SSL VPN的概念与选型

目前关于什么是SSL VPN的说法不一，也不乏有鱼目混珠的产品，打着SSL VPN的幌子欺骗用户。为帮助广大用户识别真假优劣，我们在此探讨一下“什么是真正的SSL VPN”。

从概念角度来说，SSL VPN即指采用SSL （Security Socket Layer）协议来实现远程接入的一种新型VPN技术。SSL协议是网景公司提出的基于WEB应用的安全协议，它包括：服务器认证、客户认证（可选）、 SSL链路上的数据完整性和SSL链路上的数据保密性。对于内、外部应用来说，使用SSL可保证信息的真实性、完整性和保密性。目前SSL 协议被广泛应用于各种浏览器应用，也可以应用于Outlook等使用TCP协议传输数据的C/S应用。正因为SSL 协议被内置于IE等浏览器中，使用SSL 协议进行认证和数据加密的SSL VPN就可以免于安装客户端。相对于传统的IPSEC VPN而言，SSL VPN具有部署简单，无客户端，维护成本低，网络适应强等特点，这两种类型的VPN之间的差别就类似C/S构架和B/S构架的区别。

一般而言，SSL VPN必须满足最基本的两个要求：

1.使用SSL 协议进行认证和加密；没有采用SSL 协议的VPN产品自然不能称为SSL VPN，其安全性也需要进一步考证。

2.直接使用浏览器完成操作，无需安装独立的客户端。即使使用了SSL 协议，但仍然需要分发和安装独立的VPN客户端 （如Open VPN）不能称为SSL VPN，否则就失去了SSL VPN易于部署，免维护的优点了。

随着技术的进步和客户需求的进一步成熟的推动，当前主流市场的SSL VPN和几年前面市的仅支持WEB访问的SSL VPN已经发生很大的变化。主要表现在：

1.对应用的支持更广泛。最早期的SSL VPN仅仅支持WEB应用。但目前几乎所有的SSL VPN都支持使用插件的形式、将TCP应用的数据重定向到SSL 隧道中，从而支持绝大部分基于TCP的应用。SSL VPN可以通过判断来自不同平台请求，从而自动安装不同的插件。

2.对网络的支持更加广泛。早期的SSL VPN还无法支持服务器和客户端间的双向访问以及UDP应用；更不支持给移动接入用户分配虚拟IP，从而实现按IP区分的安全审计功能。但现在多数优秀的 SSL VPN都能通过用户可选的客户端插件形式为终端用户分配虚拟IP，并通过SSL 隧道建立层三（Level 3）隧道，实现与传统IPSEC VPN客户端几乎一样强大的终端网络功能。

3.对终端的安全性要求更严格。原来的SSL VPN设计初衷是只要有浏览器就能接入，但随着间谍软件和钓鱼软件的威胁加大，在不安全的终端上接入内部网络，将可能造成重要信息从终端泄漏。因此很多 SSL VPN加入了客户端安全检查的功能：通过插件对终端操作系统版本，终端安全软件的部署情况进行检查，来判断其接入的权限。

以上这些不断创新的SSL VPN功能都需要插件支持，因此简单的通过判断是否安装有插件来判断是否是SSL VPN肯定是不正确的；那么又如何有效的选择优秀的SSL VPN产品呢？