新上市的TL-FR5300防火墻產(chǎn)品，主要有兩大功能特點(diǎn)：“攻擊防護(hù)”和“策略”。它還有其他很多功能，在這篇文檔里，我們將側(cè)重表述“策略”這一塊，其他功能我們另有專(zhuān)門(mén)的表述文檔。當(dāng)您在看這篇文檔之前，我們希望您能夠先了解一下TL-FR5300的《用戶手冊(cè)》，對(duì)TL-FR5300使用過(guò)程中涉及的諸多概念有一定的了解。

一般情況下用戶購(gòu)買(mǎi)了TL-FR5300，將其置于本單位網(wǎng)絡(luò)的出口處，作為內(nèi)部網(wǎng)絡(luò)所有主機(jī)登錄互聯(lián)網(wǎng)的網(wǎng)關(guān)設(shè)備，內(nèi)網(wǎng)主機(jī)所有去往互聯(lián)網(wǎng)的數(shù)據(jù)都需要流經(jīng)TL-FR5300，我們對(duì)TL-FR5300進(jìn)行適當(dāng)配置，就可以對(duì)內(nèi)網(wǎng)主機(jī)的上網(wǎng)操作進(jìn)行靈活的管理。

TL-FR5300處于整個(gè)內(nèi)部網(wǎng)絡(luò)的出口，默認(rèn)內(nèi)部網(wǎng)絡(luò)（LAN）和外部互聯(lián)網(wǎng)（WAN）是互通的，但建議將這一條默認(rèn)策略刪除。當(dāng)內(nèi)部網(wǎng)絡(luò)中某一部分主機(jī)需要某上網(wǎng)權(quán)限時(shí)，網(wǎng)絡(luò)管理員只需要在TL-FR5300上面給這一部分主機(jī)打開(kāi)相應(yīng)的上網(wǎng)權(quán)限，當(dāng)內(nèi)部網(wǎng)絡(luò)另一部分主機(jī)需要另外的上網(wǎng)權(quán)限時(shí)，管理員只需要在TL-FR5300上打開(kāi)另一部分上網(wǎng)權(quán)限即可。這就是我們配置TL-FR5300這款防火墻產(chǎn)品時(shí)候的基本指導(dǎo)思想——“有需求才開(kāi)放”。

在使用TL-FR5300的過(guò)程中，為了順利實(shí)施上面“有需求才開(kāi)放”的思想，我們極力建議您的網(wǎng)絡(luò)是經(jīng)過(guò)規(guī)劃的——特別是“IP地址”這一部分，因?yàn)?ldquo;IP地址”是互聯(lián)網(wǎng)中每臺(tái)主機(jī)標(biāo)示自己的唯一標(biāo)志，TL-FR5300也是通過(guò)“IP地址”實(shí)現(xiàn)對(duì)主機(jī)權(quán)限的控制。具體地說(shuō)，網(wǎng)絡(luò)里具備相同網(wǎng)絡(luò)權(quán)限的主機(jī)應(yīng)該從屬于一個(gè)組，適應(yīng)不同網(wǎng)絡(luò)權(quán)限的主機(jī)從屬于不同的組，而我們?cè)谝?guī)劃“IP地址”的時(shí)候，既要考慮現(xiàn)有各個(gè)組的規(guī)模，也要考慮到以后網(wǎng)絡(luò)的增長(zhǎng)，不同網(wǎng)絡(luò)權(quán)限的主機(jī)組使用不同的IP地址段，比如下面不同的組使用不同IP地址段：

管理團(tuán)隊(duì)：192.168.1.1～192.168.1.30(192.168.1.0/27)
市場(chǎng)部門(mén)：192.168.1.65～192.168.1.94(192.168.1.64/27)
銷(xiāo)售部門(mén)：192.168.1.129～192.168.1.158(192.168.1.128/27)

