Always-On VPN
Always-On VPN 是什么?
Always-On VPN由 Windows、Apple、Android 配置强制实施的设备级策略:一旦有可用网络就自动建立 VPN 隧道,并拒绝任何未经隧道的流量。
Always-On VPN 是受管设备上由操作系统在应用使用网络之前强制执行的功能。Windows 通过 Intune 或 PowerShell 推送的 VPN 配置文件提供,支持 IKEv2,具备自动起建的设备隧道与用户隧道两阶段。Apple iOS、iPadOS、macOS 在 mobileconfig 中通过 AlwaysOn 标志提供 VPN On Demand 与 Per-App VPN,通常使用 IKEv2 或厂商的 IKEv2/WireGuard 隧道。Android 提供系统级 Always-on VPN 设置,并搭配 Block connections without VPN 选项;企业 MDM(Workspace ONE、Intune)将其下发到整支机群。该控制可防止用户绕过企业网关,加固漫游设备应对恶意 Wi-Fi,并通常与 kill switch 行为及基于证书的设备认证组合使用。
● 示例
- 01
Windows 11 启用 Always On VPN,通过 Intune 下发的 XML 配置文件构建设备隧道,使用 IKEv2 机器证书。
- 02
Android Enterprise 强制启用 Always-on VPN 并开启 Block connections without VPN,使所有应用都经过公司网关。
● 常见问题
Always-On VPN 是什么?
由 Windows、Apple、Android 配置强制实施的设备级策略:一旦有可用网络就自动建立 VPN 隧道,并拒绝任何未经隧道的流量。 它属于网络安全的 网络安全 分类。
Always-On VPN 是什么意思?
由 Windows、Apple、Android 配置强制实施的设备级策略:一旦有可用网络就自动建立 VPN 隧道,并拒绝任何未经隧道的流量。
Always-On VPN 是如何工作的?
Always-On VPN 是受管设备上由操作系统在应用使用网络之前强制执行的功能。Windows 通过 Intune 或 PowerShell 推送的 VPN 配置文件提供,支持 IKEv2,具备自动起建的设备隧道与用户隧道两阶段。Apple iOS、iPadOS、macOS 在 mobileconfig 中通过 AlwaysOn 标志提供 VPN On Demand 与 Per-App VPN,通常使用 IKEv2 或厂商的 IKEv2/WireGuard 隧道。Android 提供系统级 Always-on VPN 设置,并搭配 Block connections without VPN 选项;企业 MDM(Workspace ONE、Intune)将其下发到整支机群。该控制可防止用户绕过企业网关,加固漫游设备应对恶意 Wi-Fi,并通常与 kill switch 行为及基于证书的设备认证组合使用。
如何防御 Always-On VPN?
针对 Always-On VPN 的防御通常结合技术控制与运营实践,详见上方完整定义。
Always-On VPN 还有哪些其他名称?
常见的别称包括: AOVPN, Always On VPN, 设备隧道。
● 相关术语
- network-security№ 1213
VPN 紧急停断(Kill Switch)
一项安全保护:一旦 VPN 隧道断开,主机上所有网络流量将被自动阻断,以防止未加密连接造成意外泄露。
- network-security№ 1215
VPN 分流(Split Tunneling)
一种 VPN 配置,仅将所选流量(如企业子网)经加密隧道传输,其余流量直接走本地互联网。
- network-security№ 1244
WireGuard
现代化、极简的 VPN 协议,采用固定的新一代密码学原语,并作为 Linux 内核的一部分运行。
- network-security№ 556
IPsec
IETF 制定的一组协议,对 IP 数据包进行认证和加密,以在网络层提供安全通信。