VPN 安全性功能

Hyper-V 型容器和 VPN

Windows 支援不同類型的 Hyper-V 型容器,例如 Microsoft Defender 應用程式防護 和 Windows 沙箱。 當您使用非 Microsoft VPN 解決方案時,Hyper-V 型容器可能無法順暢地連線到因特網,而且可能需要變更組態才能解決連線問題。

例如,閱讀 Cisco AnyConnect VPN 的因應措施: Cisco AnyConnect Secure Mobility Client Administrator Guide:VM 型子系統的連線問題

流量篩選

流量篩選可讓組織根據原則來決定允許哪些流量進入公司網路。 IT 系統管理員可以使用流量篩選器,將介面特定的防火牆規則套用至 VPN 介面。

流量篩選規則有兩種類型:

  • 以應用程式為基礎的規則 是由應用程式清單所組成,這些應用程式可以標示為只允許從應用程式流向 VPN 介面的流量
  • 流量型規則 包含 5 個 Tuple 原則, (埠、地址、通訊協定) ,這些原則可以指定為只允許符合規則的流量通過 VPN 介面

OR 可以連結一組規則。 在每個集合中,都可以有以應用程式為基礎的規則和流量型規則。
集合中的所有屬性都是透過 AND 連結。 規則可以套用在每個應用程式層級或每個裝置層級。

例如,IT 系統管理員可以定義指定下列項目的規則:

  • HR 應用程式可以通過 VPN,且只能存取埠 4545
  • 財務應用程式可透過 VPN 存取,且只能在埠 5889 上存取 10.10.0.40 - 10.10.0.201 的遠端 IP 範圍
  • 裝置上的所有其他應用程式只能存取 埠 80443

設定流量篩選器

如需了解 XML 設定,請參閱 VPN 設定檔選項VPNv2 CSP

下圖顯示使用 Microsoft Intune 在 VPN 設定檔設定原則中設定流量規則的介面。

從系統管理中心 Microsoft Intune 建立 VPN 配置檔。

鎖定 VPN

利用「鎖定」設定的 VPN 設定檔可保護裝置的安全,只允許 VPN 介面上的網路流量。 它具有下列功能:

  • 系統會嘗試一律讓 VPN 保持連線
  • 用戶無法中斷 VPN 連線
  • 使用者無法刪除或修改 VPN 設定檔
  • VPN 鎖定配置檔使用強制通道連線
  • 如果 VPN 連線無法使用,輸出網路流量會遭到封鎖
  • 裝置上只允許一個 VPN 鎖定設定檔

注意

針對內建 VPN,鎖定 VPN 僅適用於因特網密鑰交換版本 2 (IKEv2) 連線類型。

注意

部署鎖定 VPN 時請小心,因為如果沒有建立 VPN 連線,產生的連線將無法傳送或接收任何網路流量。