VPN部署

所有VPN產品都允許對使用的加密密碼套件進行配置。對於IPSec部署，這可能是3DES（數據加密標準）或高級加密標準（AES），而安全套接字層（SSL）VPN則有更多選擇，包括流加密（例如RC4）。IPSec讓加密更簡單，因為客户端將被預配置為使用特定算法，從而確保了兼容性。而在另一方面，SSL VPN則需要考慮瀏覽器加密支持。

不同的供應商提供不同的端點安全政策，包括操作系統和瀏覽器檢查、反惡意軟件檢查、瀏覽器緩存和註銷後cookie清除，以及客户端多因素身份驗證。站點到站點VPN則沒有這種類型的政策。

所有VPN部署都允許會話超時設置，這種會話超時應被設置為你可以接受的儘可能短的時間。根據不同的業務需求，10到15分鐘的會話超時已經足夠，SSL VPN通常還支持自動關閉瀏覽器窗口。

IPsec有大量配置選項。然而，很多企業會下意識地選擇便利性和簡潔性，而不會考慮安全性。例如，很多IPsec部署利用VPN網關已知的“共享秘密”，並將其包括在身份驗證配置中。對此，筆者建議為每個端點使用不同的共享秘密，這並不難設置。

所有VPN都應該支持某種形式的多因素身份驗證，這是非常重要的工具，特別是對於遠程訪問配置。客户端證書和智能卡，以及雙因素令牌和發送到移動設備的一次性密碼，都是比較受歡迎的驗證方法，這都比單靠用户名和密碼要更安全。

所有VPN軟件和設備都需要不定期更新。確保這些系統集成到你現有的漏洞管理戰略中，以避免暴露的漏洞或可用性問題。 ^[1] 

雖然有很多變型，但絕大多數VPN主要分為兩種技術類型。第一種利用安全套接字層（SSL）技術，通過SSL或可信層安全（TLS）證書來加強連接。第二種是基於互聯網協議安全（IPSec）的VPN來提供更高級的安全選項。

在大多數情況下，SSL VPN主要為需要安全訪問應用和系統的員工提供連接。很多SSL VPN提供商提供本地集成和配置選項來處理常見應用，這些常見應用包括電子郵件、辦公工具、文件共享以及通常通過瀏覽為訪問的web應用。這些VPN的優勢是它們不需要在連接端點安裝任何客户端，並且，當訪問常見應用時，安裝和配置非常簡單。

對於非web應用和更復雜的安全需求，IPSec VPN可能是更好的選擇。雖然有其他遠程訪問VPN協議，例如點對點通道協議和2層網絡通道協議，但不同的是，IPSec完全封裝了端點和安全網關之間（或兩個安全網關之間）所有IP協議流量，並提供更強的加密選項。IPSec是一組更復雜的協議，它為企業提供了更靈活的方法來在網關和系統之間建立專用通道，以處理大多數類型的通信。 ^[2]