عرض عام لشبكة VPN لنشر جهاز Apple
يتوفر الوصول الآمن إلى شبكات الشركة الخاصة في iOS و iPadOS و macOS و tvOS و watchOS و visionOS باستخدام بروتوكولات الشبكة الخاصة الظاهرية (VPN) المطابقة لمعايير المجال المعمول بها.
البروتوكولات المدعومة
يدعم iOS و iPadOS و macOS و tvOS و watchOS و visionOS البروتوكولات وطرق المصادقة التالية:
IKEv2: دعم كل من IPv4 وIPv6 والتالي:
وسائل المصادقة: السر المشترك والشهادات وEAP-TLS وEAP-MSCHAPv2
تشفير المجموعة B: شهادات ECDSA وتشفير ESP باستخدام مجموعات GCM وECP لمجموعة Diffie–Hellman
ميزات إضافية: MOBIKE، تجزئة IKE، إعادة توجيه الخادم، المعبر المنقسم
يدعم iOS و iPadOS و macOS و visionOS أيضًا البروتوكولات وطرق المصادقة التالية:
L2TP عبر IPsec: مصادقة المستخدم بواسطة كلمة سر MS-CHAP v2 أو رمز ثنائي المعامل أو الشهادة أو مصادقة الجهاز بواسطة شهادة أو سر مشترك
يمكن أن يستخدم macOS أيضًا مصادقة جهاز Kerberos بواسطة سر مشترك أو شهادة مشتركة مع L2TP عبر IPsec.
IPsec: مصادقة المستخدم بواسطة كلمة سر ورمز ثنائي المعامل ومصادقة الجهاز بواسطة شهادات وسر مشترك
إذا كانت مؤسستك تدعم هذه البروتوكولات، فلن يكون مطلوبًا منك أي تكوين شبكة إضافي أو تطبيقات لجهة خارجية حتى تتمكن من توصيل أجهزة Apple بالشبكة الخاصة الظاهرية لديك.
يتضمن الدعم تقنيات مثل IPv6 وخوادم الوكيل واتصال المعبر المنقسم. يوفر اتصال المعبر المنقسم تجربة VPN مرنة عند الاتصال بشبكات المؤسسة.
بالإضافة إلى ذلك، يسمح إطار عمل ملحق الشبكة لمطوري الجهات الخارجية بإنشاء حل VPN مخصص لكل من iOS و iPadOS و macOS و tvOS و visionOS. أنشأ العديد من مزودي VPN تطبيقات للمساعدة في تكوين أجهزة Apple للاستخدام مع حلولهم. لتكوين جهاز لاستخدام حل معين، قم بتثبيت التطبيق المصاحب الخاص بموفر الحل وقم -بشكل اختياري- بتوفير ملف تعريف تكوين يحتوي على الإعدادات اللازمة.
VPN حسب الطلب
في iOS و iPadOS و macOS و tvOS، تسمح ميزة VPN حسب الطلب لأجهزة Apple بإنشاء اتصال تلقائيًا كلما اقتضت الحاجة. وتتطلب طريقة مصادقة لا تتضمن تفاعل المستخدم -على سبيل المثال، مصادقة مستندة إلى الشهادة. يتم تكوين VPN حسب الطلب باستخدام مفتاح OnDemandRules في حمولة VPN بملف تعريف التكوين. ويتم تطبيق القواعد على مرحلتين:
مرحلة اكتشاف الشبكة: يتم خلالها تعريف متطلبات VPN التي يتم تطبيقها عندما يتغير اتصال الشبكة الرئيسية على الجهاز.
مرحلة تقييم الاتصال: يتم خلالها تعريف متطلبات VPN لطلبات الاتصال لأسماء النطاقات حسب الحاجة.
يمكن استخدام القواعد لتنفيذ أشياء مثل:
التمييز عندما يكون جهاز Apple متصلاً بشبكة داخلية ولا يلزم اتصال VPN.
التمييز عندما تكون ثمة شبكة Wi-Fi غير معروفة قيد الاستخدام والمطالبة بشبكة VPN
بدء اتصال VPN عندما يفشل طلب DNS لاسم نطاق محدد
VPN لكل تطبيق
في iOS و iPadOS و macOS و watchOS و visionOS 1.1، يمكن إنشاء اتصالات VPN على أساس اتصال لكل تطبيق، ما يوفر تحكمًا أكثر دقةً في نوعية البيانات المتدفقة عبر VPN. هذه الإمكانية لفصل حركة المرور على مستوى التطبيق تسمح بفصل البيانات الشخصية عن البيانات المؤسسية—مما يؤدي إلى توفير اتصال شبكات آمن لتطبيقات الاستخدام الداخلي، مع الاحتفاظ بخصوصية نشاط الجهاز الشخصي في الوقت ذاته.
