企業(yè)辦公網(wǎng)絡(luò)環(huán)境中，需要對(duì)內(nèi)部辦公電腦進(jìn)行網(wǎng)絡(luò)權(quán)限差異化設(shè)置，從而提升辦公效率和網(wǎng)絡(luò)安全。訪問控制功能通過對(duì)源/目的IP地址、端口及訪問時(shí)間進(jìn)行控制，實(shí)現(xiàn)上網(wǎng)權(quán)限的差異化設(shè)置，滿足企業(yè)用戶的需求。

本文介紹TL-ER7520G訪問控制功能的設(shè)置方法。

需求分析：

某企業(yè)使用TL-ER7520G，需要實(shí)現(xiàn)市場(chǎng)部上網(wǎng)不受限制，其它部門只能瀏覽網(wǎng)頁。根據(jù)需求，制定以下配置表：

注意：上述參數(shù)僅供參考，具體以實(shí)際應(yīng)用為準(zhǔn)。

設(shè)置方法

1.設(shè)置市場(chǎng)部和其它部門的地址組

添加地址

點(diǎn)擊“對(duì)象管理>地址管理>地址”，點(diǎn)擊，添加市場(chǎng)部的IP地址段，如下圖：

同樣的方法，添加其它部門的IP地址段，添加后列表如下：

添加地址組

點(diǎn)擊“對(duì)象管理>地址管理>地址管理”，點(diǎn)擊，添加市場(chǎng)部的地址組，如下圖：

同樣的方法，添加其它部門的地址組，添加后地址組列表如下：

2.新增服務(wù)類型

點(diǎn)擊“對(duì)象管理>服務(wù)類型”，點(diǎn)擊，添加HTTPS服務(wù)，如下圖：

3.設(shè)置訪問控制

設(shè)置市場(chǎng)部規(guī)則

點(diǎn)擊“安全管理>訪問控制”，點(diǎn)擊，添加策略規(guī)則：允許市場(chǎng)部訪問所有網(wǎng)絡(luò)應(yīng)用，如下圖所示：

設(shè)置其它部門規(guī)則

其它部門的員工，只允許瀏覽網(wǎng)頁，即需要開放HTTP、HTTPS、以及DNS服務(wù)，添加規(guī)則如下：

設(shè)置阻塞規(guī)則

由于訪問控制規(guī)則默認(rèn)為“允許”，所以需要再添加禁止訪問一切的規(guī)則才可以實(shí)現(xiàn)需求，規(guī)則如下：

添加完成后，規(guī)則列表如下：

設(shè)置完成，點(diǎn)擊右上角“保存配置”。

至此，訪問控制設(shè)置完成，局域網(wǎng)中所有電腦將擁有所屬的部門對(duì)應(yīng)的上網(wǎng)權(quán)限。

疑問解答：

設(shè)置允許訪問網(wǎng)頁的規(guī)則，為什么依舊無法訪問？

需要排查以下方面：受控電腦的IP地址必須在對(duì)應(yīng)的受控組中，規(guī)則才能起作用；按照以上步驟檢查規(guī)則設(shè)置是否正確，確定設(shè)置的源、目的地址正確（限制內(nèi)網(wǎng)主機(jī)、生效接口域選擇LAN）；確認(rèn)添加允許HTTPS服務(wù)，否則涉及HTTPS的網(wǎng)頁將無法訪問；確認(rèn)添加允許DNS服務(wù)，否則涉及域名的網(wǎng)頁將無法訪問。