IPSec VPN 技術(shù)在IP傳輸上通過(guò)加密隧道，在用公網(wǎng)傳送內(nèi)部專網(wǎng)的內(nèi)容的同時(shí)，保證內(nèi)部數(shù)據(jù)的安全性，從而實(shí)現(xiàn)企業(yè)總部與各分支機(jī)構(gòu)組建虛擬局域網(wǎng)的需要。IPSec組網(wǎng)的具體步驟，請(qǐng)參考：一次典型的IPSec VPN組網(wǎng)方案。很多情況下，我們還需要控制對(duì)端的訪問(wèn)權(quán)限。在本文中，我將介紹WFilter NGF中的IPSec VPN訪問(wèn)權(quán)限。

1. 防火墻規(guī)則的選項(xiàng)

IPSec隧道的配置中，”防火墻規(guī)則“有“自動(dòng)”和“手動(dòng)”兩個(gè)選項(xiàng)：

很多局域網(wǎng)需要向外網(wǎng)提供服務(wù)，比如ERP、OA系統(tǒng)，或者需要進(jìn)行虛擬局域網(wǎng)組網(wǎng)等。而由于公網(wǎng)IP資源越來(lái)越緊張，大部分寬帶都不能獲取到公網(wǎng)IP；這些情況下，企業(yè)只能選擇運(yùn)營(yíng)商的企業(yè)專線。和普通的寬帶相比，企業(yè)專線有如下特點(diǎn)：

1. 獨(dú)享帶寬，速度有保障。
   

2. 可以申請(qǐng)固定公網(wǎng)IP。

不過(guò)專線的費(fèi)用比較昂貴，如下圖：

對(duì)于一些安全性要求比較高的局域網(wǎng)來(lái)說(shuō)，有時(shí)候只允許客戶機(jī)訪問(wèn)指定的網(wǎng)站，其他網(wǎng)絡(luò)行為一律禁止。這時(shí)候我們就需要用到“網(wǎng)站白名單”功能（只允許訪問(wèn)下列網(wǎng)站）。具體的配置如下圖：

1. 在網(wǎng)頁(yè)過(guò)濾中開(kāi)啟“只允許訪問(wèn)下列網(wǎng)站”

“只允許訪問(wèn)下列網(wǎng)站”功能開(kāi)啟后，客戶機(jī)只能訪問(wèn)允許的站點(diǎn)。其他網(wǎng)頁(yè)一律訪問(wèn)不了。

選擇應(yīng)用對(duì)象和生效時(shí)間