為滿足出差在外人員和分支機(jī)構(gòu)辦公的需要，企事業(yè)單位一般采用如下的兩種方式：

1. 端口映射，把對(duì)應(yīng)的服務(wù)端口映射到公網(wǎng)，供終端訪問。
   

2. VPN?？蛻舳诵枰葥苋隫PN，然后再訪問內(nèi)網(wǎng)服務(wù)。

這兩個(gè)辦法各有優(yōu)缺點(diǎn)：端口映射的方式，配置簡(jiǎn)單但是不夠安全。內(nèi)網(wǎng)的服務(wù)系統(tǒng)直接暴露在公網(wǎng)上，容易被攻擊導(dǎo)致嚴(yán)重的損失。VPN的方式，安全系數(shù)要高很多。但是VPN需要配置客戶機(jī)，配置和維護(hù)比較復(fù)雜。

在本文中，我將介紹WFilter NGF（WSG網(wǎng)關(guān)）中新加的一個(gè)功能：Web VPN。采用Web VPN可以帶來如下好處：

1. 人員在訪問內(nèi)網(wǎng)Web服務(wù)前，需要先進(jìn)行身份驗(yàn)證。從而給內(nèi)網(wǎng)的Web服務(wù)提供了額外的一層保護(hù)。
   

2. 可以提供https訪問方式，對(duì)內(nèi)網(wǎng)的web訪問進(jìn)行ssl加密。
   

3. 使用非常簡(jiǎn)單，直接通過瀏覽器就可以訪問，避免了復(fù)雜的客戶端配置。

下面是具體步驟的演示。

1. 申請(qǐng)一個(gè)域名

首頁要申請(qǐng)一個(gè)域名并和外網(wǎng)IP綁定，也可以是動(dòng)態(tài)域名。

2. 開啟WebVPN服務(wù)

配置根域名，端口，驗(yàn)證方式。驗(yàn)證方式可以支持本地認(rèn)證、域認(rèn)證、郵箱認(rèn)證、Raidus認(rèn)證等方式。根域名就是用來訪問本系統(tǒng)的域名。

添加內(nèi)部Web服務(wù)。需要給內(nèi)部web服務(wù)配置一個(gè)二級(jí)域名，并且配置內(nèi)部訪問的ip和端口信息。

二級(jí)域名也需要在域名提供商處添加dns解析，如圖：

編輯下用戶登錄后的首頁

3. 添加端口映射

默認(rèn)配置下WebVPN的端口是不對(duì)外網(wǎng)開放的，你需要配置一條端口映射規(guī)則，讓外網(wǎng)的訪問映射到web vpn端口上。如下圖：

4. 測(cè)試WebVPN的登錄和訪問

經(jīng)過上述配置后，在外網(wǎng)即可通過域名來進(jìn)行訪問（一定要用域名訪問，通過IP訪問無法實(shí)現(xiàn)webvpn的功能）。效果如下圖：

首頁要輸入用戶名密碼進(jìn)行用戶認(rèn)證。

認(rèn)證通過后可以訪問到首頁。

點(diǎn)擊下面的連接訪問到內(nèi)網(wǎng)辦公系統(tǒng)。

如上圖，雖然內(nèi)部web服務(wù)是http的，通過Web VPN后就可以變成https。WebVPN的方式，既實(shí)現(xiàn)了用戶身份認(rèn)證，又添加了ssl加密。而且操作方便。唯一的缺陷是只能訪問Web服務(wù)，可以說是瑕不掩瑜吧。