我正在尝试为一个学区部署第一个 iPad,但遇到了一个棘手的问题。首先,Web 代理设置是针对每个 wifi 网络的,我看不出有办法为所有 iPad 部署统一的代理设置。所以我想也许 VPN 可以工作,因为我可以通过配置管理器为其设置代理。但 VPN 设置本身仍可由用户控制,这在很大程度上违背了目的。此外,如果设备重新启动,VPN 连接似乎不会重新建立。
编辑:另外,这些 iPad 具有 3G 功能,可能在某个时候启用,因此也需要代理。通常甚至没有设置。现在我们只能通过 VPN 来实现,就像我说的,那个设置很弱。
答案1
我有一个学区客户,他有完全不同的要求。我应该更仔细地阅读你的问题和围绕它的讨论。
我们选择使用专用 SSID 后端路由,将其接入具有防火墙规则的 VLAN,以将 HTTP 流量导向透明代理。这限制了我们在 iPod 和 iPad 设备本身中进行任何配置的需要,因为它们具有有限的“企业”配置功能集。这还使我们能够控制来自设备的流量,以防止使用“恶意”代理或 VPN 连接。
回复:物理安全 - 我们将这些设备视为完全不受信任的设备,并将它们与互联网和 DMZ 服务(HTTPS 到 WebDAV 服务器等)隔离开来。学生当然可以“越狱”该设备,所以我们只是假设它们是不受信任的。
编辑:
我的客户的要求只与在学区互联网连接上使用时过滤内容有关。我们并不关心(学区的律师说这没问题,不管对错)设备在非学区控制的互联网连接上使用时访问什么内容。
显然,我读得不对(而且是个白痴……>微笑<)。
您的意思是,无论使用哪种类型的互联网连接,您都希望将所有流量发送到代理服务器。您可以尝试强制按需 VPN 连接,但我怀疑你不能指定域名(第 35 页企业部署指南Zoredache 链接到的)进行匹配(有效匹配“*”)。我现在手边没有任何企业部署工具,因此无法检查。如果您尝试一下并且成功了,我很想听听。
不过,假设您确实强制使用 VPN 连接,那么用户很容易导致 VPN 连接失败(第 3 层的家庭路由器设置,或者如果您通过名称连接到 VPN 服务器,则在他们的 DNS 中设置),并且设备可能在没有 VPN 连接的情况下运行。您需要对此进行测试。
我认为您正在寻找一个比史蒂夫和公司建造的花园墙壁更高的花园。