SSL VPN的基本原理分析

从简单而言， SSL VPN一般的实现方式是在企业的防火墙后面放置一个SSL代理服务器。如果用户希望安全地连接到公司网络上，那么当用户在浏览器上输入一个URL后，连接将被SSL代理服务器取得，并验证该用户的身份，然后SSL代理服务器将提供一个远程用户与各种不同的应用服务器之间连接。

    几乎所有的主流商业浏览器都集成了SSL，实施SSL VPN不需要再安装额外的软件。绝大多数SSL VPN的生产厂商都通过“signed plugins”提供其他的功能，“signed plugins”可以跟随浏览器自动传输给客户端。

    SSL实现了客户端0安装，0配置。因此其功能和应用也受到限制。它适合PC-Web Server模式，就是大量的移动用户通过浏览器访问Web服务器，有的SSL VPN还对ftp、telnet等进行了扩充，增强了其可用性，即便如此，充其量是实现了PC-to-Lan的功能。适用于数据库－应用服务器－Web服务器－浏览器这一种模式。在保护范围、认证方式、应用程序类型上限制很多。而IPsec VPN则提供第三层IP的可达性，可以保证任何基于tcp/ip的程序运行。

    如果就网络联通而言，即使不使用SSL VPN，企业也能够实现Web应用，大不了我直接把服务器放置在Internet上，其他用户明文直接访问好了。有了一个SSL VPN设备，相当于在服务器之前作了一个代理，客户端要和服务器连接，就要通过这个代理的认证，而且从客户端到SSL VPN之间，数据是加密的。这样，internet上的黑客无法通过抓取数据包分析通讯信息。并且SSL VPN一般能够支持虚拟主机应用，这样，一个IP地址可以访问N个服务器。

    SSL优点和缺点都很明显。

    优点：
    （1）方便，实施SSL VPN只需要安装配置好中心网关即可。其余的客户端是免安装的，因此，实施工期很短，如果网络条件具备，连安装带调试，1－2天即可投入运营。

    （2）容易维护，SSL VPN维护起来也简单。出现问题，就维护网关就可以了。实在不行，换一台，如果有双机备份的话，备份机器启动就可以了。