當(dāng)配置TL-FR5300時(shí)給不同的IP地址段不同的網(wǎng)絡(luò)權(quán)限，那么網(wǎng)絡(luò)中某臺(tái)主機(jī)使用了什么IP地址就具備了什么網(wǎng)絡(luò)權(quán)限，這就是網(wǎng)絡(luò)經(jīng)過(guò)規(guī)劃的好處：

上班時(shí)間限制內(nèi)部網(wǎng)絡(luò)某臺(tái)主機(jī)只能登錄互聯(lián)網(wǎng)某個(gè)網(wǎng)站服務(wù)器。

要實(shí)現(xiàn)上面的目的，網(wǎng)絡(luò)管理員通過(guò)設(shè)置TL-FR5300的“策略”，將上面這個(gè)想要實(shí)現(xiàn)的目的體現(xiàn)出來(lái)就可以。在這條“策略/規(guī)則”設(shè)置的過(guò)程當(dāng)中，“內(nèi)網(wǎng)某主機(jī)、互聯(lián)網(wǎng)某網(wǎng)站服務(wù)器、可以登錄”這些都屬于“策略/規(guī)則”的基本組成部分，“上班時(shí)間”屬于“策略/規(guī)則”的可選組成部分。

“策略”可分為基本組成部分和可選組成部分。基本組成部分有：信息流的方向、信息流的源地址、信息流的目的地址、禁止/允許通過(guò)�？蛇x組成部分有：時(shí)間、安全認(rèn)證、流量控制、深層檢測(cè)、日志等。

在TL-FR5300里面將“策略”的組成部分稱之為“對(duì)象”，當(dāng)需要設(shè)置一條“策略”的時(shí)候，要考慮一下即將設(shè)置的“策略”都包含哪些“對(duì)象”？TL-FR5300有專(zhuān)門(mén)用于定義“對(duì)象”的配置界面，比如策略里面涉及“上班時(shí)間”，那么配置策略之前，要先在“對(duì)象”-“時(shí)間表”里面將“上班時(shí)間”體現(xiàn)出來(lái)，然后在“策略”配置過(guò)程中引用先設(shè)定好的“上班時(shí)間”這個(gè)“對(duì)象”，那么這樣設(shè)置的“策略”才能在“上班時(shí)間”生效。簡(jiǎn)單的說(shuō)這就是“策略”和“對(duì)象”的關(guān)系。可以說(shuō)多個(gè)不同的“對(duì)象”通過(guò)組合最后生成了一條“策略”。

TL-FR5300的“策略”可由如下可選“對(duì)象”組成：IP地址、IP地址組、服務(wù)、服務(wù)組、動(dòng)作、時(shí)間表、應(yīng)用、深層檢測(cè)、網(wǎng)絡(luò)地址轉(zhuǎn)換、用戶認(rèn)證、QoS控制、URL過(guò)濾、日志。

二 舉例以及說(shuō)明
下面我們通過(guò)一些簡(jiǎn)單的“策略”設(shè)置過(guò)程，來(lái)詳細(xì)地描述“策略”和“對(duì)象”是一個(gè)怎樣的關(guān)系？它們是怎樣使用的？
1,銷(xiāo)售部員工張三只能登錄阿里巴巴網(wǎng)站。
分析：通過(guò)設(shè)置TL-FR5300的“策略”實(shí)現(xiàn)上面的目的，這條“策略”包含的“對(duì)象”有：張三（使用的IP地址）、阿里巴巴（網(wǎng)站服務(wù)器IP地址）、可以登錄（網(wǎng)站）。
設(shè)置：設(shè)置過(guò)程分兩部分，分別是設(shè)置“對(duì)象”和“策略”，設(shè)置“對(duì)象”是為了“策略”引用它，設(shè)置“策略”是為了最終實(shí)現(xiàn)我們的限制目的。

如上圖選擇了“對(duì)象”-“IP地址”，設(shè)置界面如下圖：

如上圖要在“區(qū)域”選擇LAN ，因?yàn)閺埲�處于公司�?nèi)網(wǎng)也就是TL-FR5300定義的LAN區(qū)域，選擇后點(diǎn)擊“新增”按鈕，界面如下圖：

