IPSec VPN 技術在IP傳輸上通過加密隧道，在用公網(wǎng)傳送內部專網(wǎng)的內容的同時，保證內部數(shù)據(jù)的安全性，從而實現(xiàn)企業(yè)總部與各分支機構組建虛擬局域網(wǎng)的需要。IPSec組網(wǎng)的具體步驟，請參考：一次典型的IPSec VPN組網(wǎng)方案。很多情況下，我們還需要控制對端的訪問權限。在本文中，我將介紹WFilter NGF中的IPSec VPN訪問權限。

1. 防火墻規(guī)則的選項

IPSec隧道的配置中，”防火墻規(guī)則“有“自動”和“手動”兩個選項：

很多局域網(wǎng)需要向外網(wǎng)提供服務，比如ERP、OA系統(tǒng)，或者需要進行虛擬局域網(wǎng)組網(wǎng)等。而由于公網(wǎng)IP資源越來越緊張，大部分寬帶都不能獲取到公網(wǎng)IP；這些情況下，企業(yè)只能選擇運營商的企業(yè)專線。和普通的寬帶相比，企業(yè)專線有如下特點：

1. 獨享帶寬，速度有保障。
   

2. 可以申請固定公網(wǎng)IP。

不過專線的費用比較昂貴，如下圖：

對于一些安全性要求比較高的局域網(wǎng)來說，有時候只允許客戶機訪問指定的網(wǎng)站，其他網(wǎng)絡行為一律禁止。這時候我們就需要用到“網(wǎng)站白名單”功能（只允許訪問下列網(wǎng)站）。具體的配置如下圖：

1. 在網(wǎng)頁過濾中開啟“只允許訪問下列網(wǎng)站”

“只允許訪問下列網(wǎng)站”功能開啟后，客戶機只能訪問允許的站點。其他網(wǎng)頁一律訪問不了。

選擇應用對象和生效時間