SSL虛擬專用網(wǎng)絡(luò)

SSL VPN即指采用SSL協(xié)議來(lái)實(shí)現(xiàn)遠(yuǎn)程接入的一種新型VPN技術(shù)。它包括：服務(wù)器認(rèn)證，客戶認(rèn)證、SSL鏈路上的數(shù)據(jù)完整性和SSL鏈路上的數(shù)據(jù)保密性。

SSL VPN 概述

SSL VPN是一種遠(yuǎn)程安全接入技術(shù)，因?yàn)椴捎肧SL協(xié)議而得名。因?yàn)閃eb瀏覽器都內(nèi)嵌支持SSL協(xié)議，使得SSL VPN可以做到“無(wú)客戶端”部署，從而使得遠(yuǎn)程安全接入的使用非常簡(jiǎn)單，而且整個(gè)系統(tǒng)更加易于維護(hù)。
SSL VPN一般采用插件系統(tǒng)來(lái)支持各種TCP和UDP的非Web應(yīng)用，使得SSL VPN真正稱得上是一種VPN，并相對(duì)IPSec VPN更符合應(yīng)用安全的需求，成為遠(yuǎn)程安全接入主要手段和選擇。

SSLVPN是解決遠(yuǎn)程用戶訪問(wèn)公司敏感數(shù)據(jù)最簡(jiǎn)單最安全的解決技術(shù)。與復(fù)雜的IPSecVPN相比，SSL通過(guò)相對(duì)簡(jiǎn)易的方法實(shí)現(xiàn)信息遠(yuǎn)程連通。任何安裝瀏覽器的機(jī)器都可以使用SSLVPN，這是因?yàn)镾SL內(nèi)嵌在瀏覽器中，它不需要像傳統(tǒng)IPSecVPN一樣必須為每一臺(tái)客戶機(jī)安裝客戶端軟件。

安全接入-端到端的安全防護(hù)

身份安全：增加身份認(rèn)證方式，提高非黑客仿冒成本。

終端環(huán)境安全：增加終端環(huán)境安全檢測(cè)及管控提高黑客控制終端跳板成本。

傳輸安全：增加更安全的加密算法提高黑客破解數(shù)據(jù)成本。

應(yīng)用權(quán)限安全：增加細(xì)粒度權(quán)限管控機(jī)制提升黑客擴(kuò)大攻擊范圍的成本。

審計(jì)回溯：訪問(wèn)行為審計(jì)與追溯提升黑客潛伏攻擊成本。

IPSec VPN：優(yōu)勢(shì)

站到站的組網(wǎng)方式，可實(shí)現(xiàn)三級(jí)或多級(jí)組網(wǎng)

組網(wǎng)方式較為固定，適合機(jī)構(gòu)間組網(wǎng)

用戶透明訪問(wèn)，無(wú)需登錄操作

SSL VPN ：優(yōu)勢(shì)

端到站的組網(wǎng)方式

基于瀏覽器的訪問(wèn)，使用方便

權(quán)力控制粒度細(xì)

特點(diǎn)

SSL VPN是一種既簡(jiǎn)單又安全的遠(yuǎn)程隧道訪問(wèn)技術(shù)，使用非常簡(jiǎn)單。SSL VPN采用公匙加密的方式來(lái)保障數(shù)據(jù)在傳輸?shù)倪^(guò)程中的安全性，它采用瀏覽器和服務(wù)器直接溝通的方式，既方便了用戶的使用，又可以通過(guò)SSL協(xié)議來(lái)保證數(shù)據(jù)的安全。

SSL協(xié)議是采用SSL/TLS綜合加密的方式來(lái)保障數(shù)據(jù)安全的。SSL協(xié)議從其使用上來(lái)說(shuō)可以分為兩層：第一層是SSL記錄協(xié)議，這種協(xié)議可以為數(shù)據(jù)的傳輸提供基本的數(shù)據(jù)壓縮、加密等功能；第二層是SSL握手協(xié)議，主要用于檢測(cè)用戶的賬號(hào)密碼是否正確，進(jìn)行身份驗(yàn)證登錄。

與IPSec VPN相比，SSL VPN具有架構(gòu)簡(jiǎn)單、運(yùn)營(yíng)成本低、處理速度快、安全性能高的特點(diǎn)，所以在企業(yè)用戶中得到大規(guī)模的使用。但是SSL協(xié)議是基于WEB開(kāi)發(fā)的，通過(guò)瀏覽器來(lái)使用，由于近年來(lái)電腦病毒的多樣性，要想保障SSL VPN的安全運(yùn)營(yíng)，就需要在SSLVPN的安全技術(shù)上有所更新。

終端使用體驗(yàn)

支持應(yīng)用跨平臺(tái)訪問(wèn)

多種加速機(jī)制

輕量級(jí)客戶端

兼容各種操作系統(tǒng)

兼容所有瀏覽器

兼容各種移動(dòng)終端

身份認(rèn)證

6種固定的認(rèn)證方式（主認(rèn)證）：

本地用戶名/密碼

LDAP服務(wù)器

Radius服務(wù)器

CA認(rèn)證

AD域單點(diǎn)登錄

HTTP（S）第三方介入對(duì)接

多種動(dòng)態(tài)的認(rèn)證方式（輔認(rèn)證）

硬件特征碼

動(dòng)態(tài)令牌

短信認(rèn)證

組網(wǎng)模式

SSL VPN網(wǎng)關(guān)接入網(wǎng)絡(luò)有很多不同的類型，從而也導(dǎo)致SSL VPN組網(wǎng)模式有所區(qū)別，常見(jiàn)的模式有單臂、網(wǎng)關(guān)兩種模式。

1）單臂模式
所謂單臂模式是指將SSL VPN網(wǎng)關(guān)作為于一臺(tái)代理服務(wù)器使用；當(dāng)內(nèi)部服務(wù)器與該遠(yuǎn)程代理服務(wù)器進(jìn)行通信時(shí)，SSL VPN網(wǎng)關(guān)不處在網(wǎng)絡(luò)通訊的關(guān)鍵路徑上。也就是說(shuō)，單臂模式類似環(huán)形網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，當(dāng)一邊環(huán)路不通時(shí)，可以選擇其他的路徑方式實(shí)現(xiàn)通信。因此，單臂模式的優(yōu)點(diǎn)是當(dāng)該網(wǎng)絡(luò)上某點(diǎn)出現(xiàn)故障時(shí)，不會(huì)影響整個(gè)網(wǎng)絡(luò)的通信；其不足在于對(duì)于網(wǎng)絡(luò)信息資源不能夠?qū)崿F(xiàn)全面的保護(hù)。

2）網(wǎng)關(guān)模式
所謂網(wǎng)關(guān)模式是指將SSL VPN網(wǎng)關(guān)架接在外網(wǎng)與內(nèi)網(wǎng)之間，即實(shí)現(xiàn)了網(wǎng)橋的功能。同時(shí)，該網(wǎng)橋也充當(dāng)必要的防火墻的作用，從而實(shí)現(xiàn)對(duì)全網(wǎng)絡(luò)的保護(hù)。這種結(jié)構(gòu)具有很好的安全性，但也有比較明顯的不足，即會(huì)降低內(nèi)外網(wǎng)絡(luò)之間數(shù)據(jù)傳輸?shù)姆€(wěn)定性。

審核編輯黃宇