SSLVPN指的是基于安全套接层协定(Security Socket Layer-SSL)建立远程安全访问通道的VPN技术。它是近年来兴起的VPN技术，其套用随着Web的普及和电子商务、远程办公的兴起而发展迅速。

SSL协定主要是由SSL记录协定和握手协定组成，它们共同为套用访问连线提供认证、加密和防篡改功能。SSL握手协定相对于IPSEC协定体系中的IKE(网际网路密钥交换协定)协定，主要是用于伺服器和客户之间的相互认证，协商加密算法和MAC(Message Authentication Code-讯息认证码)算法，用于生成在SSL记录协定中使用的加密和认证密钥。SSL记录协定是为各种套用协定提供基本的安全服务，类似于IPSEC的传输模式，应用程式讯息参照MTU(最大传输单元)被分割成可治理的数据块(可进行数据压缩处理)，并产生一个MAC信息，加密后插入新的报头，最后在TCP中加以传输;接收端将收到的数据解密，做身份验证(MAC认证)、解压缩、重组数据报然后交给套用协定进行处理。实际上就是在套用层和传输层之间加入了一个数据处理层，和传统的网路套接字模型在同一层次，这也就是安全套接层的由来。

IPSec VPN採用的是IPSec协定，其典型部署是在Site-to-Site端点到端点的网路环境中。IPSec是网路层的VPN技术，它独立于应用程式，以自己的封包封装原始IP信息，因此可隐藏所有套用协定的内容，一旦IPSec建立加密隧道后，就可以实现各种类型的连线。IPSec以其相对较高的吞吐量以及安全性，被很多企业所接受。

但是，部署IPSec需要对网路基础设施进行重大改造，花费的人力物力甚巨，同时IPSec VPN在解决远程安全访问时有几个比较大的缺点:

虽然数据在传输过程中是加密的，但是IPSecVPN对于终端安全检查却是零，这一点相信企业的网路管理者深有感触，其表现为：

第一、IPSec的用户验证方式单一併且简单，它无法明确区分使用该终端的人是否是可 授权的指定用户，管理员无法準确知晓究竟是谁在利用VPN使用区域网路资源；

第二、IPSec无法对终端设备软体系统的安全性做出评估，无法检查终端用户的套用环境，断开VPN连线后，所有曾经访问过的cookie、URL等均保留在终端，增加了不安全因素；

第三、IPSec VPN隧道一旦建立，用户的PC机就像在公司区域网路内部一样，用户能够直接访问公司全部的套用，由此会大大增加风险；

第四、VPN登入之后的所有操作都是直接作用在被访问资源上的，由于缺乏必要的终端检查，致使区域网路资源受损的几率很高；

第五、IPSec针对用户或用户组的授权访问，实现起来非常困难，无法根据用户性质进行分权，这是管理员很头疼的问题，无法实现分权就只能有限地开放网路资源，网路不能有效地用于生产生活。

IPSec最适合的环境是固定办公区域，移动办公用户需要安装客户端软体才能建立加密隧道，但并非所有客户端环境均支持IPSec VPN的客户端程式。终端用户可能需要做出类似重新安装系统那样複杂的操作，才能使用；

IPSec VPN的连线性还会受到网路地址转换（NAT）或网关代理设备（proxy）的影响，终端用户如果身处外部网路，想使用IPSec VPN连线，如何穿透防火墙将是一大难题，不适合用作移动用户，如家庭、网咖，宾馆等上网用户；

从投资的角度看IPsec VPN。要真正建立IPSec VPN，单单有VPN硬体设备和客户端软体是很不够的。如果没有防火墙和其他的安全软体，客户端机器非常容易成为黑客攻击的目标。这些客户端很容易被黑客利用，他们会通过VPN访问企业内部系统。

这种黑客行为越来越普遍，而且后果也越来越严重。例如，如果员工从家里的计算机通过公司VPN访问企业资源，在他创建隧道前后，他十几岁的孩子在这台电脑上下载了一个感染了病毒的游戏，那幺，病毒就很有可能经过VPN在企业区域网路内传播。另外，如果黑客侵入了这台没有保护的PC，他就获得了经过IPSec VPN隧道访问公司区域网路的能力。因此，在建设IPSec VPN时，必须购买适当的安全软体，这个软体的成本必须考虑进去也是很高的。

IPSec VPN最大的难点在于客户端需要安装複杂的软体，需要经过培训才能够掌握。而且当用户的VPN策略稍微有所改变时，其管理难度将呈几何级数增长。客户端软体的维护带来了人力开销，而这是许多公司希望能够避免的。

部署IPSec VPN之后，另外一些安全问题也会暴露出来，这些问题主要与建立了开放式网路连线有关。除此以外，除非已经在每一台计算机上安装了管理软体，软体补丁的发布和远程电脑的配置升级将是一件十分令人头疼的任务。

SSL VPN採用的是SSL协定，与IPSec VPN相比，SSL VPN具有如下优点：

SSL VPN的客户端程式，如Microsoft Internet Explorer、Netscape Communicator、Mozilla等已经预装在了终端设备中，因此不需要再次安装；

SSL VPN可在NAT代理装置上以透明模式工作；

SSL VPN不会受到安装在客户端与伺服器之间的防火墙等NAT设备的影响，穿透能力强；

SSL VPN将远程安全接入延伸到IPSec VPN扩展不到的地方，使更多的员工，在更多的地方，使用更多的设备，安全访问到更多的企业网路资源，同时降低了部署和支持费用；

