ACL访问控制列表配置要点

1、ACL的使用ACL的处理过程：1 .它是判断语句，只有两种结果，要么是拒绝（deny）,要么是允许（permit）2 .语句顺序按照由上而下的顺序处理列表中的语句3 .语句排序处理时，不匹配规则就一直向下查找，一旦某条语句匹配，后续语句不再处理。4 .隐含拒绝如果所有语句执行完毕没有匹配条目默认丢弃数据包，在控制列表的末尾有一条默认拒绝所有的语句，是隐藏的（deny）要点：1 .ACL能执行两个操作：允许或拒绝。语句自上而下执行。一旦发现匹配，后续语句就不再 进行处理-因此先后顺序很重要。如果没有找到匹配，ACL末尾不可见的隐含拒绝语句将丢弃分组。一个 ACL应该至少有一条permit语句；否

2、则所有流量都会丢弃，因为每个ACL末尾都有隐藏的隐含拒绝语句。2 .如果在语句结尾增加 deny any的话可以看到拒绝记录3 .Cisco ACL有两种类型一种是标准另一种是扩展，使用方式习惯不同也有两种方式一种是编号方式，另一种是命名方式。示例： 编号方式标准的ACL使用199以及13001999之间的数字作为表号，扩展的 ACL使用100 199以及20002699之间的数字作为表号 一、标准（标准ACL可以阻止来自某一网络的所有通信流量，或者允许来自某一特定网络的所有通信流量，或者拒绝某一协议簇（比如IP）的所有通信流量。）允许22通过，其他主机禁止deny ho

3、st 22 permit anyCisco-3750（config）#access-list 1 （策略编号）（1-99、1300-1999） permit host 22 禁止22通过,其他主机允许Cisco-3750(config)#access-list 1Cisco-3750(config)#access-list 1允许/24通过，其他主机禁止Cisco-3750(config)#access-list 1 permit 54 (反码 255.255.255.

4、255 减去子网 掩码，如 /24 的 55=55)禁止/24通过 淇他主机允许Cisco-3750(config)#access-list 1 deny 54Cisco-3750(config)#access-list 1 permit any二、扩展（扩展ACL比标准ACL提供了更广泛的控制范围。例如，网络管理员如果希望做到“允许外来的 Web通信流量通过，拒绝外来的FTP和Telnet等通信流量”，那么，他可以使用扩展ACL来达到目的，标准

5、ACL不能控制这么精确。）允许22访问任何主机 80端口，其他主机禁止Cisco-3750（config）#access-list 100 permit tcp host 1,22 （源） any （目标）I eq www允许所有主机访问22主机telnet (23)端口其他禁止Cisco-3750(config)#access-list 100 (100-199、2000-2699) permit tcp any host 22 eq 23接口应用(入方向)(所有ACL只有应用到接口上才能起作用)Cisco-

6、3750(config)#int g1/0/1Cisco-3750(config-if)#ip access-group 1 in (出方向 out)命名方式一、 标准建立标准 ACL命名为test、允许22通过，禁止 23通过，其他主机禁Cisco-3750(config)#ip access-list standard testCisco-3750(config-std-nacl)#permit host 22Cisco-3750(config-std-nacl)#deny host 23建立标准 AC

7、L命名为test、禁止23通过，允许其他所有主机。Cisco-3750(config)#ip access-list standard testCisco-3750(config-std-nacl)#deny host 23Cisco-3750(config-std-nacl)#permit any二、扩展建立扩展ACL命名为test1,允许22访问所有主机80端口，其他所有主机禁止Cisco-3750(config)#ip access-list extended test1Cisco-3750(config-ext-nacl

8、)#permit tcp host 22 any eq www 建立扩展 ACL命名为test1,禁止所有主机访问 22主机telnet (23)端口，但允 许访问其他端口Cisco-3750(config)#ip access-list extended testlCisco-3750(config-ext-nacl)#deny tcp any host 22 eq 23Cisco-3750(config-ext-nacl)#permit tcp any any接口应用(入方向)(所有ACL只有应用到接口上才能起作用)Cisc

