VPN 设备策略

• 服务器名称或 IP 地址：键入 VPN 服务器的服务器名称或 IP 地址。
• 用户帐户：键入可选用户帐户。
• 选择密码身份验证或 RSA SecureID 身份验证。
• 共享密钥：键入 IPSec 共享密钥。
• 发送所有流量：选择是否通过 VPN 发送所有流量。默认值为关。

• 服务器名称或 IP 地址：键入 VPN 服务器的服务器名称或 IP 地址。
• 用户帐户：键入可选用户帐户。
• 选择密码身份验证或 RSA SecureID 身份验证。
• 加密级别：在列表中，单击加密级别。默认值为无。
  • 无：不使用加密。
  • 自动：使用服务器支持的最强加密级别。
  • 最大(128 位)：始终使用 128 位加密。
• 发送所有流量：选择是否通过 VPN 发送所有流量。默认值为关。

• 服务器名称或 IP 地址：键入 VPN 服务器的服务器名称或 IP 地址。
• 用户帐户：键入可选用户帐户。
• 连接的身份验证类型：在列表中，单击共享密钥或证书以选择此连接的身份验证类型。默认值为共享密钥。
• 如果启用共享密钥，可以配置以下设置：
  • 组名称：键入可选组名称。
  • 共享密钥：键入可选共享密钥。
  • 使用混合身份验证：选择是否使用混合身份验证。利用混合身份验证，服务器首先向客户端验证自己的身份，然后客户端向服务器验证自己的身份。默认值为关。
  • 提示输入密码：选择是否在用户连接到网络时提示用户输入其密码。默认值为关。
• 如果启用证书，可以配置以下设置：
  • 身份凭据：在列表中，单击要使用的身份凭据。默认值为无。
  • 连接时提示输入 PIN：选择是否在连接到网络时需要用户输入其 PIN。默认值为关。
  • 按需启用 VPN：选择是否在用户连接到网络时启用触发 VPN 连接。默认值为关。有关在按需启用 VPN 设置为开时配置设置的信息，请参阅配置按需启用 VPN 选项。

• 服务器名称或 IP 地址：键入 VPN 服务器的服务器名称或 IP 地址。
• 用户帐户：键入可选用户帐户。
• 组：键入可选组名称。
• 连接的身份验证类型：在列表中，单击密码或证书以选择此连接的身份验证类型。默认值为密码。
  • 如果启用密码，请在身份验证密码字段中键入可选身份验证密码。
  • 如果启用证书，可以配置以下设置：
    • 身份凭据：在列表中，单击要使用的身份凭据。默认值为无。
    • 连接时提示输入 PIN：选择是否在用户连接到网络时提示用户输入其 PIN。默认值为关。
    • 按需启用 VPN：选择是否在用户连接到网络时启用触发 VPN 连接。默认值为关。有关在按需启用 VPN 设置为开时配置设置的信息，请参阅配置按需启用 VPN 选项。
• 为应用单独设置 VPN：选择是否启用为应用单独设置 VPN。默认值为关。仅适用于 iOS 7.0 及更高版本。如果启用此选项，可以配置以下设置：
  • On-demand match enabled（按需匹配已启用）：选择当链接到为应用程序单独设置 VPN 服务的应用程序发起网络通信时，是否自动触发为应用程序单独设置 VPN 连接。默认值为关。
  • Safari 域：对于想要包含的可以触发为应用单独设置 VPN 连接的每个 Safari 域，单击添加并执行以下操作：
    • 域：键入要添加的域。
    • 单击保存以保存域，或单击取消不保存域。

注意：要删除现有域，请将鼠标悬停在包含此列表的行上方，然后单击右侧的垃圾箱图标。此时将显示确认对话框。单击删除以删除列表，或单击取消以保留列表。

要编辑现有域，请将鼠标悬停在包含此列表的行上方，然后单击右侧的铅笔图标。对列表进行任何更改，然后单击保存以保存更改后的列表，或单击取消以保持列表不变。

• 服务器名称或 IP 地址：键入 VPN 服务器的服务器名称或 IP 地址。
• 用户帐户：键入可选用户帐户。
• 领域：键入可选领域名称。
• 角色：键入可选角色名称。
• 连接的身份验证类型：在列表中，单击密码或证书以选择此连接的身份验证类型。默认值为密码。
  • 如果启用密码，请在身份验证密码字段中键入可选身份验证密码。
  • 如果启用证书，可以配置以下设置：
    • 身份凭据：在列表中，单击要使用的身份凭据。默认值为无。
    • 连接时提示输入 PIN：选择是否在用户连接到网络时提示用户输入其 PIN。默认值为关。
    • 按需启用 VPN：选择是否在用户连接到网络时启用触发 VPN 连接。默认值为关。有关在按需启用 VPN 设置为开时配置设置的信息，请参阅配置按需启用 VPN 设置。
• 为应用单独设置 VPN：选择是否启用为应用单独设置 VPN。默认值为关。仅适用于 iOS 7.0 及更高版本。如果启用此选项，可以配置以下设置：
  • On-demand match enabled（按需匹配已启用）：选择当链接到为应用程序单独设置 VPN 服务的应用程序发起网络通信时，是否自动触发为应用程序单独设置 VPN 连接。默认值为关。
  • Safari 域：对于想要包含的可以触发为应用单独设置 VPN 连接的每个 Safari 域，单击添加并执行以下操作：
    • 域：键入要添加的域。
    • 单击保存以保存域，或单击取消不保存域。

注意：要删除现有域，请将鼠标悬停在包含此列表的行上方，然后单击右侧的垃圾箱图标。此时将显示确认对话框。单击删除以删除列表，或单击取消以保留列表。

要编辑现有域，请将鼠标悬停在包含此列表的行上方，然后单击右侧的铅笔图标。对列表进行任何更改，然后单击保存以保存更改后的列表，或单击取消以保持列表不变。

• 服务器名称或 IP 地址：键入 VPN 服务器的服务器名称或 IP 地址。
• 用户帐户：键入可选用户帐户。
• 连接的身份验证类型：在列表中，单击密码或证书以选择此连接的身份验证类型。默认值为密码。
  • 如果启用密码，请在身份验证密码字段中键入可选身份验证密码。
  • 如果启用证书，可以配置以下设置：
    • 身份凭据：在列表中，单击要使用的身份凭据。默认值为无。
    • 连接时提示输入 PIN：选择是否在用户连接到网络时提示用户输入其 PIN。默认值为关。
    • 按需启用 VPN：选择是否在用户连接到网络时启用触发 VPN 连接。默认值为关。有关在按需启用 VPN 设置为开时配置设置的信息，请参阅配置按需启用 VPN 设置。
• 为应用单独设置 VPN：选择是否启用为应用单独设置 VPN。默认值为关。仅适用于 iOS 7.0 及更高版本。如果启用此选项，可以配置以下设置：
  • On-demand match enabled（按需匹配已启用）：选择当链接到为应用程序单独设置 VPN 服务的应用程序发起网络通信时，是否自动触发为应用程序单独设置 VPN 连接。
  • Safari 域：对于想要包含的可以触发为应用单独设置 VPN 连接的每个 Safari 域，单击添加并执行以下操作：
    • 域：键入要添加的域。
    • 单击保存以保存域，或单击取消不保存域。

注意：要删除现有域，请将鼠标悬停在包含此列表的行上方，然后单击右侧的垃圾箱图标。此时将显示确认对话框。单击删除以删除列表，或单击取消以保留列表。

要编辑现有域，请将鼠标悬停在包含此列表的行上方，然后单击右侧的铅笔图标。对列表进行任何更改，然后单击保存以保存更改后的列表，或单击取消以保持列表不变。

• 服务器名称或 IP 地址：键入 VPN 服务器的服务器名称或 IP 地址。
• 用户帐户：键入可选用户帐户。
• 登录组或域：键入可选登录组或域。
• 连接的身份验证类型：在列表中，单击密码或证书以选择此连接的身份验证类型。默认值为密码。
  • 如果启用密码，请在身份验证密码字段中键入可选身份验证密码。
  • 如果启用证书，可以配置以下设置：
    • 身份凭据：在列表中，单击要使用的身份凭据。默认值为无。
    • 连接时提示输入 PIN：选择是否在用户连接到网络时提示用户输入其 PIN。默认值为关。
    • 按需启用 VPN：选择是否在用户连接到网络时启用触发 VPN 连接。默认值为关。有关在按需启用 VPN 设置为开时配置设置的信息，请参阅配置按需启用 VPN 设置。
• 为应用单独设置 VPN：选择是否启用为应用单独设置 VPN。默认值为关。仅适用于 iOS 7.0 及更高版本。如果将此选项设置为“开”，可以配置以下设置：
  • On-demand match enabled（按需匹配已启用）：选择当链接到为应用程序单独设置 VPN 服务的应用程序发起网络通信时，是否自动触发为应用程序单独设置 VPN 连接。
  • Safari 域：对于想要包含的可以触发为应用单独设置 VPN 连接的每个 Safari 域，单击添加并执行以下操作：
    • 域：键入要添加的域。
    • 单击保存以保存域，或单击取消不保存域。

