優勢
確保使用強大的加密設定
所有VPN產品都允許對使用的加密密碼套件進行配置。對於IPSec部署,這可能是3DES(數據加密標準)或高級加密標準(AES),而安全套接字層(SSL)VPN則有更多選擇,包括流加密(例如RC4)。IPSec讓加密更簡單,因為客戶端將被預配置為使用特定算法,從而確保了兼容性。而在另一方面,SSL VPN則需要考慮瀏覽器加密支持。
審查終端安全政策
不同的供應商提供不同的端點安全政策,包括作業系統和瀏覽器檢查、反惡意軟體檢查、瀏覽器快取和註銷後cookie清除,以及客戶端多因素身份驗證。站點到站點VPN則沒有這種類型的政策。
設定會話逾時
所有VPN部署都允許會話逾時設定,這種會話逾時應被設定為你可以接受的儘可能短的時間。根據不同的業務需求,10到15分鐘的會話逾時已經足夠,SSL VPN通常還支持自動關閉瀏覽器視窗。
確保建立安全的IPsec設定
IPsec有大量配置選項。然而,很多企業會下意識地選擇便利性和簡潔性,而不會考慮安全性。例如,很多IPsec部署利用VPN網關已知的“共享秘密”,並將其包括在身份驗證配置中。對此,筆者建議為每個端點使用不同的共享秘密,這並不難設定。
使用強大的多因素身份驗證
所有VPN都應該支持某種形式的多因素身份驗證,這是非常重要的工具,特別是對於遠程訪問配置。客戶端證書和智慧卡,以及雙因素令牌和傳送到移動設備的一次性密碼,都是比較受歡迎的驗證方法,這都比單靠用戶名和密碼要更安全。
修復和升級設備或軟體
所有VPN軟體和設備都需要不定期更新。確保這些系統集成到你現有的漏洞管理戰略中,以避免暴露的漏洞或可用性問題。
分類
雖然有很多變型,但絕大多數VPN主要分為兩種技術類型。第一種利用安全套接字層(SSL)技術,通過SSL或可信層安全(TLS)證書來加強連線。第二種是基於網際網路協定安全(IPSec)的VPN來提供更高級的安全選項。
SSL VPN
在大多數情況下,SSL VPN主要為需要安全訪問套用和系統的員工提供連線。很多SSL VPN提供商提供本地集成和配置選項來處理常見套用,這些常見套用包括電子郵件、辦公工具、檔案共享以及通常通過瀏覽為訪問的web套用。這些VPN的優勢是它們不需要在連線端點安裝任何客戶端,並且,當訪問常見套用時,安裝和配置非常簡單。
IPSec VPN
對於非web套用和更複雜的安全需求,IPSec VPN可能是更好的選擇。雖然有其他遠程訪問VPN協定,例如點對點通道協定和2層網路通道協定,但不同的是,IPSec完全封裝了端點和安全網關之間(或兩個安全網關之間)所有IP協定流量,並提供更強的加密選項。IPSec是一組更複雜的協定,它為企業提供了更靈活的方法來在網關和系統之間建立專用通道,以處理大多數類型的通信。