策略限制

　　NIP的策略大类上只分为安全策略和带宽策略两种，然而这种简单的划分并没有影响到功能细分的实现。在实际使用当中，我们才会发现，这种设计方法减少了多少设置方面的工作量。当我们创建一条带宽策略时，需要填入如下图所示的信息。这张表中包含了控制流量所需的所有信息。

　　针对策略的源类型和目的类型，我们可以设定一个接口或多个接口，也可以设置安全区域，如trust、dmz等。在源地址和目的地址区域，我们不仅可以设置IP地址、IP地址范围，也可以简单的勾选地域信息进行限制。华为已经为用户准备了详细的IP地址数据库，针对不同的地理位置，进行了划分和整合，如下图所示:

　　接下来需要对带宽策略设置所针对的服务。服务的概念很好理解，这里就是一组组预定义的端口和协议。如http服务即是TCP的80端口，https2即是TCP的443端口，如下图所示:

　　我们在“对象”→“服务”→“服务”下，可以看到这些服务实际所对应的端口，也可以自己创建服务组，也就是包含了多个服务的集合，方便后期策略的定制，如下图所示:

　　事实上现在的“服务”只能针对传统的业务来进行管控。无论是QQ还是迅雷，亦或是各种游戏，其使用的端口多数都不会唯一且固定。这就造成这项功能实用性大大降低。在这种情况下，一般都是使用上网行为管理设备所常用的，“应用”这个概念来解决的。在NIP中，也存在“应用”的概念，且作用也与上网行为管理设备中的“应用”一致，如下图所示。“应用”包含了常见的分类，多数情况下这种选择已经可以满足我们的需求。