您想要的称为 VPN 过滤器。它只是一个普通的扩展 ACL，但你如何应用它是使它成为“VPN 过滤器”的原因。

所以，如果你想让你的 VPN 子网只与特定的东西通信，你可以构建一个 ACL，例如：

access-list VPN-Filter extended permit tcp 192.168.100.0 255.255.255.0 host 192.168.200.200 eq 3389
access-list VPN-Filter extended deny ip any any

然后将其应用于隧道组设置使用的组策略。但是要小心，因为除非您将隧道组设置为使用特定的组策略，否则它将使用默认组策略，并且应用 VPN 过滤器意味着它会影响所有也使用默认策略。

要将其应用于组策略，您将拥有如下内容：

group-policy VPN-Policy internal
group-policy VPN-Policy attributes
 vpn-filter value VPN-Filter

假设您的隧道组使用默认组策略，将自定义组策略应用到您的隧道组，您将拥有如下内容：

tunnel-group WebVPN-Tunnel-Group general-attributes
 default-group-policy VPN-Policy

所以你知道，任何没有在单独的组策略中定义的东西，比如我上面的内容，都会回退到默认策略。例如，如果此自定义组策略未定义要使用的 DNS 服务器，但默认策略定义了，则将使用默认策略中列出的那些。如果您在两者中都设置了 DNS 服务器，则将使用自定义政策中的那些（它们会覆盖该特定订单项的默认政策）。

编辑：我的错误是忘记了这一点（以及您在此处的后续问题）无客户端 VPN 不像客户端 VPN 那样使用 vpn 过滤器，并且您必须使用 WebType ACL 来过滤基于 URL 或的流量基于 TCP 的目标。

您仍然可以保留现有的 VPN 过滤器，以防您也想在客户端上进行相同的过滤，但它不能是相同的 ACL，因为它们是不同的类型，这意味着如果您需要维护 2 个 ACL以后想修改。另一个需要注意的是，WebType ACL 不能使用对象或对象组——它们必须是字面的。

要创建 WebType ACL，您可以将以下内容添加到您的策略中：

access-list CLIENT-VPN-LIST-WebType webtype permit tcp host 192.168.50.2 eq 3389
access-list CLIENT-VPN-LIST-WebType webtype deny tcp any
access-list CLIENT-VPN-LIST-WebType webtype deny url any

然后要将其添加到您现有的组策略中，您可以键入：

group-policy CLIENT-VPN-POLICY attributes
 webvpn
  filter value CLIENT-VPN-LIST-WebType

您需要退出 VPN 门户并重新登录才能生效。