新上市的TL-FR5300防火墻產品，主要有兩大功能特點：“攻擊防護”和“策略”。它還有其他很多功能，在這篇文檔里，我們將側重表述“策略”這一塊，其他功能我們另有專門的表述文檔。當您在看這篇文檔之前，我們希望您能夠先了解一下TL-FR5300的《用戶手冊》，對TL-FR5300使用過程中涉及的諸多概念有一定的了解。

一般情況下用戶購買了TL-FR5300，將其置于本單位網絡的出口處，作為內部網絡所有主機登錄互聯網的網關設備，內網主機所有去往互聯網的數據都需要流經TL-FR5300，我們對TL-FR5300進行適當配置，就可以對內網主機的上網操作進行靈活的管理。

TL-FR5300處于整個內部網絡的出口，默認內部網絡（LAN）和外部互聯網（WAN）是互通的，但建議將這一條默認策略刪除。當內部網絡中某一部分主機需要某上網權限時，網絡管理員只需要在TL-FR5300上面給這一部分主機打開相應的上網權限，當內部網絡另一部分主機需要另外的上網權限時，管理員只需要在TL-FR5300上打開另一部分上網權限即可。這就是我們配置TL-FR5300這款防火墻產品時候的基本指導思想——“有需求才開放”。

在使用TL-FR5300的過程中，為了順利實施上面“有需求才開放”的思想，我們極力建議您的網絡是經過規劃的——特別是“IP地址”這一部分，因為“IP地址”是互聯網中每臺主機標示自己的唯一標志，TL-FR5300也是通過“IP地址”實現對主機權限的控制。具體地說，網絡里具備相同網絡權限的主機應該從屬于一個組，適應不同網絡權限的主機從屬于不同的組，而我們在規劃“IP地址”的時候，既要考慮現有各個組的規模，也要考慮到以后網絡的增長，不同網絡權限的主機組使用不同的IP地址段，比如下面不同的組使用不同IP地址段：

管理團隊：192.168.1.1～192.168.1.30(192.168.1.0/27)
市場部門：192.168.1.65～192.168.1.94(192.168.1.64/27)
銷售部門：192.168.1.129～192.168.1.158(192.168.1.128/27)

當配置TL-FR5300時給不同的IP地址段不同的網絡權限，那么網絡中某臺主機使用了什么IP地址就具備了什么網絡權限，這就是網絡經過規劃的好處：

上班時間限制內部網絡某臺主機只能登錄互聯網某個網站服務器。

要實現上面的目的，網絡管理員通過設置TL-FR5300的“策略”，將上面這個想要實現的目的體現出來就可以。在這條“策略/規則”設置的過程當中，“內網某主機、互聯網某網站服務器、可以登錄”這些都屬于“策略/規則”的基本組成部分，“上班時間”屬于“策略/規則”的可選組成部分。

“策略”可分為基本組成部分和可選組成部分。基本組成部分有：信息流的方向、信息流的源地址、信息流的目的地址、禁止/允許通過。可選組成部分有：時間、安全認證、流量控制、深層檢測、日志等。

在TL-FR5300里面將“策略”的組成部分稱之為“對象”，當需要設置一條“策略”的時候，要考慮一下即將設置的“策略”都包含哪些“對象”？TL-FR5300有專門用于定義“對象”的配置界面，比如策略里面涉及“上班時間”，那么配置策略之前，要先在“對象”-“時間表”里面將“上班時間”體現出來，然后在“策略”配置過程中引用先設定好的“上班時間”這個“對象”，那么這樣設置的“策略”才能在“上班時間”生效。簡單的說這就是“策略”和“對象”的關系。可以說多個不同的“對象”通過組合最后生成了一條“策略”。

TL-FR5300的“策略”可由如下可選“對象”組成：IP地址、IP地址組、服務、服務組、動作、時間表、應用、深層檢測、網絡地址轉換、用戶認證、QoS控制、URL過濾、日志。

二 舉例以及說明
下面我們通過一些簡單的“策略”設置過程，來詳細地描述“策略”和“對象”是一個怎樣的關系？它們是怎樣使用的？
1,銷售部員工張三只能登錄阿里巴巴網站。
分析：通過設置TL-FR5300的“策略”實現上面的目的，這條“策略”包含的“對象”有：張三（使用的IP地址）、阿里巴巴（網站服務器IP地址）、可以登錄（網站）。
設置：設置過程分兩部分，分別是設置“對象”和“策略”，設置“對象”是為了“策略”引用它，設置“策略”是為了最終實現我們的限制目的。

