IPSec VPN 技術(shù)在IP傳輸上通過(guò)加密隧道，在用公網(wǎng)傳送內(nèi)部專網(wǎng)的內(nèi)容的同時(shí)，保證內(nèi)部數(shù)據(jù)的安全性，從而實(shí)現(xiàn)企業(yè)總部與各分支機(jī)構(gòu)組建虛擬局域網(wǎng)的需要。IPSec組網(wǎng)的具體步驟，請(qǐng)參考：一次典型的IPSec VPN組網(wǎng)方案。很多情況下，我們還需要控制對(duì)端的訪問(wèn)權(quán)限。在本文中，我將介紹WFilter NGF中的IPSec VPN訪問(wèn)權(quán)限。

1. 防火墻規(guī)則的選項(xiàng)

IPSec隧道的配置中，”防火墻規(guī)則“有“自動(dòng)”和“手動(dòng)”兩個(gè)選項(xiàng)：

1. 自動(dòng)：自動(dòng)添加防火墻規(guī)則，允許對(duì)端訪問(wèn)本地局域網(wǎng)。
   

2. 手動(dòng)：不添加防火墻規(guī)則，默認(rèn)禁止對(duì)端訪問(wèn)本地局域網(wǎng)。

手動(dòng)的情況下，對(duì)端可以建立VPN連接，但是不能訪問(wèn)任何本地的網(wǎng)絡(luò)資源。您需要手動(dòng)來(lái)配置防火墻策略，手動(dòng)配置防火墻策略雖然麻煩一些，但是可以實(shí)現(xiàn)更加細(xì)致的訪問(wèn)控制。如下圖：

上圖是允許對(duì)端訪問(wèn)本地局域網(wǎng)。接口要選擇“外網(wǎng)”，方向“轉(zhuǎn)發(fā)”，源IP是指對(duì)端的內(nèi)網(wǎng)IP。

再配置一條禁止對(duì)端某指定IP的訪問(wèn)。然后把該規(guī)則拖動(dòng)到“允許”規(guī)則的上面。

這樣就可以實(shí)現(xiàn)更加細(xì)致的防火墻策略控制。如果“IPSec隧道”中的“防火墻規(guī)則”是“自動(dòng)”，那么對(duì)端訪問(wèn)本地局域網(wǎng)是全部允許的。