VPN部署

所有VPN产品都允许对使用的加密密码套件进行配置。对于IPSec部署，这可能是3DES（数据加密标准）或高级加密标准（AES），而安全套接字层（SSL）VPN则有更多选择，包括流加密（例如RC4）。IPSec让加密更简单，因为客户端将被预配置为使用特定算法，从而确保了兼容性。而在另一方面，SSL VPN则需要考虑浏览器加密支持。

不同的供应商提供不同的端点安全政策，包括操作系统和浏览器检查、反恶意软件检查、浏览器缓存和注销后cookie清除，以及客户端多因素身份验证。站点到站点VPN则没有这种类型的政策。

所有VPN部署都允许会话超时设置，这种会话超时应被设置为你可以接受的尽可能短的时间。根据不同的业务需求，10到15分钟的会话超时已经足够，SSL VPN通常还支持自动关闭浏览器窗口。

IPsec有大量配置选项。然而，很多企业会下意识地选择便利性和简洁性，而不会考虑安全性。例如，很多IPsec部署利用VPN网关已知的“共享秘密”，并将其包括在身份验证配置中。对此，笔者建议为每个端点使用不同的共享秘密，这并不难设置。

所有VPN都应该支持某种形式的多因素身份验证，这是非常重要的工具，特别是对于远程访问配置。客户端证书和智能卡，以及双因素令牌和发送到移动设备的一次性密码，都是比较受欢迎的验证方法，这都比单靠用户名和密码要更安全。

所有VPN软件和设备都需要不定期更新。确保这些系统集成到你现有的漏洞管理战略中，以避免暴露的漏洞或可用性问题。^[1]

虽然有很多变型，但绝大多数VPN主要分为两种技术类型。第一种利用安全套接字层（SSL）技术，通过SSL或可信层安全（TLS）证书来加强连接。第二种是基于互联网协议安全（IPSec）的VPN来提供更高级的安全选项。

在大多数情况下，SSL VPN主要为需要安全访问应用和系统的员工提供连接。很多SSL VPN提供商提供本地集成和配置选项来处理常见应用，这些常见应用包括电子邮件、办公工具、文件共享以及通常通过浏览为访问的web应用。这些VPN的优势是它们不需要在连接端点安装任何客户端，并且，当访问常见应用时，安装和配置非常简单。

对于非web应用和更复杂的安全需求，IPSec VPN可能是更好的选择。虽然有其他远程访问VPN协议，例如点对点通道协议和2层网络通道协议，但不同的是，IPSec完全封装了端点和安全网关之间（或两个安全网关之间）所有IP协议流量，并提供更强的加密选项。IPSec是一组更复杂的协议，它为企业提供了更灵活的方法来在网关和系统之间建立专用通道，以处理大多数类型的通信。^[2]