什么是SSL VPN？它的定义、类型以及它们之间的比较。

虽然现在大多数远程通信都是通过互联网进行的，但在最初的时候，安全性并不是需要考虑的因素。美国的一家计算机服务公司——Netscape Communications，率先推出了这种通信技术。安全套接层（SSL）在1995年，为了更有效地保护通过互联网进行的敏感数据传输的安全性，采取了相应的措施。

它实际上是现代传输层安全协议（TLS）的直接前身。该协议最初于1999年被引入，作为对SSL的直接升级版本。在最初的开发阶段，它被称为SSL 3.1。后来，为了与公司的名称“Netscape”保持区别，该协议的名称被改成了“TLS”。因此，如今，SSL和TLS这两个术语可以互换使用。

由于网络安全是一个相当复杂的领域，因此我们编写了一份简短的指南，内容涵盖了关于SSL/TLS虚拟专用网络解决方案的所有相关信息，以及它们在现代工作场所中的应用。

SSL VPN协议定义

SSL VPN利用安全套接层协议来加密用户与远程网络之间的连接。这种技术使得无需安装任何额外软件即可安全地访问各种Web应用程序。由于浏览器兼容性良好且操作简便，SSL VPN非常受欢迎。

SSL VPN的类型

全部SSL/TLS虚拟私有网络它依赖于TLS协议。当通过大多数现代网络浏览器或应用程序将用户引导到内部的HTTP和HTTPS服务时，TLS协议被用于进行身份验证。

一般来说，SSL VPN可以分为两大类。

SSL门户VPN

SSL VPN入口点使得能够进行一次性的连接，以访问远程网站。就像任何使用HTTPS保护的网页一样。经过身份验证的用户会看到一个门户网站，该门户可以访问组织网络上的各种资源。

这种设置最适合那些只能通过浏览器访问的资源。不过，如果你需要运行一些传统应用程序或网络服务的话，这种设置可能并不理想。为了解决这个问题，你的网络管理员需要进行一些调整，才能使其正常工作。

SSL隧道VPN

VPN隧道并不像那些超出浏览器功能的SSL门户VPN那样存在同样的限制。SSL隧道是一种……它充当了用户设备与VPN服务器之间的中介角色。服务器上的网关充当了将用户引导到组织网络服务、网站以及其他资源的桥梁角色。

这种设置需要安全的隧道传输机制，同时还需要一个能够完成相关功能的客户端应用程序。不过，这种方法也意味着可以同时建立多个连接，从而更容易利用各种网络服务。

SSL VPN的重要性

SSL VPN主要用于保护客户端与企业网络之间的远程访问和网络级访问。以下是这项技术的主要优势。

• 兼容性。SSL VPN设置的最大优势之一在于，它依赖于标准化的TLS协议。目前所有主流浏览器，如Chrome和Firefox，都原生支持TLS协议。这大大简化了网络管理员为用户配置终端设备的过程。此外，浏览器还会定期更新，这也使得网络管理员无需再亲自处理这些复杂的设置流程了。
• 易于维护。与那些需要特定驱动程序和软件安装的传统VPN客户端不同，SSL VPN基于广泛使用的网络客户端进行工作。 这意味着用户无需安装任何额外的软件，该解决方案可以在各种操作系统上顺利运行，而无需额外的操作。 至于更新和整体维护方面，由于该软件与一些流行的网络浏览器一起提供，因此一旦有更新发布，这些更新就会自动被安装到系统中。 网络管理员无需担心，也不必手动处理这些更新操作。
• 高度可定制。SSL VPN在传输层进行通信，因此，对流量的控制更为简单。这样一来，就可以轻松地为内部公司资源创建安全的通道，同时，对公共资源或应用程序的控制则相对较弱。
• 提升了访问安全性。SSL VPN只能被配置为允许对特定应用程序进行精确的访问控制。这意味着用户无法完全进入整个企业网络，从而降低了对公司造成潜在威胁的风险。虽然可以实现远程访问，但这种方式不会危及企业的整体安全。

IPsec与SSL VPN的比较

在部署VPN时，网络管理员需要做出关于选择IPsec还是SSL的决定。这两种加密方式各有优缺点，因此在某些应用场景下，它们各自的优劣程度也有所不同。

特点/特征

IPsec VPN

SSL VPN

网络层

连接性

应用程序/软件

网关位置

安全控制措施

终点/端点

OSI模型各层

这两种协议都属于OSI模型中的不同层次。OSI模型描述了互联网的基本功能结构。例如，IPsec协议工作在OSI模型的网络层。而SSL则工作于应用层。这意味着，SSL会加密HTTP流量，而不是直接对IP数据包进行加密。

