VPN 보안 기능

Hyper-V 기반 컨테이너 및 VPN

Windows는 Microsoft Defender Application Guard 및 Windows 샌드박스 같은 다양한 종류의 Hyper-V 기반 컨테이너를 지원합니다. 비 Microsoft VPN 솔루션을 사용하는 경우 Hyper-V 기반 컨테이너가 인터넷에 원활하게 연결되지 못할 수 있으며 연결 문제를 resolve 구성 변경이 필요할 수 있습니다.

예를 들어 Cisco AnyConnect VPN: Cisco AnyConnect Secure Mobility Client 관리자 가이드: VM 기반 하위 시스템의 연결 문제에 대한 해결 방법을 읽어보세요.

트래픽 필터

트래픽 필터를 사용하면 조직에서 정책에 따라 회사 네트워크에 허용되는 트래픽을 결정할 수 있습니다. IT 관리자는 트래픽 필터를 사용하여 VPN 인터페이스에 인터페이스별 방화벽 규칙을 적용할 수 있습니다.

트래픽 필터 규칙에는 두 가지 유형이 있습니다.

  • 앱 기반 규칙은 앱 에서 VPN 인터페이스로의 트래픽만 허용하도록 표시될 수 있는 애플리케이션 목록으로 구성됩니다.
  • 트래픽 기반 규칙은 규칙과 일치하는 트래픽만 VPN 인터페이스를 통과하도록 허용하도록 지정할 수 있는 5개의 튜플 정책(포트, 주소, 프로토콜)으로 구성됩니다.

OR에 의해 연결된 규칙 집합이 있을 수 있습니다. 각 집합 내에 앱 기반 규칙 및 트래픽 기반 규칙이 있을 수 있습니다.
집합 내의 모든 속성은 AND에 의해 연결됩니다. 규칙은 앱별 수준 또는 디바이스별 수준에서 적용할 수 있습니다.

예를 들어 IT 관리자는 다음을 지정하는 규칙을 정의할 수 있습니다.

  • HR 앱은 VPN을 통과하고 포트 4545에만 액세스할 수 있습니다.
  • Finance 앱은 VPN을 통해 허용되며 포트 5889에서 10.10.0.40 - 10.10.0.201의 원격 IP 범위만 액세스할 수 있습니다.
  • 디바이스의 다른 모든 앱은 포트 80 또는 443에만 액세스할 수 있습니다.

트래픽 필터 구성

XML 구성에 대해서는 VPN 프로필 옵션VPNv2 CSP를 참조하세요.

다음 이미지는 Microsoft Intune 사용하여 VPN 프로필 구성 정책에서 트래픽 규칙을 구성하는 인터페이스를 보여줍니다.

Microsoft Intune 관리 센터에서 VPN 프로필 만들기

잠금 VPN

잠금으로 구성된 VPN 프로필은 VPN 인터페이스를 통한 네트워크 트래픽만 허용하도록 장치에 보안을 설정합니다. 이 프로필은 다음과 같은 기능을 제공합니다.

  • 시스템은 항상 VPN을 연결 상태로 유지하려고 시도합니다.
  • 사용자가 VPN 연결의 연결을 끊을 수 없습니다.
  • 사용자가 VPN 프로필을 삭제하거나 수정할 수 없습니다.
  • VPN LockDown 프로필은 강제 터널 연결을 사용합니다.
  • VPN 연결을 사용할 수 없는 경우 아웃바운드 네트워크 트래픽이 차단됩니다.
  • 디바이스에서 하나의 VPN LockDown 프로필만 허용됩니다.

참고

기본 제공 VPN의 경우 LockDown VPN은 IKEv2(Internet Key Exchange 버전 2) 연결 유형에만 사용할 수 있습니다.

주의

LockDown VPN을 배포할 때는 VPN 연결이 설정되지 않고는 네트워크 트래픽을 보내거나 받을 수 없으므로 주의해야 합니다.