您可以在管理后台为 VPN 节点配置访问权限，限制员工连接 VPN 后，允许或不允许访问的网络资源范围。

1. 登录管理后台。

2. 在左侧导航栏，选择零信任接入 > VPN 策略 ＞ 访问权限。

3. 在访问权限页面上方，单击切换模式，然后在切换默认模式对话框中，选择模式并单击确定。
   
   模式说明：

   • 默认开放模式：该模式下所有员工可以通过 VPN 节点访问全部网络资源，后续手动设置的访问策略将用于限制指定网络资源的访问权限，适用于大部分网络资源均可对员工开放的场景。
   • 默认拒绝模式：该模式下所有员工禁止通过 VPN 节点访问任何网络资源，后续手动设置的访问策略将用于开放指定网络资源的访问权限，适用于仅少部分网络资源可对员工开放的场景。
     您也可以在默认拒绝模式中，设置一个授权访问大范围网络资源权限的策略，并根据企业网络要求分别配置多个限制小范围网络资源权限的策略。

4. 参考管理 VPN 应用添加网络资源。

5. 配置资源访问策略。
   网络资源本身不具有权限限制，需要结合访问策略进行配置，才可以生效相应的 VPN 访问权限。

   1. 在访问权限页面右侧，单击新增策略。

   2. 在新增访问策略对话框，完成以下配置，并单击确定。
      
      配置项说明：

      配置项	说明
      切换权限策略	在对话框顶部单击切换，可选择限制员工访问权限或者授予员工访问权限。 限制员工访问权限：一般在默认开放模式里选择该配置项，在策略内添加网络资源后，员工连接 VPN 时无法访问这些资源。 授予员工访问权限：一般在默认拒绝模式里选择该配置项，在策略内添加网络资源后，员工连接 VPN 时可以访问这些资源。
      策略名称	自定义名称，用于标识该策略。
      选择资源	选择指定的网络资源。支持选择一个或多个网络资源，或者选择资源标签批量添加网络资源。
      匹配优先级	指当前策略的优先级。取值范围为 0 ～ 100，数值越大表示优先级越高。您可以同时生效多条策略，飞连在对终端检测时，按优先级数值大小依次匹配策略，命中后停止匹配，如果一直未命中，则执行完所有策略后停止检测。如果存在两条优先级数值相同的策略，则优先执行策略修改时间最新的一条。
      生效对象	支持选择员工或者设备。 如果选择员工，则需要以部门或者角色的维度指定该策略的员工生效范围。 如果选择设备，组需要以设备或者分组的维度指定该策略的设备生效范围。
      生效时长	在下拉列表中选择生效时长或自定义生效时长。
      生效节点	设置策略生效的节点范围，在下拉列表中可以多选指定的节点、可以全选。 可选配置项，若不选择节点则表示对所有节点生效。

6. （可选）使用飞连提供的可访问检测功能，判断已配置网络资源以及访问策略是否成功生效。

   1. 在访问权限页面右侧，单击可访问检测。
      
   2. 在可访问检测对话框，选择 IP 检测或域名检测，并完成以下配置。
      
      • IP 检测：指定对象（即员工）、目的 IP 以及目的端口，进行检测。
      • 域名检测：指定对象（即员工）、目的域名，进行检测。
   3. 单击执行检测。
      根据检测结果可以判断相应的访问策略是否正常生效。

1. 登录管理后台。
2. 在左侧导航栏，选择零信任接入 > VPN 策略 ＞ 访问权限。
3. 在访问权限页签内，支持以下操作：
   

• 在指定访问策略右侧单击编辑，可手动调整策略内容，包括策略名称、网络资源、匹配优先级以及生效对象等信息。
• 在指定访问策略右侧单击删除，可删除策略，策略删除后将不再继续限制 VPN 的访问权限。

  注意

  策略被删除后无法恢复，请谨慎操作。