实施/执行

由于IPsec远程访问的运作方式，需要在用于建立安全连接的设备上安装VPN软件。根据所使用的软件类型，您的组织还需要为每位用户配置相应的软件许可证，并设置他们的终端设备。这比使用SSL方式要复杂得多，因为SSL是由所有网络浏览器原生支持的。

访问控制

IPsec VPN的一个潜在风险是，所有连接的用户都相当于该网络的平等成员。虽然这种方式可以让企业看起来就像直接位于企业的内部一样，但实际上它会带来很大的安全风险。因此，使用IPsec VPN的企业需要为不同的账户提供不同的访问权限，这可能会变得相当繁琐。相比之下，SSL VPN则更容易配置，可以实施更个性化的访问策略。这样，就可以明确指定可以访问的内容以及访问方式。

本地应用与云应用之间的区别

在考虑本地应用与云应用时，IPsec VPN通常最适合用于传统的本地应用。其原因是，远程用户通过内部网络而不是公共互联网来访问这些应用，因此由于依赖网络层，操作会更加简单方便。

与此同时，基于云的SaaS应用程序只能通过公共互联网进行访问。这种连接方式使得与SSL VPN的集成变得非常容易。因此，这类应用程序非常适合用于基于云的应用场景。不过，它们可能会与本地部署的应用程序存在兼容性问题。

为什么SSL VPN技术非常重要呢？

随着员工越来越频繁地通过远程方式访问工作环境，确保安全的远程访问变得至关重要。而SSL VPN正是解决这一问题的有效手段。尤其是当越来越多的组织选择使用SaaS服务来代替本地托管的服务时，SSL VPN就显得尤为重要了。

SSL VPN在市场中占据着独特的地位，因为它们可以很容易地在任何设备上进行设置和使用，而不需要复杂的操作步骤。这使得这种技术既适合企业使用，也适合远程用户使用。当全球分布的员工需要能够使用公司的资源时，SSL VPN的重要性不言而喻。

SSL VPN的应用场景

企业和组织使用SSL VPN设备来执行多种功能。以下是目前企业在中使用SSL VPN的方式。

业务连续性

SSL VPN技术可以动态地部署到几乎任何能够接入互联网的设备上（只要该设备配备了支持SSL协议的浏览器）。对于那些希望实现轻松扩展功能的企业来说，SSL VPN是一种近乎完美的解决方案。用户端不需要在设备上安装任何额外的软件（除了SSL证书之外）。SSL VPN的部署方式非常简单，因此能够更轻松地实现远程用户的快速融入工作环境，同时还能为他们提供必要的资源。

额外的认证层

远程访问通常伴随着风险，因为用户会接入那些未被管理的网络（通常是无人监管的设备）。为了确保远程连接的人确实就是声称的身份，必须进行身份验证。由于SSL VPN技术本身就具备身份验证功能，因此使用SSL技术时，通常需要再增加一层身份验证机制。此外，SSL VPN还支持与RADIUS服务器结合使用，从而利用用户提供的加密令牌来实现身份验证。

安全健康检查

SSL VPN产品通常能够对每个入站连接进行安全检查。有些工具会检查用户的身份凭证，而另一些则会检测特定的软件或证书。这样，网络管理员就能更好地控制谁可以进入组织的网络环境。此外，还可以采取一些额外的预防措施，比如检测被破解的设备的存在，以保护那些安全性受到威胁的设备。

集中式访问控制

SSL VPNs能够为企业资源提供精细化的控制功能，因为它们提供了集中的访问管理手段。这意味着网络管理员可以精确地制定访问规则。有了这样的限制机制，数据泄露的风险就会大大降低，因为黑客的横向移动也会受到严格限制。此外，当员工的职责发生变化时，访问权限也可以轻松地被撤销，从而更容易确保整个网络系统的安全性。

总结

SSL/TLS VPN解决方案完全能够保护在线流量的机密性和完整性。由于设置非常简单，通常只需要一个网络浏览器即可使用，因此这类解决方案非常受企业和用户的青睐。企业们也认可其能够与基于云的基础设施进行互操作，同时具备较高的安全性。作为网络安全解决方案，SSL VPN并非最新的技术，但它确实能够为企业的防御体系提供额外的保障。

此外，SSL VPN还提供了其他优势，比如身份验证以及安全健康检查功能。该协议还可以进行进一步的优化，以满足现代企业的需求。其最大的优点在于能够为每个业务场景提供加密连接。