企业路由器应用

企业路由器应用——应用限制

(本文适用于TL-ER6120 V1.0、TL-ER6110 V1.0、TL-R473 V3.0、TL-R483 V3.0、TL-R478 V4.0、TL-R478+ V5.0、TL-WVR300 V1.0)

应用限制即上网行为管理，是指针对常见的应用，通过分析其网络层、传输层、应用层的通讯行为，发现它的通讯特征并实现管控，通俗的理解就是“一键屏蔽”。

本文以TL-ER6120为例来介绍如何实现应用限制功能的配置步骤。

需求介绍

某公司业务部由于需要经常去互联网查找客户资源，对网络访问没有做任何限制，但部分员工经常利用上班时间炒股、QQ聊天、迅雷下载电影，影响了正常工作，并占用了大量的带宽，现需屏蔽业务部QQ、迅雷、炒股、游戏等软件，但保留MSN用户洽谈客户。本文将通过一个实例来展示TL-ER6120的解决方案和配置过程。

业务部IP地址范围为“192.168.1.10-192.168.1.30”

设置步骤：

1、建立用户组：用户管理→组设置，进入“组设置”标签页，输入用户组名称，此处组名称为“业务部”。

2、添加用户：用户管理→用户设置，进入“用户设置”标签页，点击页面右下角“批量处理”，输入业务部IP 地址段，用户名前缀为“业务部”，起始序号为1，步长为1。

3、添加用户至用户组中：用户管理→视图，进入“视图”标签页，组名选择“业务部”，然后在可选用户中将所有用户添加到包含用户中，然后保存。

4、设置应用限制规则：安全管理→应用控制，进入应用限制标签页，启用应用限制功能，用户组选择“业务部”，点击“设置列表”，勾选需要禁止使用的软件。

设置完成，业务部不能使用QQ、迅雷等P2P下载、也不能够进行炒股，游戏以及看视频，但可以正常使用MSN。

限制其他用户组的应用，设置方法相同。没有设置应用限制的用户（用户组），其应用不受限制。

疑问解答：

1、为什么限制迅雷不生效？

迅雷的主要下载方式为P2P下载，限制迅雷通过限制其对资源列表的抓取而实现避免迅雷占用过多带宽资源。但迅雷软件本身作为一个下载工具，如果我们在指定下载内容处直接选择“使用迅雷下载”，那么迅雷

仍然可以下载，这种现象好比我们在网页上选中一个内容点击鼠标右键“目标另存为”，是路由器无法管控的。

2、为什么经过一段时间后其中一些应用突然限制不住了？

随着应用程序的版本的更新，应用程序的特征可能发生变化，就好比一个人改变了容貌，那么路由器有可能无法识别出新的特征导致某个应用限制突然不生效，这种情况是无法避免的。如果您遇到了类似的问题，您可以我们公司的官方网站--“客服中心”--“下载中心”--输入产品型号进行搜索，下载最新日期的“应用数据库文件”，在路由器的管理界面—“安全设置”—“应用限制”—“数据库”页面，升级最新版本的数据库，再次验证该应用是否可以限制。

企业路由器应用——访问控制

(本文适用于TL-ER6120 V1.0、TL-ER6110 V1.0、TL-R473 V3.0、TL-R483 V3.0、TL-R478 V4.0、TL-R478+ V5.0、TL-WVR300 V1.0)

访问控制通过数据包的源IP地址、源端口、目的IP地址、目的端口以及生效时间来控制局域网内的主机对外网的访问权限。

1、访问控制默认策略为“允许”，即“不符合规则的允许通过”。

2、单个IP使用掩码“/32”标识，所有IP使用“0.0.0.0/32”标识。

3、源地址可以采用“IP+掩码”或者”用户组”的方式表示，目的地址可以采用”IP+掩码”的方式来表示，设置时需要将IP地址段转换为“IP地址+子网掩码”方式或者是用户组的方式。

4、控制策略具有方向性，设置允许访问的策略时需考虑发出以及返回的数据是否均可以通过。即需要考虑其生效接口域的选择。

本文以TL-ER6120为例来介绍访问控制的配置步骤。

例：局域网主机A“192.168.1.10”不受限制，主机B“192.168.1.11”仅允许收发电子邮件，用户组

C“192.168.1.20-30”仅允许浏览网页，其余主机所有服务全部禁止。

【分析】：主机A开放其所有端口，主机B仅开放“53”、“25”与“110”端口，用户组C仅开放其“53”与“80”端口，其余主机均禁止。

【设置】：

1、用户组设置

a. 进入”用户管理”界面，点击”组设置”标签，添加组名”用户组C”。

b. 点击”用户设置”标签，点击批量处理，添加IP地址，IP地址范围192.168.1.20-192.168.1.30。用户名为”用户C1-用户C11”

c. 点击”视图”标签，将用户C1-C11全部加入到用户组C中，点击保存。

2、开放所有IP的“53”端口。

生效接口域：ER访问控制为双向检测，即具有方向性，设置内网到外网的策略，则生效接口域应选择“LAN”，外网到内网的策略，生效接口域应选择“WAN”。

注意：必须选择正确的生效接口域，否则所设置规则将不生效。

3、开放主机“192.168.1.10”的所有服务。

4、开放主机“192.168.1.11”收发电子邮件权限

5、开放主机用户组C“192.168.1.20-192.168.1.30”浏览网页权限

6、访问控制缺省策略为“允许”，所以需要再添加一条规则禁止其他服务

规则完成如下图：