SSL VPN网站守护神　SSL VPN接入保障

系统部署

使用SSL VPN安全解决方案来保障系统的接入安全，还可以和公司安全认证系统相结合，通过建立PKI认证系统，确保各种人员、资源的身份，防止网络欺诈行为和抵赖行为。充分利用SSL协议做安全接入，可以统一为门户的客户端接入提供一种安全接入方式。

企业的业务系统一般已经部署了防火墙、防病毒、IDS/IPS等安全系统，SSL VPN系统可以和原有的安全设施结合起来，共同提高系统的安全性。它一般部署在防火墙的后面，以利用防火墙强大的防护功能。在认证方面，SSL VPN和内部的安全认证系统结合起来，通过PKI认证系统，可以确保各种人员、资源的身份。

通常在系统的网络边缘部署SSL VPN网关，SP（Service Provider）放在路由器和防火墙的后面，提供SSL VPN 接入。SP产品作为统一门户系统通过一个门户(portal)页面将各系统的对外接口纳入统一管理系统，对外通过Internet利用SSL加密技术安全地向公众开放统一的门户界面，对用户而言访问后台应用是完全透明的。SP在用户与后台WEB服务器之间起到了一个加密隧道的服务形式，所有的数据流通过SSL加密技术在SP上进行中转，用户与后台之间的数据交流完全保密。SSL VPN将实现与内部业务系统的高效无缝集成，能够节省公司的总成本，使网站维护成本降低，信息发布时间缩短。

统一门户系统需要一个操作实施简单、管理维护容易、不需要改变网络结构、运营成本低廉的方案。SSL VPN是以SSL 协议为基础的VPN技术，最大的好处就是不需要安装客户端程序，远程用户基本上不需要IT部门的支持就可以随时随地从任何安装了支持SSL协议浏览器的客户端安全地访问统一门户系统，从而最大限度地减少分发和管理客户端软件的麻烦。

SSL VPN通过TCP 443端口作为惟一的传输通道，因此管理员不需要在防火墙Proxy设备上做复杂设置，也不会因为不同系统的需求修改防火墙上的设定，降低了系统部署成本和IT部门日常性的管理支持工作费用。

SSL VPN检查策略

SSL VPN由于采用了SSL 技术，可以方便地通过数字证书认证享有PKI的高安全特性。通常选择安装客户端证书进行验证，给每个需要访问SSL VPN的人员分配个人证书，上面可以存放个人的一些信息，包括姓名、单位、部门、地址、EMAIL地址等。当客户端通过标准浏览器访问SSL VPN门户站点时，SSL VPN门户网关SP检查客户端的证书，这里的检查可以分为以下几种验证方法:

客户端证书+用户名/口令验证:在检查客户端证书的同时，仍需要客户输入其SSL VPN账号和口令，这样可以达到更高的安全性。

客户端+动态密码认证:支持动态密码认证，如RSA SecrueID、SecureComputing等，提供更高的安全性。

客户端证书+USB/智能卡验证:客户端证书存放在USB KEY或智能卡里面，只有具有这些硬件介质的用户才能登录SSL VPN。