如上圖：
“IP地址名字”建議具備可讀性，張三是銷(xiāo)售部員工，這里取為“Sales – 張三”。
“說(shuō)明”是對(duì)本IP地址的簡(jiǎn)單解釋說(shuō)明。給張三配置的IP地址為 192.168.1.129 。
“子網(wǎng)掩碼”填為32表示這里是單個(gè)IP地址。
設(shè)置完后點(diǎn)擊確定按鈕返回上一級(jí)界面如下圖：

在“對(duì)象”里設(shè)置完了張三的IP地址后，還需要設(shè)置阿里巴巴網(wǎng)站的IP地址，通過(guò)PING阿里巴巴中文網(wǎng)站的域名www.alibaba.com.cn我們可以得到網(wǎng)站服務(wù)器對(duì)應(yīng)的IP地址是61.129.44.1 ，因?yàn)榘⒗锇桶途W(wǎng)站在外部互聯(lián)網(wǎng)上，也就是TL-FR5300定義的WAN區(qū)域，所以這次新增IP地址的時(shí)候一定要先選擇WAN區(qū)域，然后新增，界面如下圖：

或者不設(shè)置服務(wù)器的IP地址而直接填入阿里巴巴中文網(wǎng)站域名也可以，如下圖：

點(diǎn)擊“確定”按鈕后返回上一級(jí)頁(yè)面，選擇“區(qū)域”為所有，并點(diǎn)擊“顯示”按鈕，可以看到剛才分別在LAN和WAN區(qū)域新增的兩個(gè)IP地址對(duì)象，如下圖：

準(zhǔn)備好了“對(duì)象”以后，我們就可以在“策略”里面進(jìn)行配置了！因?yàn)楸静呗悦枋龅膶?duì)象，是張三的電腦主動(dòng)向阿里巴巴網(wǎng)站發(fā)起連接，所以在設(shè)置策略的時(shí)候一定要注意“區(qū)域”的選擇是從LAN——>WAN這個(gè)方向，配置界面如下：

上圖是一個(gè)復(fù)合的圖片：

“策略名”建議具備一定的可讀性，便于日常維護(hù)！

“源地址”引用IP地址對(duì)象里張三的IP地址。

“目的地址”引用IP地址對(duì)象里阿里巴巴網(wǎng)站服務(wù)器IP地址。

“服務(wù)”粉紅色勾勒的服務(wù)這一行后面的“復(fù)選”按鈕，點(diǎn)擊后彈出下半部分界面，選擇了兩種服務(wù)分別是DNS和HTTP，因?yàn)樵L問(wèn)阿里巴巴網(wǎng)站前電腦先要聯(lián)系互聯(lián)網(wǎng)DNS服務(wù)器解析阿里巴巴網(wǎng)站域名對(duì)應(yīng)的IP地址，然后才向這個(gè)服務(wù)器IP地址發(fā)起HTTP請(qǐng)求，也就是登錄網(wǎng)站的過(guò)程，選擇好服務(wù)以后點(diǎn)擊“確定”按鈕，有關(guān)“服務(wù)”的詳細(xì)描述，請(qǐng)參考我們的《防火墻應(yīng)用指南》系列文檔之《防火墻應(yīng)用指南（二）——虛擬服務(wù)器的搭建》。

返回策略設(shè)置界面如下圖：

如上圖，策略設(shè)置界面的所有“對(duì)象”中，只涉及到了基本組成部分也就是紅線勾勒的部分，其他可選組成部分的對(duì)象都沒(méi)有涉及，改動(dòng)后點(diǎn)擊確定，返回上一級(jí)配置界面，如下圖：

就是這樣，想要實(shí)現(xiàn)“銷(xiāo)售部員工張三只能登錄阿里巴巴網(wǎng)站”這樣目的，通過(guò)上面這個(gè)設(shè)置過(guò)程就完成了�？雌饋�(lái)篇幅很長(zhǎng)，其實(shí)熟練設(shè)置的時(shí)候所需時(shí)間是很短的！

