SSL V PN 的 技 术 原 理 与应用 1 概述 1 .1 产生背景 随着互联网的普及和电子商务的飞速发展,越来越多的员工、客户和合作伙伴希望能够随时随地接入公司的内部网络,访问公司的内部资源。接入用户的身份可能不合法、远端接入主机可能不够安全,这些都为公司内部网络带来了安全隐患。 通过加密实现安全接入的VPN——SVPN(Security VPN)技术提供了一种安全机制,保护公司的内部网络不被攻击,内部资源不被窃取。SVPN 技术主要包括 IPsec VPN 和SSL VPN。 由于 IPsec VPN 实现方式上的局限性,导致其存在着一些不足: 部署 IPsec VPN 网络时,需要在用户主机上安装复杂的客户端软件。而远程用户的移动性要求 VPN 可以快速部署客户端,并动态建立连接;远程终端的多样性还要求 VPN的客户端具有跨平台、易于升级和维护等特点。这些问题是IPsec VPN 技术难以解决的。 无法检查用户主机的安全性。如果用户通过不安全的主机访问公司内部网络,可能引起公司内部网络感染病毒。 访问控 制不够细 致。由于 IPsec 是在网络层 实现的,对 IP 报 文 的内容 无法识 别 ,因而不能控 制高 层 应 用的访问请 求。随着企 业 经 营 模 式的改 变 ,企 业 需要建立 Extranet,与合作伙伴共 享 某 些信 息 资源,以便 提高 企 业 的运 作效 率 。对 合作伙伴的访问必 须 进 行 严 格 有效 地控 制,才 能保证 企 业 信 息 系 统 的安全,而 IPsec VPN 无法实现访问权 限的控 制。 在复杂的组 网环 境 中 ,IPsec VPN 部署比 较 困 难。在使 用NAT 的场 合,IPsec VPN需要支 持 NAT 穿 越技术;在部署防 火 墙 的网络环 境 中 ,由于 IPsec 协 议 在原 TCP/UDP 头的前 面 增 加了IPsec 报 文 头 ,因 此 ,需要在防 火 墙 上进 行 特殊 的配 置 ,允 许 IPsec 报 文 通过。 IPsec VPN 比 较 适 合连接固 定 ,对 访问控 制要求不高 的场 合,无法满 足用户随时随地以多种方式接入网络、对 用户访问权 限进 行 严 格 限制的需求。 SSL VPN 技术克 服 了IPsec VPN 技术的缺 点,以其跨平台、免 安装、免 维护的客户端,丰 富有效 的权 限管 理 而成 为远程接入市 场 上的新 贵 。 1 .2 技术优点 SSL VPN 是以HTTPS 为基础的VPN 技术,它利用S...