注意：要删除现有域，请将鼠标悬停在包含此列表的行上方，然后单击右侧的垃圾箱图标。此时将显示确认对话框。单击删除以删除列表，或单击取消以保留列表。

要编辑现有域，请将鼠标悬停在包含此列表的行上方，然后单击右侧的铅笔图标。对列表进行任何更改，然后单击保存以保存更改后的列表，或单击取消以保持列表不变。

• 服务器名称或 IP 地址：键入 VPN 服务器的服务器名称或 IP 地址。
• 用户帐户：键入可选用户帐户。
• 连接的身份验证类型：在列表中，单击密码或证书以选择此连接的身份验证类型。默认值为密码。
  • 如果启用密码，请在身份验证密码字段中键入可选身份验证密码。
  • 如果启用证书，可以配置以下设置：
    • 身份凭据：在列表中，单击要使用的身份凭据。默认值为无。
    • 连接时提示输入 PIN：选择是否在用户连接到网络时提示用户输入其 PIN。默认值为关。
    • 按需启用 VPN：选择是否在用户连接到网络时启用触发 VPN 连接。默认值为关。有关在按需启用 VPN 设置为开时配置设置的信息，请参阅配置按需启用 VPN 设置。
• 为应用单独设置 VPN：选择是否启用为应用单独设置 VPN。默认值为关。仅适用于 iOS 7.0 及更高版本。如果启用此选项，可以配置以下设置：
  • On-demand match enabled（按需匹配已启用）：选择当链接到为应用程序单独设置 VPN 服务的应用程序发起网络通信时，是否自动触发为应用程序单独设置 VPN 连接。
  • Safari 域：对于想要包含的可以触发为应用单独设置 VPN 连接的每个 Safari 域，单击添加并执行以下操作：
    • 域：键入要添加的域。
    • 单击保存以保存域，或单击取消不保存域。

注意：要删除现有域，请将鼠标悬停在包含此列表的行上方，然后单击右侧的垃圾箱图标。此时将显示确认对话框。单击删除以删除列表，或单击取消以保留列表。

要编辑现有域，请将鼠标悬停在包含此列表的行上方，然后单击右侧的铅笔图标。对列表进行任何更改，然后单击保存以保存更改后的列表，或单击取消以保持列表不变。

• 始终启用 VPN：选择是否始终启用 VPN 连接。默认值为关。
• 如果选择始终启用 VPN，可以配置以下设置：
  • 服务器名称或 IP 地址：键入 VPN 服务器的服务器名称或 IP 地址。
  • 用户帐户：键入可选用户帐户。
  • 连接的身份验证类型：在列表中，单击密码或证书以选择此连接的身份验证类型。默认值为密码。
    • 如果启用密码，请在身份验证密码字段中键入可选身份验证密码。
    • 如果启用证书，可以配置以下设置：
      • 身份凭据：在列表中，单击要使用的身份凭据。默认值为无。
      • 连接时提示输入 PIN：选择是否在用户连接到网络时提示用户输入其 PIN。默认值为关。
      • 按需启用 VPN：选择是否在用户连接到网络时启用触发 VPN 连接。默认值为关。有关在按需启用 VPN 设置为开时配置设置的信息，请参阅配置按需启用 VPN 设置。
    • 共享密钥：可选，键入共享密钥。
    • 允许用户禁用自动连接：选择是否允许用户在其设备上关闭自动连接到网络。默认值为关。
    • 对手机网络和 WiFi 使用相同的通道配置：选择是否为手机网络和 WiFi 使用相同的配置。默认值为开。
      • 如果禁用对手机网络和 WiFi 使用相同的通道配置，请配置以下设置：
      • 手机网络: IKE SA 参数和手机网络: Child SA 参数。为每个安全关联 (SA) 参数选项配置以下设置：
        • 加密算法：在此列表中，单击要使用的 IKE 加密算法。默认值为 3DES。
        • 完整性算法：在列表中，单击要使用的完整性算法。默认值为 SHA1-96。
        • Diffie Hellman 组：在列表中，单击 Diffie Hellman 组号。默认值为 2。
        • 生存时间(分钟)：键入 10 至 1440 之间的整数，表示 SA 生存时间（重新生成密钥时间间隔）。默认值为 1440 分钟。
      • WiFi
        • 服务器的主机名或 IP 地址：键入 VPN 服务器的主机名或 IP 地址。
        • 本地标识符：IKEv2 客户端的 FQDN 或 IP 地址。此字段为必填字段。
        • 远程标识符：VPN 服务器的 FQDN 或 IP 地址。此字段为必填字段。
        • 已启用扩展身份验证：选择是否启用扩展身份验证协议 (EAP)。在 iOS 8.0 及更高版本中可用。
        • 失效对等体检测时间间隔：在列表中，单击联系对等设备以确保对等设备仍可访问的频率。默认值为无。在 iOS 8.0 及更高版本中可用。可能的选项包括：
          • 无：禁用失效对等体检测。
          • 低：每 30 分钟联系一次对等体。
          • 中：每 10 分钟联系一次对等体。
          • 高：1 分钟联系一次对等体。
      • Wi-Fi: IKE SA 参数和 Wi-Fi: Child SA 参数。为每个安全关联 (SA) 参数选项配置以下设置：
        • 加密算法：在此列表中，单击要使用的 IKE 加密算法。默认值为 3DES。
        • 完整性算法：在列表中，单击要使用的完整性算法。默认值为 SHA1-96。
        • Diffie Hellman 组：在列表中，单击 Diffie Hellman 组号。默认值为 2。
        • 生存时间(分钟)：键入 10 至 1440 之间的整数，表示 SA 生存时间（重新生成密钥时间间隔）。默认值为 1440 分钟。
    • 本地标识符：键入 IKEv2 客户端的 FQDN 或 IP 地址。此字段为必填字段。
    • 远程标识符：VPN 服务器的 FQDN 或 IP 地址。此字段为必填字段。
    • 已启用扩展身份验证：选择是否启用扩展身份验证协议 (EAP)。在 iOS 8.0 及更高版本中可用。
    • 失效对等体检测时间间隔：在列表中，单击联系对等体以确保其仍然有效的频率。默认值为无。在 iOS 8.0 及更高版本中可用。可能的选项包括：
      • 无：禁用失效对等体检测。
      • 低：每 30 分钟联系一次对等体。
      • 中：每 10 分钟联系一次对等体。
      • 高：1 分钟联系一次对等体。
    • IKE SA 参数和子 SA 参数。为每个安全关联 (SA) 参数选项配置以下设置：
      • 加密算法：在此列表中，单击要使用的 IKE 加密算法。默认值为 3DES。
      • 完整性算法：在列表中，单击要使用的完整性算法。默认值为 SHA1-96。
      • Diffie Hellman 组：在列表中，单击 Diffie Hellman 组号。默认值为 2。
      • 生存时间(分钟)：键入 10 至 1440 之间的整数，表示 SA 生存时间（重新生成密钥时间间隔）。默认值为 1440 分钟。
    • 服务异常：服务异常是指不通过始终启用 VPN 运行的系统服务。请配置以下服务异常设置：
      • 语音邮件：在列表中，单击处理语音邮件异常的方式。默认值为允许通过通道传输流量。
      • AirPrint：在列表中，单击处理 AirPrint 异常的方式。默认值为允许通过通道传输流量。
      • 允许在 VPN 通道外部传输来自强制 Web 表格的流量：选择是否允许用户连接到 VPN 通道外部的公共热点。默认值为关。
      • 允许在 VPN 通道外部传输来自所有强制联网应用程序的流量：选择是否允许 VPN 通道外部的所有热点联网应用程序。默认值为关。
      • 强制联网应用程序捆绑包标识符：对于允许用户访问的每个热点联网应用程序捆绑包标识符，单击添加并执行以下操作：
        • 捆绑包标识符：键入热点联网应用程序捆绑包标识符。
        • 单击保存以保存应用程序捆绑包标识符，或单击取消不保存捆绑包标识符。

注意：要删除现有应用程序捆绑包标识符，请将鼠标悬停在包含此列表的行上方，然后单击右侧的垃圾箱图标。此时将显示确认对话框。单击删除以删除列表，或单击取消以保留列表。

要编辑现有应用程序捆绑包标识符，请将鼠标悬停在包含此列表的行上方，然后单击右侧的铅笔图标。对列表进行任何更改，然后单击保存以保存更改后的列表，或单击取消以保持列表不变。

Citrix VPN 客户端可从 Apple Store 的此处获取。

• 服务器名称或 IP 地址：键入 VPN 服务器的服务器名称或 IP 地址。
• 用户帐户：键入可选用户帐户。
• 连接的身份验证类型：在列表中，单击密码或证书以选择此连接的身份验证类型。默认值为密码。
  • 如果启用密码，请在身份验证密码字段中键入可选身份验证密码。
  • 如果启用证书，可以配置以下设置：
    • 身份凭据：在列表中，单击要使用的身份凭据。默认值为无。
    • 连接时提示输入 PIN：选择是否在用户连接到网络时提示用户输入其 PIN。默认值为关。
    • 按需启用 VPN：选择是否在用户连接到网络时启用触发 VPN 连接。默认值为关。有关在按需启用 VPN 设置为开时配置设置的信息，请参阅配置按需启用 VPN 设置。
• 为应用单独设置 VPN：选择是否启用为应用单独设置 VPN。默认值为关。仅适用于 iOS 7.0 及更高版本。如果将此选项设置为“开”，可以配置以下设置：
  • On-demand match enabled（按需匹配已启用）：选择当链接到为应用程序单独设置 VPN 服务的应用程序发起网络通信时，是否自动触发为应用程序单独设置 VPN 连接。
  • Safari 域：对于想要包含的可以触发为应用单独设置 VPN 连接的每个 Safari 域，单击添加并执行以下操作：
    • 域：键入要添加的域。
    • 单击保存以保存域，或单击取消不保存域。

