远程访问VPN(虚拟专用网络)设备是网络安全设备市场上的一个重要成员，但其角色已经发生了变化。企业WLAN的扩展，再加上正在消失的网络外围，都意味着VPN用户不再是“远程的”。如今，VPN可以向任何移动设备(包括漫游的智能电话)提供公司资源的安全(经认证的、加密的)访问。

　　本文中，我们将讨论当代远程访问VPN设备所提供的一些重要功能和特性。虽然每家公司的需要不同，但为确保安全的移动性，我们必须关注每个企业应当“自问”的一些问题。从远在异地的笔记本电脑到本地的平板电脑，我们要确认安全的访问需要，并关注VPN设备如何强化自身，以满足企业日益增长的需要。

　　远程访问VPN的演化

　　二十年前，需要远程网络访问的雇员，必须拨号进入私有的Modem池。而十年前，多数单位用其基于互联网的访问代替拨号访问，它们使用的IPSec在VPN网关和客户端之间建立隧道。到2006年的时候，趋势又发生变化，SSL(安全套接字层)成为基于浏览器的“无客户端”远程访问的一种普遍选择。

　　如今，业界普遍认为基于SSLv3及TLSv1(传输层安全)的VPN是企业级安全的最佳实践。但在发展过程中，企业开始注重可访问性和透明性。具体而言，虽然TLS自身是一种IETF标准， VPN产品却以不同的方式使用TLS和DTLS，在端点的限制、风险与每个用户、应用程序的需要之间寻求平衡。

　　这种灵活性已变得日益重要，但这样同时使得产品的选择和部署变复杂了。例如，当代SSL VPN设备常常提供：

　　1、对有风险的端点，在访问特定的应用程序时，保障WEB入口访问的安全。

　　2、对多数端点而言，在访问常见的应用程序时，保障代理访问的安全。

　　3、对支持Java/ActiveX的端点而言，保障端口转发到应用程序的安全。

　　4、借助TLS或IPSec VPN客户端，保障网络通道的安全。

　　但这些功能如何工作，支持哪些应用程序，哪些端点可以使用，以及部署后带来的影响都千差万别。过去几年，SSL VPN的功能及其部署方式已经有了很大进步，例如，使用第三层的TLS或DTLS隧道来支持对延迟敏感的语音和多媒体应用。然而，我们仍需深入研究细节，看看某种特定设备是否满足企业需求。

　　IT的消费化及自带设备

　　SSL VPN可以减少远程访问支持的成本和复杂性。通过使用浏览器而不是客户端，SSL VPN可确保从大量端点远程访问时的安全性，包括非IT管理的家用和公用电脑。

　　如今，无需安装软件，就可以从任何授权的PC访问远程VPN。同样，从很多授权的智能电话或平板电脑也可以访问VPN。许多无法管理的或移动端点会受到限制，只能访问VPN入口或代理访问。

　　有些访问限制是由策略驱使的。为管理端点的风险，IT可以仅给予合伙人很小的访问权，只能访问很少的URL。当代的远程访问VPN可以提供这种精细的访问控制。

　　不过，许多限制来自于端点的操作系统或用户(缺乏)许可。TLS网络隧道倾向于要求安装VPN客户，如Win32/64和Mac OS，却鲜有iOS或Android等系统。通过TLS的端口转发通常涉及按需下载的Java或ActiveX,但ActiveX并非在哪里都可以运行，且端口转发会要求管理员权限。

　　而且，当今的远程访问VPN产品提供了许多可以减轻风险的特性，从预连接扫描到会话后的清理。任何考虑购买VPN来管理端点的企业都应当密切关注这些产品，看其是否满足企业需要，并评估对需要此产品的支持程度，尤其要重视策略检查。

　　正在消失的外围

　　随着移动性的增长，企业网络的外围被挤压、撕裂。在所有的端点都是远程端点时，在网络边缘部署VPN网关是很有益处的，这可以将授权的加密隧道与私有的子网或资源连接起来。但现在，端点也许将太多的时间用在这些领域：从连接局域网的网本到连接Wi-Fi的雇员智能电话的诸多方面，后面是不是应该有个结论。