9、o-3750(config)#int g1/0/1Cisco-3750(config-if)#ip access-group test in (出方向 out)接口应用原则标准ACL.,的应用靠近目标地址扩展ACL,的应用靠近源地址网上资料:Cisco ACL原理及配置详解什么是ACL?访问控制列表简称为 ACL,访问控制列表使用包过滤技术， 在路由器上读取第三层及第 四层包头中的信息如源地址，目的地址， 源端口，目的端口等， 根据预先定义好的规则对包 进行过滤，从而达到访问控制的目的。 该技术初期仅在路由器上支持， 近些年来已经扩展到 三层交换机，部分最新的二层交换机也开始提供 ACL的支持

10、了。访问控制列表使用原则由于ACL涉及的配置命令很灵活，功能也很强大，所以我们不能只通过一个小小的例子 就完全掌握全部ACL的配置。在介绍例子前为大家将 ACL设置原则罗列出来，方便各位读者 更好的消化ACL知识。、1 .访问控制列表的列表号指出了是那种协议的访问控制列表，各种协议有自己的访问控制列表，而每个协议的访问控制列表又分为标准访问控制列表和扩展访问控制列表，通过访问控制列表的列表号区别。2 .访问控制列表的语句顺讯决定了对数据包的控制顺序。3 .限制性语句应该放在访问控制列表的首行。把限制性语句放在访问控制列表的首行或者语句中靠近前面的位置上，把“全部允许”或者“全部拒绝”这样的语句

11、放在末行或者接 近末行，可以防止出现诸如本该拒绝的数据包却被放过的情况。4 .最小特权原则只给受控对象完成任务所必须的最小的权限。也就是说被控制的总规则是各个规则的交集，只满足部分条件的是不容许通过规则的。5 .新的表项只能被添加到访问控制列表的末尾，这意味着不可能改变已有访问控制列表的功能。如果必须改变，只能先删除原有访问控制列表，再重新创建、应用。6 .在访问控制列表应用到接口之前，一定要先建立访问控制列表。首先在全局模式下建 立访问控制列表，然后把它应用在接口的进口或者出口方向上。在接口上应用一个不存在的访问控制列表是不可能的。7 .访问控制列表的语句不肯能被逐条的删除，只能一次性删除整

12、个访问控制列表。8 .在访问控制列表的最后有一条隐含的“全部拒绝”的命令，所以在访问控制列表里一 定要至少有一条“允许”的语句。9 .访问控制列表智能过滤通过路由器的数据包，不能过滤从路由器本身发出的数据包。10 在路由选择进行以前，应用在接口进入方向的访问控制列表起作用。11 .在路由选择决定以后，应用在接口离开方向的访问控制列表起作用12 .最靠近受控对象原则所有的网络层访问权限控制。 也就是说在检查规则时是采用自上而下在ACL中一条条检测的，只要发现符合条件了就立刻转发，而不继续检测下面的ACL语句。13 .默认丢弃原则在CISCO路由交换设备中默认最后一句为 ACL中加入了 DENY

13、ANY ANY,也就是丢弃所 有不符合条件的数据包。这一点要特别注意，虽然我们可以修改这个默认，但未改前一定要 引起重视。由于ACL是使用包过滤技术来实现的，过滤的依据又仅仅只是第三层和第四层包头中的 部分信息，这种技术具有一些固有的局限性，如无法识别到具体的人， 无法识别到应用内部的权限级别等。因此，要达到端到端的权限控制目的，需要和系统级及应用级的访问权限控制结合使用。一.标准访问列表：访问控制列表ACL分很多种，不同场合应用不同种类的 ACL其中最简单的就是标准访 问控制列表，标准访问控制列表是通过使用IP包中的源网络、子网或主机的IP地址进行过滤，使用的访问控制列表号1到99来创建相应

14、的 ACL标准访问控制列表只能检查数据包的原地址，使用的局限性大，但是配置简单，是最简单的ACL它的具体格式如下：access-list ACL号permit|deny host ip 地址例如：access-list 10 deny host 这句命令是将所有来自地址的数据包丢弃。当然我们也可以用网段来表示，对某个网段进行过滤。命令如下：access-list 10 deny 55通过上面的配置将来自 /24的所有计算机数据包进行过滤丢弃。为什么后头 的子网掩码表示的是 55呢

15、企是因为CISCO规定在ACL中用反向掩玛表示子网掩码， 反向掩码为55的代表他的子网掩码为 。(1)通配符any为表示任何IP地址通过，网络管理员输入 ;然后，还要指出访问控制列表将要 忽略的任何值，相应的通配符掩码位是“1 “(55).此时，网络管理员可以使用缩写字 “ any” 代替 55例如：Router(config)#access-list 1 permit 55等于 Router(config)#access-list

