许多IT经理和工程师在找寻最佳的VPN。老实说这很难选择，但是有办法可以缩小你的选择范围，找到既满足你期望的VPN防火墙，也能实现它许诺的全部功能的产品。

　　避免混合使用VPN防火墙解决方案

　　大多数VPN防火墙产品通常使用IPsec VPN协议，它由IETF规定的很多标准组成，因为许多产品之间都互相兼容，这意味着你可以购买不同厂商的产品，配置它们创建点到点的VPN。

　　除了支持大多数产品的VPN协议，厂商更推出新的增强现有VPN协议的功能，包括自动化VPN、防火墙负载均衡和动态VPN隧道。虽然这类功能很有用，但是为了更好的使用，它们通常要求整个企业的WAN使用相同的VPN防火墙厂商。有时候这些功能永久开启，如果另一端VPN隧道不支持它们就可能产生周期性故障。

　　混合使用VPN产品和VPN/防火墙技术通常不是很好的主意。如果你不一起测试不同的产品，就没办法知道是否你的VPN如厂商所说的那样稳定，也许一个小调整就会影响网络。

　　单一VPN防火墙厂商的问题更少

　　上述所说的有一个条件：它需要你为企业选择合适的VPN防火墙厂商。通常当你和单一的厂商打交道，你碰到的问题会很少，特别是如果你基础的VPN设计很复杂。和单一的厂商打交道，你能很好的理解系统的强项和弱项。一旦出现VPN问题，你可以更快地找到解决方案。

　　跨越多个厂商平台管理复杂的VPN架构是每个IT工程师的噩梦。因为要花更长的时间处理问题，工程师必须获得充分的信息来排除故障，得到正确的结论。每个厂商有自己排除故障的方法，而了解一个厂商的方法已经很困难了，更不用说2个甚至更多!

　　避免便宜的VPN产品

　　便宜的VPN防火墙产品总是很受欢迎，但是受欢迎不代表是最好的。你可以购买一款低于200美元的VPN防火墙路由器，它承诺实现和大型厂商VPN防火墙设备一样的功能，而它们的价格几乎相差10倍。这里有什么内幕吗?

　　大多数廉价产品来自一些OEM(贴牌生产)厂商，通常是在中国**或是台湾，都是些规模化生产的产品，实际就是重新贴上了不同名字的品牌。我可以很轻松的想到结合防火墙和扩展VPN支持的至少三款广受欢迎的路由器，它们都是完全相同的设备，只是重贴了下品牌。在这些廉价产品中发现的安全漏洞之多，被黑客入侵是之容易会让你感到吃惊。对于企业安全，这是不能接受的和容忍的。

　　传统的如Cisco ，Check Point，IBM，Symantec和其他厂商没有廉价的VPN/防火墙市场，他们有很好的理由。这些公司每年花费上百万美元在研发和支持上，来生产能经受严峻市场环境和互联网现实考验的产品。

　　想想企业的安全对你有多重要。值得做，就不要冒这个险。你完全可以在预算内从其中一家厂商找到理想的安全产品。

　　你的VPN防火墙合格吗?

　　在VPN/防火墙市场，所有大厂商都保证他们的产品完全合格，在考虑买哪个厂商的产品时，应该从这里开始。

　　VPN防火墙产品需要经过授权，确保符合不同验证，如常用的FIPS 140-2密码模块验证程序。厂商在独立实验室，比如国际计算机安全协会实验室决定他们的密码模块的安全等级。联邦信息处理标准程序真的可以开阔眼界，让你知道购买一款合格的VPN产品有多么重要。

(责任编辑：闫小琪)