SSL VPN的前世今生

　　简单的说，SSL VPN就是让客户端通过浏览器来访问vpn server后的内部服务，使用的协议是ssl或者tls。

　　SSL VPN是解决远程用户访问敏感公司数据最简单最安全的解决技术。与复杂的IPSec VPN相比，SSL通过简单易用的方法实现信息远程连通。任何安装浏览器的机器都可以使用SSL VPN， 这是因为SSL 内嵌在浏览器中，它不需要象传统IPSec VPN一样必须为每一台客户机安装客户端软件。而且IPSec VPN 实在是太麻烦了!经常因为客户端配置工作而浪费太多的时间。

　　一、 SSL VPN的演化过程

　　随着应用程序从C/S 结构向Web 的迁移，企业必须面对一个新的挑战，就是如何在不影响最终用户使用的前提下实现在任何地方灵活访问这些应用程序。在最近20 年间，用户和管理层听到因为安全原因不能够在公司以外访问内部应用程序的声音不绝于耳。

　　70 年代，人们对远程访问概念几乎等同于从远端的办公地点访问应用程序，这需要设置非常昂贵的WAN 网并租用连接线路。

　　80 年代，一小部分用户可以使用调制解调器直接拨号到modem banks 或他们自己的PC 上，但是使用费用相当高昂只能有非常有限的小部分人使用。而且在那时候，在家使用个人电脑才刚刚成为主流，远程访问需求还不是很大。

　　90 年代， 在家用PC 盛行的同时，移动电脑开始显现，在家办公也开始兴起。公司管理者和销售员们开始在外出出差的时候携带他们的笔记本电脑，他们需要实时访问公司内部信息，设立IPSec VPN 可以保护用户远程访问。它可以提供足够的安全性，但是问题是安装和维护相当麻烦。

　　如今， 公司开始把眼光放在他们是否选择了合适的安全远程访问系统上。使用IPSec VPN 和租用WAN 线路对于不经常更改网络结构的用户来说是非常好的选择。如果情况并非如此，用户就需要另做选择。现在，已经有公司开始考虑使用架构在因特网上的SSL 协议，在不破坏已有网络布局的前提下进行安全远程访问。SSL 是通过因特网进行加密传输保护一种常用方法，许多公司对他们的内部网和外部网执行了SSL 设置，通过SSL VPN 进行访问控制。

　　二、SSL VPN 的定义

　　SSL VPN 的发展对现有SSL 应用是一个补充，它增加了公司执行访问控制和安全的级别和能力。

　　SSL VPN 还对那些因为使用远程访问应用系统而降低公司安全性的企业有所帮助。从属性上讲，拨号可以保证相对安全性，因为特定的电话线可以确认用户的身份。客户端/服务器和旧版本的VPN 自身也拥有一定级别的安全保障能力，因为客户端软件是需要安装的。但是，以这样的安全策略和属性， 不可否认，黑客入侵、安全威胁、身份欺诈呈增长趋势。现在，使用SSL VPN，安全特性已经发生了改变，人们可以通过浏览器访问应用程序。

　　SSL 通过加密方式保护在互联网上传输的数据安全性，它可以自动应用在每一个浏览器上。这里，需要提供一个数字证书给Web 服务器，这个数字证书需要付费购买，相对而言，给应用程序设立SSL 服务是比较容易的。如果应用程序本身不支持SSL， 那么就需要改变一些链接，这只与应用程序有关。对于出现较大信息量的情况，建议给SSL 进行加速以避免流量瓶颈。通常SSL 加速装置为热插拔装置。

　　VPN 则主要应用于虚拟连接网络，它可以确保数据的机密性并且具有一定的访问控制功能。过去，VPN 总是和IPSec 联系在一起，因为它是VPN 加密信息实际用到的协议。IPSec 运行于网络层，IPSec VPN 则多用于连接两个网络或点到点之间的连接。

　　大量理论可以证明SSL的独特性以及VPN所能提供的安全远程访问控制能力。到目前为止，SSL VPN是解决远程用户访问敏感公司数据最简单最安全的解决技术。与复杂的IPSec VPN相比，SSL通过简单易用的方法实现信息远程连通。任何安装浏览器的机器都可以使用SSL VPN， 这是因为SSL 内嵌在浏览器中，它不需要象传统IPSec VPN一样必须为每一台客户机安装客户端软件。这一点对于拥有大量机器(包括家用机，工作机和客户机等等)需要与公司机密信息相连接的用户至关重要。人们普遍认为它将成为安全远程访问的新生代。

　　SSL VPN必须满足最基本的两个要求：

　　1. 使用SSL 协议进行认证和加密;没有采用SSL 协议的VPN产品自然不能称为SSL VPN，其安全性也需要进一步考证。

　　2. 直接使用浏览器完成操作，无需安装独立的客户端;即使使用了SSL 协议，但仍然需要分发和安装独立的VPN客户端 (如Open VPN)不能称为SSL VPN，否则就失去了SSL VPN易于部署，免维护的优点了。

　　随着技术的进步和客户需求的进一步成熟的推动，当前主流市场的SSL VPN和几年前面市的仅支持WEB访问的SSL VPN已经发生很大的变化。主要表现在：

　　1. 对应用的支持更广泛。

　　最早期的SSL VPN仅仅支持WEB应用。但目前几乎所有的SSL VPN都支持使用插件的形式、将TCP应用的数据重定向到SSL 隧道中，从而支持绝大部分基于TCP的应用。SSL VPN可以通过判断来自不同平台请求，从而自动安装不同的插件。

　　2. 对网络的支持更加广泛。

　　早期的SSL VPN还无法支持服务器和客户端间的双向访问以及UDP应用;更不支持给移动接入用户分配虚拟IP，从而实现按IP区分的安全审计功能。但现在多数优秀的SSL VPN都能通过用户可选的客户端插件形式为终端用户分配虚拟IP，并通过SSL 隧道建立层三(Level 3)隧道，实现与传统IPSEC VPN客户端几乎一样强大的终端网络功能。

　　3. 对终端的安全性要求更严格。

　　原来的SSL VPN设计初衷是只要有浏览器就能接入，但随着间谍软件和钓鱼软件的威胁加大，在不安全的终端上接入内部网络，将可能造成重要信息从终端泄漏。因此很多SSL VPN加入了客户端安全检查的功能：通过插件对终端操作系统版本，终端安全软件的部署情况进行检查，来判断其接入的权限。