訪問控制通過數據包的源IP地址、源端口、目的IP地址、目的端口以及生效時間來控制局域網內的主機對外網的訪問權限。

1、訪問控制默認策略為“允許”，即“不符合規則的允許通過”。

2、單個IP使用掩碼“/32”標識，所有IP使用“0.0.0.0/32”標識。

3、源地址與目的地址均采用“IP+掩碼”的方式表示，設置時需要將IP地址段轉換為“IP地址+子網掩碼”方式。

4、控制策略具有方向性，設置允許訪問的策略時需考慮發出以及返回的數據是否均可以通過。

例：局域網主機A“192.168.1.10”不受限制，主機B“192.168.1.11”僅允許收發電子郵件，主機C“192.168.1.12”僅允許瀏覽網頁，其余主機所有服務全部禁止。

【分析】：主機A開放其所有端口，主機B僅開放“53”、“25”與“110”端口，主機C僅開放其“53”與“80”端口，其余主機均禁止。

【設置】：

1、 開放所有IP的“53”端口。

生效接口域：ER訪問控制為雙向檢測，即具有方向性，設置內網到外網的策略，則生效接口域應選擇“LAN”，外網到內網的策略，生效接口域應選擇“WAN”。

注意：必須選擇正確的生效接口域，否則所設置規則將不生效。

2、開放主機“192.168.1.10”的所有服務。

3、開放主機“192.168.1.11”收發電子郵件權限

4、開放主機“192.168.1.12”瀏覽網頁權限

5、訪問控制缺省策略為“允許”，所以需要再添加一條規則禁止其他服務

規則完成如下圖：