(完整)SSL VPN解决方案技术介绍

SSL VPN的出现是为了解决IPSec VPN的固有缺点而出现的，SSL VPN继承了IPSec VPN的远程使用与内网使用体验一致、与应用无关的优点，避免了因有客户端而导致的使用维护不便、某些网络条件下无法接通、带来大量病毒和蠕虫的入侵、无法与企业现有认证服务器结合、无法审计等问题,从功能上有网络访问、网上应用程序、Windows文件共享、移动电子邮件、应用程序访问、传统主机、终端服务器等众多功能，可以提供C/S应用和B/S应用访问，并非只能解决web应用.这其中最为重要的是网络访问功能,SSL VPN的网络访问功能避免了IPSec VPN的缺点而又继承了IPSec VPN的优点。

2、SSL VPN安全的协议以及特点功能

●安全的协议

1、由于SSL VPN 采用了SSL（Security socket layer）协议，该协议是介于介于HTTP层及TCP层的安全协议。

2、通过SSL VPN是接入企业内部的应用，而不是企业的整个网络.如果是IPSEC的VPN网络，客户通过VPN是联入的整个企业网络.没有控制的联入整个企业的网络是非常危险的。

3、由于采用SSL 安全协议在网络中传输，所以GATEWAY上的防火墙来讲，只需要打开有限的安全端口即可，不需要将所有对应应用的端口开放给公网用户，这样大大降低了整个网络被公网来的攻击的可能性.

4、数据加密的安全性有加密算法来保证,这个各家公司的算法可能都不一样，有标准的算法比如DES，3DES，RSA等等也有自己的加密算法.黑客想要窃听网络中的数据,就要能够解开这些加密算法后的数据包。

5、Session保护功能：现在所有的SSL VPN 基本上都能够做到这个功能，就是在会话停止一段时间以后自动停止会话，如果需要继续访问则要从新登陆，通过对Session的保护来起到数据被窃听后伪装访问的攻击;

●SSL VPN的特点

SSL VPN的客户端程序，如Microsoft Internet Explorer、Netscape Communicator、Mozilla等已经预装在了终端设备中,因此不需要再次安装；

SSL VPN可在NAT代理装置上以透明模式工作;

SSL VPN不会受到安装在客户端与服务器之间的防火墙等NAT设备的影响，穿透能力强；

SSL VPN将远程安全接入延伸到IPSec VPN扩展不到的地方，使更多的员工，在更多的地方，使用更多的设备,安全访问到更多的企业网络资源，同时降低了部署和支持费用; 客户端安全检查和授权访问等操作，实现起来更加方便。

SSL VPN可以在任何地点，利用任何设备，连接到相应的网络资源上。IPSec VPN通常不能支持复杂的网络,这是因为它们需要克服穿透防火墙、IP地址冲突等困难。所以IPSec VPN实际上只适用于易于管理的或者位置固定的地方。可以说从功能上讲，SSL VPN是企业远程安全接入的最佳选择。

●SSL VPN的优点

1、方便。实施SSL VPN只需要安装配置好中心网关即可。其余的客户端是免安装的,因此，实施工期很短，如果网络条件具备，连安装带调试,1-2天即可投入运营。

2、容易维护。SSL VPN 维护起来简单，出现问题，就维护网关就可以了。实在不行，换一台，如果有双机备份的话，备份机器启动就可以了。

3、安全。SSL VPN 是一个安全协议,数据全程加密传输的.另外，由于SSL网关隔离了内部服务器和客户端,只留下一个web浏览接口，客户端的大多数病毒木马感染不到内部服务器.而IPSec VPN就不一样,实现的是ip级别的访问，远程网络和本地网络几乎没有区别。局域网能够传播的病毒，通过VPN一样能够传播。

●产品起到的安全功能

1、 首先由于SSL VPN一般在GATEWAY上或者在防火墙后面，把企业内部需要被授权外部访问的内部应用注册到SSL VPN上,这样对于GATEWAY来讲，这需要开通443 这样的端口到SSL VPN即可,而不需要开通所有内部的应用的端口，如果有黑客发起攻击也只能到SSL VPN这里,攻击不到内部的实际应用。

2、 不改变防病毒策略：从另外一个角度来讲，如果您采用了IPSEC VPN的产品，当客户端有一台电脑通过VPN联入网络后，该网络的防病毒的策略将被彻底破坏，应为联入内部网络的电脑并不受原来公司的防病毒策略的保护，而SSL VPN 就没有这个问题，SSL VPN需要访问的数据是事先被允许的；

3、不改变防火墙策略：基本原理同防病毒.还是从IPSEC的角度来讲，如果当客户端有一台电脑通过VPN联入网络后，如果该电脑被黑客攻击安装了木马，这个电脑将成为攻击内部网络的跳板，而SSL VPN就没有这个问题。

3、企业SSL VPN 

随着SSL VPN应用的逐渐加温,越来越多的企业开始采纳SSL VPN的网络架构，来解决企业的远程访问需求。SSL VPN技术帮助用户通过标准的Web浏览器就可以访问重要的企业应用。这使得企业员工出差时不必再携带自己的笔记本电脑，仅仅通过一台接入了Internet的计算机就能访问企业资源，这为企业提高了效率也带来了方便.由于SSL VPN不像IPSec VPN那样要购买和维护远程客户端或软件,因而要比后者造价低很多。现在许多企业对于SSL VPN的需求非常强烈,而且未来这种企业网络安全需要还将持续增长。许多国际网络安全厂商正在对SSL VPN这种新型业务形态进行重点投资，取代目前的IPSec系列产品将成为一种趋势.

SSL VPN网关位于企业网的边缘，介于企业服务器与远程用户之间,控制二者的通信。SSL VPN采用标准的安全套接层（SSL）对传输中的数据包进行加密，从而在应用层保护了数据的安全性.在不断扩展的互联网Web站点之间、无线热点和客户端间、远程办公室、酒店、传统交易大厅等场所，SSL VPN克服了IPSec VPN的不足，用户可以轻松实现安全易用、无需客户端安装且配置简单的远程访问,从而降低用户的总成本并增加远程用户的工作效率。而同样在这些地方，设置传统的IPSec VPN非常困难，甚至是不可能的，这是由于必须更改网络地址转换（NAT）和防火墙设置.