2，銷(xiāo)售部員工張三上班時(shí)間只能登錄阿里巴巴網(wǎng)站。
這第2個(gè)例子我們?cè)诘谝粋�(gè)例子的基礎(chǔ)上，增加了“上班時(shí)間”這個(gè)對(duì)象，那么是怎樣實(shí)現(xiàn)這個(gè)目的呢？

分析：按照在第1個(gè)例子中的分析，只要再加上“對(duì)象”-“時(shí)間表”里面再加入上班時(shí)間段就可以了。設(shè)置策略的時(shí)候，除了第1個(gè)例子里面改動(dòng)的“對(duì)象”以外，再多改動(dòng)一個(gè)“時(shí)間表”的參數(shù)就可以了。

設(shè)置：增加時(shí)間表“對(duì)象”，在TL-FR5300設(shè)置界面“對(duì)象”-“時(shí)間表”里面，新增時(shí)間表如下圖：

“時(shí)間表名”和“說(shuō)明”：具備可讀性，便于日常維護(hù)管理。

“多次”和“單次”：多次表示時(shí)間是循環(huán)生效的，本周適用下周仍然適用。單次是在開(kāi)始日期和結(jié)束日期這一段時(shí)間內(nèi)一次性生效，超出這個(gè)時(shí)間段的則不能生效。這里“多次”和“單次”采用了復(fù)選框的方式，表示可以同時(shí)兩項(xiàng)都選擇，或者每次選擇其中一種方式。注意：如果“多次”和“單次”都選中，則它們的關(guān)系是“或”的關(guān)系。也就是說(shuō)，時(shí)間表生效時(shí)間在“多次”定義的時(shí)間段內(nèi)或者“單次”定義的時(shí)間段內(nèi)。它們是“并集”的關(guān)系，而不是“交集”的關(guān)系，不可理解為“在單次定義的時(shí)間段內(nèi)的每周一至周六”！

要確保“時(shí)間表”這個(gè)對(duì)象能夠生效，有個(gè)地方需要注意，就是TL-FR5300配置選項(xiàng)里面的“系統(tǒng)工具”—“時(shí)間設(shè)置”，配置界面如下：

上圖中的紅色文字已經(jīng)進(jìn)行了強(qiáng)調(diào)，想要時(shí)間表生效，必須從互聯(lián)網(wǎng)上獲取標(biāo)準(zhǔn)的GMT時(shí)間或者直接指定一個(gè)當(dāng)前時(shí)間。設(shè)置好時(shí)間后TL-FR5300會(huì)一直保存時(shí)間，不會(huì)因?yàn)樵O(shè)備斷電而時(shí)間失效。

好了，上面添加了“時(shí)間表”這個(gè)對(duì)象，然后我們直接在“策略”里面找到剛才設(shè)置的從LAN—>WAN的策略，并重新編輯它，如下圖：

如上圖，在原有策略基礎(chǔ)上“時(shí)間表”這個(gè)對(duì)象里面選擇了“上班時(shí)間”，然后確定就可以了！這樣就實(shí)現(xiàn)了“銷(xiāo)售部員工張三上班時(shí)間只能登錄阿里巴巴網(wǎng)站”，過(guò)程很簡(jiǎn)單。

3，銷(xiāo)售部員工張三和李四上班時(shí)間只能登錄阿里巴巴網(wǎng)站。
分析：上面的例子中，兩次配置“策略”引用“源地址”這個(gè)對(duì)象的時(shí)候，都只是引用了張三的IP地址，這次還要再多引用一個(gè)銷(xiāo)售部員工李四，那只要在TL-FR5300的“對(duì)象”-“IP地址”里面將李四的IP地址也設(shè)置好，就可以引用了。
配置：如下圖在“對(duì)象”-“IP地址”里面新增銷(xiāo)售部員工李四的IP地址：

