SSL VPN技术超全解析 _SSL

SSL VPN作为远程接入型的VPN ，已经具备非常广阔的前景，它的主要适应场景是取代L2TP Over IPSec ，但功能要比L2TP Over IPSec更丰富，方案也更加灵活。
一、SSL VPN简介
何谓SSL VPN ，首先要从SSL谈起，使用网络不能不提的是各个网站，浏览网站使用浏览器，网络上传送网页的协议叫HTTP ，它是明文传播的，传播内容可以被黑客读取。
而SSL全名叫Secure Session Layer（安全会话层），其最初目的是给HTTP加密使用的安全套件，使用SSL的HTTP ，也就摇身一变成了HTTPS ，端口也从HTTP的80变成了443 。
由于HTTPS具备安全性，也具备传输数据的能力，也就被研究VPN技术的专家盯上了，觉得HTTPS可以用于组建VPN方案， SSL VPN技术呼之欲出了。
经过多年的发展， SSL版本发展到了3.0 ，也被标准组织采纳为TLS（Transport Layer Security传输层安全）1.0之中，所以SSL VPN也叫TLS VPN 。下面是SSL 与SSL VPN、TLS的区别：
1. SSL：单纯的实现对某些TCP应用的保护，如HTTPS和SFTP；
2. SSL VPN：利用TCP的传输作用以及SSL对TCP会话的保护，实现VPN业务，被保护的VPN业务可以是TCP的、也可以UDP ，纯IP的应用；
3. TLS：在SSL上进行扩展，能够直接实现对UDP应用的保护，这也是传输层安全的最佳注释。
接下来看看SSL VPN的使用场景吧：

文章插图

L2TP实现的是远程接入VPN ，而IPSec为L2TP提供安全保护，这种应用已经非常成熟，但属于两个协议的生硬组合，在方案上不是特别灵活。
而SSL VPN是天然的安全远程接入，在方案上，特别是权限控制、应用粒度上有独到之处，成为目前远程接入领域的香饽饽，目前已经超越了技术范畴，而成为一个安全网络服务框架。

文章插图

SSL VPN最常见的入口还是网页，所以推广起来特别方便：
1. 使用者只需要记住VPN的网站（通常是HTTPS），用浏览器打开该网站；
2. 输入使用者的身份信息，身份信息可以是用户名、数字证书（如USB-Key）、静态口令、动态口令的至尊组合，确保身份不泄露、不假冒；
3. 选择服务种类，其中WEB代理是最为简单的应用，也是控制粒度最细的SSL VPN应用，可以精确地控制每个链接；
4. 端口映射是粒度仅次于WEB代理的应用，它通过TCP端口映射的方式（原理上类似于NAT内部服务器应用），为使用者提供远程接入TCP的服务，它需要专门的、与服务器配套的SSL VPN客户端程序帮忙；
5. IP连接是SSL VPN中粒度最粗的服务，但也是使用最广泛的，它实现了类似于L2TP的特性，所有客户端都可以从服务器获得一个VPN地址，然后直接访问内部服务器，它也需要专门的SSL VPN客户端程序帮忙；
6. SSL VPN由于处在TCP层，所以可以进行丰富的业务控制，如行为审计，可以记录每名用户的所有操作，为更好地管理VPN提供了有效统计数据；
7. 当使用者退出SSL VPN登陆页面时，所有上述安全会话会统统释放。
以上7个步骤可以划分为三个阶段：阶段一是连接与验证、阶段二是VPN应用、阶段三是审计与退出。
由于连接与验证、审计与退出都是统一流程，也比较简单，本期针对大家较为关注的阶段二， VPN应用部分进行展开介绍。
二、WEB代理

文章插图

【SSL VPN技术超全解析】由于SSL是封装在TCP上的，穿越NAT不是问题，所以在示例中客户端使用公网地址进行介绍：
1. 假设SSL VPN的WEB站点的互联网域名是https://sslvpn ，该WEB站点对应的主机则是SSL VPN服务器；
2. 使用者登陆SSL VPN的WEB页面后， WEB代理一栏会有许多链接，如内部财务报表、订单提交等内部网站；