审查终端安全政策。不同的供应商提供不同的端点安全政策，包括操作系统和浏览器检查、反恶意软件检查、浏览器缓存和注销后cookie清除，以及客户端多因素身份验证(包括智能卡、USB令牌等)。站点到站点VPN则没有这种类型的政策。

设置会话超时。所有VPN部署都允许会话超时设置，这种会话超时应被设置为你可以接受的尽可能短的时间。根据不同的业务需求，10到15分钟的会话超时已经足够，SSL VPN通常还支持自动关闭浏览器窗口。

确保建立安全的IPsec设置。IPsec有大量配置选项。然而，很多企业会下意识地选择便利性和简洁性，而不 会考虑安全性。例如，很多IPsec部署利用VPN网关已知的“共享秘密”，并将其包括在身份验证配置中。对此，笔者建议为每个端点使用不同的共享秘密， 这并不难设置。另外，企业应该使用从内部证书颁发机构部署的证书，虽然这需要更多工作，但这样做更加安全。此外，用于建立IPsec安全关联的 Internet密钥交换协议通常因为便利性和性能而被配置为使用Aggressive Mode，但这是更薄弱的交互方法，企业应该使用Main Mode。

使用强大的多因素身份验证。所有VPN都应该支持某种形式的多因素身份验证，这是非常重要的工具，特别是对于远程访问配置。客户端证书和智能卡，以及双因素令牌和发送到移动设备的一次性密码，都是比较受欢迎的验证方法，这都比单靠用户名和密码要更安全。

修复和升级设备或软件。所有VPN软件和设备都需要不定期更新。确保这些系统集成到你现有的漏洞管理战略中，以避免暴露的漏洞或可用性问题。

当然，这些还只是起点，为特定应用程序和用户创建访问控制将需要更多的规划工作。一些VPN还支持到虚拟桌面基础设施和其他内部资源的访问，以帮助 远程客户端简化和加强安全连接。由于所有供应商提供不同的配置选项，企业需要了解所有这些可用的安全设置，并根据性能、可用性和安全性，从中选出最佳解决 方案。

(责任编辑：)