SSL VPN即指采用SSL協(xié)議來實(shí)現(xiàn)遠(yuǎn)程接入的一種新型VPN技術(shù)。它包括：服務(wù)器認(rèn)證，客戶認(rèn)證、SSL鏈路上的數(shù)據(jù)完整性和SSL鏈路上的數(shù)據(jù)保密性。

SSL VPN 概述
SSL VPN是一種遠(yuǎn)程安全接入技術(shù)，因?yàn)椴捎肧SL協(xié)議而得名。因?yàn)閃eb瀏覽器都內(nèi)嵌支持SSL協(xié)議，使得SSLVPN可以做到“無客戶端”部署，從而使得遠(yuǎn)程安全接入的使用非常簡單，而且整個(gè)系統(tǒng)更加易于維護(hù)。SSLVPN一般采用插件系統(tǒng)來支持各種TCP和UDP的非Web應(yīng)用，使得SSL VPN真正稱得上是一種VPN，并相對(duì)IPSec VPN更符合應(yīng)用安全的需求，成為遠(yuǎn)程安全接入主要手段和選擇。

SSLVPN是解決遠(yuǎn)程用戶訪問公司敏感數(shù)據(jù)最簡單最安全的解決技術(shù)。與復(fù)雜的IPSecVPN相比，SSL通過相對(duì)簡易的方法實(shí)現(xiàn)信息遠(yuǎn)程連通。任何安裝瀏覽器的機(jī)器都可以使用SSLVPN，這是因?yàn)镾SL內(nèi)嵌在瀏覽器中，它不需要像傳統(tǒng)IPSecVPN一樣必須為每一臺(tái)客戶機(jī)安裝客戶端軟件。

安全接入-端到端的安全防護(hù)
身份安全：增加身份認(rèn)證方式，提高非黑客仿冒成本。
終端環(huán)境安全：增加終端環(huán)境安全檢測(cè)及管控提高黑客控制終端跳板成本。
傳輸安全：增加更安全的加密算法提高黑客破解數(shù)據(jù)成本。
應(yīng)用權(quán)限安全：增加細(xì)粒度權(quán)限管控機(jī)制提升黑客擴(kuò)大攻擊范圍的成本。
審計(jì)回溯：訪問行為審計(jì)與追溯提升黑客潛伏攻擊成本。

IPSec VPN：優(yōu)勢(shì)
站到站的組網(wǎng)方式，可實(shí)現(xiàn)三級(jí)或多級(jí)組網(wǎng)
組網(wǎng)方式較為固定，適合機(jī)構(gòu)間組網(wǎng)
用戶透明訪問，無需登錄操作

SSL VPN ：優(yōu)勢(shì)
端到站的組網(wǎng)方式
基于瀏覽器的訪問，使用方便
權(quán)力控制粒度細(xì)

特點(diǎn)
SSL VPN是一種既簡單又安全的遠(yuǎn)程隧道訪問技術(shù)，使用非常簡單。SSL VPN采用公匙加密的方式來保障數(shù)據(jù)在傳輸?shù)倪^程中的安全性，它采用瀏覽器和服務(wù)器直接溝通的方式，既方便了用戶的使用，又可以通過SSL協(xié)議來保證數(shù)據(jù)的安全。

SSL協(xié)議是采用SSL/TLS綜合加密的方式來保障數(shù)據(jù)安全的。SSL協(xié)議從其使用上來說可以分為兩層：第一層是SSL記錄協(xié)議，這種協(xié)議可以為數(shù)據(jù)的傳輸提供基本的數(shù)據(jù)壓縮、加密等功能；第二層是SSL握手協(xié)議，主要用于檢測(cè)用戶的賬號(hào)密碼是否正確，進(jìn)行身份驗(yàn)證登錄。

與IPSec VPN相比，SSL VPN具有架構(gòu)簡單、運(yùn)營成本低、處理速度快、安全性能高的特點(diǎn)，所以在企業(yè)用戶中得到大規(guī)模的使用。但是SSL協(xié)議是基于WEB開發(fā)的，通過瀏覽器來使用，由于近年來電腦病毒的多樣性，要想保障SSL VPN的安全運(yùn)營，就需要在SSLVPN的安全技術(shù)上有所更新。
 
終端使用體驗(yàn)
支持應(yīng)用跨平臺(tái)訪問
多種加速機(jī)制
輕量級(jí)客戶端
兼容各種操作系統(tǒng)
兼容所有瀏覽器
兼容各種移動(dòng)終端

身份認(rèn)證
6種固定的認(rèn)證方式（主認(rèn)證）：
本地用戶名/密碼
LDAP服務(wù)器
Radius服務(wù)器
CA認(rèn)證
AD域單點(diǎn)登錄
HTTP（S）第三方介入對(duì)接
多種動(dòng)態(tài)的認(rèn)證方式（輔認(rèn)證）
硬件特征碼
動(dòng)態(tài)令牌
短信認(rèn)證
組網(wǎng)模式SSL VPN網(wǎng)關(guān)接入網(wǎng)絡(luò)有很多不同的類型，從而也導(dǎo)致SSL VPN組網(wǎng)模式有所區(qū)別，常見的模式有單臂、網(wǎng)關(guān)兩種模式。

1）單臂模式
所謂單臂模式是指將SSL VPN網(wǎng)關(guān)作為于一臺(tái)代理服務(wù)器使用；當(dāng)內(nèi)部服務(wù)器與該遠(yuǎn)程代理服務(wù)器進(jìn)行通信時(shí)，SSL VPN網(wǎng)關(guān)不處在網(wǎng)絡(luò)通訊的關(guān)鍵路徑上。也就是說，單臂模式類似環(huán)形網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，當(dāng)一邊環(huán)路不通時(shí)，可以選擇其他的路徑方式實(shí)現(xiàn)通信。因此，單臂模式的優(yōu)點(diǎn)是當(dāng)該網(wǎng)絡(luò)上某點(diǎn)出現(xiàn)故障時(shí)，不會(huì)影響整個(gè)網(wǎng)絡(luò)的通信；其不足在于對(duì)于網(wǎng)絡(luò)信息資源不能夠?qū)崿F(xiàn)全面的保護(hù)。

2）網(wǎng)關(guān)模式
所謂網(wǎng)關(guān)模式是指將SSL VPN網(wǎng)關(guān)架接在外網(wǎng)與內(nèi)網(wǎng)之間，即實(shí)現(xiàn)了網(wǎng)橋的功能。同時(shí)，該網(wǎng)橋也充當(dāng)必要的防火墻的作用，從而實(shí)現(xiàn)對(duì)全網(wǎng)絡(luò)的保護(hù)。這種結(jié)構(gòu)具有很好的安全性，但也有比較明顯的不足，即會(huì)降低內(nèi)外網(wǎng)絡(luò)之間數(shù)據(jù)傳輸?shù)姆€(wěn)定性。

田鑫，專業(yè)的企業(yè)組網(wǎng)服務(wù)商，致力于為企業(yè)提供企業(yè)組網(wǎng)（SD-WAN、MPLS、云互聯(lián)），業(yè)務(wù)云化、數(shù)據(jù)中心、網(wǎng)絡(luò)安全、行業(yè)IT解決方案等相關(guān)服務(wù)。


更多相關(guān)內(nèi)容推薦：
為5G構(gòu)建網(wǎng)絡(luò)，MPLS需要做哪些改變?
什么是MPLS?MPLS的提出有何意義?
MPLS技術(shù)解析
MPLS-VPN虛擬專用網(wǎng)絡(luò)組網(wǎng)的規(guī)劃與實(shí)現(xiàn)