企业允许员工访问Internet,但是出于工作效率的考虑，往往会通过在防火墙上做文章，比如紧张员工上班时间逛某些商城，禁止员工上班时间看电影等等。下面通一个小案例来看看华为防火墙USG6000在应用控制的强大功能吧。

根据以上的图，在ENSP中模拟如下图

图中trust区域中，采用的虚拟机win7系统，并安装好QQ软件和迅雷软件，虚拟机win7网络采用的VMnet1。具体配置如下图

untrust区域配置如下图，不明白这步的小伙伴们可以查阅这篇文章

环境已经准备好了，来说一下，今天实现的效果吧。

1. 通过防火墙应用控制禁止内网用户使用QQ。
2. 通过防火墙限制内网用户使用迅雷下载。

配置思路

1. 配置接口IP地址，并把对应的接口加入的对应的安全区域
2. 配置NAT,使内网的用户能正常上网
3. 通过配置安全策略实现需求。

配置步骤

1、配置接口IP地址，并加入到安全区域中。

[FW1]interface GigabitEthernet 1/0/0
[FW1-GigabitEthernet1/0/0]ip address  192.168.227.254 24
[FW1]firewall zone  trust
[FW1-zone-trust]add interface GigabitEthernet 1/0/0
[FW1]interface GigabitEthernet 1/0/3
[FW1-GigabitEthernet1/0/3]ip address  dhcp-alloc  #配置该接口自动获取IP地址
[FW1]firewall zone untrust 
[FW1-zone-untrust]add  interface GigabitEthernet 1/0/3

2、配置NAT

[FW1]nat address-group natpool 1
[FW1-address-group-natpool]section 192.168.111.115 192.168.111.116
[FW1-policy-nat]rule name ToNAT
[FW1-policy-nat-rule-ToNAT] source-address 192.168.227.0 24
[FW1-policy-nat-rule-ToNAT]destination-zone untrust 
[FW1-policy-nat-rule-ToNAT]action source-nat address-group natpool

3、配置安全策略，使内网用户能正常访问互联网

[FW1]security-policy
[FW1-policy-security]rule name to_Internet
[FW1-policy-security-rule-to_Internet]source-zone trust 
[FW1-policy-security-rule-to_Internet]source-address 192.168.227.0 24
[FW1-policy-security-rule-to_Internet]destination-zone untrust 
[FW1-policy-security-rule-to_Internet]action permit

配置到此，内网的用户能正常通过NAT上外网。

在配置防火墙的时，通常我们是先把安全策略放通全部，然后再根据需求逐步收窄放通的范围。

应用控制禁用QQ

华为USG6000系列防火墙内置了很多应用层的安全规则，可以根据自己的业务需求，进行放通或者禁止，这里我们选用禁用QQ。

新建一个规则名称为forbiddenQQ，源安全区域选择trust，源地址配置为192.168.227.0/24。具体配置如下图

安全策略是有顺序区别的，在刚开始的时候，我们创建了一个放通全部流量，而我们新建forbiddenQQ，在To_Internet规则之下。这样的话forbiddenQQ就不起作用了。需要把forbiddenQQ移动到To_Internet规则之前，如下图，

这样内网的用户就不能使用QQ，可以看到 forbiddenQQ命中有数据，证明数据包匹配了这条规则

应用控制限制P2P流量

根据上述的需要，新建一条限制P2P流量的规则，具体配置如下图，为了演示，我这里限制最多60KB流量。
限制流量之前，利用迅雷下载的速度
启用限制流量之后，利用迅雷下载的速度