隨著電子商務、企業信息化、教育信息化等信息化進程的推進，整個社會的信息化程度不斷提高。在人們的工作、生活中，信息處理變得越來越重要了。而作為信息處理的一種典型模式，企業等各類社會組織的“內部資源處理系統”迅速地發展起來，并逐步成為組織的各種業務的基礎設施。在這些內部資源系統的服務器和主機上，配置了大量的業務處理應用軟件，存放了越來越多的數據。這些資源（軟件和數據）與組織的各種業務緊密相關，已經成為組織的重要財富，在企業的發展中起著重要的作用。在全球化的商業環境中，一個大型的跨國企業可能在全世界都有其子公司或是分支機構，那么如何安全快速的遠程訪問企業內部資源呢。目前企業內部資源的遠程訪問只能達到對內部文件的共享。多數的應用也不可能作到本地辦公室一樣的方便。

　　隨著中國進入WTO和經濟全球化的進程，企業為了提高工作效率和競爭能力，遠程訪問、移動辦公已經成了各種社會組織的普遍需要。由于Internet的普及和發展，通過 IPSec VPN技術實現大量數據的遠程訪問為人們提供了一種低運行成本、高生產效率的遠程訪問方式。但是，IPSec VPN也有不足，它使用十分復雜，必須安裝和維護客戶端軟件。另外，從遠程通過IPSec通道連接到企業內部網絡可能會增加局域網受到攻擊或被病毒感染的可能。SSL VPN(安全套接層虛擬專網)技術的出現剛好解決的這一問題。 SSL VPN技術幫助用戶通過標準的Web瀏覽器就可以訪問重要的企業應用。這使得部門員工出差時不必再攜帶自己的筆記本電腦，僅僅通過一臺接入了Internet的計算機就能訪問企業資源，這為企業提高了效率也帶來了方便，同時很好的解決了安全性問題。

　　SSL VPN原理

　　如果把SSL 和VPN 兩個概念分開，大家對他們的含義應該都非常清楚，但是作為一種新技術，它們之間是如何結合起來的大家也許還不是很了解。從學術和商業的角度來講，因為他們代表的含義有所不同，因而常常會被曲解。

　　SSL（安全套接層）協議是一種在Internet上保證發送信息安全的通用協議。它處于應用層。SSL用公鑰加密通過SSL連接傳輸的數據來工作。SSL協議指定了在應用程序協議（如HTTP、Telnet和FTP等）和 TCP/IP協議之間進行數據交換的安全機制，為TCP/IP連接提供數據加密、服務器認證以及可選的客戶機認證。SSL協議包括握手協議、記錄協議以及警告協議三部分。握手協議負責確定用于客戶機和服務器之間的會話加密參數。記錄協議用于交換應用數據。 警告協議用于在發生錯誤時終止兩個主機之間的會話。

　　VPN（虛擬專用網）則主要應用于虛擬連接網絡，它可以確保數據的機密性并且具有一定的訪問控制功能。VPN是一項非常實用的技術，它可以擴展企業的內部網絡，允許企業的員工、客戶以及合作伙伴利用Internet訪問企業網，而成本遠遠低于傳統的專線接入。過去，VPN 總是和IPSec 聯系在一起，因為它是VPN 加密信息實際用到的協議。IPSec 運行于網絡層，IPSec VPN 則多用于連接兩個網絡或點到點之間的連接。
　　
　　所謂的SSL VPN，其實是VPN設備廠商為了與IPsec VPN區別所創造出來的名詞，指的是使用者利用瀏覽器內建的Secure Socket Layer封包處理功能，用瀏覽器連回公司內部SSL VPN服務器，然后透過網絡封包轉向的方式，讓使用者可以在遠程計算機執行應用程序，讀取公司內部服務器數據。它采用標準的安全套接層（SSL）對傳輸中的數據包進行加密，從而在應用層保護了數據的安全性。高質量的SSL VPN解決方案可保證企業進行安全的全局訪問。在不斷擴展的互聯網Web站點之間、遠程辦公室、傳統交易大廳和客戶端間，SSL VPN克服了IPSec VPN的不足，用戶可以輕松實現安全易用、無需客戶端安裝且配置簡單的遠程訪問，從而降低用戶的總成本并增加遠程用戶的工作效率。而同樣在這些地方，設置傳統的IPSec VPN非常困難，甚至是不可能的，這是由于必須更改網絡地址轉換（NAT）和防火墻設置。

