)整，以滿足客戶的要求，其他配置不在本文討論范圍內(nèi)，需要看防火墻配置上網(wǎng)的過程，可以翻閱筆者以前的文章，不便之處，敬請諒解。

綁定MAC地址

要說客戶的這臺防火墻，真是物盡其用，連DHCP Server，都在上面。由于 DHCP的特點，電腦獲取到的IP地址會有不同，所以在配置禁止上網(wǎng)的策略之前，必須先做MAC地址的綁定，否則就會有“錯***”之虞。

1、打開“DHCP服務(wù)器”，點擊“監(jiān)控”，先找出需要綁定IP的MAC地址

2、還是在“DHCP服務(wù)器”中，打開”服務(wù)“，點擊接口名稱，然后修改DHCP配置

3、按照 IP地址/MAC 的書寫格式，逐行填寫需要綁定IP地址的MAC地址，完成后點擊確定即可，值得注意的是，如果是多次編輯這個列表，可能會報錯，明明沒有重復(fù)地址，會報有重復(fù)地址無法添加，這時候需要刪除DHCP服務(wù)，重新配置，可能是防火墻軟件的BUG導(dǎo)致的；

新建一個禁止上網(wǎng)的IP地址列表

這個新建的IP地址列表，將會應(yīng)用于安全策略，以便禁止其上網(wǎng)。

新建安全策略，滿足客戶的行為管理要求

1、新建一條禁止上網(wǎng)的安全策略，源安全區(qū)域是trust，代表內(nèi)網(wǎng)；目的安全區(qū)域，選擇untrust，筆者前面為ADSL的寬帶單獨建立了一個安全區(qū)域，所以這里是PppoeUntrust；服務(wù)選擇http和https，動作選擇”禁止“以達到禁止上網(wǎng)的目的。完成后，把這條策略置頂，以便生效。

2、剛禁止沒兩分鐘，自己還在驗證效果、還沒來得及做其他配置的時候，就被客戶抗議了：有些專業(yè)的網(wǎng)站，他們得查資料用，一旦禁止，簡直沒法工作了。做IT久了，咱們都習(xí)慣背鍋了，平復(fù)客戶的情緒后，讓他們跟老板申請，我們得到批準后，會立刻開通相關(guān)網(wǎng)站。時間不長，老板郵件批復(fù)了申請，那咱們又有活兒干了，小事一樁，也就一條策略而已

先新建一個URL分類，把老板批準的網(wǎng)址輸入進去，還有要允許使用的QQ、微信、釘釘、foxmail的網(wǎng)址也一并放進去

再新建一條策略，允許nointernet這個列表里面的IP地址訪問上面URL分類表里面的網(wǎng)址，別忘了，這條又要置頂，排到最前面去，才能有效

3、第三條策略，禁止上網(wǎng)的這些電腦，要允許他們正常使用foxmail、QQ、微信和釘釘

應(yīng)用那一欄，要點一下后面的”多選“，然后根據(jù)需要，選擇需要開通的應(yīng)用

注意，配置完成后，這條策略又要置頂才可以。

經(jīng)過以上步驟，就達到客戶的要求了：某些電腦已禁止上網(wǎng)，但是允許訪問一些被批準的網(wǎng)站，F(xiàn)oxmail正常收發(fā)郵件，QQ、微信、釘釘三個溝通必備工具也全部正常工作。

——筆者為網(wǎng)絡(luò)工程師，擅長計算機網(wǎng)絡(luò)領(lǐng)域，創(chuàng)業(yè)多年，希望把自己的經(jīng)驗分享給大家，覺得有用的，可以關(guān)注、點贊、轉(zhuǎn)發(fā)，如有相同或者不同觀點，歡迎評論。最近已開通“圈子”，有興趣的朋友歡迎進圈共同學(xué)習(xí)和討論