四、USG6370防火墙功能

　　1、细粒度的访问控制

　　USG6300系列下一代防火墙可以实现6维管控视角，6000+应用识别的访问控制。下面，我们就要体验一下它的访问控制功能。很多公司都有控制员工访问外网的需求，例如有的公司不允许员工访问游戏网站，有的公司不允许员工使用QQ等即时通讯工具，有的公司禁止员工下载视频文件，还有的公司只允许访问自家的门户网站…..这些需求都可以很轻松的通过防火墙策略中的访问规则来加以实现。既然如此，那我们赶紧来写上几条访问规则测试一下吧。别急，访问规则是由策略元素构成的，我们要想写出访问规则，首先要掌握策略元素，USG6300内置了地址和地址组、域名组、地区和地区组、服务和服务组、用户和用户组、应用和应用组、时间段等多种元素供用户使用，下面咱们就看几个实例：

　　实例：允许人力部门员工在工作时间，禁止QQ聊天。那么这里就用到了多个防火墙元素，如用户、时间、应用等，首先要根据需要创建相应的元素，如用户，我们需要先创建一个HR的用户组，在此组中批量创建用户，如下图所示：

　　用户的认证类型，可以使用“本地认证”或者是“服务器认证”，本地认证指的是由防火墙来认证用户，因此需要在防火墙上创建用户;“服务器认证”表示由认证服务器来认证用户，这里的认证服务器可以是RADIUS服务器、微软的AD服务器、LDAP服务器、SecurID、TSM服务器等主流的认证服务器。

　　在应用和应用组选项卡中，我们可以看到此设备自带大量的应用元素，如下图所示：

　　在这张图中可以看到，共有6015条应用相关的元素，如果不满足用户需要，还可以自定义创建。至于，其他元素操作方法类似。那么接下来就是创建访问规则了：

　　那么，我们让客户以user01身份登录，再次登录QQ进行测试，如下图所示：