16、 1 permit any(2)通配符 host若网络管理员想要与整个IP主机地址的所有位相匹配，可以使用缩写字“host”。在访问控制列表拒绝一个特定的主机地址时，为了表示这个主机IP地址，网络管理员要输入全部的地址，相应的通配符掩码全为0.例如：Router(config)#access-list 1 deny 9 等于 Router(config)#access-list 1 deny host 9小提示：对于标准访问控制列表来说，默认的命令是 HOST也就是说access-list 10 deny表示的

17、是拒绝这台主机数据包通讯，可以省去我们输入host命令。标准访问控制列表实例一(只允许某个 IP地址，否定其它的)我们采用如图所示的网络结构。路由器连接了二个网段，分别为/24,/24。在/24网段中有一台服务器提供WWW 服务，IP地址为3。实例1:禁止/24网段中除3这台计算机访问/24的计算 机。3 可以正常访问 /24。路由器配置命令：Router (config) #access-li

18、st 1 permit host 3 设置 ACL,容许 3 的数据包通过( 定义访问控制歹U表命令：Router (config) #access-list access-list-number permit|denytest-condition)Router (config) #access-list 1 deny any 设置ACL阻止其他一切 IP地址进行通讯传输。Router (config) #interface e 1 / 进入 E1 端口。Router (config) #ip access-group 1 in / 将 ACL 1 宣告

19、(访问控制歹U表应用至U某端口上的命令：Router (config) #ip access-group access-list-number in|out经过设置后E1端口就只容许来自3这个IP地址的数据包传输出去了。来自其他IP地址的数据包都无法通过E1传输。小提示：由于CISCCB认添加了 DENY ANY勺语句在每个 ACL中，所以上面的access-list 1 deny any这句命令可以省略。另外在路由器连接网络不多的情况下也可以在E0端口使用ipaccess-group 1 out命令来宣告，宣告结果和上面最后两句命令效果一样。通常ACL被应用在出站接口比应

20、用在入站接口效率要高，因此大多把它应用在出站接口。标准访问控制列表实例二(否定其中一个IP地址，其它的都允许访问)配置任务：禁止 3这个计算机对 /24网段的访问，而 /24 中的其他计算机可以正常访问。路由器配置命令：Router (config) #access-list 1 deny host 3 设置 ACL,禁止 3 的数据包 通过Router (config) #access-list 1 permit any 设置ACL ,容许其他地址的计算机进行通讯Router ( config

21、) #interface e 1 / 进入 E1 端口Router ( config) #ip access-group 1 in 将 ACL1 宣告(同理可以进入 E0端口后使用ip access-group 1 out来完成宣告。)配置完毕后除了3其他IP地址都可以通过路由器正常通讯，传输数据包。标准访问控制列表实例三(允许一个网络范围内的IP地址访问)配置允许源地址为/子网上的主机登陆路由器Router(config)#access-list 1 permit 55 / 访问控制列表允许

22、网段的主机访问(55是采用子网掩码的反码)Router(config)#_ /路由器处于全局配置模式配置应用接口：Router(config)#line vty 0 5 /是最大允许 5 个人同时 telnet Router 登陆(vty是虚拟终端的意思，参见： VTY)Router(config-line)#access-class 1 in /将条件施加在虚拟终端线路上，配置在路由器的进口处，将ACL1宣告（用access-class 将访问控制列表施加于 VTY线路，或 WEBH 口 , access-group 则施加到接口）在特权模式下，查看访问

23、控制列表配置信息：Router #show configuration !Access-list 1 permit 55!line vty 0 5access-class 1 in标准访问控制列表实例四(允许几个 IP地址访问)配置只允许源地址为和的两台主机登陆路由器Router(config)#access-list 10 permit 访问控制列表允许IP 地址为的主机访问Router(config)#access-list 10 permit 192.168

24、.10.2 / 访问控制列表允许 IP 地址为 的主机访问Router(config)#_ access-list 10 deny any / 其它主机都不允许访问 _ 配置应用接口:Router(config)#line vty 0 5 /是最大允许 5 个人同时 telnet Router 登陆(vty是虚拟终端的意思，参见：VTY)Router(config-line)#access-class 10 in /将条件施加在虚拟终端线路上，配置在路由器的进口 处，将ACL10宣告(用access-class 将访问控制列表施加于 VTY线路，或 WEBH 口 , a

