飞塔防火墙是个相当全面的产品系列，涵盖从小公司到大中型企业的业务需求。以飞塔防火墙310B为例，它是一款针对中型企业的产品。功能上整合了路由(支持 RIP, OSPF, BGP和多播)，统一威胁管理(UTM), VPN, 广域网优化，网关代理和无线控制，相当强悍。

 飞塔防火墙支持IPSEC VPN 和SSL VPN， 配置和监控上都有其独到的一面。本文将详细讲述配置SSL VPN所将遇到的一个选择 SPLIT TUNNELING 即隧道分离是如何影响或受益终端用户，以及配置该选项时所要注意的问题。

首先看看隧道分离是个什么意思。一般情况下，所有从远程用户发出的网络数据全部封装在IPSec Tunnel里，即使是浏览公司外部的网站，数据包也要先经过VPN网关然后再提交到因特网上的主机，远程用户所请求的浏览数据返回时得先经过VPN 网关然后再经由IPSEC  Tunnel传回到主机。SSL VPN同理，见下图

而配置了隧道分离之后 ，情况就演变为：

显而易见的是，远程用户的网络体验将得到改善，访问外网的网络流量将不经过VPN 网关，同时访问内网的数据依然封装在VPN 隧道内。隧道分离的利弊将放在本文最后讨论论，接下来看看飞塔的配置和验证。

飞塔SSL VPN隧道分离选项在SSL 门户里的隧道模式点击铅笔图标后展开可见：

具体到远程用户的电脑上，产生了什么样的变化呢？一句话：更改了默认网关路由。看下图，这截图是在已连入VPN但没有启用隧道分离的远程用户的电脑上敲入netstat -r 的结果：

注意看第二条路由，192.168.250.166 是连入VPN后分配到的一个内网地址，Metric比第一条小得多，说明默认网络路由是经过这个VPN的。

再看下图，是在连入VPN并且启用隧道分离的远程客户机上得到的结果：

之前那条默认路由已经不在路由表里了，多出来的是一个个到端的路由。而这些到端的路由全部是在建立VPN连接后，远程用户端依据预先制定的防火墙策略(外部网络->内部网络) 所更新的路由项目。这种情况下，所有策略外的数据包全部经由默认网关发送而非VPN。

验证起来很简单，只需要用 tracert 或者pathping  一个外网IP就可以了，具体过程就不赘述。

总之，无论什么都有利弊，隧道分离也不例外。它加强了远程用户的网络体验减少了VPN网关的负荷，但是却降低了远程PC的网络安全性。通过无保护的因特网链接黑客可以经由远程电脑进入VPN隧道直抵内部网络！所以在勾选配隧道分离这个选项之前，权衡利弊是必要的。

本文出自 “潜龙在渊” 博客，请务必保留此出处http://sydflyer.blog.51cto.com/298059/775202