如上圖選擇了“對象”-“IP地址”，設置界面如下圖：

如上圖要在“區域”選擇LAN ，因為張三處于公司內網也就是TL-FR5300定義的LAN區域，選擇后點擊“新增”按鈕，界面如下圖：

如上圖：
“IP地址名字”建議具備可讀性，張三是銷售部員工，這里取為“Sales – 張三”。
“說明”是對本IP地址的簡單解釋說明。給張三配置的IP地址為 192.168.1.129 。
“子網掩碼”填為32表示這里是單個IP地址。
設置完后點擊確定按鈕返回上一級界面如下圖：

在“對象”里設置完了張三的IP地址后，還需要設置阿里巴巴網站的IP地址，通過PING阿里巴巴中文網站的域名www.alibaba.com.cn我們可以得到網站服務器對應的IP地址是61.129.44.1 ，因為阿里巴巴網站在外部互聯網上，也就是TL-FR5300定義的WAN區域，所以這次新增IP地址的時候一定要先選擇WAN區域，然后新增，界面如下圖：

或者不設置服務器的IP地址而直接填入阿里巴巴中文網站域名也可以，如下圖：

點擊“確定”按鈕后返回上一級頁面，選擇“區域”為所有，并點擊“顯示”按鈕，可以看到剛才分別在LAN和WAN區域新增的兩個IP地址對象，如下圖：

準備好了“對象”以后，我們就可以在“策略”里面進行配置了！因為本策略描述的對象，是張三的電腦主動向阿里巴巴網站發起連接，所以在設置策略的時候一定要注意“區域”的選擇是從LAN——>WAN這個方向，配置界面如下：

上圖是一個復合的圖片：

“策略名”建議具備一定的可讀性，便于日常維護！

“源地址”引用IP地址對象里張三的IP地址。

“目的地址”引用IP地址對象里阿里巴巴網站服務器IP地址。

“服務”粉紅色勾勒的服務這一行后面的“復選”按鈕，點擊后彈出下半部分界面，選擇了兩種服務分別是DNS和HTTP，因為訪問阿里巴巴網站前電腦先要聯系互聯網DNS服務器解析阿里巴巴網站域名對應的IP地址，然后才向這個服務器IP地址發起HTTP請求，也就是登錄網站的過程，選擇好服務以后點擊“確定”按鈕，有關“服務”的詳細描述，請參考我們的《防火墻應用指南》系列文檔之《防火墻應用指南（二）——虛擬服務器的搭建》。

返回策略設置界面如下圖：

如上圖，策略設置界面的所有“對象”中，只涉及到了基本組成部分也就是紅線勾勒的部分，其他可選組成部分的對象都沒有涉及，改動后點擊確定，返回上一級配置界面，如下圖：

就是這樣，想要實現“銷售部員工張三只能登錄阿里巴巴網站”這樣目的，通過上面這個設置過程就完成了。看起來篇幅很長，其實熟練設置的時候所需時間是很短的！

2，銷售部員工張三上班時間只能登錄阿里巴巴網站。
這第2個例子我們在第一個例子的基礎上，增加了“上班時間”這個對象，那么是怎樣實現這個目的呢？

分析：按照在第1個例子中的分析，只要再加上“對象”-“時間表”里面再加入上班時間段就可以了。設置策略的時候，除了第1個例子里面改動的“對象”以外，再多改動一個“時間表”的參數就可以了。

設置：增加時間表“對象”，在TL-FR5300設置界面“對象”-“時間表”里面，新增時間表如下圖：

“時間表名”和“說明”：具備可讀性，便于日常維護管理。

“多次”和“單次”：多次表示時間是循環生效的，本周適用下周仍然適用。單次是在開始日期和結束日期這一段時間內一次性生效，超出這個時間段的則不能生效。這里“多次”和“單次”采用了復選框的方式，表示可以同時兩項都選擇，或者每次選擇其中一種方式。注意：如果“多次”和“單次”都選中，則它們的關系是“或”的關系。也就是說，時間表生效時間在“多次”定義的時間段內或者“單次”定義的時間段內。它們是“并集”的關系，而不是“交集”的關系，不可理解為“在單次定義的時間段內的每周一至周六”！

要確保“時間表”這個對象能夠生效，有個地方需要注意，就是TL-FR5300配置選項里面的“系統工具”—“時間設置”，配置界面如下：

上圖中的紅色文字已經進行了強調，想要時間表生效，必須從互聯網上獲取標準的GMT時間或者直接指定一個當前時間。設置好時間后TL-FR5300會一直保存時間，不會因為設備斷電而時間失效。

