[新界面] 如何管控內網主機的上網權限？

上網控制應用介紹

在企業或家庭網絡中，希望針對某一電腦終端設置網絡權限，如控制上網的時間、訪問目標網站等。訪問控制功能可以針對不同終端設置對應上網權限，實現更具針對性、精細化的上網權限管理。

本文詳細指導新界面無線路由器上網控制（行為管理）功能的設置方法。

需求分析

為了說明配置方法，我們舉例介紹，請結合您自身的需要進行設置。

舉例：某小型企業環境，需要經理電腦不受限制，所有員工在工作時間不能上網，非工作時間上網不受限制。根據需求我們只需做以下配置：

對象	時間段	網絡權限
經理	任何時間	可以上網
員工	非工作時間（18:00~24:00）	可以上網
默認：僅允許符合規則的數據上網，其他一律禁止。

注意：實際使用時，家庭或企業、禁止或允許、MAC或IP地址、工作或非工作時間等各類需求不一，本文舉例介紹典型應用的設置方法，您可以參考設置方法和疑問解答。

上網控制設置方法

1.進入設置界面

登錄路由器管理界面，點擊“高級設置”>“上網控制”>“行為管理”，進入設置界面。如下圖：

2.設置經理電腦上網控制規則

在設置界面點擊 “添加”，添加經理電腦的訪問權限。點擊受控主機欄的“配置”。如下圖：

受控主機可以是主機的MAC地址或IP地址，此處添加經理電腦的MAC地址。如下圖：

如何查看終端的MAC地址？

訪問目標即可以訪問的網站地址，您可以結合實際需要填寫訪問目標，本例中經理可以訪問“任意目標”，點擊“使用”。如下圖：

經理可以在任意時間訪問任意網站，所以選擇“任意時間”。如下圖：

添加經理電腦規則完成后，點擊 “保存”。如下圖：

從以上規則可以看出，我們可以針對某臺電腦的MAC地址設置某個時間段允許/禁止訪問特定的目標，請結合您的實際需要進行設置。

3.設置設置員工上網規則

與添加經理上網規則類似，點擊“添加”，設置員工訪問規則。本例中通過員工的IP地址段（所有電腦）控制上網規則。如下圖：

您可以通過IP地址來限制某臺電腦的權限，此處使用IP地址段限制所有員工，如下：

注意：此處IP地址段雖然包含經理的IP地址，但經理的規則在前，所以不沖突。

添加員工在非工作時間可以訪問的目標，本例中員工可以訪問任意目標，如下圖：

添加員工的非工作時間段，如下：

保存配置。配置完成后規則如下：

4.啟用上網控制功能

過濾規則選擇 “僅允許規則列表中的上網行為”（即不符合規則的均不允許通過），“啟用行為管理”。如下圖：

至此，上網控制規則設置完成，經理電腦上網不受限制，員工電腦在工作時間無法上網。

疑問解答

Q1：設置后上網控制不生效，怎么辦？

請檢查受控主機是否是真正的上網終端；確認訪問目標設置正確；確認路由器系統時間已同步且設置的上網時間正確；最后檢查規則啟用且默認規則正確。

Q2：如何限制某電腦/手機不能上網，其他終端都可以？

根據需要，添加針對這臺電腦/手機在任何時間訪問任何目標的規則，默認規則選擇“僅禁止規則列表中的上網行為”。由于禁止了添加的規則，則受控電腦無法上網，其他電腦不受限制。

Q3：如何設置僅允許上某個網站？

可以添加針對某些主機的特定訪問目標，在訪問目標中添加：DNS服務（UDP 53端口）、目標站點的域名關鍵字（比如迅捷網站就是fast）。默認規則選擇僅允許列表規則的行為。

Q4：僅允許和僅禁止的默認規則如何區分？

僅允許列表規則即添加的規則都是允許的，其他不符合規則的行為都禁止。僅禁止列表規則即添加的規則都是禁止的，其他不符合規則的行為都允許通過。

一般情況下，請先計劃好您的實際需要和配置邏輯，然后逐條添加即可。