基于隧道技术的SSL VPN实现

摘要：SSL VPN作为构建企业内部网与互联网的首选解决方案，现在正越来越多的引起人们注意，针对传统的SSL VPN更多的局限于提供Web应用的缺点，该文提出了基于隧道技术的SSL VPN解决方案，较好地解决了相关技术难题。

关键词：隧道技术；SSL VPN；虚拟专用网

中图分类号：TP393文献标识码：A文章编号：1009-3044(2012)26-6215-02

随着无纸互联办公的常态化，仅在企业内部查阅资料、完成业务、通信交流已不能满足企业及企业员工业务开展的需求，虚拟专用网VPN帮助企业解决了这一问题。它使得员工可以脱离传统时间与空间的限制，在家中或任何网络能够覆盖的地方随时随地、安全的远程接入企业网络并访问公司内部重要资源，完成原本只有在企业内才能完成的工作。

SSL VPN是基于SSL协议的虚拟专用网，它能够有效增加企业对数据的访问控制能力和提升数据与网络的安全级别，是基于Internet的外网接入企业内网和远程访问公司敏感数据的最便捷和安全的解决方案。传统的SSL VPN存在着网络应用支持单一、功能扩展困难和系统性能低下等缺点，本文有针对性地提出基于隧道技术的改良SSL VPN企业解决方案，可以有效地解决相关技术难题。

VPN[1]（Virtual Private Network）技术是指依靠ISP或NSP，在公用网络Internet中建立专用的数据通信网络的技术。实际应用中，根据ISP或NSP提供的传输介质与设施进行网络虚拟逻辑划分，并以这些通信设施为基础为用户提供定制的网络连接服务，连接使得用户可以具有相同的安全优先级服务，可采用隧道技术和特殊配置技术措施实现仿真的点到点的连接等。VPN的出现可帮助企业构建基于Internet规划的最安全和经济的企业网扩展，真正实现企业内与企业外的无缝对接。

SSL[2]是网景公司推出的基于Web应用的安全通信协议，现已成为互联网上保密通信的工业标准，应用于包括Web应用的诸多方面。将SSL的独特性与VPN的安全远程访问控制相结合，就是SSL VPN。SSL VPN是指采用SSL协议来实现远程接入的一种新型VPN技术。因为SSL内嵌在浏览器中了，所以客户端只要安装有浏览器就可以使用SSL VPN，相比于传统的IPSec VPN需要安装客户端软件来说显得更加的方便、快捷，是新生代的远程安全访问方式。

隧道技术是指利用一种网络协议来传输另一种网络协议的技术，主要由网络隧道协议实现相关功能。传统的网络隧道协议有用于构建远程访问虚拟专网的二层隧道协议和用于构建与扩展企业内部虚网的三层隧道协议等，本文提出的VPN网络架构是基于SSL的四层隧道协议，即SSL VPN，主要在应用层构建VPN隧道，相比传统的架构更加安全可靠。

VPN网络中建立连接的两个终端间的隧道结构主要有以下几种：

1）点到点隧道：该类隧道需要由两个终端协商各自在网络中的角色是服务器还是客户端，两个终端间需要具有相同数量的隧道资源。此隧道技术速度快、保密性好，但不利于多用户交流，访问对象动态切换较困难。

2）改进的点到点隧道：为终端协商配置专门服务器，需要建立隧道时，先到服务器上检索登记信息并自主登录，服务器根据规则完成协商，检测两终端状态若均为活动状态，则反馈协商结果给两客户端，完成隧道构建。此方法较好的解决多用户问题，应用广泛。

3）网关型隧道：隧道中的每个终端都作为客户端连接到VPN网关，与VPN网关建立隧道，由网关完成终端间隧道的构建。这种方法较为安全，但速度较慢且比较耗资源。

4）综合型隧道：这种隧道将改进的点到点隧道与网关型隧道相结合，现在应用非常广泛，方便进行大中型网络和多级VPN网络的构建。本文涉及的系统就采用这种方法，但构建的是一个企业级的中小型VPN网络。

本系统中的SSL VPN主要采用四层隧道协议完成OSI的二层和三层的连接工作，构建点到点的VPN数据连接。用路由网络连接数据地址，不同用户共享一条线路完成数据传输，通过浏览器建立较安全的HTTPS连接，构建安全、易操作的远程数据访问平台。出于安全考虑，隧道技术可以根据不同的用户权限控制规则，拒绝未经授权用户的登录请求。

[1]戴宗坤,唐三平.VPN与网络安全[M].北京:电子工业出版社,2002.

[2]百度知道.SSL VPN[EB/OL]. /view/708397.htm.

[3]菅永超.基于隧道技术的SSL VPN的改进与设计[D].武汉:华中科技大学,2007.

[4]李之棠,何桂丽,王美珍.基于虚拟网卡的SSL VPN体系结构的研究[J].计算机应用研究,2007(12).