虚拟专用网络(VPN)

虚拟专用网络(VPN)确保所有数据都通过安全通道传输,也就是说,它严格要求身份验证或指定的证书建立连接。所以,每一个企业都倾向于配置VPN,保证企业数据的安全,防止黑客或不可信的用户的攻击访问。VPN是必须的,没有它,用户下班后就无法访问公司网络。由于移动设备已经成为生产力的一部分,员工应该可以在任何地方都可以访问企业数据。作为管理员,您需要为所有管理的移动设备配置VPN。您可以创建和关联VPN配置文件到设备。

VPN和VPN On-Demand

当设备中配置了VPN配置文件时,用户每次安全地访问公司数据时都要打开设备中的VPN设置。由于VPN在无线网络或蜂窝数据上运行,所以每次设备失去与互联网的连接时,VPN连接就会自动关闭。用户必须手动打开,才能获得公司数据。为了实现这一点,您可以选择VPN On-Demand。正如名称所表明的,只有在特定数据需要时才建立VPN连接,用户不需要手动打开VPN。

您必须指定应该为其启用VPN的域。多个待添加的域可以用“,”隔开。下面提到的表格将帮助您在产品服务器上输入为移动设备配置VPN所需的输入。

MDM支持以下内置VPN连接类型:

除了上述内置的VPN之外,Mobile Device Manager Plus还支持配置以下插件VPN。这些VPN需要在设备上安装额外的应用程序。

注意:这些应用程序也可以使用应用配置功能无线配置。

Mobile Device Manager Plus还可以配置以下默认不支持的插件VPN。

注意:如果您需要对其他VPN的支持,请点击这里提交需求。

应用商店中没有Juniper SSL应用。这种VPN类型只能为已经存在该应用程序的设备配置。要配置自定义SSL VPN,管理员必须手动输入应用程序的详细信息。所有其他插件应用程序都可以使用ABM添加,并静默地分发到设备上。点击这里了解更多关于应用分发,点击这里,了解如何在iOS设备中静默安装应用程序。

使用证书进行认证

除了在被管设备上配置VPN之外,MDM还提供了使用证书作为身份验证手段在设备上配置VPN的选项。身份验证在VPN连接的建立中扮演着重要的角色,证书通常被认为是比预共享密钥更安全的身份验证形式。此外,在大型VPN网络中,管理大量的预共享密钥可能会很麻烦。在这种情况下,证书是一种可扩展性更强的替代方案。此外,预共享密钥与IP地址绑定,而证书不与IP地址绑定,确保使用动态分配的IP地址的远程用户可以使用证书中包含的识别信息进行身份验证。您可以参阅 这里 配置证书,并参阅 这里 在大范围内分发证书。

以下文件将帮助您在您的移动设备中配置Cisco AnyConnect:

配置文件说明

描述

VPN

连接名称

连接的显示名称,会显示在终端用户的移动设备中

连接类型

启用的连接类型

服务器名/IP地址

服务器的主机名或IP地址

本机识别符(仅当连接类型为IKEv2时可配置)

指定用户/设备的证书身份

远程识别符(仅当连接类型为IKEv2时可配置)

指定服务器的证书身份

账户

访问VPN的用户身份验证,(%username%)获取映射到设备相应的用户名

Realm (只有连接类型是Juniper SSL/Pulse VPN时,才能配置)

指定身份验证域。身份验证域指定了使用VPN服务时用户必须遵守的标准。它是一组身份验证资源,包括身份验证服务器、身份验证策略等,通常是由网络管理员完成的。

角色 (只有连接类型是Juniper SSL/Pulse VPN时,才能配置)

指定用户角色。用户角色是定义用户会话参数(如会话设置)、个性化设置(如书签)和其他启用的访问功能的实体。例如,用户角色可以定义用户是否可以执行Web浏览。

用户验证

设置用户验证类型:密码或RSA securID

机器验证(只有连接类型是IPSec(Cisco)时,才能配置)

指定用于机器身份验证的密码

密码(只有用户身份验证设置为密码时,才能配置)

指定用于用户身份验证的密码

身份证书(只有机器验证设置为证书时,才能配置)

指定用于基于证书的身份验证的身份证书。您也可以使用SCEP

包含用户PIN(只有机器验证设置为证书时,才能配置)