25、ccess-group 则施加到接口)在特权模式下，查看访问控制列表配置信息： Router #show configuration !Access-list 10 permit Access-list 10 permit ! ! line vty 0 5 access-class 10 in在特权模式下查看访问控制列表:Router #show access-listsStandard IP access list 10Permit Permit Deny any标准访问控制列表实例五禁止源地址为非

26、法地址的数据包进入路由器或从路由器输出 在全局配置模式下：Router(config)#access-list 30 deny 55 log 30 号 ACL不允许 10 打头的所有地址访问，并且记录下每次访问的情况)(log会把每次10地址访问的记录下来，用命令可以查看。没有 log ,只能 在access-list里看统计总数。)Router(config)#access-list 30 deny 3 55 /30 号 ACL 不允许 203.105.1打头的所有IP访问Router(config)#access-

27、list 30 deny 55 / 30 号 ACL不允许 192.168打头的所有IP访问Router(config)#access-list permit deny /ACLLfc许其它任何的 IP访问 配置应用接口 ：Router(config)#interface g0/1 /进入吉比特以太网配置模式，端口为 0/1 Router(config-if)#access-group 30 in /M 30号控制列表配置在路由器进口处 在特权用户模式下，查看访问控制列表信息： Router#show configuration 在特权用户模式下，查看

28、访问控制列表： Router#show access-lists标准访问控制列表实例六删除该访问控制列表中的所有条件判断，然后再重新建立Router(config)#no access-list 30(删除访问控制列表命令：no access-list list-number总结：标准acl占用路由器资源很少，是一种最基本最简单的访问控制列表格式。应用比较广泛，经常在要求控制级别较低的情况下使用。如果要更加复杂的控制数据包的传输就需要使用扩展访问控制列表了，他可以满足我们到端口级的要求。二.扩展访问列表：上面我们提到的标准访问控制列表是基于IP地址进行过滤的，是最简单的ACL那么如果我们希望将

29、过滤细到端口怎么办呢？或者希望对数据包的目的地址进行过滤。这时候就需要使用扩展访问控制列表了。使用扩展IP访问列表可以有效的容许用户访问物理LAN而并不容许他使用某个特定服务(例如 WWW, FTP等)。扩展访问控制列表使用的ACL号为100到 199。ACL限制源地址、目标地址扩展ACL:限制源地址、目标地址、协议、端口号扩展访问控制列表的格式刚刚我们提到了标准访问控制列表，他是基于IP地址进行过滤的，是最简单的ACL那么如果我们希望将过滤细到端口怎么办呢？或者希望对数据包的目的地址进行过滤。这时候就需要使用扩展访问控制列表了。使用扩展IP访问列表可以有效的容许用户访问物理LAN而并不容许他

30、使用某个特定服务（例如WWW, FTP等）。扩展访问控制列表使用的ACL号为100 到 199。扩展访问控制列表的格式：扩展访问控制列表是一种高级的ACL,配置命令的具体格式如下：（1）定义扩展访问控制列表access-list ACL号permit|deny协议定义过滤源主机范围定义过滤源端口 定义过 滤目的主机访问定义过滤目的端口 access-list access-list-number permit|deny protocol source wildcard-mask destination wildcard-mask operatoroperandoperator（操作）有It （

31、小于）、gt （等于）、eq （等于）、neq （不等于）几种； operand指 的是端口号。例如：access-list 101 deny tcp any host eq www 这句命令是将所有主机访问 这个地址网页服务（WWW）TCP连接的数据包丢弃。（2）应用到接口Ip access-group access-list-number in|out注意：如果in和out都没有指定，那么默认地认为是out。小提示：同样在扩展访问控制列表中也可以定义过滤某个网段，当然和标准访问控制列表一样需要我们使用反向掩码定义IP地址后的子网掩码。扩展访问控

32、制列表实例一（拒绝转发符合协议和端口号条件的IP地址）拒绝转发所有IP地址进出的端口号为1433的UDP协议数据包在全局配置模式下：Router（config）#access-list 130 deny udp any eq 1433 创建 130 号 ACL 拒绝转发所 有进出1433端口 UDP包的IP地址Router（config）#access-list 130 permit ip any any /允许其它任何 IP地址访问服务器 Router（con巾g）#_ /路由器正处于全局配置模式 配置应用接口 ：Router（config）#interface g0/1 /进入吉比特以太网

