為滿足出差在外人員和分支機構(gòu)辦公的需要，企事業(yè)單位一般采用如下的兩種方式：

1. 端口映射，把對應(yīng)的服務(wù)端口映射到公網(wǎng)，供終端訪問。
   

2. VPN?？蛻舳诵枰葥苋隫PN，然后再訪問內(nèi)網(wǎng)服務(wù)。

這兩個辦法各有優(yōu)缺點：端口映射的方式，配置簡單但是不夠安全。內(nèi)網(wǎng)的服務(wù)系統(tǒng)直接暴露在公網(wǎng)上，容易被攻擊導(dǎo)致嚴重的損失。VPN的方式，安全系數(shù)要高很多。但是VPN需要配置客戶機，配置和維護比較復(fù)雜。

在本文中，我將介紹WFilter NGF（WSG網(wǎng)關(guān)）中新加的一個功能：Web VPN。采用Web VPN可以帶來如下好處：

1. 人員在訪問內(nèi)網(wǎng)Web服務(wù)前，需要先進行身份驗證。從而給內(nèi)網(wǎng)的Web服務(wù)提供了額外的一層保護。
   

2. 可以提供https訪問方式，對內(nèi)網(wǎng)的web訪問進行ssl加密。
   

3. 使用非常簡單，直接通過瀏覽器就可以訪問，避免了復(fù)雜的客戶端配置。

下面是具體步驟的演示。

1. 申請一個域名

首頁要申請一個域名并和外網(wǎng)IP綁定，也可以是動態(tài)域名。

2. 開啟WebVPN服務(wù)

配置根域名，端口，驗證方式。驗證方式可以支持本地認證、域認證、郵箱認證、Raidus認證等方式。根域名就是用來訪問本系統(tǒng)的域名。

添加內(nèi)部Web服務(wù)。需要給內(nèi)部web服務(wù)配置一個二級域名，并且配置內(nèi)部訪問的ip和端口信息。

二級域名也需要在域名提供商處添加dns解析，如圖：

編輯下用戶登錄后的首頁

3. 添加端口映射

默認配置下WebVPN的端口是不對外網(wǎng)開放的，你需要配置一條端口映射規(guī)則，讓外網(wǎng)的訪問映射到web vpn端口上。如下圖：

4. 測試WebVPN的登錄和訪問

經(jīng)過上述配置后，在外網(wǎng)即可通過域名來進行訪問（一定要用域名訪問，通過IP訪問無法實現(xiàn)webvpn的功能）。效果如下圖：

首頁要輸入用戶名密碼進行用戶認證。

認證通過后可以訪問到首頁。

點擊下面的連接訪問到內(nèi)網(wǎng)辦公系統(tǒng)。

如上圖，雖然內(nèi)部web服務(wù)是http的，通過Web VPN后就可以變成https。WebVPN的方式，既實現(xiàn)了用戶身份認證，又添加了ssl加密。而且操作方便。唯一的缺陷是只能訪問Web服務(wù)，可以說是瑕不掩瑜吧。