IPSec VPN 技術(shù)在IP傳輸上通過加密隧道，在用公網(wǎng)傳送內(nèi)部專網(wǎng)的內(nèi)容的同時，保證內(nèi)部數(shù)據(jù)的安全性，從而實現(xiàn)企業(yè)總部與各分支機(jī)構(gòu)組建虛擬局域網(wǎng)的需要。IPSec組網(wǎng)的具體步驟，請參考：一次典型的IPSec VPN組網(wǎng)方案。很多情況下，我們還需要控制對端的訪問權(quán)限。在本文中，我將介紹WFilter NGF中的IPSec VPN訪問權(quán)限。

1. 防火墻規(guī)則的選項

IPSec隧道的配置中，”防火墻規(guī)則“有“自動”和“手動”兩個選項：

1. 自動：自動添加防火墻規(guī)則，允許對端訪問本地局域網(wǎng)。
   

2. 手動：不添加防火墻規(guī)則，默認(rèn)禁止對端訪問本地局域網(wǎng)。

手動的情況下，對端可以建立VPN連接，但是不能訪問任何本地的網(wǎng)絡(luò)資源。您需要手動來配置防火墻策略，手動配置防火墻策略雖然麻煩一些，但是可以實現(xiàn)更加細(xì)致的訪問控制。如下圖：

上圖是允許對端訪問本地局域網(wǎng)。接口要選擇“外網(wǎng)”，方向“轉(zhuǎn)發(fā)”，源IP是指對端的內(nèi)網(wǎng)IP。

再配置一條禁止對端某指定IP的訪問。然后把該規(guī)則拖動到“允許”規(guī)則的上面。

這樣就可以實現(xiàn)更加細(xì)致的防火墻策略控制。如果“IPSec隧道”中的“防火墻規(guī)則”是“自動”，那么對端訪問本地局域網(wǎng)是全部允許的。