VPN 安全功能
基于 Hyper-V 的容器和 VPN
Windows 支持不同类型的基于 Hyper-V 的容器,例如Microsoft Defender 应用程序防护和Windows 沙盒。 使用非 Microsoft VPN 解决方案时,基于 Hyper-V 的容器可能无法无缝连接到 Internet,并且可能需要更改配置才能解决连接问题。
例如,阅读有关 Cisco AnyConnect VPN 的解决方法: Cisco AnyConnect 安全移动客户端管理员指南:基于 VM 的子系统的连接问题。
流量筛选器
流量筛选器使组织可以根据策略决定允许哪些流量进入公司网络。 IT 管理员可以使用流量筛选器将特定于接口的防火墙规则应用于 VPN 接口。
有两种类型的流量筛选器规则:
- 基于应用的规则 包含一系列应用程序,这些应用程序可以标记为仅允许从应用发源到 VPN 接口的流量
- 基于流量的规则 由 5 元组策略组成, (端口、地址、协议) ,这些策略可以指定为仅允许与规则匹配的流量通过 VPN 接口
可以通过 OR 链接规则集。 在每个集中,可以有基于应用的规则和基于流量的规则。
集中的所有属性都由 AND 链接。 可以在每个应用级别或每个设备级别应用规则。
例如,IT 管理员可以定义指定以下内容的规则:
- 允许 HR 应用通过 VPN,并且仅访问端口 4545
- 财务应用允许通过 VPN 访问,并且仅访问端口 5889 上的远程 IP 范围 10.10.0.40 - 10.10.0.201
- 设备上的所有其他应用只能访问端口 80 或 443
配置流量筛选器
有关 XML 配置,请参阅 VPN 配置文件选项和 VPNv2 CSP。
下图显示了使用 Microsoft Intune 在 VPN 配置文件配置策略中配置流量规则的界面。
锁定 VPN
配置为带有锁定的 VPN 配置文件将保护设备以仅允许通过 VPN 接口的网络流量。 它具有以下特征:
- 系统尝试始终保持 VPN 连接
- 用户无法断开 VPN 连接
- 用户无法删除或修改 VPN 配置文件
- VPN 锁定配置文件使用强制隧道连接
- 如果 VPN 连接不可用,则会阻止出站网络流量
- 设备上只允许一个 VPN 锁定配置文件
注意
对于内置 VPN,LockDown VPN 仅适用于 Internet 密钥交换版本 2 (IKEv2) 连接类型。
注意
部署 LockDown VPN 时要小心,因为如果没有建立 VPN 连接,生成的连接将无法发送或接收任何网络流量。
相关文章
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