这是最安全的选项。 它要求所有远程用户的 Internet 流量都通过 VPN 隧道路由到 XTM 设备。 然后再从 XTM 设备将流量发送回 Internet。 使用此配置(也称为默认路由 VPN),XTM 设备能够检查所有流量并提供增强的安全性。 不过,这样会需要占用更多 XTM 设备的处理能力和带宽。 如果您有大量的 VPN 用户,这会影响网络性能。 默认情况下,名为允许 SSLVPN 用户的策略会允许访问所有内部资源和 Internet。
如果在 Mobile VPN with SSL 配置中选择“路由 VPN 流量”,并且不强制所有客户端流量通过隧道,您必须为 SSL VPN 用户配置允许的资源。 如果选择“指定允许的资源”或“允许访问通过可信任网络、可选网络和 VLAN 连接的网络”,则只有向这些资源发送的流量通过 VPN 隧道发送。 所有其他流量直接发送到 Internet 和 SSL VPN 用户连接到的网络。 这个选项会影响安全性,因为所有发送到 Internet 或远程客户端网络的流量都没有加密,也不受您在 XTM 设备上配置的策略的约束。
如果将 Mobile VPN with SSL 配置为强制所有客户端流量通过隧道,您可以使用 HTTP 代理策略来限制 Internet 访问。 默认的“允许 SSLVPN 用户”策略对其允许的从 SSL 客户端到 Internet 的流量没有任何限制。 要限制 Internet 访问,您可以使用已配置的 HTTP 代理策略,或为 SSL 客户端添加新的 HTTP 代理策略。
HTTP 代理策略优先于“任意”策略。 您可以保留“任意”策略来处理除 HTTP 以外的流量,或对其他策略使用以上相同步骤以管理来自 SSL 客户端的流量。
有关如何配置 HTTP 代理策略的详细信息,请参阅“关于 HTTP 代理”。