SSL VPN即指采用SSL協(xié)議來實現(xiàn)遠程接入的一種新型VPN技術(shù)。它包括：服務(wù)器認證，客戶認證、SSL鏈路上的數(shù)據(jù)完整性和SSL鏈路上的數(shù)據(jù)保密性。

SSL VPN 概述

SSL VPN是一種遠程安全接入技術(shù)，因為采用SSL協(xié)議而得名。因為Web瀏覽器都內(nèi)嵌支持SSL協(xié)議，使得SSL VPN可以做到“無客戶端”部署，從而使得遠程安全接入的使用非常簡單，而且整個系統(tǒng)更加易于維護。
SSL VPN一般采用插件系統(tǒng)來支持各種TCP和UDP的非Web應(yīng)用，使得SSL VPN真正稱得上是一種VPN，并相對IPSec VPN更符合應(yīng)用安全的需求，成為遠程安全接入主要手段和選擇。

SSLVPN是解決遠程用戶訪問公司敏感數(shù)據(jù)最簡單最安全的解決技術(shù)。與復(fù)雜的IPSecVPN相比，SSL通過相對簡易的方法實現(xiàn)信息遠程連通。任何安裝瀏覽器的機器都可以使用SSLVPN，這是因為SSL內(nèi)嵌在瀏覽器中，它不需要像傳統(tǒng)IPSecVPN一樣必須為每一臺客戶機安裝客戶端軟件。

安全接入-端到端的安全防護

身份安全：增加身份認證方式，提高非黑客仿冒成本。

終端環(huán)境安全：增加終端環(huán)境安全檢測及管控提高黑客控制終端跳板成本。

傳輸安全：增加更安全的加密算法提高黑客破解數(shù)據(jù)成本。

應(yīng)用權(quán)限安全：增加細粒度權(quán)限管控機制提升黑客擴大攻擊范圍的成本。

審計回溯：訪問行為審計與追溯提升黑客潛伏攻擊成本。

IPSec VPN：優(yōu)勢

站到站的組網(wǎng)方式，可實現(xiàn)三級或多級組網(wǎng)

組網(wǎng)方式較為固定，適合機構(gòu)間組網(wǎng)

用戶透明訪問，無需登錄操作

SSL VPN ：優(yōu)勢

端到站的組網(wǎng)方式

基于瀏覽器的訪問，使用方便

權(quán)力控制粒度細

特點

SSL VPN是一種既簡單又安全的遠程隧道訪問技術(shù)，使用非常簡單。SSL VPN采用公匙加密的方式來保障數(shù)據(jù)在傳輸?shù)倪^程中的安全性，它采用瀏覽器和服務(wù)器直接溝通的方式，既方便了用戶的使用，又可以通過SSL協(xié)議來保證數(shù)據(jù)的安全。

SSL協(xié)議是采用SSL/TLS綜合加密的方式來保障數(shù)據(jù)安全的。SSL協(xié)議從其使用上來說可以分為兩層：第一層是SSL記錄協(xié)議，這種協(xié)議可以為數(shù)據(jù)的傳輸提供基本的數(shù)據(jù)壓縮、加密等功能；第二層是SSL握手協(xié)議，主要用于檢測用戶的賬號密碼是否正確，進行身份驗證登錄。

與IPSec VPN相比，SSL VPN具有架構(gòu)簡單、運營成本低、處理速度快、安全性能高的特點，所以在企業(yè)用戶中得到大規(guī)模的使用。但是SSL協(xié)議是基于WEB開發(fā)的，通過瀏覽器來使用，由于近年來電腦病毒的多樣性，要想保障SSL VPN的安全運營，就需要在SSLVPN的安全技術(shù)上有所更新。

終端使用體驗

支持應(yīng)用跨平臺訪問

多種加速機制

輕量級客戶端

兼容各種操作系統(tǒng)

兼容所有瀏覽器

兼容各種移動終端

身份認證

6種固定的認證方式（主認證）：

本地用戶名/密碼

LDAP服務(wù)器

Radius服務(wù)器

CA認證

AD域單點登錄

HTTP（S）第三方介入對接

多種動態(tài)的認證方式（輔認證）

硬件特征碼

動態(tài)令牌

短信認證

組網(wǎng)模式

SSL VPN網(wǎng)關(guān)接入網(wǎng)絡(luò)有很多不同的類型，從而也導(dǎo)致SSL VPN組網(wǎng)模式有所區(qū)別，常見的模式有單臂、網(wǎng)關(guān)兩種模式。

1）單臂模式
所謂單臂模式是指將SSL VPN網(wǎng)關(guān)作為于一臺代理服務(wù)器使用；當(dāng)內(nèi)部服務(wù)器與該遠程代理服務(wù)器進行通信時，SSL VPN網(wǎng)關(guān)不處在網(wǎng)絡(luò)通訊的關(guān)鍵路徑上。也就是說，單臂模式類似環(huán)形網(wǎng)絡(luò)拓撲結(jié)構(gòu)，當(dāng)一邊環(huán)路不通時，可以選擇其他的路徑方式實現(xiàn)通信。因此，單臂模式的優(yōu)點是當(dāng)該網(wǎng)絡(luò)上某點出現(xiàn)故障時，不會影響整個網(wǎng)絡(luò)的通信；其不足在于對于網(wǎng)絡(luò)信息資源不能夠?qū)崿F(xiàn)全面的保護。

2）網(wǎng)關(guān)模式
所謂網(wǎng)關(guān)模式是指將SSL VPN網(wǎng)關(guān)架接在外網(wǎng)與內(nèi)網(wǎng)之間，即實現(xiàn)了網(wǎng)橋的功能。同時，該網(wǎng)橋也充當(dāng)必要的防火墻的作用，從而實現(xiàn)對全網(wǎng)絡(luò)的保護。這種結(jié)構(gòu)具有很好的安全性，但也有比較明顯的不足，即會降低內(nèi)外網(wǎng)絡(luò)之間數(shù)據(jù)傳輸?shù)姆€(wěn)定性。

審核編輯黃宇