企業(yè)辦公網(wǎng)絡(luò)環(huán)境中，需要對內(nèi)部辦公電腦進行網(wǎng)絡(luò)權(quán)限差異化設(shè)置，從而提升辦公效率和網(wǎng)絡(luò)安全。訪問控制功能通過對源/目的IP地址、端口及訪問時間進行控制，實現(xiàn)上網(wǎng)權(quán)限的差異化設(shè)置，滿足企業(yè)用戶的需求。

本文介紹TL-ER7520G訪問控制功能的設(shè)置方法。

需求分析：

某企業(yè)使用TL-ER7520G，需要實現(xiàn)市場部上網(wǎng)不受限制，其它部門只能瀏覽網(wǎng)頁。根據(jù)需求，制定以下配置表：

注意：上述參數(shù)僅供參考，具體以實際應(yīng)用為準。

設(shè)置方法

1.設(shè)置市場部和其它部門的地址組

添加地址

點擊“對象管理地址管理地址”，點擊，添加市場部的IP地址段，如下圖：

同樣的方法，添加其它部門的IP地址段，添加后列表如下：

添加地址組

點擊“對象管理地址管理地址管理”，點擊，添加市場部的地址組，如下圖：

同樣的方法，添加其它部門的地址組，添加后地址組列表如下：

2.新增服務(wù)類型

點擊“對象管理服務(wù)類型”，點擊，添加HTTPS服務(wù)，如下圖：

3.設(shè)置訪問控制

設(shè)置市場部規(guī)則

點擊“安全管理訪問控制”，點擊，添加策略規(guī)則：允許市場部訪問所有網(wǎng)絡(luò)應(yīng)用，如下圖所示：

設(shè)置其它部門規(guī)則

其它部門的員工，只允許瀏覽網(wǎng)頁，即需要開放HTTP、HTTPS、以及DNS服務(wù)，添加規(guī)則如下：

設(shè)置阻塞規(guī)則

由于訪問控制規(guī)則默認為“允許”，所以需要再添加禁止訪問一切的規(guī)則才可以實現(xiàn)需求，規(guī)則如下：

添加完成后，規(guī)則列表如下：

設(shè)置完成，點擊右上角“保存配置”。

至此，訪問控制設(shè)置完成，局域網(wǎng)中所有電腦將擁有所屬的部門對應(yīng)的上網(wǎng)權(quán)限。

疑問解答：

設(shè)置允許訪問網(wǎng)頁的規(guī)則，為什么依舊無法訪問？

需要排查以下方面：受控電腦的IP地址必須在對應(yīng)的受控組中，規(guī)則才能起作用；按照以上步驟檢查規(guī)則設(shè)置是否正確，確定設(shè)置的源、目的地址正確（限制內(nèi)網(wǎng)主機、生效接口域選擇LAN）；確認添加允許HTTPS服務(wù)，否則涉及HTTPS的網(wǎng)頁將無法訪問；確認添加允許DNS服務(wù)，否則涉及域名的網(wǎng)頁將無法訪問。