注意：要删除现有域，请将鼠标悬停在包含此列表的行上方，然后单击右侧的垃圾箱图标。此时将显示确认对话框。单击删除以删除列表，或单击取消以保留列表。

要编辑现有域，请将鼠标悬停在包含此列表的行上方，然后单击右侧的铅笔图标。对列表进行任何更改，然后单击保存以保存更改后的列表，或单击取消以保持列表不变。

• 自定义 XML：对于要添加的每个自定义 XML 参数，请单击添加并指定键/值对。可用参数如下：
  • disableL3：禁用系统级 VPN。仅允许使用“为应用单独设置 VPN”。不需要设置任何值。
  • useragent：与此设备策略和目标为 VPN 插件客户端的任何 NetScaler 策略相关联。对于 VPN 插件发起的请求，此键的值自动附加到该插件。

注意：要删除现有参数，请将鼠标悬停在包含此列表的行上方，然后单击右侧的垃圾箱图标。此时将显示确认对话框。单击删除以删除列表，或单击取消以保留列表。

要编辑现有参数，请将鼠标悬停在包含此列表的行上方，然后单击右侧的铅笔图标。对列表进行任何更改，然后单击保存以保存更改后的列表，或单击取消以保持列表不变。

• 服务器名称或 IP 地址：键入 VPN 服务器的服务器名称或 IP 地址。
• 用户帐户：键入可选用户帐户。
• 连接的身份验证类型：在列表中，单击密码或证书以选择此连接的身份验证类型。默认值为密码。
  • 如果启用密码，请在身份验证密码字段中键入可选身份验证密码。
  • 如果启用证书，可以配置以下设置：
    • 身份凭据：在列表中，单击要使用的身份凭据。默认值为无。
    • 连接时提示输入 PIN：选择是否在用户连接到网络时提示用户输入其 PIN。默认值为关。
    • 按需启用 VPN：选择是否在用户连接到网络时启用触发 VPN 连接。默认值为关。有关在按需启用 VPN 设置为开时配置设置的信息，请参阅配置按需启用 VPN 设置。
• 为应用单独设置 VPN：选择是否启用为应用单独设置 VPN。默认值为关。仅适用于 iOS 7.0 及更高版本。如果将此选项设置为“开”，可以配置以下设置：
  • On-demand match enabled（按需匹配已启用）：选择当链接到为应用程序单独设置 VPN 服务的应用程序发起网络通信时，是否自动触发为应用程序单独设置 VPN 连接。
  • Safari 域：对于想要包含的可以触发为应用单独设置 VPN 连接的每个 Safari 域，单击添加并执行以下操作：
    • 域：键入要添加的域。
    • 单击保存以保存域，或单击取消不保存域。

注意：要删除现有域，请将鼠标悬停在包含此列表的行上方，然后单击右侧的垃圾箱图标。此时将显示确认对话框。单击删除以删除列表，或单击取消以保留列表。

要编辑现有域，请将鼠标悬停在包含此列表的行上方，然后单击右侧的铅笔图标。对列表进行任何更改，然后单击保存以保存更改后的列表，或单击取消以保持列表不变。

• 自定义 XML：对于要添加的每个自定义 XML 参数，请单击添加并执行以下操作：
  • 参数名称：键入要添加的参数的名称。
  • 值：键入与参数名称关联的值。
  • 单击保存以保存此参数，或单击取消不保存此参数。

注意：要删除现有参数，请将鼠标悬停在包含此列表的行上方，然后单击右侧的垃圾箱图标。此时将显示确认对话框。单击删除以删除列表，或单击取消以保留列表。

要编辑现有参数，请将鼠标悬停在包含此列表的行上方，然后单击右侧的铅笔图标。对列表进行任何更改，然后单击保存以保存更改后的列表，或单击取消以保持列表不变。

• 按需域：对于要添加的每个域及用户连接到域时要采取的相关操作，请单击添加并执行以下操作：
• 域：键入要添加的域。
• 操作：在列表中，单击其中一项可能采取的操作：
  • 始终建立：域始终触发 VPN 连接。
  • 从不建立：域从不触发 VPN 连接。
  • 必要时建立：如果域名解析失败（如 DNS 服务器无法解析域、重定向到其他服务器或超时时），域触发 VPN 连接尝试。
  • 单击保存以保存域，或单击取消不保存域。
• 按需规则
  • 操作：在列表中，单击要采取的操作。默认值为 EvaluateConnection。可能的操作包括：
    • 允许：允许在触发时 VPN 按需进行连接。
    • 连接：无条件启动 VPN 连接。
    • 断开连接：删除 VPN 连接并且在规则匹配时不按需重新连接。
    • EvaluateConnection：评估每个连接的 ActionParameters 阵列。
    • 忽略：保持现有 VPN 连接，并且在规则匹配时不按需重新连接。
  • DNSDomainMatch：对于您想要添加且设备的搜索域列表可以与之匹配的每个域，请单击添加并执行以下操作：
    • DNS 域：键入域名。可以使用通配符“*”前缀来匹配多个域。例如，*.example.com 匹配 mydomain.example.com、yourdomain.example.com 和 herdomain.example.com。
    • 单击保存以保存域，或单击取消不保存域。
  • DNSServerAddressMatch：对于您想要添加且网络的任何指定 DNS 服务器可以匹配的每个 IP 地址，请单击添加并执行以下操作：
    • DNS 服务器地址：键入要添加的 DNS 服务器地址。可以使用通配符“*”后缀来匹配 DNS 服务器。例如，17.* 匹配 A 类子网中的所有 DNS 服务器。
    • 单击保存以保存 DNS 服务器地址，或单击取消不保存 DNS 服务器地址。
  • InterfaceTypeMatch：在列表中，单击所使用的主要网络接口硬件的类型。默认值为未指定。可能的值有：
    • 未指定：匹配任何网络接口硬件。这是默认值。
    • 以太网：仅匹配以太网网络接口硬件。
    • WiFi：仅匹配 WiFi 网络接口硬件。
    • 手机网络：仅匹配手机网络网络接口硬件。
  • SSIDMatch：对于您想要添加且匹配当前网络的每个 SSID，请单击添加并执行以下操作。
    • SSID：键入要添加的 SSID。如果网络不是 WiFi 网络，或者如果 SSID 未出现，匹配将失败。将此列表留空可匹配任何 SSID。
    • 单击保存以保存 SSID，或单击取消不保存 SSID。
  • URLStringProbe：键入要提取的 URL。如果此 URL 在未经重定向的情况下成功提取，此规则匹配。
  • ActionParameters : Domains：对于您想要添加且 EvaluateConnection 检查的每个域，请单击添加并执行以下操作：
    • 域：键入要添加的域。
    • 单击保存以保存域，或单击取消不保存域。
  • ActionParameters : DomainAction：在列表中，单击指定 ActionParameters : Domains 域的 VPN 行为。默认值为 ConnectIfNeeded。可能的操作包括：
    • ConnectIfNeeded：如果域名解析失败（如 DNS 服务器无法解析域、重定向到其他服务器或超时时），域触发 VPN 连接尝试。
    • NeverConnect：域从不触发 VPN 连接。
  • ActionParameters: RequiredDNSServers：对于要用于解析指定域的每个 DNS 服务器 IP 地址，请单击添加并执行以下操作：
    • DNS 服务器：仅当 ActionParameters : DomainAction = ConnectIfNeeded 时有效。键入要添加的 DNS 服务器。此服务器无需属于设备的当前网络配置。如果无法访问 DNS 服务器，作为响应，将建立 VPN 连接。此 DNS 服务器应该为内部 DNS 服务器或可信的外部 DNS 服务器。
    • 单击保存以保存 DNS 服务器，或单击取消不保存 DNS 服务器。
  • ActionParameters : RequiredURLStringProbe：（可选）键入使用 GET 请求探查的 HTTP 或 HTTPS（首选）URL。如果无法解析 URL 的主机名，如果无法访问服务器，或者如果服务器不使用 200 HTTP 状态代码响应，作为响应，将建立 VPN 连接。仅在 ActionParameters : DomainAction = ConnectIfNeeded 时有效。
  • OnDemandRules : XML content：键入或复制并粘贴 XML 按需配置规则。
    • 单击检查字典以验证 XML 代码。如果 XML 有效，将在 XML 内容文本框的下面显示绿色字体的“有效 XML”；否则，将看到描述错误的黄色错误消息。

• 服务器名称或 IP 地址：键入 VPN 服务器的服务器名称或 IP 地址。
• 用户帐户：键入可选用户帐户。
• 选择以下其中一项：密码身份验证、RSA SecureID 身份验证、Kerberos 身份验证、CryptoCard 身份验证。默认值为密码身份验证。
• 共享密钥：键入 IPSec 共享密钥。
• 发送所有流量：选择是否通过 VPN 发送所有流量。默认值为关。

• 服务器名称或 IP 地址：键入 VPN 服务器的服务器名称或 IP 地址。
• 用户帐户：键入可选用户帐户。
• 选择以下其中一项：密码身份验证、RSA SecureID 身份验证、Kerberos 身份验证、CryptoCard 身份验证。默认值为密码身份验证。
• 加密级别：选择所需的加密级别。默认值为无。
  • 无：不使用加密。
  • 自动：使用服务器支持的最强加密级别。
  • 最大(128 位)：始终使用 128 位加密。
• 发送所有流量：选择是否通过 VPN 发送所有流量。默认值为关。

