一、组网需求

内网用户只允许登录QQ，QQ空间和QQ邮箱，禁止其他所有应用

 

二、配置要点

1、对于同时涉及到应用控制和网页访问控制，需要先对控制的内容做区分。HTTP类通过网站配置网站白名单方式放行

2、通过行为高级策略进行配置，通常先配置应用控制策略将可能涉及的应用放行

3、配置前请将特征库和URL库更新到最新

      

三、配置步骤

1、在行为策略高级配置中配置阻断策略，相关应用不勾选，对于本例相关不阻断的应用组要有：

腾讯QQ、QQ空间、QQ邮箱、QQ空间_Mobile、QQ_Mobile、QQ空间_Mobile、QQ邮箱_Android、普通网页浏览、普通网页浏览明细，先放行与网页相关的应用，再通过网站访问策略进行配置

注意：为了减少可能对网络的影响，通常将网络运行相关的应用放行，对应的应用组主要有：网络管理协议、路由协议、安全协议、IP-RAW、RFC；

 

2、配置一条将所有网站访问阻断的策略

 

3、将相关应用涉及到的URL地址放行，URL放行时是支持通配的，为了减少误阻断的可能性，可以只配置URL地址的一部分，如本例配置放行的地址有：mail.qq.com,qzone.qq.com，

  

注意：放行网站时，网页页面中可能还包含其他非地址栏显示的URL地址，如访问空间主页时，发现部分图片显示不完整。这时可以通过抓包

查看哪些跟QQ空间相关的页面被阻断了，将这些页面地址也放行。由设备阻断时，可以看到应答页面里头有“Forbidden”关键字，可以使用抓包

工具的检索功能查找到哪些是被设备阻断的数据流

如果不习惯使用抓包也可以使用httpwatch,此工具为免费软件可以直接在百度搜索下载，下载后在电脑上安装，并启此软件，网关上先不做控制，只打开需要放行的网站查看有使用了那些URL，把相关关键字放通；

1)、安装完工具后，打开IE浏览器点击工具，开启httpwath工具；

2)、如下记录访问mail.qq.com所有的url链接细节；

3)、如下图可以看到访问QQ邮箱有非常的多链接，只有把这些链接中的关键字都放通了，QQ邮件才能正常打开和使用；

所以我们只放通了mail.qq.com肯定是不行的，还需放通如ptlogin2.qq.com等，这里只是举例，具体需要根据实际情况添加放通的关键字；

 

4、 关联用户

 

四、配置验证

使用手机和PC验证，QQ可以正常使用，QQ空间和QQ邮箱可以正常使用

 

 

五、注意问题

要实现此需求比较复杂，需要有耐心收集完整的URL关键字放通，如果网站连接有些细节发生变，还需要重新收集后修改配置，一般不建议这么配置;