IPSec VPN 技術在IP傳輸上通過加密隧道，在用公網傳送內部專網的內容的同時，保證內部數(shù)據的安全性，從而實現(xiàn)企業(yè)總部與各分支機構組建虛擬局域網的需要。IPSec組網的具體步驟，請參考：一次典型的IPSec VPN組網方案。很多情況下，我們還需要控制對端的訪問權限。在本文中，我將介紹WFilter NGF中的IPSec VPN訪問權限。

1. 防火墻規(guī)則的選項

IPSec隧道的配置中，”防火墻規(guī)則“有“自動”和“手動”兩個選項：

1. 自動：自動添加防火墻規(guī)則，允許對端訪問本地局域網。
   

2. 手動：不添加防火墻規(guī)則，默認禁止對端訪問本地局域網。

手動的情況下，對端可以建立VPN連接，但是不能訪問任何本地的網絡資源。您需要手動來配置防火墻策略，手動配置防火墻策略雖然麻煩一些，但是可以實現(xiàn)更加細致的訪問控制。如下圖：

上圖是允許對端訪問本地局域網。接口要選擇“外網”，方向“轉發(fā)”，源IP是指對端的內網IP。

再配置一條禁止對端某指定IP的訪問。然后把該規(guī)則拖動到“允許”規(guī)則的上面。

這樣就可以實現(xiàn)更加細致的防火墻策略控制。如果“IPSec隧道”中的“防火墻規(guī)則”是“自動”，那么對端訪問本地局域網是全部允許的。