上網行為管理，是很多企事業單位需要的功能，一來是可以規範上網行為、提高工作效率、便於管理，二來是可以節省有限的帶寬資源。

但是，需要上網行為管理的功能，也未必就一定需要購買專業的行為管理設備，要求不是特別高的情況下，防火牆就能承擔了，下面就以華為USG6330防火牆為例，來簡單介紹一下，上網行為管理功能的配置。

客戶訴求：部分電腦禁止上網，但是要允許Foxmail收發郵件，公司郵箱用的是騰訊企業郵；還要允許QQ、微信和釘釘。

注意，本文默認為防火牆已經配置為所有電腦能上網（兩條鏈路），只是做安全策略的調整，以滿足客戶的要求，其他配置不在本文討論範圍內，需要看防火牆配置上網的過程，可以翻閱筆者以前的文章，不便之處，敬請諒解。

綁定MAC地址

要說客戶的這台防火牆，真是物盡其用，連DHCP Server，都在上面。由於 DHCP的特點，電腦獲取到的IP地址會有不同，所以在配置禁止上網的策略之前，必須先做MAC地址的綁定，否則就會有“錯殺”之虞。

1、打開“DHCP服務器”，點擊“監控”，先找出需要綁定IP的MAC地址

2、還是在“DHCP服務器”中，打開”服務“，點擊接口名稱，然後修改DHCP配置

3、按照 IP地址/MAC 的書寫格式，逐行填寫需要綁定IP地址的MAC地址，完成後點擊確定即可，值得注意的是，如果是多次編輯這個列表，可能會報錯，明明沒有重複地址，會報有重複地址無法添加，這時候需要刪除DHCP服務，重新配置，可能是防火牆軟件的BUG導致的；

新建一個禁止上網的IP地址列表

這個新建的IP地址列表，將會應用於安全策略，以便禁止其上網。

新建安全策略，滿足客戶的行為管理要求

1、新建一條禁止上網的安全策略，源安全區域是trust，代表內網；目的安全區域，選擇untrust，筆者前面為ADSL的寬帶單獨建立了一個安全區域，所以這裡是PppoeUntrust；服務選擇http和https，動作選擇”禁止“以達到禁止上網的目的。完成後，把這條策略置頂，以便生效。

2、剛禁止沒兩分鐘，自己還在驗證效果、還沒來得及做其他配置的時候，就被客戶抗議了：有些專業的網站，他們得查資料用，一旦禁止，簡直沒法工作了。做IT久了，咱們都習慣背鍋了，平復客戶的情緒後，讓他們跟老闆申請，我們得到批准後，會立刻開通相關網站。時間不長，老闆郵件批複了申請，那咱們又有活兒幹了，小事一樁，也就一條策略而已

先新建一個URL分類，把老闆批准的網址輸入進去，還有要允許使用的QQ、微信、釘釘、foxmail的網址也一併放進去