選用 VPN 方案時基于用戶端的解決方案應注意哪幾個問題

選用VPN方案時基于用戶端的解決方案應注意以下幾個問題：

• 集中化策略管理：這是構建大規模VPN解決方案的關鍵。通過全面分布VPN配置和安全策略實現集中控制，策略管理簡化了VPN開通和管理工作。供應商網絡成為一個一體化系統，而不是不同產品拼湊在一起的集合，它能夠為網絡上任何地方的任何服務集中提供支持。

• 強大的安全和認證：VPN解決方案與防火墻一樣關鍵。服務平臺應能夠緊密地與其他企業防火墻和入侵檢測系統實現同步管理。平臺中應包括一個緊密集成的經過ICSA認證的防火墻。為了實現用戶認證功能，平臺應支持Secure ID令牌或X.509數字證書。應避免采用通用操作系統作為VPN設備的基礎，因為這些操作系統可能存在安全漏洞。

• 全面集成：由于VPN是保證商業合作伙伴和企業客戶安全通信的網絡，因此產品線中必須全面集成和管理一套互補的技術和設備。VPN可以使用專用VPN路由器構建，也可以把VPN網關附加連接在現有的路由器上。下一代VPN路由器將是專用的，提供緊密集成的IP路由、安全、防火墻和帶寬管理功能。VPN網關通常是一種低成本設備，它將在過去安裝的IP網絡之上，疊加提供隧道加密和防火墻服務等功能。

• 符合標準：安全VPN采用的標準是網際安全協議（IPSec），這是一項Internet工程任務小組（IETF）標準，并不是所有供應商都部署了帶有128位IPSec加密技術的管理型VPN服務。

• 多個認證中心（CA）支持：企業不應局限于專有的認證中心（CA）或認證注冊協議，通過支持多個CA，如Entrust和VeriSign，網絡管理員可以選擇最優秀的公共密鑰基礎設施（PKI）技術。

• 硬件加速加密：執行加密和解密要求具備密集型處理能力，特別是在執行自動密鑰交換時。對T-3之類的高速應用，服務平臺應具有硬件加速加密功能。低速應用可以運行基于軟件的加密功能。

• 擴充能力：大多數企業面臨著不斷變化的網絡需求，包括更快速的連接和越來越多的連接位置。實現VPN解決方案后，不必更換所有硬件和軟件。VPN體系結構至少應支持數十臺VPN網關和數千個VPN客戶端。

回答所涉及的環境：聯想天逸510S、Windows 10。