访问控制主要对上网的行为进行控制， 可以根据IP范围，协议， 端口号，时间范围来控制主机的上网行为， 也可以直接控制QQ,MSN。 根据自己的需要，可以方便灵活的添加规则，来达到您自己想要的控制目的。 添加规则的原则是， 最先添加的规则， 优先权最高，优先权最高的， 通过路由器的数据最先与这条规则比较， 若符合就不再跟以后的规则比较了， 由这条规则决定该数据是通过还是阻挡。

我们按上面原则来配置一个应用案例,仅仅允许用户能收发邮件，和使用MSN和QQ。

分析： 收邮件用到的端口号为TCP的110， 发送邮件为TCP的25， 由于邮件服务器都是以域名的方式，所以还有域名解析（DNS）的UDP端口53， 由于QQ, MSN用到的端口号不是固定的， 所以不能用端口来控制， 应选择特殊应用， 要实现本案例的目的， 需要允许该主机能访问端口110，25，53和特殊应用QQ,MSN， 其他的都不能访问。按照上面定义的规则， 所以应该添加规则如下：（本例以192.168.16.100这台主机为例）

• 允许主机192.168.16.100能访问协议为TCP的110端口， 该条规则的操作为通过
• 允许主机192.168.16.100能访问协议为TCP的25端口， 该条规则的操作为通过
• 允许主机192.168.16.100能访问协议为UDP的53端口， 该条规则的操作为通过
• 允许主机192.168.16.100能访问协议为TCP/UDP的特殊应用QQ和MSN， 该条规则的操作为通过
• 禁止主机192.168.16.100不能访问协议为ALL或者TCP/UDP， 端口号为1－65535， 该条规则的操作为阻挡。

1－4的规则应先添加，是允许通过的数据， 5最后添加， 是阻止主机为192.168.16.100的所有数据通过， 根据上面规则的意义，通过路由器的数据与最先添加的规则比较，当主机192.168.16.100在发送邮件时， 路由器将会寻找是否有与该数据匹配的规则，发送邮件是25端口， 所以第一条规则不符合， 路由器会继续往下找， 第二条符合， 由这条规则决定数据是通过还是阻挡， 由于设定的操作是通过， 所以这个数据可以通过路由器，就能发送邮件了。 假如这条主机想浏览网页， 即需要允许协议为TCP， 端口为80的数据通过， 当它的数据到达路由器时， 路由器寻找规则并与之比较， 结果发现1－4都不匹配， 所以继续往下找， 第5条规则匹配， 并且该规则的操作是阻挡， 所以该主机不能浏览网页。

上面这个案例是没有时间控制的， 若你需要按时间段来控制， 只需要把时间范围按你的需要设置即可以了。