策略配置

SSL VPN 使用单一 ssl.root 隧道接口作为防火墙策略源接口，控制终端客户端到内部资源的访问。用户组必须定义在策略中，用于控制允许访问内部资源的用户组。

IPSec VPN 会为每个 IPSec 隧道创建一个同名虚拟 VPN 接口。迁移后，应在防火墙策略中选择对应虚拟隧道接口作为源接口，控制终端客户端访问内部资源。

用户组可以定义在策略中，并由 VPN 隧道配置继承；也可以直接定义在各 IPSec 隧道配置中。

迁移时需要检查并调整防火墙策略，将原 ssl.root 相关策略迁移为 IPSec 隧道接口相关策略，并确认用户组配置位置与隧道认证方式一致。