Tất cả các SSL VPN cho phép chức năng bảo mật, nhưng các chức năng bảo mật là khác nhau đối với các sản phẩm khác nhau. Việc đưa ra kết hoạch phù hợp để tính toán xem sản phẩm sử dụng có phù hợp với chính sách bảo mật của công ty hay không là rất quan trọng. Công nghệ SSL VPN và bảo mật của nó đã được mô tả ở phần trên của đồ án, dưới đây là các câu hỏi mà công ty phải trả lời được trước khi chọn sản phẩm SSL VPN:
• Kết nối và khả năng kết nối: Có phải SSL VPN bắt buộc bạn phải thực hiện một kết nối mạng từ bất kỳ máy tính không phải của công ty tới mạng nội bộ? Nó dựa vào các kết nối mạng để thực hiện bất kỳ các công việc quan trọng? Nếu công ty chặn các kết nối mạng thì các ứng dụng có thể hoạt động từ xa? Còn chuyển tiếp cổng thì như thế nào - ứng dụng nào sẽ hoạt động nếu chuyển tiếp cổng bị tắt?
• Tích hợp với IDS: Có phải SSL VPN tích hợp tốt với IDS (Hệ thống phát hiện xâm nhập)? Nó có hỗ trợ IDS dựa trên host trên máy chủ SSL VPN?
• Tường lửa: SSL VPN cho phép chặn các giao thức trong phạm vi tường lửa để đường hầm vào trong công ty. Nếu có, ở đâu sẽ bị chặn? Sẽ cần một tường lửa để cài đặt trên thiết bị SSL VPN?
• Tường lửa ứng dụng: SSL VPN cung cấp tường lửa ứng dụng, mà nó có thể chặn tất cả các yêu cầu không được xem là an toàn? Hoặc chỉ đơn giản kiểm tra định dạng HTML phù hợp (trong trường hợp các sâu và hacker có thể xâm nhập vào mạng công ty và tấn công hệ thống nội bộ)?
• Timeout và tắt phiên làm việc: SSL VPN cho phép thời gian timeout khi người dùng quên tắt phiên làm việc? Người dùng có được cảnh báo khi tắt phiên làm việc?
• Đệm hóa dữ liệu: SSL VPN đệm hóa dữ liệu từ thiết bị truy cập trong một môi trường bảo mật hoặc đơn giản là xóa nó (trong trường hợp tránh các nhóm không nhận thực có thể khôi phục nó) Nó xóa thông tin được lưu trữ trong các vùng không chuẩn? Nếu vùng bộ nhớ ảo được sử dụng thì tất cả các ứng dụng từ xa cần phải sử dụng bộ nhớ ảo này?
• Kiểm tra và chứng thực: SSL VPN đã được chứng thực bởi tổ chức kiểm tra bảo mật độc lập? Họ đã kiểm tra bảo mật thiết bị SSL VPN (bao gồm các vấn đề bên máy trạm) hoặc đơn giản là khả năng phục hồi của thiết bị khi bị một loại tấn công cụ thể nào đó? Sản phẩm đã được kiểm tra với một môi trường tương tự công ty bạn?