一定要注意新增的李四的IP地址要選在LAN這個(gè)區(qū)域！然后點(diǎn)擊“新增”按鈕，如下圖：

設(shè)定完之后點(diǎn)擊“確定”按鈕就可以了。在TL-FR5300的“對(duì)象”里面有個(gè)“IP地址組”，就是將已設(shè)定的具備相同屬性的“IP地址”歸并為一組，比如這里將“Sales – 張三”和“Sales – 李四”歸并為一組命名為“Sales”，這樣在配置“策略”時(shí)候引用“源地址”可以不必張三李四分別引用兩次，只需要引用一次“Sales”組就可以了。“IP地址組”設(shè)置如下圖：

如上圖注意新增的區(qū)域是“LAN”，具體配置界面如下：

“組名”為Sales 。
“說(shuō)明”為sales group表示銷(xiāo)售部。
從“備選”里面選擇特定對(duì)象添加到“已選”框內(nèi)，“確定”完成配置，返回上一級(jí)頁(yè)面。

如上圖看到IP地址組里面多了一個(gè)Sales組，包含成員“李四”、“張三”。有了上面這些準(zhǔn)備，開(kāi)始修改前面的“策略”，如下圖：

“策略名”進(jìn)行了更改，將以前的Sales – zhangsan – alibaba 改為現(xiàn)在的Sales – alibaba 。
“源地址”由張三的IP改為銷(xiāo)售IP地址組Sales 。
其他對(duì)象保持之前的狀態(tài)不變即可，最后點(diǎn)擊“確定”按鈕即完成了配置，如下圖：

可以看到從LAN到WAN的策略里，ID為3的策略正是我們剛剛完成的。

以后如果銷(xiāo)售部增加新員工王五，分配了IP為192.168.1.131 ，上網(wǎng)權(quán)限和張三、李四都是一樣，那只需要在“對(duì)象”-“IP地址”里面新增王五的IP地址，然后將新增的王五的IP地址添加到“IP地址組”-Sales這個(gè)組里面，不需要改動(dòng)策略，那么王五的網(wǎng)絡(luò)權(quán)限就和前面幾位員工的相同了。

4，銷(xiāo)售部員工上班時(shí)間只能登錄阿里巴巴網(wǎng)站。
分析：前面我們舉了3個(gè)例子，來(lái)說(shuō)明一條簡(jiǎn)單的策略如何設(shè)置？我們發(fā)現(xiàn)，每次銷(xiāo)售部新增員工，都需要網(wǎng)絡(luò)管理員在“對(duì)象”-“IP地址”里面新增，然后再將新增的IP地址歸并到“IP地址組”里Sales的小組，這樣的過(guò)程比較麻煩！有沒(méi)有更快捷的設(shè)置方式？

當(dāng)然有了！一開(kāi)始我們就倡導(dǎo)如果使用TL-FR5300我們極力推薦您的網(wǎng)絡(luò)先做好規(guī)劃，比如網(wǎng)絡(luò)管理員按照現(xiàn)有情況以及今后一段時(shí)間內(nèi)的網(wǎng)絡(luò)增長(zhǎng)預(yù)期，將IP地址段192.168.1.129 – 192.168.1.159預(yù)留分配給銷(xiāo)售部員工使用，銷(xiāo)售部員工的網(wǎng)絡(luò)權(quán)限都是相同的。

前面設(shè)置的策略里，“源地址”曾單獨(dú)選擇過(guò)“Sales – 張三”和包含張三李四的“Sales”,如果我們將Sales這個(gè)組一開(kāi)始就定義成包含192.168.1.129 – 192.168.1.159 這一段IP地址，然后在“策略”設(shè)置的時(shí)候“源地址”引用“Sales”，這樣配置一條策略相當(dāng)于一次配置了192.168.1.129 – 192.168.1.159這30個(gè)IP地址，都是“上班時(shí)間只能登錄阿里巴巴網(wǎng)站”的權(quán)限。接下來(lái)當(dāng)然是將已設(shè)置的IP地址單獨(dú)分配給張三、李四、王五使用，等以后趙六加入了銷(xiāo)售部，網(wǎng)絡(luò)管理員不用改動(dòng)TL-FR5300的配置，只需要告訴趙六使用192.168.1.132這個(gè)IP地址就可以了，這樣將網(wǎng)絡(luò)預(yù)先進(jìn)行一定的規(guī)劃，然后配置網(wǎng)絡(luò)設(shè)備可以收到事半功倍的效果。

