1. DNS/WINS Assignment


Khi client kết nối VPN, thiết bị sẽ phải cung cấp các tham số mạng (giống như DHCP).

• DNS/WINS servers: Bạn có thể chỉ định cụ thể server DNS hoặc WINS mà client sẽ dùng khi vào VPN.
• Nếu một network host object được gán trong chính sách, IP của object đó sẽ thay thế cấu hình DNS/WINS ban đầu mà DHCP cấp. Điều này giúp kiểm soát chặt chẽ việc phân giải tên (ví dụ: ép client phải dùng DNS nội bộ thay vì DNS công cộng).

👉 Đây là điểm quan trọng để buộc người dùng VPN truy cập tài nguyên nội bộ qua DNS private, thay vì query ra ngoài Internet.

---

2. Split Tunneling


Split tunneling là cơ chế định nghĩa lưu lượng nào đi qua VPN tunnel và lưu lượng nào đi trực tiếp từ client ra ngoài Internet.

• Có thể cấu hình riêng cho IPv4 và IPv6.
• Dựa trên ACL object (standard hoặc extended) để chỉ định traffic.
• Nếu bạn có DNS server nội bộ cung cấp private IP, có thể tạo DNS split tunnel policy để đảm bảo chỉ request tên miền nội bộ mới đi qua tunnel, còn truy vấn public DNS thì đi thẳng Internet.

👉 Nếu split tunneling được bật, client có thể trở thành một “điểm trung gian” (pivot point) giữa Internet và mạng nội bộ nếu không có kiểm soát chặt chẽ. Vì vậy, các tổ chức tuân thủ chuẩn bảo mật cao (như PCI-DSS, DoD) thường disable split tunneling để buộc toàn bộ traffic đi qua tunnel và qua firewall inspection.

---

Kinh nghiệm triển khai thực tế

• Với mạng doanh nghiệp: thường disable split tunneling để đảm bảo an toàn.
• Với contractor hoặc work-from-home user: có thể bật split tunneling để giảm tải băng thông VPN, nhưng cần chính sách DNS split tunneling để tránh rò rỉ dữ liệu.
• Đừng quên kết hợp với Access Control Policy (ACP) và Security Intelligence để giám sát và chặn traffic nguy hiểm ngay cả khi qua VPN.

​