深信服实验 | AF做透明部署时，如何对上网数据进行基本的上网管控和防护？

背景：

某企业使用AF做透明部署在办公网出口路由器的内网口处，外网带宽是200Mb/s，已经完成了基本网络配置，eth2口接出口路由器，eth3口接内网交换机，内网电脑已经能正常上网，内网网段是192.168.1.0/24。为了不影响网速，管理员希望内网所有的用户都不能使用P2P应用以及相关的下载工具，单个用户的最大流量不能超过3Mb/s，安全方面需要对所有的上网数据进行基本的上网管控和防护，最后管理员自己的电脑192.168.1.3/24不希望有任何的管控。

分析：

针对这些需求，需要使用应用控制策略禁止内网电脑的P2P应用以及相关的下载工具，使用流控策略来限制最大用户流量，然后在安全策略里面开启用户防护策略，都使用默认模板即可，管理员电脑不受管控也可以直接添加到白名单。

配置步骤：

1、定义内网口和外网口区域，进入【网络/区域】，新增两个区域，如【内网区】选择eth3，【外网区】选择eth2

① 先添加区域

② 编辑物理接口类型，选择区域，因为默认为路由