• 服务器名称或 IP 地址：键入 VPN 服务器的服务器名称或 IP 地址。
• 用户帐户：键入可选用户帐户。
• 连接的身份验证类型：在列表中，单击共享密钥或证书以选择此连接的身份验证类型。默认值为共享密钥。
  • 如果启用共享密钥身份验证，可以配置以下设置：
    • 组名称：键入可选组名称。
    • 共享密钥：键入可选共享密钥。
    • 使用混合身份验证：选择是否使用混合身份验证。利用混合身份验证，服务器首先向客户端验证自己的身份，然后客户端向服务器验证自己的身份。默认值为关。
    • 提示输入密码：选择是否在用户连接到网络时提示用户输入其密码。默认值为关。
  • 如果启用证书身份验证，可以配置以下设置：
    • 身份凭据：在列表中，单击要使用的身份凭据。默认值为无。
    • 连接时提示输入 PIN：选择是否在连接到网络时需要用户输入其 PIN。默认值为关。
    • 按需启用 VPN：选择是否在用户连接到网络时启用触发 VPN 连接。默认值为关。有关在按需启用 VPN 设置为开时配置设置的信息，请参阅配置按需启用 VPN 选项。

• 服务器名称或 IP 地址：键入 VPN 服务器的服务器名称或 IP 地址。
• 用户帐户：键入可选用户帐户。
• 组：键入可选组名称。
• 连接的身份验证类型：在列表中，单击密码或证书以选择此连接的身份验证类型。默认值为密码。
  • 如果启用密码，请在身份验证密码字段中键入可选身份验证密码。
  • 如果启用证书，可以配置以下设置：
    • 身份凭据：在列表中，单击要使用的身份凭据。默认值为无。
    • 连接时提示输入 PIN：选择是否在用户连接到网络时提示用户输入其 PIN。默认值为关。
    • 按需启用 VPN：选择是否在用户连接到网络时启用触发 VPN 连接。默认值为关。有关在按需启用 VPN 设置为开时配置设置的信息，请参阅配置按需启用 VPN 选项。
  • 为应用单独设置 VPN：选择是否启用为应用单独设置 VPN。默认值为关。如果启用此选项，可以配置以下设置：
    • On-demand match enabled（按需匹配已启用）：选择当链接到为应用程序单独设置 VPN 服务的应用程序发起网络通信时，是否自动触发为应用程序单独设置 VPN 连接。默认值为关。
    • Safari 域：对于想要包含的可以触发为应用单独设置 VPN 连接的每个 Safari 域，单击添加并执行以下操作：
      • 域：键入要添加的域。
      • 单击保存以保存域，或单击取消不保存域。

注意：要删除现有域，请将鼠标悬停在包含此列表的行上方，然后单击右侧的垃圾箱图标。此时将显示确认对话框。单击删除以删除列表，或单击取消以保留列表。

要编辑现有域，请将鼠标悬停在包含此列表的行上方，然后单击右侧的铅笔图标。对列表进行任何更改，然后单击保存以保存更改后的列表，或单击取消以保持列表不变。

• 服务器名称或 IP 地址：键入 VPN 服务器的服务器名称或 IP 地址。
• 用户帐户：键入可选用户帐户。
• 领域：键入可选领域名称。
• 角色：键入可选角色名称。
• 连接的身份验证类型：在列表中，单击密码或证书以选择此连接的身份验证类型。默认值为密码。
  • 如果启用密码，请在身份验证密码字段中键入可选身份验证密码。
  • 如果启用证书，可以配置以下设置：
    • 身份凭据：在列表中，单击要使用的身份凭据。默认值为无。
    • 连接时提示输入 PIN：选择是否在用户连接到网络时提示用户输入其 PIN。默认值为关。
    • 按需启用 VPN：选择是否在用户连接到网络时启用触发 VPN 连接。默认值为关。有关在按需启用 VPN 设置为开时配置设置的信息，请参阅配置按需启用 VPN 设置。
• 为应用单独设置 VPN：选择是否启用为应用单独设置 VPN。默认值为关。如果启用此选项，可以配置以下设置：
  • On-demand match enabled（按需匹配已启用）：选择当链接到为应用程序单独设置 VPN 服务的应用程序发起网络通信时，是否自动触发为应用程序单独设置 VPN 连接。默认值为关。
  • Safari 域：对于想要包含的可以触发为应用单独设置 VPN 连接的每个 Safari 域，单击添加并执行以下操作：
    • 域：键入要添加的域。
    • 单击保存以保存域，或单击取消不保存域。

注意：要删除现有域，请将鼠标悬停在包含此列表的行上方，然后单击右侧的垃圾箱图标。此时将显示确认对话框。单击删除以删除列表，或单击取消以保留列表。

要编辑现有域，请将鼠标悬停在包含此列表的行上方，然后单击右侧的铅笔图标。对列表进行任何更改，然后单击保存以保存更改后的列表，或单击取消以保持列表不变。

• 服务器名称或 IP 地址：键入 VPN 服务器的服务器名称或 IP 地址。
• 用户帐户：键入可选用户帐户。
• 连接的身份验证类型：在列表中，单击密码或证书以选择此连接的身份验证类型。默认值为密码。
  • 如果启用密码，请在身份验证密码字段中键入可选身份验证密码。
  • 如果启用证书，可以配置以下设置：
    • 身份凭据：在列表中，单击要使用的身份凭据。默认值为无。
    • 连接时提示输入 PIN：选择是否在用户连接到网络时提示用户输入其 PIN。默认值为关。
    • 按需启用 VPN：选择是否在用户连接到网络时启用触发 VPN 连接。默认值为关。有关在按需启用 VPN 设置为开时配置设置的信息，请参阅配置按需启用 VPN 设置。
• 为应用单独设置 VPN：选择是否启用为应用单独设置 VPN。默认值为关。如果启用此选项，可以配置以下设置：
  • On-demand match enabled（按需匹配已启用）：选择当链接到为应用程序单独设置 VPN 服务的应用程序发起网络通信时，是否自动触发为应用程序单独设置 VPN 连接。默认值为关。
  • Safari 域：对于想要包含的可以触发为应用单独设置 VPN 连接的每个 Safari 域，单击添加并执行以下操作：
    • 域：键入要添加的域。
    • 单击保存以保存域，或单击取消不保存域。

注意：要删除现有域，请将鼠标悬停在包含此列表的行上方，然后单击右侧的垃圾箱图标。此时将显示确认对话框。单击删除以删除列表，或单击取消以保留列表。

要编辑现有域，请将鼠标悬停在包含此列表的行上方，然后单击右侧的铅笔图标。对列表进行任何更改，然后单击保存以保存更改后的列表，或单击取消以保持列表不变。

• 服务器名称或 IP 地址：键入 VPN 服务器的服务器名称或 IP 地址。
• 用户帐户：键入可选用户帐户。
• 登录组或域：键入可选登录组或域。
• 连接的身份验证类型：在列表中，单击密码或证书以选择此连接的身份验证类型。默认值为密码。
  • 如果启用密码，请在身份验证密码字段中键入可选身份验证密码。
  • 如果启用证书，可以配置以下设置：
    • 身份凭据：在列表中，单击要使用的身份凭据。默认值为无。
    • 连接时提示输入 PIN：选择是否在用户连接到网络时提示用户输入其 PIN。默认值为关。
    • 按需启用 VPN：选择是否在用户连接到网络时启用触发 VPN 连接。默认值为关。有关在按需启用 VPN 设置为开时配置设置的信息，请参阅配置按需启用 VPN 设置。
• 为应用单独设置 VPN：选择是否启用为应用单独设置 VPN。默认值为关。如果启用此选项，可以配置以下设置：
  • On-demand match enabled（按需匹配已启用）：选择当链接到为应用程序单独设置 VPN 服务的应用程序发起网络通信时，是否自动触发为应用程序单独设置 VPN 连接。默认值为关。
  • Safari 域：对于想要包含的可以触发为应用单独设置 VPN 连接的每个 Safari 域，单击添加并执行以下操作：
    • 域：键入要添加的域。
    • 单击保存以保存域，或单击取消不保存域。

注意：要删除现有域，请将鼠标悬停在包含此列表的行上方，然后单击右侧的垃圾箱图标。此时将显示确认对话框。单击删除以删除列表，或单击取消以保留列表。

要编辑现有域，请将鼠标悬停在包含此列表的行上方，然后单击右侧的铅笔图标。对列表进行任何更改，然后单击保存以保存更改后的列表，或单击取消以保持列表不变。

• 服务器名称或 IP 地址：键入 VPN 服务器的服务器名称或 IP 地址。
• 用户帐户：键入可选用户帐户。
• 连接的身份验证类型：在列表中，单击密码或证书以选择此连接的身份验证类型。默认值为密码。
  • 如果启用密码，请在身份验证密码字段中键入可选身份验证密码。
  • 如果启用证书，可以配置以下设置：
    • 身份凭据：在列表中，单击要使用的身份凭据。默认值为无。
    • 连接时提示输入 PIN：选择是否在用户连接到网络时提示用户输入其 PIN。默认值为关。
    • 按需启用 VPN：选择是否在用户连接到网络时启用触发 VPN 连接。默认值为关。有关在按需启用 VPN 设置为开时配置设置的信息，请参阅配置按需启用 VPN 设置。
• 为应用单独设置 VPN：选择是否启用为应用单独设置 VPN。默认值为关。如果启用此选项，可以配置以下设置：
  • On-demand match enabled（按需匹配已启用）：选择当链接到为应用程序单独设置 VPN 服务的应用程序发起网络通信时，是否自动触发为应用程序单独设置 VPN 连接。默认值为关。
  • Safari 域：对于想要包含的可以触发为应用单独设置 VPN 连接的每个 Safari 域，单击添加并执行以下操作：
    • 域：键入要添加的域。
    • 单击保存以保存域，或单击取消不保存域。