　　SSL VPN的實現
　　
　　簡單的來講，SSL VPN一般的實現方式是在企業的防火墻后面放置一個SSL代理服務器。如果用戶希望安全地連接到公司網絡上，那么當用戶在瀏覽器上輸入一個URL后，連接將被SSL代理服務器取得，并驗證該用戶的身份，然后SSL代理服務器將提供一個遠程用戶與各種不同的應用服務器之間連接。掌握四個關鍵術語的含義有助于理解SSL VPN是如何實現的。即：代理、應用轉換、端口轉發和網絡擴展。

　　SSL VPN網關至少要實現一種功能：代理Web頁面。它將來自遠端瀏覽器的頁面請求（采用HTTPS協議）轉發給Web服務器，然后將服務器的響應回傳給終端用戶。

　　對于非Web頁面的文件訪問，往往要借助于應用轉換。SSL VPN網關與企業網內部的微軟CIFS或FTP服務器通信，將這些服務器對客戶端的響應轉化為HTTPS協議和HTML格式發往客戶端，終端用戶感覺這些服務器就是一些基于Web的應用。

在進行代理和應用轉換時，測試者發現，這些產品之間存在著很大的差別。有的產品所能支持的應用轉換器和代理的數量非常少。有的則很好地支持了FTP、網絡文件系統和微軟文件服務器的應用轉換。 用戶在選擇網關時，必須對自己所需要轉換的應用有一個很明確的了解，并能夠根據它們的重要性給它們排個先后順序。

　　而有一些應用，如微軟Outlook或MSN，它們的外觀會在轉化為基于Web界面的過程中丟失。此時要用到端口轉發技術。端口轉發用于端口定義明確的應用。它需要在終端系統上運行一個非常小的Java或ActiveX程序作為端口轉發器，監聽某個端口上的連接。當數據包進入這個端口時，它們通過SSL連接中的隧道被傳送到SSL VPN網關，SSL VPN網關解開封裝的數據包，將它們轉發給目的應用服務器。使用端口轉發器，需要終端用戶指向他希望運行的本地應用程序，而不必指向真正的應用服務器。

　　一些SSL VPN網關還可以幫助企業實現網絡擴展。它將終端用戶系統連接到企業網上，并根據網絡層信息（如目的IP地址和端口號）進行接入控制。雖然犧牲了高級別的安全性，卻也換來了復雜拓撲結構下網絡管理簡單的好處。

　　SSL VPN的優勢

　　在最重要的安全性方面，由于SSL協議本身就是一種安全技術，因此SSL VPN就具有防止信息泄漏、拒絕非法訪問、保護信息的完整性、防止用戶假冒、保證系統的可用性的特點，能夠進一步保障訪問安全，從而擴充了安全功能設施。首先SSL VPN可以實現128位數據加密，保證數據在傳輸過程中不被竊取，確保ERP數據傳輸的安全性。其次，多種認證和授權方式的使用能夠只讓“正確”的用戶訪問內部網絡，從而保護了企業內部網絡的安全性。

　　在應用性方面，SSL VPN不需要安裝客戶端軟件。遠程用戶只需借助標準的瀏覽器連接Internet，即可訪問企業的網絡資源。這樣盡管購買軟件和硬件的費用不一定低，但是 SSL VPN的部署成本卻很低。只要安裝了SSL VPN，基本上就不需要IT部門的支持了，所以維護成本可以忽略不計。對于那些只需進入企業內部網站或者進行E-mail通信的遠程用戶來說，SSL VPN顯然是一個價廉物美的選擇。此外，SSL VPN連接要比IPSec VPN更穩定，這是因為IPSec VPN是網絡層連接，故容易中斷。除此之外，在管理維護和操作性方面，SSL VPN方案可以做到基于應用的精細控制，基于用戶和組賦予不同的應用訪問權限，并對相關訪問操作進行審計。此外，SSL VPN還提高了平臺的靈活性，方便擴展應用和增強性能，尤其是在降低使用成本、最有效地保護用戶投資這一敏感話題上，SSL VPN贏得了用戶最終的好感。

