因为您当前在任何隧道组上都没有任何组 url 或组别名定义，所以您的用户将使用 DefaultWEBVPNGroup 的设置，这些设置使用本地身份验证（而不是 RADIUS、TACACS 或 LDAP 之类的东西）并将使用默认设置组策略 DfltGrpPolicy。

因此，您有 3 个选择。

选项 1：您可以编辑 DfltGrpPolicy，使其使用您之前创建的 VPN 过滤器（或者您也可以将其设置为使用不同的身份验证方法）。如果你这样做，它也会影响你的站点到站点隧道和其他任何使用 DfltGrpPolicy 的东西（因为你没有定义其他策略供他们使用）。

为此，您可以键入：

group-policy DfltGrpPolicy attributes
 vpn-filter value CLIENT-VPN-LIST

注意：我强烈建议不要使用选项 1。

选项 2：您可以编辑 DefaultWEBVPNGroup，使其使用与 DefaultRAGroup、DefaultL2LGroup 和 10.1.1.2 的隧道组不同的组策略，因此它们不会受到影响。

为此，您可以键入：

tunnel-group DefaultWEBVPNGroup general-attributes
 default-group-policy CLIENT-VPN-POLICY

注意：如果您希望为不使用组别名或组 url 的用户提供一个包罗万象的功能来将他们定向到更具体的地方，则可以使用选项 2，但我通常不建议对其进行修改大多数设置。

选项 3：您可以使用之前创建的隧道组，称为 CLIENT-VPN-GROUP，并为其添加组别名，以便用户可以映射到适当的策略。

为此，您可以键入：

tunnel-group CLIENT-VPN-GROUP webvpn-attributes
 group-alias vpn enable

如果您选择选项 3，则用户将能够通过转到诸如https://<public IP address>/vpn. 只要将/vpn附加到末尾，它就会将用户映射到配置了该别名/组的隧道组，然后将它们映射到适当的策略。

编辑：忘记无客户端 VPN 不像客户端 VPN 那样使用 vpn 过滤器是我的错误，并且您必须使用 WebType ACL 来过滤基于 URL 或基于 TCP 的目标的流量。

您仍然可以保留现有的 VPN 过滤器，以防万一您也希望在客户端上进行相同的过滤，但它不能是相同的 ACL，因为它们是不同的类型，这意味着如果您需要维护 2 个 ACL以后想修改。另一个警告是 WebType ACL 不能使用对象或对象组 - 它们需要是文字的。

要创建 WebType ACL，您可以将以下内容添加到您的策略中：

access-list CLIENT-VPN-LIST-WebType webtype permit tcp host 192.168.50.2 eq 3389
access-list CLIENT-VPN-LIST-WebType webtype deny tcp any
access-list CLIENT-VPN-LIST-WebType webtype deny url any

然后要将其添加到您现有的组策略中，您可以键入：

group-policy CLIENT-VPN-POLICY attributes
 webvpn
  filter value CLIENT-VPN-LIST-WebType

您需要退出 VPN 门户并重新登录才能生效。