Funzionalità di sicurezza della rete VPN

• Si applica a:

  ✅ Windows 11, ✅ Windows 10

Contenitori basati su Hyper-V e VPN

Windows supporta diversi tipi di contenitori basati su Hyper-V, ad esempio Microsoft Defender Application Guard e Sandbox di Windows. Quando si usa una soluzione VPN non Microsoft, i contenitori basati su Hyper-V potrebbero non essere in grado di connettersi facilmente a Internet e potrebbero essere necessarie modifiche alla configurazione per risolvere i problemi di connettività.

Ad esempio, leggere la soluzione alternativa per Cisco AnyConnect VPN: Cisco AnyConnect Secure Mobility Client Administrator Guide: Connectivity issues with VM-based subsystems (Guida dell'amministratore client di Cisco AnyConnect Secure Mobility: Problemi di connettività con i sottosistemi basati su VM).

Filtri di traffico

Filtri traffico consente alle organizzazioni di decidere quale traffico è consentito nella rete aziendale in base ai criteri. Gli amministratori IT possono usare filtri del traffico per applicare regole del firewall specifiche dell'interfaccia all'interfaccia VPN.

Esistono due tipi di regole di filtro del traffico:

• Le regole basate su app sono costituite da un elenco di applicazioni che possono essere contrassegnate per consentire solo il traffico proveniente dalle app all'interfaccia VPN
• Le regole basate sul traffico sono costituite da criteri a 5 tuple (porte, indirizzi, protocollo) che possono essere specificati per consentire solo al traffico corrispondente alle regole di passare attraverso l'interfaccia VPN

Possono essere presenti set di regole collegate da OR. All'interno di ogni set possono essere presenti regole basate su app e regole basate sul traffico.
Tutte le proprietà all'interno del set sono collegate da AND. Le regole possono essere applicate a livello di app o per dispositivo.

Ad esempio, un amministratore IT potrebbe definire regole che specificano:

• Un'app hr può passare attraverso la VPN e accedere solo alla porta 4545
• Le app finance possono accedere tramite la VPN e solo agli intervalli IP remoti da 10.10.0.40 a 10.10.0.201 sulla porta 5889
• Tutte le altre app nel dispositivo possono accedere solo alle porte 80 o 443

Configurare i filtri del traffico

Vedi Opzioni del profilo VPN e CSP VPNv2 per la configurazione XML.

L'immagine seguente mostra l'interfaccia per configurare le regole di traffico in un criterio di configurazione del profilo VPN, usando Microsoft Intune.

VPN con blocco

Un profilo VPN configurato con il blocco protegge il dispositivo, consentendo solo il traffico di rete sull'interfaccia VPN. Le sue funzionalità sono:

• Il sistema tenta di mantenere sempre connessa la VPN
• L'utente non può disconnettere la connessione VPN
• L'utente non può eliminare o modificare il profilo VPN
• Il profilo blocco VPN usa la connessione tunnel forzata
• Se la connessione VPN non è disponibile, il traffico di rete in uscita viene bloccato
• In un dispositivo è consentito un solo profilo di blocco VPN

Nota

Per la VPN predefinita, la VPN lockdown è disponibile solo per il tipo di connessione Internet Key Exchange versione 2 (IKEv2).

Attenzione

Prestare attenzione quando si distribuisce la VPN di blocco, perché la connessione risultante non sarà in grado di inviare o ricevere traffico di rete senza che venga stabilita la connessione VPN.

Articoli correlati

• Guida tecnica alle reti VPN
• Tipi di connessione VPN
• Decisioni per il routing VPN
• Opzioni di autenticazione VPN
• VPN e accesso condizionale
• Risoluzione dei nomi VPN
• Opzioni del profilo ad attivazione automatica VPN
• Opzioni del profilo VPN