　　更值得一提的是，當今Web成為標準平臺已勢不可擋，越來越多的企業開始將系統移植到Web上。而SSL VPN通過特殊的加密通訊協議，被認為是實現遠程安全訪問Web應用的最佳手段，能夠讓用戶隨時隨地甚至在移動中連入企業內網，將給企業帶來很高的利益和方便。

　　無疑，伴隨企業信息化程度的加深，遠程安全訪問、協同工作的需求會日益明顯，SSL VPN技術由于擁有全方位的優勢，取代傳統的組網技術成為主流已為時不遠。

　　SSL VPN的應用

　　SSL VPN可以為企業提供多種遠程訪問的服務。就下面常用服務進行介紹：
　　
　　E-mail：對于企業來說，電子郵件通信是一個很基本的功能。IPSec VPN可以保護郵件系統的安全性，但是IPSec VPN需要安裝客戶端軟件并且連接企業網絡，然后才能使用內部的郵件系統。如果員工使用他人的電腦設備或者在其他的的網絡中時，就會面臨對方防火墻的地址轉換和安全策略帶來的障礙，無法連接企業網絡，從而無法使用內部郵件系統。外出的工作人員在酒電里由于這些問題無法連接到企業內部網絡是非常另人頭疼的問題。SSL VPN提供了一個比較好的方案，員工使用任何一個帶有瀏覽器的電腦就可以訪問基于Web的電子郵件系統，通過SSL VPN建立的安全通道收發郵件。SSL VPN還會把企業內部所有的域名和服務器地址隱藏起來，以提高企業網絡的安全性。

　　內部網訪問：即使不在辦公室，企業員工也需要使用內部網中的一些文件資源，但是一般情況下企業不會開放整個內部網絡以實現文件訪問。SSL VPN可以讓企業員工在任何地方，使用任何一個包含瀏覽器、連接到Internet的接入設備，實現對內部特定資源的訪問。

　　面向合作伙伴的網絡資源：為了提高工作效率和加強合作關系，企業通常會對合作伙伴開放內部站點和網絡資源。考慮到企業信息的保密性，如何能保證只有指定的合作伙伴才能訪問相應的資源，以及保證信息在網絡上傳遞時不被截獲，就成為企業必須解決的問題。IPSec VPN在部署時無法保證對最終用戶的訪問限制，即只允許合作伙伴訪問內部網絡中的指定資源，而且部署IPSec VPN會要求更改合作伙伴防火墻的安全策略，這是很難實現的。SSL VPN則完全不存在上述問題，企業甚至可以限制某一個合作伙伴只能訪問一個站點中的某些頁面和文件夾，并且不需要修改合作伙伴的安全策略，只要合作伙伴能夠訪問Internet即可。

　　目前形式

　　隨著Web應用的增多以及遠程接入需求的增長，SSL VPN正在成為一個熱門市場。雖然目前大部分的遠程接入服務都是由IPSec VPN來實現的，不過業內人士指出，大約90%的企業利用IPSec VPN只是用來進行電子郵件通信以及訪問Web應用，只有10%的用戶利用IPSec VPN訪問非Web應用。也就是說目前90%的IPSec VPN應用都可以被SSL VPN來實現，而SSL VPN更加容易配置和管理，實現成本要比IPSec VPN低很多。 經過幾年的發展，如今許多的大型公司對SSL VPN技術趨之若鶩，吸引著包括思科、諾基亞、Array Networks等在內的國際知名廠商。目前，幾乎所有的主流商業瀏覽器都集成了SSL，實施SSL VPN不需要再安裝額外的軟件。Infonetics預測，在未來幾年，SSL VPN設備的全球銷售將會出現持續增長。SSL VPN為運營商提供了新創收機遇，它為運營商及最終用戶創造的優勢是以往任何技術都無法比擬的。現在，SSL VPN在一些1級運營商中的部署獲得成功，SSL VPN高速發展的時機已經到來。