注意：要删除现有域，请将鼠标悬停在包含此列表的行上方，然后单击右侧的垃圾箱图标。此时将显示确认对话框。单击删除以删除列表，或单击取消以保留列表。

要编辑现有域，请将鼠标悬停在包含此列表的行上方，然后单击右侧的铅笔图标。对列表进行任何更改，然后单击保存以保存更改后的列表，或单击取消以保持列表不变。

Citrix VPN 客户端可从 Apple Store 的此处获取。

• 服务器名称或 IP 地址：键入 VPN 服务器的服务器名称或 IP 地址。
• 用户帐户：键入可选用户帐户。
• 连接的身份验证类型：在列表中，单击密码或证书以选择此连接的身份验证类型。默认值为密码。
  • 如果启用密码，请在身份验证密码字段中键入可选身份验证密码。
  • 如果启用证书，可以配置以下设置：
    • 身份凭据：在列表中，单击要使用的身份凭据。默认值为无。
    • 连接时提示输入 PIN：选择是否在用户连接到网络时提示用户输入其 PIN。默认值为关。
    • 按需启用 VPN：选择是否在用户连接到网络时启用触发 VPN 连接。默认值为关。有关在按需启用 VPN 设置为开时配置设置的信息，请参阅配置按需启用 VPN 设置。
• 为应用单独设置 VPN：选择是否启用为应用单独设置 VPN。默认值为关。仅适用于 iOS 7.0 及更高版本。如果启用此选项，可以配置以下设置：
  • On-demand match enabled（按需匹配已启用）：选择当链接到为应用程序单独设置 VPN 服务的应用程序发起网络通信时，是否自动触发为应用程序单独设置 VPN 连接。
  • Safari 域：对于想要包含的可以触发为应用单独设置 VPN 连接的每个 Safari 域，单击添加并执行以下操作：
    • 域：键入要添加的域。
    • 单击保存以保存域，或单击取消不保存域。

注意：要删除现有域，请将鼠标悬停在包含此列表的行上方，然后单击右侧的垃圾箱图标。此时将显示确认对话框。单击删除以删除列表，或单击取消以保留列表。

要编辑现有域，请将鼠标悬停在包含此列表的行上方，然后单击右侧的铅笔图标。对列表进行任何更改，然后单击保存以保存更改后的列表，或单击取消以保持列表不变。

• 自定义 XML：对于要添加的每个自定义 XML 参数，请单击添加并指定键/值对。可用参数如下：
  • disableL3：禁用系统级 VPN。仅允许使用“为应用单独设置 VPN”。不需要设置任何值。
  • useragent：与此设备策略和目标为 VPN 插件客户端的任何 NetScaler 策略相关联。对于 VPN 插件发起的请求，此键的值自动附加到该插件。

注意：要删除现有参数，请将鼠标悬停在包含此列表的行上方，然后单击右侧的垃圾箱图标。此时将显示确认对话框。单击删除以删除列表，或单击取消以保留列表。

要编辑现有参数，请将鼠标悬停在包含此列表的行上方，然后单击右侧的铅笔图标。对列表进行任何更改，然后单击保存以保存更改后的列表，或单击取消以保持列表不变。

• 自定义 SSL 标识符(反向 DNS 格式)：以反向 DNS 格式键入 SSL 标识符。此字段为必填字段。
• 服务器名称或 IP 地址：键入 VPN 服务器的服务器名称或 IP 地址。此字段为必填字段。
• 用户帐户：键入可选用户帐户。
  • 连接的身份验证类型：在列表中，单击密码或证书以选择此连接的身份验证类型。默认值为密码。
  • 如果启用密码，请在身份验证密码字段中键入可选身份验证密码。
  • 如果启用证书，可以配置以下设置：
    • 身份凭据：在列表中，单击要使用的身份凭据。默认值为无。
    • 连接时提示输入 PIN：选择是否在用户连接到网络时提示用户输入其 PIN。默认值为关。
    • 按需启用 VPN：选择是否在用户连接到网络时启用触发 VPN 连接。默认值为关。有关在按需启用 VPN 设置为开时配置设置的信息，请参阅配置按需启用 VPN 设置。
  • 为应用单独设置 VPN：选择是否启用为应用单独设置 VPN。默认值为关。如果启用此选项，可以配置以下设置：
    • On-demand match enabled（按需匹配已启用）：选择当链接到为应用程序单独设置 VPN 服务的应用程序发起网络通信时，是否自动触发为应用程序单独设置 VPN 连接。
    • Safari 域：对于想要包含的可以触发为应用单独设置 VPN 连接的每个 Safari 域，单击添加并执行以下操作：
      • 域：键入要添加的域。
      • 单击保存以保存域，或单击取消不保存域。

注意：要删除现有域，请将鼠标悬停在包含此列表的行上方，然后单击右侧的垃圾箱图标。此时将显示确认对话框。单击删除以删除列表，或单击取消以保留列表。

要编辑现有域，请将鼠标悬停在包含此列表的行上方，然后单击右侧的铅笔图标。对列表进行任何更改，然后单击保存以保存更改后的列表，或单击取消以保持列表不变。

• 自定义 XML：对于要添加的每个自定义 XML 参数，请单击添加并执行以下操作：
  • 参数名称：键入要添加的参数的名称。
  • 值：键入与参数名称关联的值。
  • 单击保存以保存域，或单击取消不保存域。

注意：要删除现有参数，请将鼠标悬停在包含此列表的行上方，然后单击右侧的垃圾箱图标。此时将显示确认对话框。单击删除以删除列表，或单击取消以保留列表。

要编辑现有参数，请将鼠标悬停在包含此列表的行上方，然后单击右侧的铅笔图标。对列表进行任何更改，然后单击保存以保存更改后的列表，或单击取消以保持列表不变。

• 按需域：对于要添加的每个域及用户连接到域时要采取的相关操作，请单击添加并执行以下操作：
  • 域：键入要添加的域。
  • 操作：在列表中，单击其中一项可能采取的操作：
    • 始终建立：域始终触发 VPN 连接。
    • 从不建立：域从不触发 VPN 连接。
    • 必要时建立：如果域名解析失败（如 DNS 服务器无法解析域、重定向到其他服务器或超时时），域触发 VPN 连接尝试。
  • 单击保存以保存域，或单击取消不保存域。
• 按需规则
  • 操作：在列表中，单击要采取的操作。默认值为 EvaluateConnection。可能的操作包括：
    • 允许：允许在触发时 VPN 按需进行连接。
    • 连接：无条件启动 VPN 连接。
    • 断开连接：删除 VPN 连接并且在规则匹配时不按需重新连接。
    • EvaluateConnection：评估每个连接的 ActionParameters 阵列。
    • 忽略：保持现有 VPN 连接，并且在规则匹配时不按需重新连接。
  • DNSDomainMatch：对于您想要添加且用户设备的搜索域列表可以与之匹配的每个域，请单击添加并执行以下操作：
    • DNS 域：键入域名。可以使用通配符“*”前缀来匹配多个域。例如，*.example.com 匹配 mydomain.example.com、yourdomain.example.com 和 herdomain.example.com。
    • 单击保存以保存域，或单击取消不保存域。
  • DNSServerAddressMatch：对于您想要添加且网络的任何指定 DNS 服务器可以匹配的每个 IP 地址，请单击添加并执行以下操作：
    • DNS 服务器地址：键入要添加的 DNS 服务器地址。可以使用通配符“*”后缀来匹配 DNS 服务器。例如，17.* 匹配 A 类子网中的所有 DNS 服务器。
    • 单击保存以保存 DNS 服务器地址，或单击取消不保存 DNS 服务器地址。
  • InterfaceTypeMatch：在列表中，单击所使用的主要网络接口硬件的类型。默认值为未指定。可能的值有：
    • 未指定：匹配任何网络接口硬件。这是默认值。
    • 以太网：仅匹配以太网网络接口硬件。
    • WiFi：仅匹配 WiFi 网络接口硬件。
    • 手机网络：仅匹配手机网络网络接口硬件。
  • SSIDMatch：对于您想要添加且匹配当前网络的每个 SSID，请单击添加并执行以下操作。
    • SSID：键入要添加的 SSID。如果网络不是 WiFi 网络，或者如果 SSID 未出现，匹配将失败。将此列表留空可匹配任何 SSID。
    • 单击保存以保存 SSID，或单击取消不保存 SSID。
  • URLStringProbe：键入要提取的 URL。如果此 URL 在未经重定向的情况下成功提取，此规则匹配。
  • ActionParameters : Domains：对于您想要添加且 EvaluateConnection 检查的每个域，请单击添加并执行以下操作：
    • 域：键入要添加的域。
    • 单击保存以保存域，或单击取消不保存域。
  • ActionParameters : DomainAction：在列表中，单击指定 ActionParameters : Domains 域的 VPN 行为。默认值为 ConnectIfNeeded。可能的操作包括：
    • ConnectIfNeeded：如果域名解析失败（如 DNS 服务器无法解析域、重定向到其他服务器或超时时），域触发 VPN 连接尝试。
    • NeverConnect：域从不触发 VPN 连接。
  • ActionParameters: RequiredDNSServers：对于要用于解析指定域的每个 DNS 服务器 IP 地址，请单击添加并执行以下操作：
    • DNS 服务器：仅当 ActionParameters : DomainAction = ConnectIfNeeded 时有效。键入要添加的 DNS 服务器。此服务器无需属于设备的当前网络配置。如果无法访问 DNS 服务器，作为响应，将建立 VPN 连接。此 DNS 服务器应该为内部 DNS 服务器或可信的外部 DNS 服务器。
    • 单击保存以保存 DNS 服务器，或单击取消不保存 DNS 服务器。
  • ActionParameters : RequiredURLStringProbe：（可选）键入使用 GET 请求探查的 HTTP 或 HTTPS（首选）URL。如果无法解析 URL 的主机名，如果无法访问服务器，或者如果服务器不使用 200 HTTP 状态代码响应，作为响应，将建立 VPN 连接。仅在 ActionParameters : DomainAction = ConnectIfNeeded 时有效。
  • OnDemandRules : XML content：键入或复制并粘贴 XML 按需配置规则。
    • 单击检查字典以验证 XML 代码。如果 XML 有效，将在 XML 内容文本框的下面显示绿色字体的“有效 XML”；否则，将看到描述错误的黄色错误消息。

