根据上图，在ENSP中模拟如下图

图中的trust区域，使用的是虚拟机win7系统，安装了QQ软件和迅雷软件，虚拟机win7网络使用的是VMnet1。具体配置如下图

环境已经准备好了。我们来谈谈今天取得的成果。

通过防火墙应用控制禁止内网用户使用QQ。通过防火墙限制内网用户使用迅雷下载。

配置思路

1. 配置接口IP地址，并将相应接口加入相应的安全区域。

2. 配置NAT，使内网用户可以正常访问Internet。

3、通过配置安全策略来实现需求。

配置步骤

1. 配置接口IP地址，并将其加入安全区域。

[FW1]接口GigabitEthernet 1/0/0[FW1-GigabitEthernet1/0/0]ip地址192.168.227.254 24[FW1]防火墙区域信任[FW1-zone-trust]添加接口GigabitEthernet 1/0/0[FW1]接口GigabitEthernet 1/0/3[FW1-GigabitEthernet1/0/3]ip address dhcp-alloc #配置接口自动获取IP地址[FW1]firewall zone untrust [FW1-zone-untrust]add interface GigabitEthernet 1/0/32、配置NAT

[FW1]nat 地址组natpool 1[FW1-address-group-natpool]段192.168.111.115 192.168.111.116[FW1-policy-nat]规则名称ToNAT[FW1-policy-nat-rule-ToNAT] 源地址192.168 .227.0 24[FW1-policy-nat-rule-ToNAT]目标区域不信任[FW1-policy-nat-rule-ToNAT]操作源nat 地址组natpool3。配置安全策略，使内网用户能够正常访问Internet。

[FW1]安全策略[FW1-policy-security]规则名称to_Internet[FW1-policy-security-rule-to_Internet]源区域信任[FW1-policy-security-rule-to_Internet]源地址192.168.227.0 24[现已配置FW1-policy-security-rule-to_Internet]destination-zone untrust [FW1-policy-security-rule-to_Internet]action allowed，内网用户可以通过NAT正常访问外网。

在配置防火墙时，我们通常会先允许所有安全策略，然后根据需要逐步缩小范围。

应用控制禁用QQ

华为USG6000系列防火墙内置了很多应用层安全规则，可以根据您的业务需求允许或禁止。这里我们选择禁用QQ。

新建一条名为forbiddenQQ的规则，源安全区域选择trust，源地址配置为192.168.227.0/24。具体配置如下图

安全策略按顺序是有区别的。一开始，我们创建一个允许所有流量，并在To_Internet规则下创建forbiddenQQ。在这种情况下，forbiddenQQ 将不起作用。需要将forbiddenQQ移到To_Internet规则之前，如下图，

这样内网用户就无法使用QQ了。可以看到forbiddenQQ命中了数据，证明数据包符合这条规则。

应用控制限制P2P流量

根据上述需求，新建一条规则，限制P2P流量。具体配置如下图所示。为了演示，我将最大流量限制为60KB。

限制流量之前，先利用迅雷下载速度

限制流量之前，先利用迅雷下载速度

启用流量限制后，使用迅雷下载速度