Функции безопасности VPN

Контейнеры и VPN на основе Hyper-V

Windows поддерживает различные типы контейнеров на основе Hyper-V, например Application Guard в Microsoft Defender и Песочница Windows. При использовании vpn-решения, отличного от Майкрософт, контейнеры на основе Hyper-V могут не иметь возможности легко подключиться к Интернету, а для устранения проблем с подключением могут потребоваться изменения конфигурации.

Например, ознакомьтесь с обходным решением для Cisco AnyConnect VPN: руководство администратора Cisco AnyConnect Secure Mobility Client Administrator: Проблемы с подключением к подсистемам на основе виртуальных машин.

Фильтры трафика

Фильтры трафика позволяют организациям решать, какой трафик разрешен в корпоративную сеть на основе политики. ИТ-администраторы могут использовать фильтры трафика для применения правил брандмауэра, относящихся к интерфейсу VPN.

Существует два типа правил фильтра трафика:

  • Правила на основе приложений состоят из списка приложений, которые можно пометить так, чтобы разрешить трафик, исходящий из приложений, в интерфейс VPN.
  • Правила на основе трафика состоят из 5 кортежей политик (порты, адреса, протокол), которые можно указать, чтобы трафик, соответствующий правилам, проходил через ИНТЕРФЕЙС VPN.

Могут быть наборы правил, связанных с OR. В каждом наборе могут быть правила на основе приложений и правила на основе трафика.
Все свойства в наборе связаны с помощью И. Правила могут применяться на уровне каждого приложения или на уровне каждого устройства.

Например, ИТ-администратор может определить правила, определяющие:

  • Приложению отдела кадров разрешено проходить через VPN и только через порт 4545
  • Приложениям Finance разрешен доступ через VPN и доступ к диапазонам удаленных IP-адресов с 10.10.0.40 до 10.10.0.201 через порт 5889
  • Все остальные приложения на устройстве могут получать доступ только к портам 80 или 443.

Настройка фильтров трафика

Сведения о настройке XML см. в разделе Параметры профиля VPN и VPNv2 CSP.

На следующем рисунке показан интерфейс для настройки правил трафика в политике конфигурации профиля VPN с помощью Microsoft Intune.

Создание профиля VPN из центра администрирования Microsoft Intune.

Блокировка по VPN

Если профиль VPN настроен с блокировкой, безопасность устройства обеспечивается за счет разрешения только трафика, который проходит через интерфейс VPN. Он имеет следующие функции.

  • Система пытается всегда поддерживать подключение VPN
  • Пользователь не может отключить VPN-подключение
  • Пользователь не может удалить или изменить профиль VPN
  • Профиль VPN LockDown использует принудительное подключение к туннелю
  • Если VPN-подключение недоступно, исходящий сетевой трафик блокируется.
  • На устройстве разрешен только один профиль VPN LockDown

Примечание.

Для встроенного VPN-подключения блокировка VPN доступна только для типа подключения Internet Key Exchange версии 2 (IKEv2).

Предостережение

Будьте осторожны при развертывании LOCKDown VPN, так как в результате подключение не сможет отправлять или получать какой-либо сетевой трафик без установки VPN-подключения.