某些VPN部署可以為遠(yuǎn)程訪問(wèn)網(wǎng)絡(luò)提供更好的安全性。需要注意的是，不同的供應(yīng)商產(chǎn)品都提供了不同的特定功能。

[[110116]]

確保使用強(qiáng)大的加密設(shè)置。所有VPN產(chǎn)品都允許對(duì)使用的加密密碼套件進(jìn)行配置。對(duì)于IPSec部署，這可能是3DES(數(shù)據(jù)加密標(biāo)準(zhǔn))或高級(jí)加密標(biāo)準(zhǔn)(AES)，而安全套接字層(SSL)VPN則有更多選擇，包括流加密(例如RC4)。IPSec讓加密更簡(jiǎn)單，因?yàn)榭蛻?hù)端將被預(yù)配置為使用特定算法，從而確保了兼容性。而在另一方面，SSL VPN則需要考慮瀏覽器加密支持。由于SSL和傳輸層安全(TLS)漏洞的普及，特別是最近的BEAST和CRIME攻擊，筆者強(qiáng)烈建議使用TLS 1.2等強(qiáng)大的密碼，即使客戶(hù)端需要驗(yàn)證瀏覽器兼容性。對(duì)于完整性哈希，安全哈希算法(SHA)-1優(yōu)于MD5。加密密鑰長(zhǎng)度應(yīng)該要適當(dāng)，最少256位密鑰(AES)或168位(3DES)，1024位密鑰用于密鑰交換算法(例如RSA)，而512位密鑰用于哈希算法(例如SHA-1)。

審查終端安全政策。不同的供應(yīng)商提供不同的端點(diǎn)安全政策，包括操作系統(tǒng)和瀏覽器檢查、反惡意軟件檢查、瀏覽器緩存和注銷(xiāo)后cookie清除，以及客戶(hù)端多因素身份驗(yàn)證(包括智能卡、USB令牌等)。站點(diǎn)到站點(diǎn)VPN則沒(méi)有這種類(lèi)型的政策。

設(shè)置會(huì)話超時(shí)。所有VPN部署都允許會(huì)話超時(shí)設(shè)置，這種會(huì)話超時(shí)應(yīng)被設(shè)置為你可以接受的盡可能短的時(shí)間。根據(jù)不同的業(yè)務(wù)需求，10到15分鐘的會(huì)話超時(shí)已經(jīng)足夠，SSL VPN通常還支持自動(dòng)關(guān)閉瀏覽器窗口。

確保建立安全的IPsec設(shè)置。IPsec有大量配置選項(xiàng)。然而，很多企業(yè)會(huì)下意識(shí)地選擇便利性和簡(jiǎn)潔性，而不會(huì)考慮安全性。例如，很多IPsec部署利用VPN網(wǎng)關(guān)已知的“共享秘密”，并將其包括在身份驗(yàn)證配置中。對(duì)此，筆者建議為每個(gè)端點(diǎn)使用不同的共享秘密，這并不難設(shè)置。另外，企業(yè)應(yīng)該使用從內(nèi)部證書(shū)頒發(fā)機(jī)構(gòu)部署的證書(shū)，雖然這需要更多工作，但這樣做更加安全。此外，用于建立IPsec安全關(guān)聯(lián)的Internet密鑰交換協(xié)議通常因?yàn)楸憷院托阅芏慌渲脼槭褂肁ggressive Mode，但這是更薄弱的交互方法，企業(yè)應(yīng)該使用Main Mode。

使用強(qiáng)大的多因素身份驗(yàn)證。所有VPN都應(yīng)該支持某種形式的多因素身份驗(yàn)證，這是非常重要的工具，特別是對(duì)于遠(yuǎn)程訪問(wèn)配置?？蛻?hù)端證書(shū)和智能卡，以及雙因素令牌和發(fā)送到移動(dòng)設(shè)備的一次性密碼，都是比較受歡迎的驗(yàn)證方法，這都比單靠用戶(hù)名和密碼要更安全。

修復(fù)和升級(jí)設(shè)備或軟件。所有VPN軟件和設(shè)備都需要不定期更新。確保這些系統(tǒng)集成到你現(xiàn)有的漏洞管理戰(zhàn)略中，以避免暴露的漏洞或可用性問(wèn)題。

當(dāng)然，這些還只是起點(diǎn)，為特定應(yīng)用程序和用戶(hù)創(chuàng)建訪問(wèn)控制將需要更多的規(guī)劃工作。一些VPN還支持到虛擬桌面基礎(chǔ)設(shè)施和其他內(nèi)部資源的訪問(wèn)，以幫助遠(yuǎn)程客戶(hù)端簡(jiǎn)化和加強(qiáng)安全連接。由于所有供應(yīng)商提供不同的配置選項(xiàng)，企業(yè)需要了解所有這些可用的安全設(shè)置，并根據(jù)性能、可用性和安全性，從中選出最佳解決方案。