好了，上面添加了“時間表”這個對象，然后我們直接在“策略”里面找到剛才設置的從LAN—>WAN的策略，并重新編輯它，如下圖：

如上圖，在原有策略基礎上“時間表”這個對象里面選擇了“上班時間”，然后確定就可以了！這樣就實現了“銷售部員工張三上班時間只能登錄阿里巴巴網站”，過程很簡單。

3，銷售部員工張三和李四上班時間只能登錄阿里巴巴網站。
分析：上面的例子中，兩次配置“策略”引用“源地址”這個對象的時候，都只是引用了張三的IP地址，這次還要再多引用一個銷售部員工李四，那只要在TL-FR5300的“對象”-“IP地址”里面將李四的IP地址也設置好，就可以引用了。
配置：如下圖在“對象”-“IP地址”里面新增銷售部員工李四的IP地址：

一定要注意新增的李四的IP地址要選在LAN這個區域！然后點擊“新增”按鈕，如下圖：

設定完之后點擊“確定”按鈕就可以了。在TL-FR5300的“對象”里面有個“IP地址組”，就是將已設定的具備相同屬性的“IP地址”歸并為一組，比如這里將“Sales – 張三”和“Sales – 李四”歸并為一組命名為“Sales”，這樣在配置“策略”時候引用“源地址”可以不必張三李四分別引用兩次，只需要引用一次“Sales”組就可以了。“IP地址組”設置如下圖：

如上圖注意新增的區域是“LAN”，具體配置界面如下：

“組名”為Sales 。
“說明”為sales group表示銷售部。
從“備選”里面選擇特定對象添加到“已選”框內，“確定”完成配置，返回上一級頁面。

如上圖看到IP地址組里面多了一個Sales組，包含成員“李四”、“張三”。有了上面這些準備，開始修改前面的“策略”，如下圖：

“策略名”進行了更改，將以前的Sales – zhangsan – alibaba 改為現在的Sales – alibaba 。
“源地址”由張三的IP改為銷售IP地址組Sales 。
其他對象保持之前的狀態不變即可，最后點擊“確定”按鈕即完成了配置，如下圖：

可以看到從LAN到WAN的策略里，ID為3的策略正是我們剛剛完成的。

以后如果銷售部增加新員工王五，分配了IP為192.168.1.131 ，上網權限和張三、李四都是一樣，那只需要在“對象”-“IP地址”里面新增王五的IP地址，然后將新增的王五的IP地址添加到“IP地址組”-Sales這個組里面，不需要改動策略，那么王五的網絡權限就和前面幾位員工的相同了。

4，銷售部員工上班時間只能登錄阿里巴巴網站。
分析：前面我們舉了3個例子，來說明一條簡單的策略如何設置？我們發現，每次銷售部新增員工，都需要網絡管理員在“對象”-“IP地址”里面新增，然后再將新增的IP地址歸并到“IP地址組”里Sales的小組，這樣的過程比較麻煩！有沒有更快捷的設置方式？

當然有了！一開始我們就倡導如果使用TL-FR5300我們極力推薦您的網絡先做好規劃，比如網絡管理員按照現有情況以及今后一段時間內的網絡增長預期，將IP地址段192.168.1.129 – 192.168.1.159預留分配給銷售部員工使用，銷售部員工的網絡權限都是相同的。

前面設置的策略里，“源地址”曾單獨選擇過“Sales – 張三”和包含張三李四的“Sales”,如果我們將Sales這個組一開始就定義成包含192.168.1.129 – 192.168.1.159 這一段IP地址，然后在“策略”設置的時候“源地址”引用“Sales”，這樣配置一條策略相當于一次配置了192.168.1.129 – 192.168.1.159這30個IP地址，都是“上班時間只能登錄阿里巴巴網站”的權限。接下來當然是將已設置的IP地址單獨分配給張三、李四、王五使用，等以后趙六加入了銷售部，網絡管理員不用改動TL-FR5300的配置，只需要告訴趙六使用192.168.1.132這個IP地址就可以了，這樣將網絡預先進行一定的規劃，然后配置網絡設備可以收到事半功倍的效果。

配置：就上面的分析，我們進行如下的配置即可快速實現。如下圖在TL-FR5300的“對象”-“IP地址”里面，在LAN區域新增IP地址參數：

單擊“確定”按鈕后返回上一級設置界面，如下圖：

如上圖紅線勾勒，對比“Sales – 張三”和“Sales Group”的圖標，“Sales – 張三”的圖標是單臺電腦表示只包含1個IP，而“Sales Group”是多臺重疊的圖標，表示一個IP地址段，這個IP地址段的網段地址是192.168.1.128 ，網段內可用IP地址范圍是192.168.1.129 – 192.168.1.158總共包含30個可用的IP地址 ,這個段的廣播地址是192.168.1.159 。

