專家教你SSL VPN部署的注意事項，SSL VPN部署不當就會出現掉線，斷流等等問題。深入了解SSL VPN部署配置中的細節問題對于我們而言是一件很重要的事情，接下來就要詳細地介紹相關知識。

幾年前，如果想把局域網擴展到組織機房以外的區域，撥號/專線幾乎是唯一的選擇。隨著技術不斷的改進，組織經歷了Modem撥號、DDN、Frame Relay(幀中繼)、ATM和SDH的不斷演變，但專線的成本高昂和缺乏彈性的特點從未得到徹底改變。Internet的發展給我們帶來了虛擬專用網絡(VPN)，通過利用無所不在的互聯網，VPN把經濟性和部署彈性發揮到了更高的水準，成為了取代專線的首選方案。

在TCP的網絡層，IPSec協議通過預共享密鑰和高強度加密算法實現了局域網的安全互聯，讓組織的分支機構融合到了總部的局域網，分支機構可以根據其網絡規模和使用人數選擇和總部連接的方式，硬件VPN網關，或是VPN客戶端，前者部署在分支機構的局域網，后者直接安裝在使用者的PC操作系統上。

然而，組織的成員不會永遠安坐在辦公室，當他們“移動”起來時，例如回到家中、參加會議、出差考察，環境的頻繁變化讓IPSec難以應對。組織的外界環境迅速膨脹，合作伙伴、股東、審計部門、供應商、經銷商都被納入了組織的網絡外延，他們需要接入到組織的內網，以訪問他們所關心的應用資源和數據報表。

IPSec的部署問題會讓企業的網絡人員成為合作伙伴 “公用”的網管。IPSec客戶端不停的安裝、調試和維護將會成為網管人員生活中不可或缺的一部分，無論你是在工作時間還是8小時之外。

問題還遠沒有結束，基于IPSec是網絡層協議的前提，當遠程設備從Internet接入后將被虛擬成局域網內的一臺PC，也就是獲得了局域網的所有使用權限。這是相當危險和難以控制的。如果這臺接入的設備攜帶了病毒、蠕蟲，局域網也會很快地受到感染，使網絡人員精心構建的安全城墻在一瞬間灰飛煙滅。

SSL(安全套接層)VPN被視為IPSec VPN的互補性技術，在實現移動辦公和遠程接入時，SSL VPN部署更可以作為IPSec VPN的取代性方案。SSL協議由網景公司提出，是一種基于WEB應用的安全協議，包括服務器認證、客戶認證(可選)、SSL鏈路上的數據完整性和數據保密性。

所有標準的WEB瀏覽器均已內建了SSL協議。采用SSL協議的設備并不等同于SSL VPN部署，除非它利用SSL協議實現對WEB及各種使用靜態或動態端口的服務做支持。我們舉個例子，看看SSL VPN部署是如何在組織中應用的。

A是一家大型的國際集團，擁有3家上市子公司、7個研發中心和20余個生產基地，辦事處和員工遍布全球。在A集團中心機房的服務器集群中部署了ERP系統、客戶關系管理系統(CRM)、郵件系統、辦公自動化系統、文件服務器，以及一些定制化的集團應用。

集團規模不斷擴大，已有50%的人員分布在企業總部以外，而且這一比率還在不斷增加。人員在遠離總部的同時，他們離中心機房中的各種應用也“越來越遠”。集團總部的人員同樣也在隨時遠離總部，在家、在會場、機場、酒店、甚至在親友家中。

他們試圖利用各種設備，自己攢的兼容機、公司配備的筆記本、會場酒店提供的主機、自帶的PDA、MS CE操作系統的移動電話、甚至是親屬家的電腦，接入到總部的內網。這些人不是IT專家，但業務的不可中斷性激發了他們的移動辦公需求。

VPN工作在傳輸層和應用層之間，使用了瀏覽器自帶的SSL 協議，當集團的員工希望連接到總部網絡時，可以盡情使用手頭任何可接入Internet的設備。通過在瀏覽器中輸入總部SSL VPN部署的網絡地址，ActiveX控件會自動被下載并安裝，利用管理員發布的帳號和密碼，員工就可以隨時接入到內網。

