SSL（安全套接层 Secure Sockets Layer）是Internet上应用最为广泛的安全协议。SSL协议提供了数据私密性、端点验证、信息完整性等特性。企业通过Internet数据传输平台，实施加密的、安全的远程接入的办法主要有两种：一种是IPsec VPN，另一种是SSL VPN。两种技术在不同领域各有其优势，当企业需要安全的站点对站点连接，IPSec/IKE是最适合的解决方案，而SSL VPN则最适合下述情况：

• 当企业需要通过互联网（笔记本型计算机、家用个人计算机、Internet信息站点接入）达到广泛而全面性的、安全的信息存取；
• 企业在不需要在客户端计算机安装任何客户端软件，从而减客户端软件的维护成本。

推荐产品： Aventail  Nokia  Juniper…..

解决方案　　

SSL VPN解决方案是一种基于SSL技术的新型VPN解决方案，它的访问代理提供安全访问企业内部各种应用环境的能力，SSL VPN使用SSL/HTTPS技术作为安全传输机制，这种机制在所有的标准Web浏览器上都有，不用额外的软件实现。而且因为SSL VPN在应用层实现，对应用的更进一步的细化控制也成为可能，使它对移动员工和来自非安全点的用户来说尤为理想。

我们建议将SSL VPN网关部署于公司防火墙内（一般位于DMZ区域），通过在防火墙上配置NAT，提供VPN网关在Internet访问的IP地址，对其他的现有网络不需进行任何修改。由于SSL VPN远程接入产品是坚固可靠的应用层网关，采用应用层的安全策略后，内部的应用服务器可以得到有效保护，而不必将内部服务器的第4层端口完全暴露给Internet，前端的防火墙上也只需开放 SSL（TCP 443）端口即可,这可以大大提高内部服务器的安全性。目前的SSL VPN技术除了对web和email等应用的支持外，对非web的许多包括B/S,C/S应用也提供很好的支持，SSL VPN网关将这些应用转化为SSL标准数加密据流，但并不影响这些应用。

产品部署

1. 网络中心产品部署

• 网络中心要求有固定IP地址Internet专线，接入方式不限（DDN、城域网、固定地址的XDSL等）。
• SSL VPN网关接入DMZ区域。
• 防火墙上配置SSL VPN 网关的NAT，并开放允许Internet访问的Https（443）端口；
• 防火墙上配置允许SSL VPN 网关访问资源的安全策略；
• 通过浏览器或者专用客户端对SSL VPN网管进行管理，完成允许访问的资源定义 ，访问策略等；

2. 远程移动用户产品部署

• 需要接入的客户端不需要安装任何软件，通过Web浏览器（IE）先登陆到SSL VPN网关，网管会赋予客户端不同登陆用户名不同的访问权限；
• 登陆VPN网关后，客户端可以象局域网一样访问企业内部资源；

方案特性

• 广泛的应用支持，支持目前TCP/IP的所有协议，包括TCP、UDP和ICMP;支持企业内部所有的应用，如Microsoft Outlook，Lotus Notes，SAP，Oracle，Citrix等
• 用户操作的易用性：智能化访问技术，单点登录(Single Sign-On)
• 终端安全控制技术：认证前对客户端的安全扫描、策略区域技术、缓存控制技术、安全虚拟桌面
• 设备配置、管理的简单化：基于对象的策略管理技术、多组成员支持、统一的策略管理
• 系统扩展性和高可用性

方案优点

• 简易性：无客户端软件配置、不需要用户经验、现有目录授权制度的继承、与你现有的基础设施整合；
• 安全性：加密的SSL协议、更安全的企业内部网络、粒状的制度管理控制、多种用户认证方法的支持、额外的安全特性、高级的会话清除技术、高级的会话保护技术；
• 总体拥有成本更低；

典型案例

• 中银国际证券SSL VPN接入项目
• 以莱特VPN接入项目