VPN部署

所有VPN產品都允許對使用的加密密碼套件進行配置。對於IPSec部署，這可能是3DES（數據加密標準）或高級加密標準（AES），而安全套接字層（SSL）VPN則有更多選擇，包括流加密（例如RC4）。IPSec讓加密更簡單，因為客戶端將被預配置為使用特定算法，從而確保了兼容性。而在另一方面，SSL VPN則需要考慮瀏覽器加密支持。

不同的供應商提供不同的端點安全政策，包括作業系統和瀏覽器檢查、反惡意軟體檢查、瀏覽器快取和註銷後cookie清除，以及客戶端多因素身份驗證。站點到站點VPN則沒有這種類型的政策。

所有VPN部署都允許會話逾時設定，這種會話逾時應被設定為你可以接受的儘可能短的時間。根據不同的業務需求，10到15分鐘的會話逾時已經足夠，SSL VPN通常還支持自動關閉瀏覽器視窗。

IPsec有大量配置選項。然而，很多企業會下意識地選擇便利性和簡潔性，而不會考慮安全性。例如，很多IPsec部署利用VPN網關已知的“共享秘密”，並將其包括在身份驗證配置中。對此，筆者建議為每個端點使用不同的共享秘密，這並不難設定。

所有VPN都應該支持某種形式的多因素身份驗證，這是非常重要的工具，特別是對於遠程訪問配置。客戶端證書和智慧卡，以及雙因素令牌和傳送到移動設備的一次性密碼，都是比較受歡迎的驗證方法，這都比單靠用戶名和密碼要更安全。

所有VPN軟體和設備都需要不定期更新。確保這些系統集成到你現有的漏洞管理戰略中，以避免暴露的漏洞或可用性問題。

雖然有很多變型，但絕大多數VPN主要分為兩種技術類型。第一種利用安全套接字層（SSL）技術，通過SSL或可信層安全（TLS）證書來加強連線。第二種是基於網際網路協定安全（IPSec）的VPN來提供更高級的安全選項。

在大多數情況下，SSL VPN主要為需要安全訪問套用和系統的員工提供連線。很多SSL VPN提供商提供本地集成和配置選項來處理常見套用，這些常見套用包括電子郵件、辦公工具、檔案共享以及通常通過瀏覽為訪問的web套用。這些VPN的優勢是它們不需要在連線端點安裝任何客戶端，並且，當訪問常見套用時，安裝和配置非常簡單。

對於非web套用和更複雜的安全需求，IPSec VPN可能是更好的選擇。雖然有其他遠程訪問VPN協定，例如點對點通道協定和2層網路通道協定，但不同的是，IPSec完全封裝了端點和安全網關之間（或兩個安全網關之間）所有IP協定流量，並提供更強的加密選項。IPSec是一組更複雜的協定，它為企業提供了更靈活的方法來在網關和系統之間建立專用通道，以處理大多數類型的通信。