33、配置模式，端口为 0/1 Router（config-if）#ip access-group 130硒 将设置好条件的130号ACL配置在路由Router（config-if）#ip access-group 130 oUt 将设置好条件的 130 号 ACL1 已置在路由Router（con巾g-if）#_ /路由器正处于端口配置模式特权用户模式下，不看访问控制列表：Router #show access-listsExtended IP access list 130Deny udp any any eq 1433Permit ip any any扩展访问控制列表实例二禁封一台主机：在全局

34、模式下：Router (config) #access-list 112 deny ip host 30 any log /AC口允许 IP地址为30的主机访问服务器，提供任何( 55 IP地址访问记录(以上命令的 host 30,等价于 30 后面的 表示ACL要的条件要与IP地址30中的每一位匹配，才能拒绝，很 明显，换句话说ACL要拒绝白就是IP地址为30的主机)Router

35、 (config) #access-list 112 deny ip any host 30 log允许任何 IP地址 but 30Router (config) #access-list permit any any /阮许任彳其它 IP地址访问 Router(config)#interface g0/1 /进入吉比特以太网配置模式，端口为 0/1 Router(config-if)#ip access-group 122 in / 将设置好条件的 122 号 ACL配置在路由 器进口Router(config-if)#ip access-gr

36、oup 122 out /W设置好条件的 122 号 ACL配置在路由 器出口Router(con巾g-if)#_ /路由器正处于端口配置模式 特权用户模式下，为看访问控制列表：Router #show access-listsExtended IP access list 122deny ip host 30 anydeny ip any host 30Permit ip any any扩展访问控制列表实例采用如图所示的网络结构。路由器连接了二个网段，分别为/24,/24。在172.1

37、6.4.0/24网段中有一台服务器提供 WWW服务，IP地址为3。配置任务：禁止的计算机访问的计算机，包括那台服务器，不过惟独可以访问3上的WWW服务，而其他服务不能访问。路由器配置命令：（应用到接口）access-list 101 permit tcp any 3 eq www 设置 ACL101,容许源地址为任意IP,目的地址为3主机的80端口即 WWW服务。由于CISCO默认添加 DENY ANY172.16.4J3的命令，所以ACL只写此一句即可。in

38、t e 1进入E1端口ip access-group 101 out 将 ACL101 宣告出去设置完毕后 的计算机就无法访问的计算机了，就算是服务器3开启了 FTP服务也无法访问，惟独可以访问的就是 3的WWW服务了。 而的计算机访问的计算机没有任何问题。扩展ACL有一个最大的好处就是可以保护服务器，例如很多服务器为了更好的提供服务都是暴露在公网上的，这时为了保证服务正常提供所有端口都对外界开放，很容易招来黑客和病毒的攻击，通过扩展ACL可以将除了服务端口以外的其他端口都封

39、锁掉，降低了被攻击的机率。如本例就是仅仅将80端口对外界开放。总结：扩展ACL功能很强大，他可以控制源IP,目的IP,源端口，目的端口等，能实现相当精细的控制，扩展 ACL不仅t取IP包头的源地址/目的地址，还要读取第四层包头中 的源端口和目的端口的IP。不过他存在一个缺点，那就是在没有硬件 ACL加速的情况下，扩展ACL会消耗大量的路由器 CPU资源。所以当使用中低档路由器时应尽量减少扩展ACL的条目数，将其简化为标准 ACL或将多条扩展ACL合一是最有效的方法。基于名称的访问控制列表不管是标准访问控制列表还是扩展访问控制列表都有一个弊端，那就是当设置好ACL的规则后发现其中的某条有问题，希

40、望进行修改或删除的话只能将全部ACL信息都删除。也就是说修改一条或删除一条都会影响到整个ACL列表。这一个缺点影响了我们的工作，为我们带来了繁重的负担。不过我们可以用基于名称的访问控制列表来解决这个问题。一、基于名称的访问控制列表的格式：ip access-list standard|extendedACL 名称例如：ip access-list standard softer就建立了一个名为 softer的标准访问控制列表。二、基于名称的访问控制列表的使用方法：当我们建立了一个基于名称的访问列表后就可以进入到这个ACL中进行配置了。例如我们添加三条 ACL规则permit 0

