远程接入技术SSL VPN 的应用

摘要：SSL VPN是解决远程用户访问数据最简单最安全的技术。SSL VPN作为一项远程接入的新技术，由于其无须安装客户端的便捷性及因此而大幅降低的实施管理成本，在国内外得到迅速的应用与发展。SSL VPN是将局域网资源，以VPN网关功能，采用SSL安全方式，提供给远程接入用户。相对于传统的IPSEC VPN而言，SSL VPN具有部署简单，无客户端，维护成本低，网络适应性强等特点。

关键词：SSL VPN；远程接入

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2013）33-7426-02

1 概述

SSL VPN作为一项远程接入的新技术，由于其无须安装客户端的便捷性及因此而大幅降低的实施管理成本，在国内外得到迅速的应用与发展。如今，SSL VPN的宣传越来越多，SSL VPN的应用也越来越广泛。但是，SSL VPN是什么？到底是如何远程接入内网的？什么样的用户对SSL VPN有应用需求？许多人还不是很深入了解，可能有人认为SSL VPN只能实现移动办公用户的WEB应用，其实，SSL VPN由于技术成熟已可满足多种业务应用需求。

2 SSL VPN

2.1 SSL 协议

简单来说SSL协议（Security Socket Layer，即安全套接层；所谓SOCKET通常也称作“套接字”，用于描述IP地址和端口，是一个通信链的句柄，应用程序通常通过“套接字”向网络发出请求或者应答网络请求）是一种在互联网上，经由加密机制保证发送信息安全的通用协议，它包括：服务器认证、用户认证、SSL链路上的数据完整性和数据保密性。在应用面而言，SSL VPN是将局域网资源，以VPN网关功能，采SSL安全方式，提供给远程接入用户。SSL协议的三个特点是保密性，可鉴别性和完整性。

2.2 SSL VPN协议

VPN的核心就是利用公共网络建立虚拟私有网络；SSL VPN就是使用内嵌SSL协议的浏览器通过在公共网络建立虚拟私有网络。SSL VPN是目前解决远程用户访问数据最简单最安全的解决技术，SSL通过简单易用的方法实现信息远程连通，任何安装浏览器的机器都可以使用SSL VPN， 这是因为SSL 内嵌在浏览器中。

3 SSL VPN 服务的应用

以我局SSL VPN服务为例：第一次使用SSL VPN服务时，用户首先需要安装ActiveX控件，为了操作更加简便，请将https：//222.82.227.215加入受信任站点，并将受信任站点的安全级别设置为低。

设置方法：打开IE浏览器，选择“工具”菜单下的Internet选项，然后选择“安全”标签，选择“受信任站点”，点击“站点”按钮，然后将https：//222.82.227.215加入受信任站点；点击安全级别下的“自定义级别”按钮，把安全级别设置为低，记住点击“重置”按钮。

在互联网环境下，通过IE浏览器访问以下网址：http：//222.82.227.215/，如果出现“安全警报”选择“是”，继续页面如果出现“证书错误 导航已终止”就选择“继续浏览此网站（不推荐）”；进入用户界面后输入“用户名”，“密码”和“校验码”，然后“提交”。第一次使用的时候会弹出需要安装插件或IE辅助项的窗口，请同意安装，此时，本计算机已经通过互联网VPN通道接入区局业务网段，连通后将此网页最小化即可；使用完毕点击“注销”或“关闭”退出VPN服务。注意：为保障互联网出口的畅通.VPN用户登录后无操作约半小时将自动注销登录。

4 SSL VPN 和IPSec VPN的区别

SSL VPN采用目前所有通用标准浏览器内建的SSL/HTTPS作为安全传输机制，使用SSL 协议进行认证和数据加密，因此在客户端最关键的优势在于：无需安装、无需设置，只要通过浏览器如IE或Netscape便可进行远程数据存取。SSL VPN是一种B/S构架，目前SSL 协议被广泛应用于各种浏览器应用，也可以应用于Outlook等使用TCP协议传输数据的C/S应用。

而传统IPSec VPN必须为每一台客户机安装客户端软件，并且要设置用户名和密码进行拨号连接访问；IPSec VPN在部署时无法保证对最终用户的访问限制，即只允许用户访问内部网络中的指定资源，而且部署IPSec VPN会要求更改合作伙伴防火墙的安全策略，有时候很难实现。

这两种类型的VPN之间的差别主要就是类似C/S构架和B/S构架的区别。相对于传统的IPSEC VPN而言，SSL VPN具有部署简单，无客户端，维护成本低，网络适应强等特点。

5 SSL VPN面向的用户

一是需要随时访问内部网络资源的移动办公用户，对于移动办公来说，通过配备3G上网卡来实现随时随地访问内部数据的应用系统，通过SSL VPN远程接入办公，可拥有良好的机动性与使用弹性，不需受限于网络联机设备配置。其二需要访问内部网络资源的合作伙伴或用户，考虑到内部信息的保密性，只有指定的用户才能访问相应的资源，可以依情况进行限制设定开放不同的访问权限，限制后，用户就只能访问一个站点中的某些页面和文件夹了。第三使用无法控制设备的接入用户，当用户在外电脑都属于自己无法控制的设备时，如果是IPSEC的VPN，这些根本不可能实现远程接入的，而SSL VPN可以通过浏览器，临时开放一些应用和权限，通过SSL VPN来清除访问痕迹，来实现保证访问临时访问和访问后的安全。

6 小结

一般而言，SSL VPN必须满足最基本的两个要求：一是使用SSL 协议进行认证和加密，没有采用SSL 协议的VPN产品自然不能称为SSL VPN，其安全性也需要进一步考证。二是直接使用浏览器完成操作，无需安装独立的客户端，即使使用了SSL 协议，但仍然需要分发和安装独立的VPN客户端 （如Open VPN）不能称为SSL VPN。

参考文献：

[1] 王劼，罗进文，白矾.SSL与远程接入VPN[M].北京：人民邮电出版社，2009.