VPN 安全功能

基于 Hyper-V 的容器和 VPN

Windows 支持不同类型的基于 Hyper-V 的容器,例如Microsoft Defender 应用程序防护和Windows 沙盒。 使用非 Microsoft VPN 解决方案时,基于 Hyper-V 的容器可能无法无缝连接到 Internet,并且可能需要更改配置才能解决连接问题。

例如,阅读有关 Cisco AnyConnect VPN 的解决方法: Cisco AnyConnect 安全移动客户端管理员指南:基于 VM 的子系统的连接问题

流量筛选器

流量筛选器使组织可以根据策略决定允许哪些流量进入公司网络。 IT 管理员可以使用流量筛选器将特定于接口的防火墙规则应用于 VPN 接口。

有两种类型的流量筛选器规则:

  • 基于应用的规则 包含一系列应用程序,这些应用程序可以标记为仅允许从应用发源到 VPN 接口的流量
  • 基于流量的规则 由 5 元组策略组成, (端口、地址、协议) ,这些策略可以指定为仅允许与规则匹配的流量通过 VPN 接口

可以通过 OR 链接规则集。 在每个集中,可以有基于应用的规则和基于流量的规则。
集中的所有属性都由 AND 链接。 可以在每个应用级别或每个设备级别应用规则。

例如,IT 管理员可以定义指定以下内容的规则:

  • 允许 HR 应用通过 VPN,并且仅访问端口 4545
  • 财务应用允许通过 VPN 访问,并且仅访问端口 5889 上的远程 IP 范围 10.10.0.40 - 10.10.0.201
  • 设备上的所有其他应用只能访问端口 80443

配置流量筛选器

有关 XML 配置,请参阅 VPN 配置文件选项VPNv2 CSP

下图显示了使用 Microsoft Intune 在 VPN 配置文件配置策略中配置流量规则的界面。

从 Microsoft Intune 管理中心创建 VPN 配置文件。

锁定 VPN

配置为带有锁定的 VPN 配置文件将保护设备以仅允许通过 VPN 接口的网络流量。 它具有以下特征:

  • 系统尝试始终保持 VPN 连接
  • 用户无法断开 VPN 连接
  • 用户无法删除或修改 VPN 配置文件
  • VPN 锁定配置文件使用强制隧道连接
  • 如果 VPN 连接不可用,则会阻止出站网络流量
  • 设备上只允许一个 VPN 锁定配置文件

注意

对于内置 VPN,LockDown VPN 仅适用于 Internet 密钥交换版本 2 (IKEv2) 连接类型。

注意

部署 LockDown VPN 时要小心,因为如果没有建立 VPN 连接,生成的连接将无法发送或接收任何网络流量。