上面設置的過程中，因為采用了“變長子網掩碼”的方法——即將默認的24位子網掩碼加長到27位，所以取得了一條設置表示一段IP地址的結果。

如果在配置的過程當中，填入的不是192.168.1.128/27而是默認的192.168.1.128/24 ，這樣設置在TL-FR5300里面也是允許的，這樣設置的結果和填入192.168.1.0/24的結果是相同的，就是產生了一個192.168.1.1 – 192.168.1.254的可用IP地址段。因為我們這里舉例網絡規劃的時候并沒有給銷售部254個IP地址，而是給了30個IP地址，所以我們填入的子網掩碼不是24而是27 。

對于192.168.1.128/24和192.168.1.128/27表示的IP地址范圍不同這樣一個事實，屬于網絡公共基礎知識，這里限于篇幅我們就不做過多地介紹了。如果您想要搞清楚其中的細節，可尋找一些“IP地址和子網掩碼”方面的書籍或者相關RFC文檔參考學習一下。

經過上面的準備，只需要在“策略”里面將“源地址”選擇“Sales Group”，其余參數不變，我們就可以通過一條策略實現：一個包含30個IP地址“上班時間只能訪問阿里巴巴網站”的目的。界面如下：

5，保存、配置備份和載入
TL-FR5300所有參數在設置的時候，是即時生效的，但是這個時候參數是沒有保存的，如果未保存設備重新啟動以后所有配置的參數都會丟失，提示您每次階段性完成參數配置后，在“系統工具”-“保存配置”頁面對所有已修改參數進行保存，界面如下圖：

TL-FR5300還有一個非常有用的功能，就是“配置備份和載入”，在“系統工具”-“配置備份和載入”，功能界面如下圖：

當保存了已修改參數以后，可以通過點擊上圖紅色標注的按鈕“備份配置文件”來備份當前配置，界面如下圖：

點擊“保存”按鈕并選擇保存的路徑，然后保存即可，等到有需要的時候，可以通過上面的“載入配置文件”的選項來完成。

三 關聯信息
TL-FR5300的功能，在這里沒有一一介紹，本文檔前面兩部分只是從總體概念上介紹了TL-FR5300最顯著的功能特點——如何對內網進行靈活的管理，但是內容還是不夠豐富！針對這部分我們會在后面的系列文檔中不斷補充。

上面的幾個例子中，“策略”的可選“對象”部分，比如：應用、深層檢測、URL過濾、NAT轉換、認證等等，請參考我們的《防火墻應用指南》系列文檔之《防火墻應用指南——（二）虛擬服務器的搭建》和《防火墻應用指南——（三）企業典型應用》。

對于TL-FR5300的“日志服務器”的使用，請參考我們的《防火墻應用指南》系列文檔之《防火墻應用指南——（四）日志服務器的安裝與使用》。

對于TL-FR5300的“攻擊防護”功能的使用，請參考我們的《防火墻應用指南》系列文檔之《防火墻應用指南——（五）攻擊防護實驗演示》。

在本文中，我們舉例的主體是員工張三訪問阿里巴巴網站的權限，建立阿里巴巴這個IP對象時，我們使用“對象”－“IP對象”中的“域名” 方式來實現的（填入域名時，TL-FR5300會自動將這個域名解析成為IP地址，就像在電腦上使用nslookup命令去解析一樣），但是，如果要控制的目的網站是搜狐（sohu）、網易（163）等門戶網站時，就不能使用本文的在IP對象中添加域名的方式去設置，因為象搜狐（sohu）、網易（163）等這類門戶網站所采用的服務器太多，而且對應了多個不同的域名，如搜狐（sohu）的新聞叫做news.sohu.com，搜狐（sohu）的體育是sports.sohu.com，沒有任何前綴的sohu.com又是另外一個域名，對應著不同的服務器IP，不像阿里巴巴中文只對應著一個服務器和公網IP。這種情況下，我們仍是使用在IP對象中添加一個www.sohu.com或sohu.com的話，是不能達到需求的。

總結：如果您的目的是控制某人不能或能訪問什么網站的話，請參考《防火墻應用指南（七）――URL過濾功能使用舉例》，本文旨在告訴我們：設置一個策略前需要些什么準備工作？怎么去設置一個策略？怎么結合多條件去控制員工權限？（如時間）