某公司总部和分支都部署了 SSL 设备，总部与分支之间已经建立了 IPSEC VPN 连接， 用户要求对分支访问总部的服务器进行权限控制，只允许访问总部的 WEB 服务器，禁止访问其他的服务器。如下图：

配置步骤如下：

第一步：在『IPSEC VPN 设置』→『内网服务』页面，新增一个 WEB 的内网服务， 页面如下：

点新增，设置服务名称，选择 TCP 协议，页面如下：

再点新增，设置 IP 及端口范围，页面如下：

本案例中，源 IP 为 B 端的内网网段，源端口必须选择 1-65535，因为发起连接的端口均为随机端口。目标 IP 可为 A 端的内网 WEB 服务器 IP，目的端口为 WEB 端口 80。

第二步：在『IPSEC VPN 设置』→『连接管理』页面，添加一个连接管理，连接 B。

点击内网权限，设置 B 访问A 的内网权限，只允许访问 WEB 服务，其他缺省拒绝，

页面如下：

点确定，完成内网权限的设置。

注意：一旦设置了 VPN 内网权限，不光 VPN 对端访问本端受到限制，本端访问 VPN 对端一样会受到内网权限的控制。因为内网权限只检查数据包的 IP 和端口，不管这个数据包是 VPN 对端主动发起的还是本端主动发起 VPN 对端响应的，只要符合规则条件的数据包都会做相同的处理。