　　这种情况如何影响到远程访问的VPN产品？对于初入此道的人来说，VPN已经被迫日益透明，从永远在线的VPN到“移动”的VPN。此外，异地的VPN已经开始融入本地的NAC，帮助企业将连续的安全访问交付给每一个用户/端点，而不管它在什么位置。

　　简言之，今天任何想购买远程访问VPN设备的人都应当思考更大的问题。即使在线的端点不是首先需要进行连接的，也应当在考虑移动性的前提下设计VPN架构，并且评估对策略和用户透明性的影响。最后，考虑监管需要：VPN设备控制着授权用户的访问，因而能够强化分段规则并报告其合规性。

　　评估标准

　　以此为基础，你可以确认自己对于远程访问VPN设备的需求。为应对员工们的移动性工作需要，不妨根据角色将员工分成小组。对每一个组，要全面列示其使用端点的设备种类，这些设备必须到达的应用程序类型，准许其访问的特定资源及特定条件等。

　　为将企业需求与个别产品的功能和特性匹配起来，首先应考虑VPN的功能。下面列举几个重要方面供参考：

　　认证：VPN的安全是基于认证的，最好的当然是相互认证。SSL VPN通常都支持多用户的认证方法，包括口令、智能卡、双因素令牌、证书等。许多IPSec VPN使用IKEv2来支持EAP协议所使用的任何方法。应当选择一个支持所需认证方法的设备，并与用户数据库相集成(如活动目录)。不太常见的特性包括无需重新验证的单点验证和漫游等。

　　加密和集成保护：安全隧道协议，如SSL、TLS、DTLS、IPSec等都对信息进行加密、集成、重播保护，有时还有来源认证等。IPSec封装安全协议(ESP)适用于第3层，可以保护整个IP包。其它协议可应用在第三层或第四层。应当选择一个可以满足企业的传输数据保护策略的设备，其中包括加密，认证和互操作性要求。

　　访问控制：早期的VPN设备建立隧道并将所有的通信从用户传送给网关，或仅传送目的地为私有子网的通信(即分割隧道)。SSL VPN增加了精细控制，包括对特定应用程序、URL或操作(例如，文件只读而不能写入等)的访问。此功能还在不变发生变革。单位不妨根据端点的风险、合规性或位置、基于组或角色的访问控制，选择可以支持透明适应每一个用户的策略。

　　端点安全控制：基于风险的多种访问类型都要求识别端点、评估其安全状态和合规性，或是上述组合。例如，如果试图从一台可管理的网本访问，检查器可以确认端点是否拥有操作系统补丁或反恶意软件。如果试图从一个智能电话访问，VPN仍可以查找IT所安装的“水印”。无论在操作系统的控制广度和深度上，这都是一个快速变化的领域。对于笔记本而言，不妨考虑数据仓库等先进功能。对移动设备而言，可关注指纹识别等服务器端技术。

　　入侵防御：连接前的检查很有帮助，却远远不够。为减少风险，VPN可以将很少的访问权授与有风险的端点，或运用应用全面的入侵防御来阻止恶意软件进入安全隧道。这是区分不同VPN产品的另一个要素。厂商们竞相集成安全特性，并提供更深入的功能，特别是进入80端口以强化每个应用程序的策略，并且阻止恶意活动。类似的功能有很多，从移动安全代理，到基于声誉的WEB防御，企业要注意过多的功能可能导致的价格和总成本问题。

　　可管理性：这是任何产品的一个重要特征，对远程访问的VPN而言这尤其重要。购买价格、维护费用、安装成本、策略变化、日常维护等都会影响到总成本，因而购买时需要注意。

　　高可用性和可扩展性：企业级远程访问VPN产品提供高可用性和可扩展性选项，如热同步的主动负载均衡网关。单位不但应当关注可用性和可扩展性，还应看一下许可协议。例如，那些部署远程访问VPN用于灾难恢复的单位可能需要“量入为出”的许可。

　　定制：远程访问VPN常常从定制中获益。这种定制的范围很广，从根据每用户/组的入口页来组织源链接，一直到为私有应用程序增加代理VPN转换。

　　以上只是当代杰出的远程访问VPN设备的许多重要功能的一个重要而非全面的清单。在选购设备时，企业应当根据自己的业务特点和需要，有重点地进行考查和评估，只有这样才能真正做到“有的放矢”。