• 主机名：键入 VPN 主机的名称。必须使用此选项。
• 用户名：键入可选用户名。
• 密码：键入可选密码。
• 预共享密钥：键入预共享密钥。必须使用此选项。

• 主机名：键入 VPN 主机的名称。必须使用此选项。
• 用户名：键入可选用户名。
• 密码：键入可选密码。
• 身份凭据：在列表中，单击要使用的身份凭据。默认值为无。

• 主机名：键入 VPN 主机的名称。必须使用此选项。
• 用户名：键入可选用户名。
• 密码：键入可选密码。
• 启用加密：选择是否在 VPN 连接上启用加密。

• 主机名：键入 VPN 主机的名称。必须使用此选项。
• 启用备份服务器：选择是否启用备份 VPN 服务器。如果启用，请在备份 VPN 服务器中键入备份 VPN 服务器的 FQDN 或 IP 地址。
• 启用用户身份验证：选择是否需要进行用户身份验证。如果启用，可以配置以下设置：
  • 用户名：键入用户名。
  • 密码：键入用户密码。
• 组名称：键入可选组名称。
• 身份验证方法：在列表中，单击要使用的身份验证方法。可能的选项包括：
  • 证书：使用证书身份验证。这是默认值。如果选择此项，请在“身份凭据”列表中，单击要使用的凭据。默认值为无。
  • 预共享密钥：使用预共享密钥。如果选择此项，请在“预共享密钥”字段中，键入预共享密钥。
  • 混合 RSA：使用 RSA 证书的混合身份验证。
  • EAP MD5：EAP 对等体向 EAP 服务器进行身份验证，但是不相互验证身份。
  • EAP MSCHAPv2：使用 Microsoft 的质询-握手身份验证相互验证身份。
• CA 证书：在列表中，单击要使用的证书。默认值为无。
• 启用默认路由：选择是否启用到 VPN 服务器的默认路由。默认值为关。
• 启用智能卡身份验证：选择是否允许用户使用智能卡进行身份验证。默认值为关。
• 启用移动选项：选择是否启用移动选项。默认值为关。
• Diffie-Hellman 组值(密钥强度)：在列表中，单击要使用的密钥强度。默认值为 0。
• 拆分通道类型：在列表中，单击要使用的拆分通道类型。默认值为自动。可能的选项包括：
  • 自动：自动使用拆分通道。
  • 手动：通过在 VPN 服务器上指定的 IP 地址和端口使用拆分通道。
  • 已禁用：不使用拆分通道。
• SuiteB 类型：在列表中，单击要使用的 NSA Suite B 加密级别。默认值为 GCM-128。可能的选项包括：
  • GCM-128：使用 128 位 AES-GCM 加密
  • GMAC-128：使用 128 位 AES-GMAC 加密。
  • GMAC-256：使用 256 位 AES-GMAC 加密。
  • 无：不使用加密。
• 转发路由：如果企业 VPN 服务器支持转发路由，对于要使用的每种转发路由，请单击添加并执行以下操作：
  • 转发路由：键入转发路由的 IP 地址。
  • 单击保存以保存路由，或单击取消不保存路由。

• 主机名：键入 VPN 主机的名称。必须使用此选项。
• 启用用户身份验证：选择是否需要进行用户身份验证。如果启用，请在密码中键入用户密码。
• 用户名：键入用户名。
• 包名称代理 VPN：在设备上安装的 VPN 的包名称或 ID，例如 Mocana 或 Pulse Secure。
• Vpn 连接类型：在列表中，单击 IPSEC 或 SSL 选择要使用的连接类型。默认值为 IPSEC。以下部分介绍每种连接类型的配置设置。

配置 IPSEC 连接类型设置

• 标识：键入此配置的可选标识符。
• IPsec 组 ID 类型：在列表中，单击要使用的 IPsec 组 ID 类型。默认值为默认。可能的选项包括：
  • 默认值
  • IPv4 地址
  • 完全限定域名 (FQDN)
  • 用户 FQDN
  • IKE 密钥 ID
• IKE 版本：在列表中，单击要使用的 Internet 密钥交换版本。默认值为 IKEv1。
• 身份验证方法：在列表中，单击要使用的身份验证方法。默认值为证书。可能的选项包括：
  • 证书：使用证书身份验证。如果选择此项，请在身份凭据列表中，单击要使用的凭据。默认值为无。
  • 预共享密钥：使用预共享密钥。如果选择此项，请在预共享密钥字段中，键入预共享密钥。
  • 混合 RSA：使用 RSA 证书的混合身份验证。
  • EAP MD5：EAP 对等体向 EAP 服务器进行身份验证，但是不相互验证身份。
  • EAP MSCHAPv2：使用 Microsoft 的质询-握手身份验证相互验证身份。
  • 基于 CAC 的身份验：使用通用访问卡 (CAC) 进行身份验证。
• 身份凭据：在列表中，单击要使用的身份凭据。默认值为无。
• CA 证书：在列表中，单击要使用的证书。
• 启用失效对等体检测：选择是否联系对等体以确定其仍然有效。默认值为关。
• 启用默认路由：选择是否启用到 VPN 服务器的默认路由。
• 启用移动选项：选择是否启用移动选项。
• IKE 生命周期(分钟)：键入必须重新建立 VPN 连接之前经过的分钟数。默认值为 1440 分钟（24 小时）。
• Diffie-Hellman 组值(密钥强度)：在列表中，单击要使用的密钥强度。默认值为 0。
• IKE 阶段 1 密钥交换模式：选择主模式或积极模式作为 IKE 阶段 1 协商模式。默认值为主模式。
  • 主模式：协商期间不会向潜在攻击者泄露任何信息，但是速度低于积极模式。
  • 积极模式：协商期间会向潜在攻击者泄露某些信息（例如，协商对等体的身份），但是速度高于主模式。
• 完全向前保密(PFS)值：选择是否使用 PFS 以要求新密钥交换协商连接。
• 拆分通道类型：在列表中，单击要使用的拆分通道类型。可能的选项包括：
  • 自动：自动使用拆分通道。
  • 手动：通过在 VPN 服务器上指定的 IP 地址和端口使用拆分通道。
    
  • 已禁用：不使用拆分通道。
• IPSEC 加密算法：IPSec 协议使用的 VPN 配置。
  
• IKE 加密算法：IPSec 协议使用的 VPN 配置。
  
• IKE 完整性算法：IPSec 协议使用的 VPN 配置。
  
• 供应商：与 KNOX API 通信的通用代理的个人配置文件。
  
• 转发路由：如果企业 VPN 服务器支持转发路由，对于要使用的每种转发路由，请单击添加并执行以下操作：
  • 转发路由：键入转发路由的 IP 地址。
  • 单击保存以保存路由，或单击取消不保存路由。
• 为应用程序单独设置 VPN：对于要添加的每个为应用程序单独设置 VPN，请单击添加并执行以下操作：
  • 为应用单独设置 VPN：应用程序进行通信时使用的 VPN 配置。
    
  • 单击保存以保存为应用程序单独设置 VPN，或单击取消不保存为应用程序单独设置 VPN。

配置 SSL 连接类型设置

• 身份验证方法：在列表中，单击要使用的身份验证方法。默认值为不适用。可能的选项包括：
  • 不适用
  • 证书：使用证书身份验证。如果选择此项，请在身份凭据列表中，单击要使用的凭据。默认值为无。
  • 基于 CAC 的身份验：使用通用访问卡 (CAC) 进行身份验证。
• CA 证书：在列表中，单击要使用的证书。
• 启用默认路由：选择是否启用到 VPN 服务器的默认路由。
• 启用移动选项：选择是否启用移动选项。
• 拆分通道类型：在列表中，单击要使用的拆分通道类型。可能的选项包括：
  • 自动：自动使用拆分通道。
  • 手动：通过在 VPN 服务器上指定的 IP 地址和端口使用拆分通道。
  • 已禁用：不使用拆分通道。
• SSL 算法：键入用于客户端-服务器协商的 SSL 算法。
• 供应商：与 KNOX API 通信的通用代理的个人配置文件。
  
