1、SSL VPN概述

　　虛擬專用網(wǎng)指的是依靠ISP(Internet服務提供商)和其它NSP(網(wǎng)絡服務提供商)，在公用網(wǎng)絡中建立專用的數(shù)據(jù)通信網(wǎng)絡的技術。在虛擬專用網(wǎng)中，任意兩個節(jié)點之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是利用某種公眾網(wǎng)的資源動態(tài)組成的，即通過私有的隧道技術在公共數(shù)據(jù)網(wǎng)絡上仿真一條點到點的專線。目前，IPSEC隧道是組建虛擬專用網(wǎng)最常用的技術，即通常所說的IPSEC VPN技術。

　　IPSEC VPN技術

　　是網(wǎng)絡層的VPN技術，它獨立于應用程序，以自己的封包封裝原始IP信息，因此可隱藏所有應用協(xié)議的信息。一旦IPSEC建立加密隧道后，就可以實現(xiàn)各種類型的連接，如Web、電子郵件、文件傳輸、VoIP等，每個傳輸直接對應到VPN網(wǎng)關之后的相關服務器上。IPSEC是與應用無關的技術，因此IPSec VPN的客戶端支持所有IP層協(xié)議，對應用層協(xié)議完全透明，這是IPSEC VPN的最大優(yōu)點之所在。但是隨著VPN應用的越來越廣泛，IPSEC VPN的缺點也逐漸的顯現(xiàn)出來：

　　其一，IPSEC VPN配置部署復雜，需要專門的客戶端軟件，而且不同提供商之間的設備很難完全兼容。

　　其二，網(wǎng)絡適應性不佳，由于是IP層的協(xié)議，對于防火墻等訪問控制設備不透明，對網(wǎng)絡地址轉換(NAT)和應用代理(Proxy)等穿透性差。

　　其三，應用層安全性不好。最多只能提供IP地址和傳輸層端口這種粒度的訪問控制，對應用層協(xié)議的細粒度強訪問控制無能為力，更談不上入侵檢測與防御、防病毒、抗攻擊等深層次的安全功能。

　　SSL VPN技術

　　SSL VPN指的是基于安全套接層協(xié)議(Security Socket Layer-SSL)建立遠程安全訪問通道的VPN技術。它是近年來興起的VPN技術，其應用隨著Web的普及和電子商務、遠程辦公的興起而發(fā)展迅速。

　　SSL協(xié)議主要是由SSL記錄協(xié)議和握手協(xié)議組成，它們共同為應用訪問連接提供認證、加密和防篡改功能。SSL握手協(xié)議相對于IPSEC協(xié)議體系中的IKE(互聯(lián)網(wǎng)密鑰交換協(xié)議)協(xié)議，主要是用于服務器和客戶之間的相互認證，協(xié)商加密算法和MAC(Message Authentication Code-消息認證碼)算法，用于生成在SSL記錄協(xié)議中使用的加密和認證密鑰。SSL記錄協(xié)議是為各種應用協(xié)議提供基本的安全服務，類似于IPSEC的傳輸模式，應用程序消息參照MTU(最大傳輸單元)被分割成可管理的數(shù)據(jù)塊(可進行數(shù)據(jù)壓縮處理)，并產(chǎn)生一個MAC信息，加密后插入新的報頭，最后在TCP中加以傳輸;接收端將收到的數(shù)據(jù)解密，做身份驗證(MAC認證)、解壓縮、重組數(shù)據(jù)報然后交給應

　　用協(xié)議進行處理。實際上就是在應用層和傳輸層之間加入了一個數(shù)據(jù)處理層，和傳統(tǒng)的網(wǎng)絡套接字模型在同一層次，這也就是安全套接層的由來。

　　SSL VPN和IPSEC VPN技術的對比

　　SSL VPN與IPSEC VPN相比主要有以下優(yōu)點：

　　其一,簡單靈活。在SSL VPN的架構下，不需要在客戶端安裝軟件，用戶只要使用瀏覽器進行安全Web訪問(https)即可。這樣只要是任何裝有瀏覽器的裝置，例如可以支持Web的手機或PDA，都可以應用SSL VPN做加密保護。而且對于大多數(shù)的操作系統(tǒng)，只要可以支持標準的瀏覽器，不論是Windows、Mackintosh、Unix或是Linux,都可以通過SSL VPN做加密保護。

　　其二，對網(wǎng)絡設備透明。由于是在傳輸層之上進行安全處理，不存在穿越NAT等防火墻設備的問題。

　　其三,應用層安全性高。在應用層建立的通道可以防止病毒、蠕蟲等經(jīng)由網(wǎng)絡層傳輸?shù)耐�脅。另外，由于SSL VPN還可以起到代理服務器的作用，所有客戶端的訪問都是由SSL VPN網(wǎng)關轉發(fā)，而不能直接訪問應用服務器，從而使服務器

　　不易受到病毒、黑客等攻擊，而且還可以提供細粒度的強訪問控制和日志審計。如果遠程用戶以IPSEC VPN的方式與公司內(nèi)部網(wǎng)絡建立聯(lián)機，內(nèi)部網(wǎng)絡所連接的應用系統(tǒng)，都可能暴露給黑客攻擊。若采取SSL VPN來聯(lián)機，因為是直接開啟應用系統(tǒng)，并沒在網(wǎng)絡層上連接，黑客不易探測出應用系統(tǒng)內(nèi)部的網(wǎng)絡機制，所受到的威脅也僅是所聯(lián)機的應用系統(tǒng)，攻擊機會相對減少許多。