某公司总部和分支都部署了SSL设备，总部与分支之间已经建立了IPSEC VPN连接，用户要求对分支访问总部的服务器进行权限控制，只允许访问总部的WEB服务器，禁止访问其他的服务器。如下图：

配置步骤如下：

第一步：在『IPSEC VPN设置』→『内网服务』页面，新增一个WEB的内网服务，页面如下：

点新增，设置服务名称，选择TCP协议，页面如下：

再点新增，设置IP及端口范围，页面如下：

本案例中，源IP为B端的内网网段，源端口必须选择1-65535，因为发起连接的端口均为随机端口。目标IP可为A端的内网WEB服务器IP，目的端口为WEB端口80。

第二步：在『IPSEC VPN设置』→『连接管理』页面，添加一个连接管理，连接B。

点击内网权限，设置B访问A的内网权限，只允许访问WEB服务，其他缺省拒绝，页面如下：

点确定，完成内网权限的设置。

注意：一旦设置了VPN内网权限，不光VPN对端访问本端受到限制，本端访问VPN对端一样会受到内网权限的控制。因为内网权限只检查数据包的IP和端口，不管这个数据包是VPN对端主动发起的还是本端主动发起VPN对端响应的，只要符合规则条件的数据包都会做相同的处理。