在如何利用Web VPN來保護(hù)內(nèi)網(wǎng)信息安全一文中，我們介紹了如何用WebVPN來訪問內(nèi)網(wǎng)的Web服務(wù)器。WebVPN可以給內(nèi)網(wǎng)服務(wù)器添加一層認(rèn)證保護(hù)，只有認(rèn)證過的用戶才可以訪問內(nèi)網(wǎng)資源，從而有效的保護(hù)了內(nèi)網(wǎng)數(shù)據(jù)的安全性。對于Web服務(wù)器來說，WebVPN是通過子域名的方式，每個web服務(wù)都需要對應(yīng)一個不同的二級域名。在WFilter NGF的2.0版本中，我們給WebVPN添加了轉(zhuǎn)發(fā)到“TCP服務(wù)器”的功能，使WebVPN用戶可以在認(rèn)證后訪問到指定的TCP服務(wù)器。以下是Web方式和TCP方式的差別和優(yōu)缺點(diǎn)分析：

Web方式

1. 只能轉(zhuǎn)發(fā)到指定的Web服務(wù)器。

2. 每個Web服務(wù)器都必須對應(yīng)一個二級子域名。

3. 可以對Web站點(diǎn)的內(nèi)容進(jìn)行替換。

TCP方式

1. 可以轉(zhuǎn)發(fā)到任意的TCP服務(wù)。比如內(nèi)網(wǎng)的ssh，rdp等，也包括web服務(wù)。

2. 每個TCP服務(wù)必須對應(yīng)一個本地端口。

3. 外網(wǎng)用戶必須經(jīng)過認(rèn)證才可以訪問TCP端口。

4. 不能對內(nèi)容進(jìn)行修改。

Web方式的配置如下圖：

TCP方式的配置如下圖：

本文中，我將介紹WebVPN的“TCP方式”訪問的具體步驟：

1. 配置“TCP方式”的WebVPN服務(wù)

首先要添加TCP方式的內(nèi)網(wǎng)服務(wù)，如下圖，目的地址指向一臺內(nèi)網(wǎng)主機(jī)的3389端口，監(jiān)聽端口可以用3389也可以用其他的外網(wǎng)端口。

2. 允許WebVPN的相關(guān)端口

3. 外網(wǎng)訪問時，需要先登錄WebVPN。

4. 登錄后即可訪問對應(yīng)的內(nèi)網(wǎng)服務(wù)