41、.0.0.0permit permit 如果我们发现第二条命令应该是而不是,如果使用不是基于名称的访问控制列表的话，使用 no permit 后整个ACL信息都会被删除掉。正是因为使用 了基于名称的访问控制列表，我们使用no permit 后第一条和第三条指令依然存在。总结：如果设置ACL的规则比较多的话，应该使用基于名称的访问控制列表进行管理，这样可以减轻很多后期维护的工作，方便我们随时进行调整ACL规则。反向访问控制列表：我们使用访问控制列表除

42、了合理管理网络访问以外还有一个更重要的方面，那就是防范病毒，我们可以将平时常见病毒传播使用的端口进行过滤，将使用这些端口的数据包丢弃。 这样就可以有效的防范病毒的攻击。不过即使再科学的访问控制列表规则也可能会因为未知病毒的传播而无效，毕竟未知病毒使用的端口是我们无法估计的，而且随着防范病毒数量的增多会造成访问控制列表规则过多，在一定程度上影响了网络访问的速度。这时我们可以使用反向控制列表来解决以上的问题。反向访问控制列表的用途及格式一、反向访问控制列表的用途反向访问控制列表属于ACL的一种高级应用。他可以有效的防范病毒。通过配置反向ACL可以保证 AB两个网段的计算机互相 PING, A可以P

43、ING通B而B不能PING通A。说得通俗些的话就是传输数据可以分为两个过程，首先是源主机向目的主机发送连接请求和数据，然后是目的主机在双方建立好连接后发送数据给源主机。反向ACL控制的就是上面提到的连接请求。二、反向访问控制列表的格式反向访问控制列表格式非常简单，只要在配置好的扩展访问列表最后加上established即可。我们还是通过实例为大家讲解。U卜172.16413采用如图所示的网络结构。路由器连接了二个网段，分别为/24,/24。 在/24网段中的计算机都是服务器，我们通过反向ACL设置保护这些服务器免受

44、来自这个网段的病毒攻击。配置实例：禁止病毒从 /24这个网段传播到/24这个服务器网段。路由器配置命令：access-list 101 permit tcp 55 55 established 定义 ACL101,容许所有来自网段的计算机访问网段中的计算机，前提是TCP 连接已经建立了的。当TCP连接没有建立的话是不容许访问的。int e 1进入E1端口ip access-group

45、101 out 将 ACL101 宣告出去设置完毕后病毒就不会轻易的从传播到的服务器区了。因为病毒要想传播都是主动进行TCP1接的，由于路由器上采用反向ACL禁止了 网段的TCP主动连接，因此病毒无法顺利传播。小提示：检验反向ACL是否顺利配置的一个简单方法就是拿里的一台服务器PING在中的计算机，如果可以PING通的话再用 那台计算机PING的服务器，PING不通则说明ACL配置成功。通过上文配置的反向 ACL会出现一个问题，那就是的

46、计算机不能访问服务器 的服务了，假如图中3提供了 WWW服务的话也不能正常访问。解决的方法是在ESTABLISHED句前头再添力口一个扩展ACL规则，仞如：access-list 101 permit tcp 55 3 eq www这样根据最靠近受控对象原则”即在检查ACL规则时是采用自上而下在ACL中一条条检测的，只要发现符合条件了就立刻转发，而不继续检测下面的ACL语句。的计算机就可以正常访问该服务器的WWW服务了，而下面的ESTABLISHE防病毒命令还可以正常生效。笔者所在公司就使用的这种反向ACL的方式进行防病毒的，运行了一年多效果很不错，也非常稳定。基于时间的访问控制列表：上面我们介绍了标准 ACL与扩展ACL,实际上我们数量掌握了这两种访问控制列表就可 以应付大部分过滤网络数据包的要求了。不过实际工作中总会有人提出这样或那样的苛刻要求，这时我们还需要掌握一些关于ACL的高级技巧。基于时间的访问控制列表就属于高级技巧之一。一、基于时间的访问控制列表用途：可能公司会遇到这样的情况，要求上班时间不能上QQ,下班可以上或者平时不能访问某 网站只有到了周末可以。对于这种情况仅仅通过发布通知规定是不能彻底杜绝员工非法使用 的问