指定是否必须包含用户PIN。

组名(只有用户身份验证设置为密码时,才能配置)

指定组的名称。如果启用了混合身份验证,那么名称必须以[hybrid]为后缀。

共享密码

指定预共享的密码

使用混合身份验证(只有机器验证设置为共享密码时,才能配置)

启用混合身份验证,一种安全的常规身份验证方法

提示输入密码(只有机器验证设置为共享密码时,才能配置)

启用/禁用提示输入密码

加密级别(只有连接类型是PPTP时,才能配置)

指定用于用户身份验证的密码

发送所有流量

通过VPN连接路由所有网络流量

自定义数据(只能为支持附加配置的连接类型配置)

指定自定义数据以包含VPN连接的附加配置。

插件标识符(只有当连接类型设置为自定义SSL时才能配置)

指定插件标识符来识别应用程序,并在设备上应用VPN。

应用程序名称(只有当连接类型设置为自定义SSL时才能配置)

指定应用程序名称。

高级设置(仅当连接类型为IKEv2时可配置)

对等体存活检测(DPD)率

DPD用于识别被管设备与VPN之间的连接是否建立。当DPD设置为高时,验证连接建立的时间间隔很小。如果设置为“中”或“低”,则时间间隔增大。

启用完全正向保密(PFS)

完全正向保密(PFS)是一个属性,它可以确保过去通信的安全性,以防将来密钥/密码被泄露。例如,即使某人现在可以访问密钥/密码,这也不能用于访问以前的通信。

启用证书撤回检查

这可以用来验证CA已经撤销了为特定设备提供的证书

禁用MOBIKE

MOBIKE确保在从一个地址移动到另一个地址时,与VPN网关的连接是活跃的。此外,在主机连接到多个网络的情况下,如果当前使用的接口停止工作,MOBIKE可以将流量转移到不同的接口。

使用内部IPv4子网

允许/限制分发的内部IPv4子网属性的使用。

禁用重定向

允许/限制从一个VPN网关到另一个VPN网关的重定向连接。

IKE SA参数(仅当连接类型为IKEv2时可配置)

IKE SA (Internet Key Exchange Security Association)用于首次在VPN与设备之间建立通信,可以使用证书/预共享密钥/用户名。

加密算法

用于共享数据建立连接的加密技术。支持常见的加密技术,如DES、AES、POLY等。

完整算法

用于共享数据以建立连接的完整性技术。支持常见的完整性技术,如SHA、MD5等。

Diffie-Hellman组

指定用于密钥交换的Diffie-Hellman算法组。

期间(以分钟为单位)

指定要建立连接的最大可能持续时间。

Child SA参数(仅当连接类型为IKEv2时可配置)

IKE SA用于在IKE SA建立VPN连接后,保护终端之间的通信安全

加密算法

用于对共享的数据进行加密的加密技术。支持常见的加密技术,如DES、AES、POLY等。

完整算法

用于共享数据以建立连接的完整性技术。支持常见的完整性技术,如SHA、MD5等。

Diffie-Hellman组

指定用于密钥交换的Diffie-Hellman算法组。

期间(以分钟为单位)

指定要建立连接的最大可能持续时间。

VPN On-Demand

启用VPN On Demand

启用这一功能,就可以在VPN上切换,就像需要VPN连接才访问特定的服务器/域,并且设备不在公司网络中。

指定域

您必须指定应该按需启用VPN的域列表。您可以使用逗号分隔来输入多个域名。

配置代理

代理设置

为VPN配置代理设置

服务器URL (只有当代理被设置为自动时,才可以配置)

指定包含代理PAC的URL。

服务器(只有当代理被设置为手动时,才可以配置)

代理服务器名称

端口(只有当代理被设置为手动时,才可以配置)

使用的端口号

用户名(只有当代理被设置为手动时,才可以配置)

用于验证的用户名

密码(只有当代理被设置为手动时,才可以配置)

使用的密码


动态变量:

以下提到的变量从登记设备的数据中提取数据。

%username% - 将获取映射到设备上的对应的用户名称。

另请参阅:  将配置文件关联到组将配置文件关联到设备应用管理将应用分发到设备将应用分发到组
版权所有 © 2023, 卓豪(中国)技术有限公司。保留一切权利。
ManageEngine卓豪 - IT管理 新体验