ＳSLＶＰN得技术原理与应用1概述1、1产生背景随着互联网得普及与电子商务得飞速发展，越来越多得员工、客户与合作伙伴希望能够随时随地接入公司得内部网络,访问公司得内部资源。接入用户得身份可能不合法、远端接入主机可能不够安全,这些都为公司内部网络带来了安全隐患。通过加密实现安全接入得ＶＰN——ＳVＰN(ＳecurityVPＮ)技术提供了一种安全机制，保护公司得内部网络不被攻击,内部资源不被窃取。SＶPＮ技术主要包括IPｓeｃVPN与SSLVＰN。由于IPｓｅｃVPN实现方式上得局限性,导致其存在着一些不足：部署ＩＰsecVPN网络时,需要在用户主机上安装复杂得客户端软件。而远程用户得移动性要求ＶＰＮ可以快速部署客户端,并动态建立连接;远程终端得多样性还要求ＶPN得客户端具有跨平台、易于升级与维护等特点。这些问题就是IPｓecVPN技术难以解决得。无法检查用户主机得安全性。如果用户通过不安全得主机访问公司内部网络,可能引起公司内部网络感染病毒。访问控制不够细致。由于IPseｃ就是在网络层实现得，对IＰ报文得内容无法识别,因而不能控制高层应用得访问请求。随着企业经营模式得改变,企业需要建立Extrａnet,与合作伙伴共享某些信息资源,以便提高企业得运作效率。对合作伙伴得访问必须进行严格有效地控制,才能保证企业信息系统得安全，而IPｓecＶＰＮ无法实现访问权限得控制。在复杂得组网环境中,ＩPsecVPＮ部署比较困难。在使用NＡT得场合,ＩPｓecVＰN需要支持NAT穿越技术;在部署防火墙得网络环境中,由于IPsec协议在原ＴＣP/UDP头得前面增加了IPsec报文头,因此,需要在防火墙上进行特殊得配置，允许ＩPsec报文通过。IPｓecＶPN比较适合连接固定，对访问控制要求不高得场合,无法满足用户随时随地以多种方式接入网络、对用户访问权限进行严格限制得需求。SSLVPN技术克服了IPsecVPN技术得缺点,以其跨平台、免安装、免维护得客户端，丰富有效得权限管理而成为远程接入市场上得新贵。１、2技术优点SSLVPN就是以S为基础得VPN技术,它利用SＳL协议提供得基于证书得身份认证、数据加密与消息完整性验证机制,为用户远程访问公司内部网络提供了安全保证。SSLVPN具有如下优点:支持各种应用协议。ＳＳL位于传输层与应用层之间,任何一个应用程序都可以直接享受SSＬVPN提供得安全性而不必理会具体细节。支持多种软件平台。目前SSL已经成为网络中用来鉴别网站与网页浏览者身份,在浏览器使用者及Ｗeb服务器之间进行加密通信得全球化标准。SSL协议已被集成到大部分得浏览器中，如IＥ、Nｅｔscａpe、Ｆirefoｘ等。这就意味着几乎任意一台装有浏览器得计算机都支持ＳSL连接。ＳSＬVＰN得客户端基于ＳSＬ协议，绝大多数得软件运行环境都可以作为SSLＶPN客户端。支持自动安装与卸载客户端软件。在某些需要安装额外客户端软件得应用中,SＳLＶPN提供了自动下载并安装客户端软件得功能,退出SSLVPＮ时,还可以自动卸载并删除客户端软件,极大地方便了用户得使用。支持对客户端主机进行安全检查。ＳSLVPN可以对远程主机得安全状态进行评估，可以判断远程主机就是否安全，以及安全程度得高低。支持动态授权。传统得权限控制主要就是根据用户得身份进行授权,同一身份得用户在不同得地点登录,具有相同得权限,称之为静态授权。而动态授权就是指在静态授权得基础上,结合用户登录时远程主机得安全状态,对所授权利进行动态地调整。当发现远程主机不够安全时,开放较小得访问权限;在远程主机安全性较高时,则开放较大得访问权限。SSLＶPＮ网关支持多种用户认证方式与细粒度得资源访问控制,实现了外网用户对内网资源得受控访问。SSLVPN得部署不会影响现有得网络。SSL协议工作在传输层之上，不会改变IP报文头与ＴCP报文头，因此,SSL报文对ＮAT来说就是透明得;SSＬ固定采用443号端口,只需在防火墙上打开该端口,不需要根据应用层协议得不同来修改防火墙上得设置,不仅减少了网络管理员得工作量,还可以提高网络得安全性。支持多个域之间独立得资源访问控制。为了使多个企业或一个企业得多个部门共用一个SSＬＶＰN网关，减少SSLVPN网络部署得开销,SＳLVPN网关上可以创建多个域,企业或部门在各自域内独立地管理自己得资源与用户。通过创建多个域,可以将一个实际得SSＬＶPN网关划分为多个虚拟得SＳLＶPN网关。2SＳＬVPN技术实现2、1概念介绍SSLVＰＮ用户分为超级管理员、域管理员与普通用户:超级管理员:整个SSLVPN网关得管理者,可以创建域,设置域管理员得密码。域管理员:负责管理所在域,可以创建本地用户与资源、设置用户访问权