傳統的SSL VPN部署只支持以web為基礎的應用，而如今的SSL VPN部署取得了很大的進步，通過端口轉發和應用重定向技術，在客戶端訪問常用的C/S應用已經輕而易舉。有些SSL VPN部署產品走得更遠，通過在客戶端和總部建立全三層的隧道實現了網絡擴展，你甚至可以在手持設備上使用Voip，通過SSH和Telnet管理局域網的網絡設備。

從你隔壁辦公室的電腦中下載其共享的mp3。如果員工是在公共場所使用SSL登陸，當客戶端長時間沒有操作時，SSL VPN會自動注銷其用戶，避免主機被其他人利用。當客戶端退出SSL后，其訪問的記錄和保存在瀏覽器中的Cache也會被自動清除，使訪問不留痕跡。

對于合作伙伴的接入，SSL VPN部署利用其所在網絡層的優勢，可以保證“端點到應用的安全”。在合作伙伴接入前，SSL VPN便啟用了其端點安全性掃描功能，通過對遠程終端操作系統、注冊表、進程、防火墻和殺毒軟件的檢測，確保了終端的安全策略符合管理員的要求才可接入。

另外，如今SSL VPN部署的豐富認證功能已經帶來了更好的接入靈活性和不可偽造性，CA證書、USB KEY、動態令牌、短信密碼，這些機制讓合法用戶的身份得到了最大程度的保障。對于A集團來說，其原料供應商、經銷商、投資人需要訪問的應用系統各不相同。

網絡管理人員可以將不同類型的合作伙伴歸為不同的用戶組，再為各個用戶組映射其需要訪問的資源。SSL VPN部署在防火墻等設備的內側，通過把需要合作伙伴訪問的資源映射到SSL VPN，網關處只需要開放443端口(HTTPS)即可，而不用開放任何有關內部資源的端口。

當外部受到攻擊時，黑客只能攻擊到SSL VPN為止，而內部應用對其來說是不可見的。當合作伙伴接入后，只能訪問管理員授權的應用。而通過IPSec接入，整個集團的內網將暴露在合作伙伴的屏幕上，無非給攻擊和內容泄漏敞開了大門。

對于管理員來說，詳細的日志功能是必不可少的。作為集團應用的部署和維護者，系統管理員有權知道有哪些人在何時登陸了VPN又是從何時注銷的，這些人訪問了何種資源，哪些資源的訪問量最大。而一個完善的SSL VPN日志系統將幫助管理員可以做到記錄和審計工作，這包括完整的用戶、管理員登陸信息統計，以及通過這些統計得到的圖形化報表，用來幫助管理員分析用戶訪問內部資源的規律和趨勢。

除了實現安全接入和移動辦公外，SSL VPN還有新的用武之地，其中之一是對專線內資源的保護。由于專網內往往存在不同的組織和部門，同一部門的資源并不希望被其他部門所訪問或竊取。但是這很難辦到。

無論是數據傳輸中的加密還是對訪問者的身份認證，傳統的安全策略都漏洞百出。例如應用系統的訪問基本都通過系統本身的認證來實現，如傳統的用戶名和密碼。靜態的口令容易泄漏，通過竊取到的密碼來冒充合法用戶的身份進入系統，未授權的用戶將會輕易的獲得敏感的數據，破壞正常的業務流程，進而給組織帶來重大的損失。

我們可以把SSL VPN部署在服務器前端用來做訪問保護，讓SSL VPN成為任何人訪問應用系統和數據庫的必經之路。結合CA系統，通過CA中心簽發的證書做雙向身份認證，有效地防止了街區重播、中間人欺詐等對身份認證的攻擊。

保證了業務系統用戶的合法身份;同時，利用SSL VPN的端點安全和隧道加密技術，保證了接入端的安全性，使系統的數據免遭安全隱患，而傳輸中的加密更可以保障應用交付過程中的數據加密，防止數據被專線內的不明身份者截取和破解。