配置：就上面的分析，我們進(jìn)行如下的配置即可快速實(shí)現(xiàn)。如下圖在TL-FR5300的“對(duì)象”-“IP地址”里面，在LAN區(qū)域新增IP地址參數(shù)：

單擊“確定”按鈕后返回上一級(jí)設(shè)置界面，如下圖：

如上圖紅線勾勒，對(duì)比“Sales – 張三”和“Sales Group”的圖標(biāo)，“Sales – 張三”的圖標(biāo)是單臺(tái)電腦表示只包含1個(gè)IP，而“Sales Group”是多臺(tái)重疊的圖標(biāo)，表示一個(gè)IP地址段，這個(gè)IP地址段的網(wǎng)段地址是192.168.1.128 ，網(wǎng)段內(nèi)可用IP地址范圍是192.168.1.129 – 192.168.1.158總共包含30個(gè)可用的IP地址 ,這個(gè)段的廣播地址是192.168.1.159 。

上面設(shè)置的過(guò)程中，因?yàn)椴捎昧?ldquo;變長(zhǎng)子網(wǎng)掩碼”的方法——即將默認(rèn)的24位子網(wǎng)掩碼加長(zhǎng)到27位，所以取得了一條設(shè)置表示一段IP地址的結(jié)果。

如果在配置的過(guò)程當(dāng)中，填入的不是192.168.1.128/27而是默認(rèn)的192.168.1.128/24 ，這樣設(shè)置在TL-FR5300里面也是允許的，這樣設(shè)置的結(jié)果和填入192.168.1.0/24的結(jié)果是相同的，就是產(chǎn)生了一個(gè)192.168.1.1 – 192.168.1.254的可用IP地址段。因?yàn)槲覀冞@里舉例網(wǎng)絡(luò)規(guī)劃的時(shí)候并沒(méi)有給銷(xiāo)售部254個(gè)IP地址，而是給了30個(gè)IP地址，所以我們填入的子網(wǎng)掩碼不是24而是27 。

對(duì)于192.168.1.128/24和192.168.1.128/27表示的IP地址范圍不同這樣一個(gè)事實(shí)，屬于網(wǎng)絡(luò)公共基礎(chǔ)知識(shí)，這里限于篇幅我們就不做過(guò)多地介紹了。如果您想要搞清楚其中的細(xì)節(jié)，可尋找一些“IP地址和子網(wǎng)掩碼”方面的書(shū)籍或者相關(guān)RFC文檔參考學(xué)習(xí)一下。

經(jīng)過(guò)上面的準(zhǔn)備，只需要在“策略”里面將“源地址”選擇“Sales Group”，其余參數(shù)不變，我們就可以通過(guò)一條策略實(shí)現(xiàn)：一個(gè)包含30個(gè)IP地址“上班時(shí)間只能訪問(wèn)阿里巴巴網(wǎng)站”的目的。界面如下：

5，保存、配置備份和載入
TL-FR5300所有參數(shù)在設(shè)置的時(shí)候，是即時(shí)生效的，但是這個(gè)時(shí)候參數(shù)是沒(méi)有保存的，如果未保存設(shè)備重新啟動(dòng)以后所有配置的參數(shù)都會(huì)丟失，提示您每次階段性完成參數(shù)配置后，在“系統(tǒng)工具”-“保存配置”頁(yè)面對(duì)所有已修改參數(shù)進(jìn)行保存，界面如下圖：