• 转发路由：如果企业 VPN 服务器支持转发路由，对于要使用的每种转发路由，请单击添加并执行以下操作：
  • 转发路由：键入转发路由的 IP 地址。
  • 单击保存以保存路由，或单击取消不保存路由。
• 为应用程序单独设置 VPN：对于要添加的每个为应用程序单独设置 VPN，请单击添加并执行以下操作：
  • 为应用单独设置 VPN：应用程序进行通信时使用的 VPN 配置。
    
  • 单击保存以保存为应用程序单独设置 VPN，或单击取消不保存为应用程序单独设置 VPN。

• 连接名称：键入连接的名称。此字段为必填字段。
• 主机名：键入 VPN 主机的名称。必须使用此选项。
• 启用备份服务器：选择是否启用备份 VPN 服务器。如果启用，请在备份 VPN 服务器中键入备份 VPN 服务器的 FQDN 或 IP 地址。
• 启用用户身份验证：选择是否需要进行用户身份验证。如果启用，可以配置以下设置：
  • 用户名：键入用户名。
  • 密码：键入用户密码。
• 组名称：键入可选组名称。
• 身份验证方法：在列表中，单击要使用的身份验证方法。可能的选项包括：
  • 证书：使用证书身份验证。这是默认值。如果选择此项，请在“身份凭据”列表中，单击要使用的凭据。默认值为“无”。
  • 预共享密钥：使用预共享密钥。如果选择此项，请在“预共享密钥”字段中，键入预共享密钥。
  • 混合 RSA：使用 RSA 证书的混合身份验证。
  • EAP MD5：EAP 对等体向 EAP 服务器进行身份验证，但是不相互验证身份。
  • EAP MSCHAPv2：使用 Microsoft 的质询-握手身份验证相互验证身份。
• CA 证书：在列表中，单击要使用的证书。
• 启用默认路由：选择是否启用到 VPN 服务器的默认路由。
• 启用智能卡身份验证：选择是否允许用户使用智能卡进行身份验证。默认值为关。
• 启用移动选项：选择是否启用移动选项。
• Diffie-Hellman 组值(密钥强度)：在列表中，单击要使用的密钥强度。默认值为 0。
• 拆分通道类型：在列表中，单击要使用的拆分通道类型。可能的选项包括：
  • 自动：自动使用拆分通道。
  • 手动：通过在 VPN 服务器上指定的 IP 地址和端口使用拆分通道。
    
  • 已禁用：不使用拆分通道。
• SuiteB 类型：在列表中，单击要使用的 NSA Suite B 加密级别。可能的选项包括：
  • GCM-128：使用 128 位 AES-GCM 加密，此为默认值。
  • GCM-256：使用 256 位 AES-GCM 加密。
  • GMAC-128：使用 128 位 AES-GMAC 加密。
  • GMAC-256：使用 256 位 AES-GMAC 加密。
  • 无：不使用加密。
• 转发路由：如果企业 VPN 服务器支持多个路由表，请单击添加以添加其他可选转发路由。

• 连接名称：键入连接的名称。此字段为必填字段。
• 包名称代理 VPN：在设备上安装的 VPN 的包名称或 ID，例如 Mocana 或 Pulse Secure。
  
• 主机名：键入 VPN 主机的名称。必须使用此选项。
• 启用用户身份验证：选择是否需要进行用户身份验证。如果启用，可以配置以下设置：
  • 用户名：键入用户名。
  • 密码：键入用户密码。
• 标识：键入此配置的可选标识符。仅在 Vpn 连接类型 = IPSEC 时适用。
• Vpn 连接类型：在列表中，单击 IPSEC 或 SSL 以选择要使用的连接类型。默认值为 IPSEC。以下部分介绍每种连接类型的配置设置。

• 配置 IPSEC 连接设置
  • 标识：键入此配置的可选标识符。
  • IPsec 组 ID 类型：在列表中，单击要使用的 IPsec 组 ID 类型。默认值为默认。可能的选项包括：
    • 默认值
    • IPv4 地址
    • 完全限定域名 (FQDN)
    • 用户 FQDN
    • IKE 密钥 ID
  • IKE 版本：在列表中，单击要使用的 Internet 密钥交换版本。默认值为 IKEv1。
  • 身份验证方法：在列表中，单击要使用的身份验证方法。默认值为证书。可能的选项包括：
    • 证书：使用证书身份验证。如果选择此项，请在身份凭据列表中，单击要使用的凭据。默认值为无。
    • 预共享密钥：使用预共享密钥。如果选择此项，请在预共享密钥字段中，键入预共享密钥。
    • 混合 RSA：使用 RSA 证书的混合身份验证。
    • EAP MD5：EAP 对等体向 EAP 服务器进行身份验证，但是不相互验证身份。
    • EAP MSCHAPv2：使用 Microsoft 的质询-握手身份验证相互验证身份。
    • 基于 CAC 的身份验：使用通用访问卡 (CAC) 进行身份验证。
  • CA 证书：在列表中，单击要使用的证书。
  • 启用失效对等体检测：选择是否联系对等体以确定其仍然有效。默认值为关。
  • 启用默认路由：选择是否启用到 VPN 服务器的默认路由。
  • 启用移动选项：选择是否启用移动选项。
  • IKE 生命周期(分钟)：键入必须重新建立 VPN 连接之前经过的分钟数。默认值为 1440 分钟（24 小时）。
  • ipsec 生命周期(分钟)：键入必须重新建立 VPN 连接之前经过的分钟数。默认值为 1440 分钟（24 小时）。
  • Diffie-Hellman 组值(密钥强度)：在列表中，单击要使用的密钥强度。默认值为 0。
  • IKE 阶段 1 密钥交换模式：选择主模式或积极模式作为 IKE 阶段 1 协商模式。默认值为主模式。
    • 主模式：协商期间不会向潜在攻击者泄露任何信息，但是速度低于积极模式。
    • 积极模式：协商期间会向潜在攻击者泄露某些信息（例如，协商对等体的身份），但是速度高于主模式。
  • 完全向前保密(PFS)值：选择是否使用 PFS 以要求新密钥交换协商连接。
  • 拆分通道类型：在列表中，单击要使用的拆分通道类型。可能的选项包括：
    • 自动：自动使用拆分通道。
    • 手动：通过在 VPN 服务器上指定的 IP 地址和端口使用拆分通道。
    • 已禁用：不使用拆分通道。
  • SuiteB 类型：在列表中，单击要使用的 NSA Suite B 加密级别。默认值为 GCM-128。可能的选项包括：
    • GCM-128：使用 128 位 AES-GCM 加密。
    • GCM-256：使用 256 位 AES-GCM 加密。
    • GMAC-128：使用 128 位 AES-GMAC 加密。
    • GMAC-256：使用 256 位 AES-GMAC 加密。
    • 无：不使用加密。
  • IPSEC 加密算法：IPSec 协议使用的 VPN 配置。
  • IKE 加密算法：IPSec 协议使用的 VPN 配置。
  • IKE 完整性算法：IPSec 协议使用的 VPN 配置。
  • Knox：仅适用于 Samsung KNOX 的配置。
  • 供应商：与 KNOX API 通信的通用代理的个人配置文件。
  • 转发路由：如果企业 VPN 服务器支持转发路由，对于要使用的每种转发路由，请单击添加并执行以下操作：
    • 转发路由：键入转发路由的 IP 地址。
    • 单击保存以保存路由，或单击取消不保存路由。
  • 为应用程序单独设置 VPN：对于要添加的每个为应用程序单独设置 VPN，请单击添加并执行以下操作：
    • 为应用单独设置 VPN：应用程序进行通信时使用的 VPN 配置。
      
    • 单击保存以保存为应用程序单独设置 VPN，或单击取消不保存为应用程序单独设置 VPN。

• 配置 SSL 连接设置
  • 身份验证方法：在列表中，单击要使用的身份验证方法。可能的选项包括：
    • 不适用：不应用任何身份验证方法。这是默认值。
    • 证书：使用证书身份验证。这是默认值。如果选择此项，请在“身份凭据”列表中，单击要使用的凭据。默认值为“无”。
    • 基于 CAC 的身份验：使用通用访问卡 (CAC) 进行身份验证。
  • CA 证书：在列表中，单击要使用的证书。
  • 启用默认路由：选择是否启用到 VPN 服务器的默认路由。
  • 启用移动选项：选择是否启用移动选项。
  • 拆分通道类型：在列表中，单击要使用的拆分通道类型。可能的选项包括：
    • 自动：自动使用拆分通道。
    • 手动：通过指定的 IP 地址和端口使用拆分通道。
      
