第 1 页SSLVPN原理如果把 SSL和 VPN两个概念分开,大家对他们的含义应该都非常清楚,但是作为一种新技术,它们之间是如何结合起来的大家也许还不是很了解。从学术和商业的角度来讲,因为他们代表的含义有所不同,因而常常会被曲解。SSL(安全套接层)协议是一种在Internet上保证发送信息安全的通用协议。它处于应用层。SSL用公钥加密通过SSL连接传输的数据来工作。SSL协议指定了在应用程序协议(如HTTP、Telnet和 FTP等)和 TCP/IP协议之间进行数据交换的安全机制,为 TCP/IP连接提供数据加密、服务器认证以及可选的客户机认证。SSL协议包括握手协议、记录协议以及警告协议三部分。握手协议负责确定用于客户机和服务器之间的会话加密参数。记录协议用于交换应用数据。警告协议用于在发生错误时终止两个主机之间的会话。VPN(虚拟专用网)则主要应用于虚拟连接网络,它可以确保数据的机密性并且具有一定的访问控制功能。VPN是一项非常实用的技术,它可以扩展企业的内部网络,允许企业的员工、客户以及合作伙伴利用 Internet访问企业网,而成本远远低于传统的专线接入。过去,VPN总是和IPSec联系在一起,因为它是 VPN加密信息实际用到的协议。IPSec运行于网络层,IPSecVPN则多用于连接两个网络或点到点之间的连接。所谓的 SSLVPN,其实是VPN设备厂商为了与 IPsecVPN区别所创造出来的名词,指的是使第 2 页用者利用浏览器内建的 SecureSocketLayer封包处理功能,用浏览器连回公司内部 SSLVPN服务器,然后透过网络封包转向的方式,让使用者可以在远程计算机执行应用程序,读取公司内部服务器数据。它采用标准的安全套接层(SSL)对传输中的数据包进行加密,从而在应用层保护了数据的安全性。高质量的 SSLVPN解决方案可保证企业进行安全的全局访问。在不断扩展的互联网 Web站点之间、远程办公室、传统交易大厅和客户端间,SSLVPN克服了 IPSecVPN的不足,用户可以轻松实现安全易用、无需客户端安装且配置简单的远程访问,从而降低用户的总成本并增加远程用户的工作效率。而同样在这些地方,设置传统的 IPSecVPN非常困难,甚至是不可能的,这是由于必须更改网络地址转换(NAT)和防火墙设置。SSLVPN的实现简单的来讲,SSLVPN一般的实现方式是在企业的防火墙后面放置一个SSL代理服务器。如果用户希望安全地连接到公司网络上,那么当用户在浏览器上输入一个URL后,连接将被SSL代理服务器取得,并验证该用户的身份,然后SSL代理服务器将提...