TL-FR5300還有一個(gè)非常有用的功能，就是“配置備份和載入”，在“系統(tǒng)工具”-“配置備份和載入”，功能界面如下圖：

當(dāng)保存了已修改參數(shù)以后，可以通過(guò)點(diǎn)擊上圖紅色標(biāo)注的按鈕“備份配置文件”來(lái)備份當(dāng)前配置，界面如下圖：

點(diǎn)擊“保存”按鈕并選擇保存的路徑，然后保存即可，等到有需要的時(shí)候，可以通過(guò)上面的“載入配置文件”的選項(xiàng)來(lái)完成。

三 關(guān)聯(lián)信息
TL-FR5300的功能，在這里沒(méi)有一一介紹，本文檔前面兩部分只是從總體概念上介紹了TL-FR5300最顯著的功能特點(diǎn)——如何對(duì)內(nèi)網(wǎng)進(jìn)行靈活的管理，但是內(nèi)容還是不夠豐富！針對(duì)這部分我們會(huì)在后面的系列文檔中不斷補(bǔ)充。

上面的幾個(gè)例子中，“策略”的可選“對(duì)象”部分，比如：應(yīng)用、深層檢測(cè)、URL過(guò)濾、NAT轉(zhuǎn)換、認(rèn)證等等，請(qǐng)參考我們的《防火墻應(yīng)用指南》系列文檔之《防火墻應(yīng)用指南——（二）虛擬服務(wù)器的搭建》和《防火墻應(yīng)用指南——（三）企業(yè)典型應(yīng)用》。

對(duì)于TL-FR5300的“日志服務(wù)器”的使用，請(qǐng)參考我們的《防火墻應(yīng)用指南》系列文檔之《防火墻應(yīng)用指南——（四）日志服務(wù)器的安裝與使用》。

對(duì)于TL-FR5300的“攻擊防護(hù)”功能的使用，請(qǐng)參考我們的《防火墻應(yīng)用指南》系列文檔之《防火墻應(yīng)用指南——（五）攻擊防護(hù)實(shí)驗(yàn)演示》。

在本文中，我們舉例的主體是員工張三訪問(wèn)阿里巴巴網(wǎng)站的權(quán)限，建立阿里巴巴這個(gè)IP對(duì)象時(shí)，我們使用“對(duì)象”－“IP對(duì)象”中的“域名” 方式來(lái)實(shí)現(xiàn)的（填入域名時(shí)，TL-FR5300會(huì)自動(dòng)將這個(gè)域名解析成為IP地址，就像在電腦上使用nslookup命令去解析一樣），但是，如果要控制的目的網(wǎng)站是搜狐（sohu）、網(wǎng)易（163）等門(mén)戶網(wǎng)站時(shí)，就不能使用本文的在IP對(duì)象中添加域名的方式去設(shè)置，因?yàn)橄笏押�（sohu）、網(wǎng)易（163）等這類(lèi)門(mén)戶網(wǎng)站所采用的服務(wù)器太多，而且對(duì)應(yīng)了多個(gè)不同的域名，如搜狐（sohu）的新聞叫做news.sohu.com，搜狐（sohu）的體育是sports.sohu.com，沒(méi)有任何前綴的sohu.com又是另外一個(gè)域名，對(duì)應(yīng)著不同的服務(wù)器IP，不像阿里巴巴中文只對(duì)應(yīng)著一個(gè)服務(wù)器和公網(wǎng)IP。這種情況下，我們?nèi)允鞘褂迷贗P對(duì)象中添加一個(gè)www.sohu.com或sohu.com的話，是不能達(dá)到需求的。

總結(jié)：如果您的目的是控制某人不能或能訪問(wèn)什么網(wǎng)站的話，請(qǐng)參考《防火墻應(yīng)用指南（七）――URL過(guò)濾功能使用舉例》，本文旨在告訴我們：設(shè)置一個(gè)策略前需要些什么準(zhǔn)備工作？怎么去設(shè)置一個(gè)策略？怎么結(jié)合多條件去控制員工權(quán)限？（如時(shí)間）