目前,所有公司资源都受到 Cisco VPN 的“保护”,我们的 OSX 客户端配置为(按需)连接到 VPN。由于 VPN 设置了 OSX 客户端通过 VPN 的默认路由,因此当我们的员工处于不受保护的网络(例如咖啡店)中时,它对于保护他们的数据非常有用。
在 OSX 上,有没有办法要求在允许应用程序使用网络之前设置 VPN?这似乎是一个相当困难的问题,因为有时您需要使用网络通过捕获 Web 门户连接以访问公共网络,然后才能建立 VPN。
有任何想法吗?
答案1
Is there a way to, on OSX, require that the VPN be setup before applications are allowed to use the network?
据我所知没有。网络就是网络 - 如果您有一个提供到给定主机的路由的网络连接,系统将使用它。由于您需要先建立网络连接(到互联网),然后才能创建虚拟网络连接(到您的 VPN),因此您实际上无法“阻止”系统使用它 - 至少不能有效地阻止。
如果您的用户正在访问敏感数据,他们应该使用 VPN - 如果不使用它,他们就不应该访问敏感数据/应用程序。您的系统架构应该防止这种情况发生。如果您担心恶意第三方欺骗您的敏感应用程序并获取数据/登录凭据,那么增加一层安全保护是个好主意——SSL 证书是采用的更常见措施之一。
答案2
我是从网络角度而不是 OSX 特定的编程问题来看待这个问题的。
您的网络数据源受到 VPN 防火墙的安全保护,因此您已经强制解决了这个问题,如果用户不连接到 VPN,他们的应用程序根本无法工作,或者他们将无法连接到那些公司资源。
正如前面所述,您需要一个现有的网络来建立隧道,因此您不能强制将 VPN 作为主要网络设备。但这可能只是用户体验问题 - 他们忘记使用 VPN,或试图绕过它,结果事情就无法正常进行。或者,您可能有人将工作相关活动与随意浏览相结合,并且由于 VPN 会协同所有网络流量,他们访问 Facebook 或其他地方的行为会被您的公司防火墙捕获。这也是一个用户行为问题 - 让大家知道“VPN 连接到公司网络,并且所有公司网络使用政策均有效”。
除此之外,我不确定您还需要强制执行什么,需要使用路由表或客户端上的其他设置来自动启动 VPN。