除了传统的VPN外，还有其它方式可以实现远程访问网络和应用。本文阐述了在权衡访问和安全性要求所需的开销及其复杂性之后，我们会发现一些非传统VPN远程连接方式选择。

那么允许远程接入者登录网络的最佳方式有哪些呢？

最让管理人员感到放心的方法就是固定的Virtual Private Network (VPN)。VPN使用端对端的加密方式在公共网络上创建私有通道。

最安全的VPN就是远程接入者从固定位置接入传统方式，理想情况下这是使用受管理的、企业的设备，并且接入的另一方是一个安全的私有网络。设置这样的方案比较复杂；我们必须在接入的两端正确设置和维护硬件、软件和配置以及认证，虽然用户需要修改软件、固件和硬件，但是相对于安全性来说，做这些都是值得的。

下面让我们来逐一探讨一些协议。这其中包括三或四种协议。而只有一种协议是较为安全的、值得我们重视的：IPSec，特别是在与L2TP一起使用时。IPSec是标准；它是在数据包上进行加密的。PPTP的加密钥比较弱，密码哈希也比较弱，同时它并不对控制流量进行认证。L2TP流量会被网络嗅探器所读取，但是经过IPSec加密后，L2TP就无法被读取了，而且它还可为多种协议提供IPSec认证访问。因此，我们只需确保所购买的设备支持组合使用IPSec和L2TP标准就可以了。

SSL

或许有些雇员是漫游的，并没有固定的访问点，他们也希望能从不同的位置进行访问。服务员就是一个典型的例子，因为他们可能需要从酒店的一个房间或客户身边连接到网络上来。

事实上，根据他们对于网络要求的可信度，事情可能会更简单的。最近几年来，诸如Aventail和Juniper的Secure Sockets Layer (SSL) VPN设备已经广泛应用，并且它们只要求接入者有激活SSL的浏览器就行：不需要安装软件，也不需要配置硬件。只要远程用户有SSL浏览器或公用电话亭都可以从任何地方登陆到VPN上。

管理人员会预先管理访问权限和认证方式，同时在基于用户身份以及他所呼叫的“邻居”的安全性等等来设置不同的规则。如果他从机场的电话亭打电话到办公室，那么用户将无法看到那些只有从家里被认可的设备上接入可以获得的医疗记录——除非管理人员没有设置正确。你并不想让医生在机场看你的记录，因为他可能会忘记注销。“嘿，看看这个人。”“情况是这样的吗？”就这样，大家都能看到你的医疗记录了。

这里就是SSL VPN所关注的第一个安全问题。SSL VPN所关注的另外一个问题就是最近才发现的，本地桌面电脑搜索引擎会缓存和索引 SSL VPN会话，即使VPN本身有清理缓存的工具。有些SSL VPN供应商工具可以用来处理这种新的威胁。

微软终端服务

微软终端服务可以让用户从远程位置以瘦客户端方式进行操作应用。终端服务，是Windows' NT Server 4.0 Terminal Services Edition，Windows 2000和 .NET Server的一部分，这是一种很多有ID标识的商店和有认证令牌系统的远程工作者很早就使用的方式。每隔30秒钟，他们会获取一个新的口令并且可以在他们需要登录时将它输入。（当然，这只是验证方法中的一种。）

Citrix Systems, Inc.的“Term Server”与它上一代产品Citrix WinFrame一样，在开始发布后吸引了很多想让雇员远程访问应用的商店，而且至今仍然是这样。加上Citrix' Secure ICA Services 128字节、端到端加密，（不包括）Term Server流量变得更加安全了。我们必须考虑在安全登陆之后会是怎么样的。

远程控制

或许配置最简单廉价的远程工作者访问解决方案是远程控制软件，如Symantec's PC Anywhere。这些软件包允许远程用户实际地控制办公室电脑。VNC是一个可以运行在Windows、Mac、Linux和其它平台上的开源工具；虽然它可能会有更多的问题并且需要额外的技术，但是它是免费的。

有些远程控制软件，如Netopia's Timbuktu Version 7，是使用非标准加密方式在互联网上发送屏幕截图。目前，Timbuktu使用私有方法来打乱字节以及屏幕各部分。专家建议不使用私有的加密方式，因为即使是著名的方法，一旦使用私有密码进行监视，也常常不能符合要求，并且我们还往往成为Gramma所说的“冤大头”。（ Netopia宣称他们打算在Timbuktu的下一个版本中使用一个目前仍未宣布发布的标准加密形式。）

同时，Altiris Inc.的Carbon Copy在验证过程中只使用128字节MD5加密，并且在2004年开始发现的MD5冲突弱点在Carbon Copy中不会造成问题。然而，Carbon Copy的数据流的每个发送数据包都是由64字节私有加密钥所保护的。用户可以为数据流的验证定义任意密钥——如果它们提供密钥的话。

Symantec Corporation刚刚发布了拥有可同时用于加密验证和数据流的AES加密方式（达到256字节密码长度）的PC Anywhere 11.5。同时，新版本的PC Anywhere还提供主机地址阻挡功能，13种不同的验证方法（包括RSA SecurID验证），指定允许连接的TCP/IP地址和子网的功能，以及在TCP/IP浏览列表中隐藏PC Anywhere主机的选项。

在购买设置之前，我们必须检查安全规范，因为它会发生改变的。可以在BugTraq上查看产品的安全报告（按照定单日期）。

同时，要保证我们可以在办公室锁定屏幕，这样远程工作者在家里的操作不会被旁人看到。