SSLVPN技术原理与应用1概述1.1产生背景随着互联网普及和电子商务飞速发展，越来越多员工、客户和合伙伙伴但愿可以随时随处接入公司内部网络，访问公司内部资源。接入顾客身份也许不合法、远端接入主机也许不够安全，这些都为公司内部网络带来了安全隐患。通过加密实现安全接入VPN——SVPN（SecurityVPN）技术提供了一种安全机制，保护公司内部网络不被袭击，内部资源不被窃取。SVPN技术重要涉及IPsecVPN和SSLVPN。由于IPsecVPN实现方式上局限性，导致其存在着某些局限性：布置IPsecVPN网络时，需要在顾客主机上安装复杂客户端软件。而远程顾客移动性规定VPN可以迅速布置客户端，并动态建立连接；远程终端多样性还规定VPN客户端具备跨平台、易于升级和维护等特点。这些问题是IPsecVPN技术难以解决。无法检查顾客主机安全性。如果顾客通过不安全主机访问公司内部网络，也许引起公司内部网络感染病毒。访问控制不够细致。由于IPsec是在网络层实现，对IP报文内容无法辨认，因而不能控制高层应用访问祈求。随着公司经营模式变化，公司需要建立Extranet，与合伙伙伴共享某些信息资源，以便提高公司运作效率。对合伙伙伴访问必要进行严格有效地控制，才干保证公司信息系统安全，而IPsecVPN无法实现访问权限控制。在复杂组网环境中，IPsecVPN布置比较困难。在使用NAT场合，IPsecVPN需要支持NAT穿越技术；在布置防火墙网络环境中，由于IPsec合同在原TCP/UDP头前面增长了IPsec报文头，因而，需要在防火墙上进行特殊配备，容许IPsec报文通过。IPsecVPN比较适合连接固定，对访问控制规定不高场合，无法满足顾客随时随处以各种方式接入网络、对顾客访问权限进行严格限制需求。SSLVPN技术克服了IPsecVPN技术缺陷，以其跨平台、免安装、免维护客户端，丰富有效权限管理而成为远程接入市场上新贵。1.2技术长处SSLVPN是以HTTPS为基本VPN技术，它运用SSL合同提供基于证书身份认证、数据加密和消息完整性验证机制，为顾客远程访问公司内部网络提供了安全保证。SSLVPN具备如下长处：支持各种应用合同。SSL位于传播层和应用层之间，任何一种应用程序都可以直接享有SSLVPN提供安全性而不必理睬详细细节。支持各种软件平台。当前SSL已经成为网络中用来鉴别网站和网页浏览者身份，在浏览器使用者及Web服务器之间进行加密通信全球化原则。SSL合同已被集成到大某些浏览器中，如IE、Netscape、Firefox等。这就意味着几乎任意一台装有浏览器计算机都支持SSL连接。SSLVPN客户端基于SSL合同，绝大多数软件运营环境都可以作为SSLVPN客户端。支持自动安装和卸载客户端软件。在某些需要安装额外客户端软件应用中，SSLVPN提供了自动下载并安装客户端软件功能，退出SSLVPN时，还可以自动卸载并删除客户端软件，极大地以便了顾客使用。支持对客户端主机进行安全检查。SSLVPN可以对远程主机安全状态进行评估，可以判断远程主机与否安全，以及安全限度高低。支持动态授权。老式权限控制重要是依照顾客身份进行授权，同一身份顾客在不同地点登录，具备相似权限，称之为静态授权。而动态授权是指在静态授权基本上，结合顾客登录时远程主机安全状态，对所授权利进行动态地调节。当发现远程主机不够安全时，开放较小访问权限；在远程主机安全性较高时，则开放较大访问权限。SSLVPN网关支持各种顾客认证方式和细粒度资源访问控制，实现了外网顾客对内网资源受控访问。SSLVPN布置不会影响既有网络。SSL合同工作在传播层之上，不会变化IP报文头和TCP报文头，因而，SSL报文对NAT来说是透明；SSL固定采用443号端口，只需在防火墙上打开该端口，不需要依照应用层合同不同来修改防火墙上设立，不但减少了网络管理员工作量，还可以提高网络安全性。支持各种域之间独立资源访问控制。为了使各种公司或一种公司各种部门共用一种SSLVPN网关，减少SSLVPN网络布置开销，SSLVPN网关上可以创立各种域，公司或部门在各自域内独立地管理自己资源和顾客。通过创立各种域，可以将一种实际SSLVPN网关划分为各种虚拟SSLVPN网关。2SSLVPN技术实现2.1概念简介SSLVPN顾客分为超级管理员、域管理员和普通顾客：超级管理员：整个SSLVPN网关管理者，可以创立域，设立域管理员密码。域管理员：负责管理所在域，可以创立本地顾客和资源、设立顾客访问权限等。域管理员也许是某个公司网管人员。普通顾客：简称顾客，为服务器资源访问者，权限由域管理员指定。2.2SSLVPN系统构成图1SSLVPN典型组网架构SSLVPN典型组网架构如图1所示，SSLVPN系统由