    • 已禁用：不使用拆分通道。
  • SuiteB 类型：在列表中，单击要使用的 NSA Suite B 加密级别。默认值为 GCM-128。可能的选项包括：
    • GCM-128：使用 128 位 AES-GCM 加密。
    • GCM-256：使用 256 位 AES-GCM 加密。
    • GMAC-128：使用 128 位 AES-GMAC 加密。
    • GMAC-256：使用 256 位 AES-GMAC 加密。
    • 无：不使用加密：键入用于客户端-服务器协商的 SSL 算法。
  • SSL 算法：键入用于客户端-服务器协商的 SSL 算法。
  • Knox：仅适用于 Samsung KNOX 的配置。
  • 供应商：与 KNOX API 通信的通用代理的个人配置文件。
  • 转发路由：如果企业 VPN 服务器支持转发路由，对于要使用的每种转发路由，请单击添加并执行以下操作：
    • 转发路由：键入转发路由的 IP 地址。
    • 单击保存以保存路由，或单击取消不保存路由。
  • 为应用程序单独设置 VPN：对于要添加的每个为应用程序单独设置 VPN，请单击添加并执行以下操作：
    • 为应用单独设置 VPN：应用程序进行通信时使用的 VPN 配置。
    • 单击保存以保存为应用程序单独设置 VPN，或单击取消不保存为应用程序单独设置 VPN。

• 连接名称：输入连接的名称。此字段为必填字段。
• 配置文件类型：在列表中，单击本机或插件。默认值为本机。
• 配置本机配置文件类型 - 这些设置适用于内置于用户 Windows 设备上的 VPN。
  • 服务器地址：键入 VPN 服务器的 FQDN 或 IP 地址。此字段为必填字段。
  • 记住凭据：选择是否缓存凭据。默认值为关。启用时，会在合适的时候缓存凭据。
  • DNS 后缀：键入 DNS 后缀。
  • 通道类型：在列表中，单击要使用的 VPN 通道类型。默认值为 L2TP。可能的选项包括：
    • L2TP：使用预共享密钥身份验证的第二层通道协议。
    • PPTP：点对点通道。
    • IKEv2：Internet 密钥交换第 2 版。
  • 身份验证方法：在列表中，单击要使用的身份验证方法。默认值为 EAP。可能的选项包括：
    • EAP：扩展身份验证协议。
    • MSChapV2：使用 Microsoft 的质询-握手身份验证相互验证身份。选择 IKEv2 作为通道类型时，此选项不可用。
  • EAP 方法：在列表中，单击要使用的 EAP 方法。默认值为 TLS。启用 MSChapV2 身份验证时此字段不可用。可能的选项包括：
    • TLS：传输层安全性
    • PEAP：受保护的可扩展身份验证协议
  • 可信网络：键入无需使用 VPN 连接进行访问的网络列表，以逗号分隔。例如，当用户在使用公司无线网络时，他们可以直接访问受保护的资源。
  • 需要智能卡证书：选择是否需要智能卡证书。默认值为关。
  • 自动选择客户端证书：选择是否自动选择用于身份验证的客户端证书。默认值为关。启用需要智能卡证书时此选项不可用。
  • 始终启用 VPN：选择是否始终启用 VPN。默认值为关。启用后，VPN 连接保持可用，直到用户手动断开连接。
  • 跳过本地地址：键入地址和端口号，以允许本地资源跳过代理服务器。
• 配置插件配置文件类型 - 这些设置适用于从 Windows 应用商店获取并安装在用户设备上的 VPN 插件。
  • 服务器地址：键入 VPN 服务器的 FQDN 或 IP 地址。此字段为必填字段。
  • 记住凭据：选择是否缓存凭据。默认值为关。启用时，会在合适的时候缓存凭据。
  • DNS 后缀：键入 DNS 后缀。
  • 客户端应用程序 ID：键入 VPN 插件的软件包系列名称。
  • 插件配置文件 XML：单击浏览并导航到要使用的自定义 VPN 插件配置文件的位置，选择该文件。有关格式及详细信息，请联系插件提供商。
  • 可信网络：键入无需使用 VPN 连接进行访问的网络列表，以逗号分隔。例如，当用户在使用公司无线网络时，他们可以直接访问受保护的资源。
  • 始终启用 VPN：选择是否始终启用 VPN。默认值为关。启用后，VPN 连接保持可用，直到用户手动断开连接。
  • 跳过本地地址：键入地址和端口号，以允许本地资源跳过代理服务器。

• 服务器地址：键入 VPN 服务器的 IP 地址。
• 用户名：键入可选用户名。
• 密码：键入可选密码。
• L2TP 密钥：键入共享密钥。
• IPSec 标识符：键入用户连接时在其设备上看到的 VPN 连接的名称。
• IPSec 预共享密钥：键入密钥。
• DNS 搜索域：键入用户设备的搜索域列表可以与之匹配的域。
• DNS 服务器：键入用于解析指定域的 DNS 服务器的 IP 地址。
• 转发路由：如果企业 VPN 服务器支持转发路由，对于要使用的每种转发路由，请单击添加并执行以下操作：
  • 转发路由：键入转发路由的 IP 地址。
  • 单击保存以保存路由，或单击取消不保存路由。

• 服务器地址：键入 VPN 服务器的 IP 地址。
• 用户名：键入可选用户名。
• 密码：键入可选密码。
• L2TP 密钥：键入共享密钥。
• DNS 搜索域：键入用户设备的搜索域列表可以与之匹配的域。
• DNS 服务器：键入用于解析指定域的 DNS 服务器的 IP 地址。
• 服务器证书：在列表中，单击要使用的服务器证书。
• CA 证书：在列表中，单击要使用的 CA 证书。
• 身份凭据：在列表中，单击要使用的身份凭据。
• 转发路由：如果企业 VPN 服务器支持转发路由，对于要使用的每种转发路由，请单击添加并执行以下操作：
  • 转发路由：键入转发路由的 IP 地址。
  • 单击保存以保存路由，或单击取消不保存路由。

• 服务器地址：键入 VPN 服务器的 IP 地址。
• 用户名：键入可选用户名。
• 密码：键入可选密码。
• IPSec 标识符：键入用户连接时在其设备上看到的 VPN 连接的名称。
• IPSec 预共享密钥：键入共享密钥。
• DNS 搜索域：键入用户设备的搜索域列表可以与之匹配的域。
• DNS 服务器：键入用于解析指定域的 DNS 服务器的 IP 地址。
• 转发路由：如果企业 VPN 服务器支持转发路由，对于要使用的每种转发路由，请单击添加并执行以下操作：
  • 转发路由：键入转发路由的 IP 地址。
  • 单击保存以保存路由，或单击取消不保存路由。

• 服务器地址：键入 VPN 服务器的 IP 地址。
• 用户名：键入可选用户名。
• 密码：键入可选密码。
• DNS 搜索域：键入用户设备的搜索域列表可以与之匹配的域。
• DNS 服务器：键入用于解析指定域的 DNS 服务器的 IP 地址。
• 服务器证书：在列表中，单击要使用的服务器证书。
• CA 证书：在列表中，单击要使用的 CA 证书。
• 身份凭据：在列表中，单击要使用的身份凭据。
• 转发路由：如果企业 VPN 服务器支持转发路由，对于要使用的每种转发路由，请单击添加并执行以下操作：
  • 转发路由：键入转发路由的 IP 地址。
  • 单击保存以保存路由，或单击取消不保存路由。

• 服务器地址：键入 VPN 服务器的 IP 地址。
• 用户名：键入可选用户名。
• 密码：键入可选密码。
• DNS 搜索域：键入用户设备的搜索域列表可以与之匹配的域。
• DNS 服务器：键入用于解析指定域的 DNS 服务器的 IP 地址。
• 服务器证书：在列表中，单击要使用的服务器证书。
• CA 证书：在列表中，单击要使用的 CA 证书。
• 转发路由：如果企业 VPN 服务器支持转发路由，对于要使用的每种转发路由，请单击添加并执行以下操作：
  • 转发路由：键入转发路由的 IP 地址。
  • 单击保存以保存路由，或单击取消不保存路由。

• 服务器地址：键入 VPN 服务器的 IP 地址。
• 用户名：键入可选用户名。
• 密码：键入可选密码。
• DNS 搜索域：键入用户设备的搜索域列表可以与之匹配的域。
• DNS 服务器：键入用于解析指定域的 DNS 服务器的 IP 地址。
• PPP 加密(MPPE)：选择是否使用 Microsoft 点对点加密 (MPPE) 进行数据加密。默认值为关。
• 转发路由：如果企业 VPN 服务器支持转发路由，对于要使用的每种转发路由，请单击添加并执行以下操作：
  • 转发路由：键入转发路由的 IP 地址。
  • 单击保存以保存路由，或单击取消不保存路由。

注意：有关配置部署规则的详细信息（包括图表），请参阅配置部署规则。

a. 展开部署规则，然后配置以下设置：默认情况下显示基础选项卡。

• 在此列表中，单击选项以确定部署策略的时间。可以选择在满足所有条件时部署策略，或在满足任意条件时部署策略。默认选项为全部。
• 单击新建规则以定义条件。
• 在列表中，单击条件，如“设备所有权”和 BYOD。
• 如果要添加更多条件，请再次单击新建规则。您可以添加任意多项条件。

b. 单击高级选项卡以使用布尔选项组合规则。此时将显示您在基础选项卡上选择的条件。

c. 您可以使用更多高级布尔逻辑来组合、编辑或添加规则。

• 单击 AND、OR 或 NOT。
• 在显示的列表中，选择要添加到规则中的条件，然后单击右侧的加号 (+) 将条件添加到规则中。

您随时可以通过单击选择某个条件，然后单击编辑以更改此条件或单击删除以删除此条件。

• 如果要添加更多条件，请再次单击新建规则。