混合的安全套接子层/IP安全

　　对于VPN客户端，安全套接子层(SSL)和IP安全的争论已经持续了相当长一段时间。在不同的情况下，争论焦点不同。但其实他们彼此之间并没有突显的优势。在不涉及用户接入的情况下，企业方案应该支持SSL和IPSec——二者都在特定情况下使用。有必要从移动性，生产性和策略要求等方面来考虑用户的网络接入，而不是通过技术手段限制这些特性。

　　在特定情况下，IPSec更适合，尤其是对于那些希望从办公室实现一对一操作的员工或是永久性员工而言。SSL 则更适合外部用户，如客户和偶尔才接入网络的供应商。传统IPSec因其既定的策略而增加了操作难度，如防火墙设置等。不过，当免客户端和SSL只授权给电子邮件等简单任务时除外。

　　公司要通过这一混合式模型重新思考自己的网络，还要同时支持IPSec和SSL。综合了SSL和IPsec VPN隧道的混合技术可以在远程访问环境中带给员工安全的外部链接——不论有没有VPN客户端软件。员工可以完全融合到中心管理的IPSec VPN中，或是免客户端的公司互联网连接中。

　　网络访问控制

　　传统技术，如防火墙或侵入探查，都不足以控制网络威胁。尤其当员工趋向于采用移动办公的情况下。网络访问控制的特性通过验证每个设备并通过公司安全策略检查一致性来监视并调整着对公司的每次远程访问。

　　安全指导方针和参数是依据公司的远程访问策略制定的。如何未知的或有疑问的设备(如反病毒软件过期的设备或未经认可的PDA)被认为要排除在网络外，设备就会被隔离。

　　尤其对那些有限制作用和服从规则的企业来说这是一个重要的缓冲。在没有NAC的情况下，设备不被系统投诉的员工可以访问网络然后被感染。随着远程访问用户的数量不断增加，这一问题可能引发更严重的问题。NAC功能能确保远程访问用户符合公司的安全策略。

　　例如，他们能确保操作系统被接纳，确保安装必需的补丁，确保安装好最新的反病毒引擎以及确保获取最新的签名授权等。在没有NAC的情况下，设备可能破坏整个网络，增加公司的资金和时间投入。因此重新考虑远程访问策略时要权衡这些功能。