إن ميزة VPN لكل تطبيق تتيح لكل تطبيق تتم إدارته بواسطة أحد حلول برنامج إدارة الأجهزة المحمولة (MDM) الاتصال بالشبكة الخاصة باستخدام معبر آمن، في حين تستبعد التطبيقات غير المُدارة استخدام الشبكة الخاصة. يمكن تكوين التطبيقات المُدارة باتصالات VPN مختلفة لتوفير مزيد من الحماية للبيانات. على سبيل المثال، يمكن لتطبيق عرض أسعار المبيعات أن يستخدم مركز بيانات مختلفًا تمامًا عن الذي يستخدمه تطبيق حسابات الدائنين.
بعد إنشاء VPN لكل تطبيق لأي تكوين VPN، يتعين عليك ربط هذا الاتصال بالتطبيقات التي تستخدمه لتأمين حركة مرور الشبكة لهذه التطبيقات. يمكنك تنفيذ ذلك باستخدام حمولة تعيين VPN لكل تطبيق (macOS) أو من خلال تحديد تكوين VPN ضمن أمر تثبيت التطبيق (iOS و iPadOS و macOS و visionOS 1.1).
يمكن تكوين VPN لكل تطبيق للعمل مع عميل IKEv2 VPN المضمن في iOS و iPadOS و watchOS و visionOS 1.1. للحصول على معلومات حول دعم VPN لكل تطبيق في حلول VPN المخصصة، اتصل بموردي VPN.
ملاحظة: لاستخدام VPN لكل تطبيق في iOS و iPadOS و watchOS 10 و visionOS 1.1، يجب إدارة التطبيق بواسطة MDM.
تشغيل VPN دومًا
تتيح ميزة تشغيل VPN دومًا المتاحة لـ IKEv2 لمؤسستك إمكانية التحكم الكامل في حركة المرور على iOS و iPadOS من خلال نقل حركة مرور IP بالكامل إلى المؤسسة مرة أخرى. يمكن لمؤسستك الآن مراقبة وتصفية حركة المرور من وإلى الأجهزة، وتأمين البيانات داخل الشبكة، وتقييد وصول الأجهزة إلى الإنترنت.
يتطلب تنشيط ميزة تشغيل VPN دومًا الإشراف على الجهاز. بعد تثبيت ملف تعريف تشغيل VPN دومًا على جهاز، يتم تنشيط ميزة تشغيل VPN دومًا تلقائيًا دون أي تدخل من المستخدم، ويستمر تنشيطها (بما في ذلك أثناء إعادات التشغيل) حتى يتم إلغاء تثبيت ملف تعريف تشغيل VPN دومًا.
عند تنشيط ميزة تشغيل VPN دومًا على الجهاز، يرتبط بدء معبر VPN وإنهاؤه بحالة IP للواجهة. عندما تحصل الواجهة على إمكانية وصول إلى شبكة IP، فإنها تحاول إنشاء معبر. وعندما تسقط حالة IP للواجهة، يتم إنهاء المعبر.
تدعم ميزة تشغيل VPN دومًا أيضًا المعابر لكل واجهة. بالنسبة للأجهزة ذات الاتصالات الخلوية، سيكون هناك معبر لكل واجهة IP نشطة (أي معبر لواجهة الشبكة الخلوية ومعبر لواجهة شبكة Wi-Fi). وطالما ظلت معابر VPN مشغلة، يتم نقل حركة مرور IP بالكامل. تشمل حركة المرور كل حركة المرور الموجهة من IP وكل حركة المرور في نطاق IP (أي حركة المرور من تطبيقات الطرف الأول مثل فيس تايم والرسائل). إذا لم تكن المعابر مشغلة، يتم إسقاط كل حركة مرور IP.
كل حركة المرور التي تمر في المعبر من أي جهاز ستصل إلى خادم VPN. يمكنك تطبيق عمليات معالجة تصفية و مراقبة اختيارية قبل إعادة توجيه حركة المرور إلى وجهتها في شبكة المؤسسة أو إلى الإنترنت. وبالمثل، فإن حركة المرور إلى الجهاز سيتم توجيهها إلى خادم VPN الخاص بمؤسستك، والتي يمكن تطبيق عمليات معالجة التصفية والمراقبة فيها قبل إعادة توجيهها إلى الجهاز.
ملاحظة: إقران Apple Watch غير مدعوم مع ميزة تشغيل VPN دومًا.
خادم وكيل شفاف
يُعد الخادم الوكيل الشفاف نوعًا خاصًا من VPN على macOS ويمكن استخدامه بطرق مختلفة لمراقبة حركة المرور على الشبكة وتحويلها. تتضمن حالات الاستخدام الشائعة حلول تصفية المحتوى والبرامج الوسيطة للوصول إلى الخدمات السحابية. نظرًا لتنوع الاستخدامات، من الجيد تحديد الترتيب الذي يمكن من خلاله لهذه الخوادم الوكيلة رؤية حركة المرور والتعامل معها. على سبيل المثال، تريد استدعاء خادم وكيل يقوم بتصفية حركة المرور على الشبكة قبل استدعاء خادم وكيل يقوم بتشفير حركة المرور. يمكنك إجراء ذلك عن طريق تحديد الترتيب في حمولة VPN.