某些VPN摆设可觉得长途拜候收集供给更好的安然性。需要寄望的是，不合的供给商产品都供给了不合的特定功能。

　　确保利用强大年夜的加密设置。所有VPN产品都承诺对利用的加密暗码套件进行建设。对IPSec摆设，这多是 3DES(数据加密尺度)或高级加密尺度(AES)，而安然套接字层(SSL)VPN则有更多选择，包含流加密(例如RC4)。IPSec让加密更简单， 因为客户端将被预建设为利用特定算法，从而确保了兼容性。而在另外一方面，SSL VPN则需要考虑浏览器加密撑持。因为SSL和传输层安然(TLS)缝隙的普及，出格是比来的BEAST和CRIME报复打击，笔者强烈建议利用TLS 1.2等强大年夜的暗码，即便客户端需要验证浏览器兼容性。对完全性哈希，安然哈希算法(SHA)-1优于MD5。加密密钥长度应当要恰当，起码256位密钥(AES)或168位(3DES)，1024位密钥用于密钥互换算法(例如RSA)，而512位密钥用于哈希算法(例如SHA-1)。

　　审查终端安然政策。不合的供给商供给不合的端点安然政策，包含把持系统和浏览器查抄、反歹意软件查抄、浏览器缓存和刊出后cookie断根，和客户端多身分身份验证(包含智能卡、USB令牌等)。站点到站点VPN则没有这类类型的政策。

　　设置会话超时。所有VPN摆设都承诺会话超时设置，这类会话超时应被设置为你可以接管的尽可能短的时候。按照不合的营业需求，10到15分钟的会话超时已足够，SSL VPN凡是还撑持主动封锁浏览器窗口。

　　确保成立安然的IPsec设置。IPsec有大年夜量建设选项。但是，良多企业会下意识地选择便当性和精练性，而不 会考虑安然性。例如，良多IPsec摆设操纵VPN网关已知的“共享奥秘”，并将其包含在身份验证建设中。对此，笔者建议为每个端点利用不合的共享奥秘， 这其实不难设置。别的，企业应当利用从内部证书颁布机构摆设的证书，当然这需要更多工作，但如许做加倍安然。别的，用于成立IPsec安然联系关系的 Internet密钥互换和谈凡是因为便当性和机能而被建设为利用Aggressive Mode，但这是更亏弱的交互编制，企业应当利用Main Mode。

　　利用强大年夜的多身分身份验证。所有VPN都应当撑持某种情势的多身分身份验证，这是很是首要的东西，出格是对长途拜候建设。客户端证书和智能卡，和双身分令牌和发送到移动设备的一次性暗码，都是比较受欢迎的验证编制，这都比单靠用户名和暗码要更安然。

　　修复和进级设备或软件。所有VPN软件和设备都需要不按期更新。确保这些系统集成到你现有的缝隙治理计谋中，以避免透露的缝隙或可用性标题问题。

　　当然，这些还只是解缆点，为特定利用法度和用户成立拜候节制将需要更多的打算工作。一些VPN还撑持到虚拟桌面根本举措措施和其他内部资本的拜候，以帮忙 长途客户端简化和加强安然连接。因为所有供给商供给不合的建设选项，企业需要体味所有这些可用的安然设置，并按照机能、可用性和安然性，从当选出最好解决 方案。