对于所有类型的 Mobile VPN,您有两种选择可以让 Mobile VPN 用户访问 Internet:
强制所有客户端流量通过隧道(默认路由 VPN)
最安全的选项是要求所有远程用户的 Internet 流量通过 VPN 隧道路由到 XTM 设备。 然后流量再送回到 Internet。 使用此配置(称为默认路由 VPN)时,尽管 XTM 设备会占用更多处理能力和带宽,但 XTM 设备能够检查所有流量并提供增强的安全性。
当您针对 Mobile VPN with IPSec 或 Mobile VPN with PPTP 使用默认路由 VPN 时,动态 NAT 策略必须包括来自远程网络的传出流量。 这使得远程用户可以在将所有流量发送到 XTM 设备后,浏览 Internet。
允许直接访问 Internet(拆分隧道 VPN)
另一个配置选项是启用拆分隧道。 使用此选项,用户可以浏览 Internet,但 Internet 流量并不通过 VPN 隧道发送。 拆分隧道可改善网络性能,但会降低安全性,因为您创建的策略不会应用于 Internet 流量。 如果使用拆分隧道,建议您在每台客户端计算机上安装防火墙软件。
有关如何为每种 Mobile VPN 配置这些选项的信息,请参阅: