SSL VPN技术

概述：SSL VPN是一种远程安全接入技术，因为采用SSL协议而得名。因为Web浏览器都内嵌支持SSL协议，使得SSL VPN可以做到“无客户端”部署，从而使得远程安全接入的使用非常简单，而且整个系统更加易于维护。

SSL协议可以提供以下功能：加密的数据传输支持用数字签名验证通讯双方的身份抗攻击，如重播
、中间人(man-in-middle)等面向应用程序的API接口，便于SSL协议在客户端和服务器端部署

• 无客户端身份认证的全握手过程

全握手过程是指一个完整的SSL连接建立过程，在其中需要协商出新的会话参数。“无客户端认证”是指在该过程中服务器端并不验证客户端的身份

SSL协议主要通过三个协议实现：

• SSL握手协议：SSL握手协议被封装在记录协议中，该协议允许服务器与客户机在应用程序传输和接收数据之前互相认证、协商加密算法和密钥。在初次建立SSL连接时，服务器与客户机交换一系列消息。

• SSL修改密文协议：保障SSL传输过程的安全性，客户端和服务器双方应该每隔一段时间改变加密规范。

• SSL报警协议：SSL报警协议是用来为对等实体传递SSL的相关警告。如果在通信过程中某一方发现任何异常,就需要给对方发送一条警示消息通告。

因为我们之前了解过IPSEC VPN ，那么为什么要使用SSL VPN？ 

虽然IPSec VPN简单高效，但在实现远程接入时存在以下一些弱点：

• 网络的互联性不好
• 客户端使用和维护困难
• 访问权限管理粒度较粗

SSL VPN可以很好地给予解决：

• 网络互联性：SSL工作在TCP层，不受NAT和防火墙的影响
• 客户端的维护：借助浏览器，实现客户端的自动安装和配置
• 访问权限管理：解析应用层协议，进行高细粒度地访问控制

 最主要的区别：在使用方面 

SSL VPN三种接入方式

1. web接入

介绍：指用户使用浏览器，通过HTTPS协议访问SSL VPN网关提供的Web资源。用户登录后，Web页面上会显示用户可访问的资源列表，用户可以选择需要访问的资源直接访问。这种接入方式的最大好处就是“免客户端”；但这种方式主要适用于访问Web站点，对使用其它协议的网络应用则不易支持

• 实现原理：对返回Web页面中的URL进行改写，使得远程用户在公网上可以访问到私网中的URL

2. TCP接入

介绍：指用户对企业内部服务器开放端口的安全访问。这种接入方式需要在客户端上安装专用软件，适用于访问固定IP和固定端口的TCP服务。

• 实现原理：在远程主机上安装一个VPN客户端，以代理方式与SSL VPN网关建立SSL连接，SSL VPN网关再以代理方式与服务器端建立TCP连接

3 .IP接入 

介绍：IP接入方式用来实现远程主机与企业内部服务器网络层之间的安全通信，进而实现所有基于IP的远程主机与服务器的互通。这种方式也需要安装专用客户端软件。

• 实现原理：在远程主机上安装一个虚拟网卡，配上内网的IP地址和可以访问内网的路由。远程主机与内网服务器之间传送的数据报文通过路由进行IP层的转发

SSL VPN两种认证方式 

• 本地认证：用户的帐号和密码保存在网关本地的数据库中，由网关独立地对用户身份进行认证。
• 远程认证：用户的帐号和密码保存在远程服务器上。在接收到用户提交的帐号和密码后，网关将其交给服务器进行验证，并根据服务器返回的验证结果决定是否允许用户登录SSL VPN。

（注：文章是学习内容总结，不涉及翻墙、密码等敏感内容哈）