Apple 裝置部署的 VPN 概覽
iOS、iPadOS、macOS、tvOS、watchOS 和 visionOS 透過已行之多年的業界標準虛擬私人網路(VPN)通訊協定,讓使用者安全地連接公司私人網路。
支援的通訊協定
iOS、iPadOS、macOS、tvOS、watchOS 和 visionOS 支援下列通訊協定和認證方式:
IKEv2:同時支援 IPv4 和 IPv6 及下列方式:
認證方式:共享密鑰、憑證、EAP-TLS 和 EAP-MSCHAPv2
Suite B 加密:ECDSA 憑證、ESP 加密(以 GCM)及 Diffie-Hellman Group 的 ECP Groups
其他功能:MOBIKE、IKE 分散(fragmentation)、伺服器重新導向、分割通道
iOS、iPadOS、macOS 和 visionOS 也支援下列通訊協定和認證方式:
透過 IPsec 的 L2TP:MS–CHAP v2 密碼、雙重代號、憑證的使用者認證,以及使用共享密鑰或憑證的機器認證
macOS 也可以藉由與「透過 IPsec 的 L2TP」共享密鑰或憑證來使用 Kerberos 機器認證。
IPsec:密碼與雙重代號的使用者認證,以及使用共享密鑰與憑證的機器認證
如果你的組織支援這些協定,可以直接將 Apple 裝置連接到你的虛擬私人網路,無需進行其他網路設定或使用第三方 App。
支援包含 IPv6、代理伺服器和分割通道等技術。連接至組織的網路時,分割通道可提供靈活的 VPN 體驗。
此外,「網路延伸功能」架構可讓第三方開發人員針對 iOS、iPadOS、macOS、tvOS 和 visionOS 製作自訂 VPN 解決方案。多家 VPN 供應商皆已製作 App,能協助設定 Apple 裝置來與其解決方案搭配使用。若要設定裝置使用特定的解決方案,請安裝供應商隨附的 App,並選擇是否提供包含必要設定的設定描述檔。
隨選即用 VPN
在 iOS、iPadOS、macOS 和 tvOS 中,「隨選即用 VPN」能讓 Apple 裝置依照需求自動建立連線。需要不涉及使用者互動的認證方式,例如憑證型認證。「隨選即用 VPN」的設定是透過設定描述檔的 VPN 承載資料裡的 OnDemandRules 鍵。規則的套用分為兩個階段:
網路偵測階段:是在裝置的主要網路連線改變時,用來定義 VPN 必要條件的規則。
連線評估階段:是在根據需求來請求連接網域名稱時,用來定義 VPN 必要條件的規則。
規則可用來執行以下作業:
辨別 Apple 裝置是連接到內部網路,不需要使用 VPN
辨別正連接到未知的 Wi-Fi 網路且必須使用 VPN
當 DNS 無法取得要求的特定網域名稱時,請啟動 VPN
個別 App VPN
在 iOS、iPadOS、macOS、watchOS 和 visionOS 1.1 中,VPN 連線可以根據個別 App 建立,這可對透過 VPN 傳輸的資料提供更細膩的控制。這種在 App 層級隔離流量的功能可以將私人資料與組織資料分開來,從而為內部使用的 App 提供安全的網路,同時保護個人裝置活動的隱私。
個別 App VPN 能讓受行動裝置管理(MDM)解決方案的每個 App 使用安全通道與私人網路通訊,並能阻擋未受管理的 App 使用私人網路。受管理的 App 可以設定使用不同的 VPN 連線,以進一步保護資料。例如,銷售報價 App 可能使用與應付帳款 App 完全不同的數據中心。
在為任一 VPN 設定建立個別 App VPN 後,你需要將該連線與使用它的 App 相關聯來為那些 App 保護網路流量。你可以使用個別 App VPN 對應的承載資料(macOS)或透過在 App 安裝指令(iOS、iPadOS、macOS、visionOS 1.1)中指定 VPN 設定來執行此操作。
個別 App VPN 可設定為搭配 iOS、iPadOS、watchOS 和 visionOS 1.1 中的內建 IKEv2 VPN 用戶端使用。如需自訂 VPN 解決方案中個別 App VPN 支援的相關資訊,請聯絡 VPN 供應商。
【注意】若要使用 iOS、iPadOS、watchOS 10 和 visionOS 1.1 中的個別 App VPN,App 必須受 MDM 管理。
總是開啟 VPN
適用於 IKEv2 的「總是開啟 VPN」可讓你的組織藉由將所有 IP 流量遞送回組織,來完全控管裝置的流量。你的組織現在可監控和過濾和裝置之間往來的流量、保護你網路內的資料,以及限制裝置對網際網路的存取。
「總是開啟 VPN」啟動需要進行裝置監管。在裝置上安裝「總是開啟 VPN」描述檔後,「總是開啟 VPN」便會自動啟動,無需使用者操作,且其會保持啟動狀態(包含在重新啟動之間),除非你將「總是開啟 VPN」描述檔解除安裝。
在裝置上啟動「總是開啟 VPN」後,VPN 通道的啟動和卸除會綁定至介面 IP 狀態。當介面增加 IP 網路連接能力時,便會嘗試建立通道。當介面 IP 狀態結束時,通道便會被卸除。
「總是開啟 VPN」也支援介面層級的通道。對具備行動網路連線的裝置而言,每個有效的 IP 介面都會有一個通道(行動網路介面有一個通道,而 Wi-Fi 介面有一個通道)。只要 VPN 通道啟用,所有 IP 流量便會被遞送。流量包含所有 IP 遞送的流量和所有 IP 設定範圍的流量(來自第一方 App,如 FaceTime 和「訊息」的流量)。若通道並未啟用,所有 IP 流量便會中止。
從裝置遞送的所有流量會抵達 VPN 伺服器。你可以先套用選擇性的過濾與監控處理方式,再將流量轉送至其位於你組織網路內或網際網路的目的地。同樣地,送往裝置的流量會被遞送至你組織的 VPN 伺服器,在那裡可能會先套用過濾與監控程序,再轉送至該裝置。
【注意】Apple Watch 配對不支援「總是開啟 VPN」。
透通式代理伺服器
透通式代理伺服器為 macOS 上的特殊 VPN 類型,而且可在不同方式中使用來監控和轉換網路流量。常見使用案例為內容過濾解決方案和存取雲端服務的代理程式。由於使用方式有許多種,因此最好是定義代理伺服器看到和處理流量的順序。例如,你想要在啟動會加密流量的代理伺服器之前啟動代理伺服器過濾網路流量。你可以在 VPN 承載資料中定義順序來完成此操作。