真金也要火炼——透视SSL VPN的概念与选型

　　目前关于什么是SSL VPN的说法不一，也不乏有鱼目混珠的产品，打着SSL VPN的幌子欺骗用户。为帮助广大用户识别真假优劣，有必要探讨一下“什么是真正的SSL VPN”。

　　什么是SSL VPN

　　从概念角度来说，SSL VPN即指采用SSL（安全套接层）协议来实现远程接入的一种新型VPN技术。SSL协议是网景公司提出的基于WEB应用的安全协议，它包括：服务器认证、客户认证（可选）、SSL链路上的数据完整性和SSL链路上的数据保密性。对于内、外部应用来说，使用SSL可保证信息的真实性、完整性和保密性。

　　目前SSL 协议被广泛应用于各种浏览器应用，也可以应用于Outlook等使用TCP协议传输数据的C/S应用。正因为SSL 协议被内置于IE等浏览器中，使用SSL 协议进行认证和数据加密的SSL VPN就可以免于安装客户端。相对于传统的IPSEC VPN而言，SSL VPN具有部署简单，无客户端，维护成本低，网络适应强等特点，这两种类型的VPN之间的差别就类似C/S构架和B/S构架的区别。

　　一般而言，SSL VPN必须满足最基本的两个要求：第一，使用SSL 协议进行认证和加密。没有采用SSL 协议的VPN产品自然不能称为SSL VPN，其安全性也需要进一步考证；第二，直接使用浏览器完成操作，无需安装独立的客户端。即使使用了SSL 协议，但仍然需要分发和安装独立的VPN客户端（如Open VPN）不能称为SSL VPN，否则就失去了SSL VPN易于部署，免维护的优点了。

　　SSL VPN的变化

　　随着技术的进步和客户需求的进一步成熟的推动，当前主流市场的SSL VPN和几年前面市的仅支持WEB访问的SSL VPN已经发生很大的变化。主要表现在：

　　第一，对应用的支持更广泛。最早期的SSL VPN仅仅支持WEB应用。但目前几乎所有的SSL VPN都支持使用插件的形式、将TCP应用的数据重定向到SSL 隧道中，从而支持绝大部分基于TCP的应用。SSL VPN可以通过判断来自不同平台请求，从而自动安装不同的插件。