· 客户端安全检查和授权访问等操作，实现起来更加方便。

SSL VPN可以在任何地点，利用任何设备，连线到相应的网路资源上。IPSec VPN通常不能支持複杂的网路，这是因为它们需要克服穿透防火墙、IP位址冲突等困难。所以IPSec VPN实际上只适用于易于管理的或者位置固定的地方。可以说从功能上讲，SSL VPN是企业远程安全接入的最佳选择。

但是虽然SSL VPN具有以上众多的优点，却由于SSL协定本身的局限性，使得性能远低于使用IPSec协定的设备。用户往往需要在简便使用与性能之间进行痛苦选择。这也是SSL VPN始终无法取代IPSec VPN的原因。

SSL VPN由于其强大的功能和实施的方便性套用越来越广泛，市场上的SSL VPN品牌也越来越多，如何选择适合自己的产品是需要用户仔细考虑的一个问题，本文从下面几个方面描述如何选择SSL VPN产品:

1.1套用需求:

选择VPN是为了支持远程访问内部网路的套用，因此这一点也是最先需要考虑的一点，目前，大多数SSL VPN支持我们日常经常会用到的邮件系统、OA系统、CRM/ERP等等，但并不是所有的套用SSL VPN都能够提供支持，如动态连线埠的套用就只有部分SSL VPN能够提供支持。因此，在决定使用一款SSL VPN前一定要先确定是否能支持你的套用。

1.2安全需求:

要构建一个安全的系统，不仅仅需要传输过程安全，还要提高系统安全性，以下几个方面是缺一不可的:

1)传输过程安全

传输的过程加密强度是确保内部数据不在传输过程中被黑客盗取的关键因素。传输过程加密强度越高，传输安全性就越有保障。目前，拥有128位加密以上的SSL VPN产品是比较适宜的，56位DES加密相对强度低，选择时需要特别注意。

2)用户身份验证

用户名加密码的验证方式安全性相对较低，除了用户名和密码外，能提供其他的双因素验证方式的产品更加具有优势，如支持PKI体系等。

3)客户端设备的安全性:

客户端设备是否安装了个人防火墙、防病毒软体等。如果客户端设备不够安全，比如有木马程式，那幺系统依然存在安全隐患。目前部分SSL VPN能够提供客户端环境检测，比如检测客户端是否安装了防火墙和防病毒软体。

4)完成访问后，客户端需要清除客户端机器的快取

在移动用户完成远程访问后，是否就万事大吉了呢?当然不是，黑客或不法分子可以通过拷贝、複製驻留在客户端缓冲区内数据盗取企业机密。

5)服务端的日誌跟蹤

SSL VPN伺服器应该提供访问统计和跟蹤功能，这样管理员能够根据日誌随时掌握系统访问情况。

对于以上这些安全特性，SafeNet iGate SSL VPN均能够提供支持。

1.SafeNet iGate 使用高强度的128位加密技术。

2.对于远程移动用户，iGate能够结合PKI体系以及本地活动目录，值得一提的是，SafeNet独有的iKey双因素身份认证USB Key与iGate SSL VPN完美结合，充分实现安全的双因素身份验证功能。

3.SafeNet iGate支持客户端环境检测功能，SafeNet iGate能够设定访问策略，当客户端不符合某个条件时，系统将禁止用户登入。

4.为此，SafeNet iGate在用户离线后可自动清除用户缓冲区的内容。另外，在拔除iKey后，访问也会自动中断。

5.SafeNet iGate在用户界面上集成了日期查询功能，能够非常方便的进行日誌跟蹤。

1.3易于管理和维护，使用操作性强

SSL VPN的突出优势之一就在于移动性强、易用性强。但这些特性往往会增加管理难度。因此用户在选购SSL VPN时要重点考虑产品的管理性能。产品要做到界面简单，使用方便，灵活、细緻地设定访问许可权,採用基于用户/组/角色的认证机制，每个档案、网址或套用都可进行单独设定，使访问控制更易于管理。

SafeNet iGate 提供两个Web方式的管理UI，一个是Simple-UI，一个是Classic-UI，把常用的设定和不常用的设定分别开来，这样大大降低了管理维护的複杂性。

1.4性能

由于是集中系统，SSL加速决定整个网路的吞吐量。如果SSL加速跟不上，远程接入就会比实际的Internet接入频宽低很多。有的SSL VPN产品採用专门的SSL加速硬体，从而提高了VPN的回响速度。另外，通过数据压缩技术，还对所有的传输数据进行压缩后再进行传输，这样就提高了整个网路的运行效率和实用性。

SafeNet iGate配置硬体SSL加速卡，能够大大提高访问速度，另外iGate 还提供数据压缩功能，能够大大增加网路吞吐量。

1.5服务

除了上面提到的几点外，具有良好服务也至关重要。SSL VPN还是一个在不断发展的技术，更新的可能会比较快，提供SSL VPN的厂家是否具有良好的产品服务质量、渠道回响速度和本地支持能力也非常重要。比如承诺免费或低费用升级，等等。

结束语

SSL VPN的发展迎合了用户对低成本、高性价比远程访问的需求。现在，它已经广泛套用于各行各业。选购SSL VPN时，用户还要根据自身特点和不同的业务模式，选择适合自己的SSL VPN产品，再次强调，VPN是正在发展的技术，更新换代可能会比较快，因此用户在选购时可以少考虑一些扩展性，多注重产品的实用性。毕竟，只有适合自己的，才是最理想的选择。