SSL虚拟专用网络

SSL VPN即指采用SSL协议来实现远程接入的一种新型VPN技术。它包括：服务器认证，客户认证、SSL链路上的数据完整性和SSL链路上的数据保密性。

SSL VPN 概述

SSL VPN是一种远程安全接入技术，因为采用SSL协议而得名。因为Web浏览器都内嵌支持SSL协议，使得SSL VPN可以做到“无客户端”部署，从而使得远程安全接入的使用非常简单，而且整个系统更加易于维护。
SSL VPN一般采用插件系统来支持各种TCP和UDP的非Web应用，使得SSL VPN真正称得上是一种VPN，并相对IPSec VPN更符合应用安全的需求，成为远程安全接入主要手段和选择。

SSLVPN是解决远程用户访问公司敏感数据最简单最安全的解决技术。与复杂的IPSecVPN相比，SSL通过相对简易的方法实现信息远程连通。任何安装浏览器的机器都可以使用SSLVPN，这是因为SSL内嵌在浏览器中，它不需要像传统IPSecVPN一样必须为每一台客户机安装客户端软件。

安全接入-端到端的安全防护

身份安全：增加身份认证方式，提高非黑客仿冒成本。

终端环境安全：增加终端环境安全检测及管控提高黑客控制终端跳板成本。

传输安全：增加更安全的加密算法提高黑客破解数据成本。

应用权限安全：增加细粒度权限管控机制提升黑客扩大攻击范围的成本。

审计回溯：访问行为审计与追溯提升黑客潜伏攻击成本。

IPSec VPN：优势

站到站的组网方式，可实现三级或多级组网

组网方式较为固定，适合机构间组网

用户透明访问，无需登录操作

SSL VPN ：优势

端到站的组网方式

基于浏览器的访问，使用方便

权力控制粒度细

特点

SSL VPN是一种既简单又安全的远程隧道访问技术，使用非常简单。SSL VPN采用公匙加密的方式来保障数据在传输的过程中的安全性，它采用浏览器和服务器直接沟通的方式，既方便了用户的使用，又可以通过SSL协议来保证数据的安全。

SSL协议是采用SSL/TLS综合加密的方式来保障数据安全的。SSL协议从其使用上来说可以分为两层：第一层是SSL记录协议，这种协议可以为数据的传输提供基本的数据压缩、加密等功能；第二层是SSL握手协议，主要用于检测用户的账号密码是否正确，进行身份验证登录。

与IPSec VPN相比，SSL VPN具有架构简单、运营成本低、处理速度快、安全性能高的特点，所以在企业用户中得到大规模的使用。但是SSL协议是基于WEB开发的，通过浏览器来使用，由于近年来电脑病毒的多样性，要想保障SSL VPN的安全运营，就需要在SSLVPN的安全技术上有所更新。

终端使用体验

支持应用跨平台访问

多种加速机制

轻量级客户端

兼容各种操作系统

兼容所有浏览器

兼容各种移动终端

身份认证

6种固定的认证方式（主认证）：

本地用户名/密码

LDAP服务器

Radius服务器

CA认证

AD域单点登录

HTTP（S）第三方介入对接

多种动态的认证方式（辅认证）

硬件特征码

动态令牌

短信认证

组网模式

SSL VPN网关接入网络有很多不同的类型，从而也导致SSL VPN组网模式有所区别，常见的模式有单臂、网关两种模式。

1）单臂模式
所谓单臂模式是指将SSL VPN网关作为于一台代理服务器使用；当内部服务器与该远程代理服务器进行通信时，SSL VPN网关不处在网络通讯的关键路径上。也就是说，单臂模式类似环形网络拓扑结构，当一边环路不通时，可以选择其他的路径方式实现通信。因此，单臂模式的优点是当该网络上某点出现故障时，不会影响整个网络的通信；其不足在于对于网络信息资源不能够实现全面的保护。

2）网关模式
所谓网关模式是指将SSL VPN网关架接在外网与内网之间，即实现了网桥的功能。同时，该网桥也充当必要的防火墙的作用，从而实现对全网络的保护。这种结构具有很好的安全性，但也有比较明显的不足，即会降低内外网络之间数据传输的稳定性。

审核编辑 黄宇