4、基于位置的访问控制

　　在前面的设备特性部分，我们介绍到USG6300系列下一代防火墙可以通过六个维度进行安全管控，其中一个维度就是位置，即管理员可以很方便的以地区为单位创建访问控制策略，带宽管理策略以及审计策略等。

　　地区识别特征库会随着系统软件不定期发布，管理员可以通过手动加载的方式进行更新。

　　当需要对多个地区同时进行控制时，可以创建地区组然后在策略中引用此对象，地区组的成员可以包括预定义地区、自定义地区和嵌套的地区组。

　　5、DLP

　　随着移动化、BYOD技术以及Apps的迅速推广，企业网络架构越来越复杂，网络安全的压力提升到了一个新的台阶。员工在使用互联网的过程中难免会上传或者是发布公司的机密信息至外网，导致公司机密泄露，或者是使用邮件、论坛、微博时对公司造成不好的影响甚至法律风险。华为的USG6300下一代防火墙设备可以保证公司员工正常访问互联网，又能对员工接收和发送的信息内容进行过滤，以达到DLP(数据防泄露)的目的。实现方法非常简单，在定义内容过滤配置前定义关键字组，然后在定义内容过滤配置时引用关键字组。所谓关键字组就是需要过滤的关键字的组合，选择“对象”---“关键字组”，然后单击“新建”，即可配置关键字组，如下图所示：

　　然后，管理员可以根据需要，对应用或者是文件在上传或者是下载方向上针对关键字组进行过滤并采取不同的响应动作。

　　6、VPN配置

　　移动互联网的发展达到了前所未有的规模，在家办公和移动办公被越来越多的企业所接受，VPN给企业提供了一种安全且方便的技术以满足公司员工、客户在企业之外实时安全地访问公司的内部信息和应用程序。展开USG6300设备的菜单，我们可以看到支持多种VPN类型，如IPSEC、L2TP、GRE、DSVPN、SSL VPN等，如下图所示：

　　我们在此将GE1/0/2接口所处的网络规定为VPN 网络，在此需要为此网络定义一个IP地址，172.16.0.1/24，下一步之后，继续配置业务功能，如下图所示：

　　网络扩展功能通过在客户端安装虚拟网卡，从SSL VPN网关获取虚拟IP地址，实现了对所有基于IP的内网业务的全面访问。用户远程访问内网资源就像访问本地局域网一样方便，适用于各种复杂的业务功能。

　　接下来需要为VPN 拔入用户指定IP地址，以及能够访问的内网网络地址，当然最后不要忘记创建安全策略，允许VPN客户拔入到VPN网关，如下图所示:

　　看了上面的操作之后，相信你也可以很快捷的创建一个SSL VPN，使用户能够在企业外部安全、高效的访问企业内部的网络资源。以上只是把USG6300中的几个常用功能做了一个简单配置，但USG6300系统防火墙的功能远不仅如此，限于篇幅，不能详述。