任何体面的VPN都将确保加密，但当然必须在每台机器上进行配置。IPsec是一种 VPN 技术，它的优点是内置在 IP 级别并已在您的操作系统中实施（如果不是，那么您应该知道是时候升级这些 Windows 98 机器了）。

但请注意以下要点：

• 任何攻击者都可以破坏其中一台机器将能够窥探该机器接收并能够解密的每个数据包。
• 即使您将 IPsec 配置为每两台机器协商一个加密密钥，该密钥在这两台机器之间（而不是其他机器）之间共享，这样被破坏的机器可能只能看到这些发往它的数据包，这种被破坏的机器可能会发生这种情况。机器，通过发送恶意制作的数据包，可以将流量重定向到它（例如通过毒化 DNS）。

这是所有这些加密设置的一个限制：它们非常擅长在本地网络机器和外部世界之间建立强大的隔离。然而，它们通常对本地攻击者无能为力，即可以控制一台“允许”机器的攻击者（与只是插入空闲交换机端口或加入 WiFi 路由器的攻击者相反）。

不幸的是，机器颠覆是一种相当普遍的现象。它通常会通过电子邮件病毒、来自 Web 的恶意软件，甚至是恶意的 USB 密钥……（如果用户在他的邮箱中发现了一个 USB 密钥，他会怎么做？嗯，95% 的用户会将它插入他们的机器中，看看上面有什么）。

另一个重要的一点是，如果你成功地阻止了数据包嗅探，那么，数据包嗅探就不再可能了。特别是通过寻找恶意软件和病毒的系统管理员工具进行的数据包嗅探。加密是一种多刃武器。

查看 tcpcrypt http://tcpcrypt.org/但请注意，不会为 UDP 做任何事情。另一种机制是所有连接之间的 VPN 端点，这将是一场管理噩梦

IPSEC 或加密 VPN 可以做到这一点，但如果您想要这样的实现，它会导致复杂且昂贵的设置。不过也不是不可能。

很多守护进程都是 ssl/tls - 感知（网络服务器、邮件、dbs，如 pg 或 mysql），所有你可以使用stunnel - 来加密这个服务（但你需要一个 ssl/tls -a 感知客户端或使用 stunnel在每个客户端的客户端模式下）

如果您有超过 3 个客户端，您应该使用像 puppet 这样的集中式配置管理工具，否则它将成为配置的噩梦

我认为使用 stunnel比使用 vpn 访问每个服务器/服务要容易一些，因为您必须使用 IPSEC 和通过客户端证书进行识别，并且需要为每个 vpn 端点上的每个客户端生成和管理证书。