对VPN应采取怎样的防火墙控制措施？

　　我们计划在企业中实施虚拟专用网络(VPN)。VPN上该使用什么防火墙控制措施?

　　VPN通信上使用的控制等级至少需要和对企业网络中类似用户流量控制的等级一样强壮。如果企业员工广泛使用VPN，终止在网络区域中负责员工工作站解析的VPN是理所当然的。这个配置允许您很容易地将控制办公室员工的那种防火墙应用到对流动员工的控制上。

　　另一方面，如果VPN开放给第三方，比如供应商或者商业合作伙伴，您或许希望考虑将这些用户放到一个受限制的区域，可以限制他们对具体资源的网络访问，让他们只能访问满足商业需求的区域。这可以通过终止防火墙区域的VPN连接的功能来实现，明确控制从VPN进入公司网络的流量类别。

　　我见过很多企业为不同的用户建立两到三个不同VPN的解决方法。这可以仅仅由一个基于角色访问的VPN应用程序来实现。例如，你可以在VPN上建立如下的归类：

　　企业员工

　　系统管理员

　　供应商

　　站点对站点的VPN用户

　　您可以根据不同商业需求给各类角色分配不同的网络权限。例如，您可以授权系统管理员通过SSH协议与服务器建立管理级别的连接，而对供应商和普通员工则拒绝此访问。