顧大明

摘要：SSL VPN作為構(gòu)建企業(yè)內(nèi)部網(wǎng)與互聯(lián)網(wǎng)的首選解決方案，現(xiàn)在正越來越多的引起人們注意，針對傳統(tǒng)的SSL VPN更多的局限于提供Web應(yīng)用的缺點，該文提出了基于隧道技術(shù)的SSL VPN解決方案，較好地解決了相關(guān)技術(shù)難題。

關(guān)鍵詞：隧道技術(shù)；SSL VPN；虛擬專用網(wǎng)

中圖分類號：TP393文獻(xiàn)標(biāo)識碼：A文章編號：1009-3044(2012)26-6215-02

隨著無紙互聯(lián)辦公的常態(tài)化，僅在企業(yè)內(nèi)部查閱資料、完成業(yè)務(wù)、通信交流已不能滿足企業(yè)及企業(yè)員工業(yè)務(wù)開展的需求，虛擬專用網(wǎng)VPN幫助企業(yè)解決了這一問題。它使得員工可以脫離傳統(tǒng)時間與空間的限制，在家中或任何網(wǎng)絡(luò)能夠覆蓋的地方隨時隨地、安全的遠(yuǎn)程接入企業(yè)網(wǎng)絡(luò)并訪問公司內(nèi)部重要資源，完成原本只有在企業(yè)內(nèi)才能完成的工作。

SSL VPN是基于SSL協(xié)議的虛擬專用網(wǎng)，它能夠有效增加企業(yè)對數(shù)據(jù)的訪問控制能力和提升數(shù)據(jù)與網(wǎng)絡(luò)的安全級別，是基于Internet的外網(wǎng)接入企業(yè)內(nèi)網(wǎng)和遠(yuǎn)程訪問公司敏感數(shù)據(jù)的最便捷和安全的解決方案。傳統(tǒng)的SSL VPN存在著網(wǎng)絡(luò)應(yīng)用支持單一、功能擴(kuò)展困難和系統(tǒng)性能低下等缺點，本文有針對性地提出基于隧道技術(shù)的改良SSL VPN企業(yè)解決方案，可以有效地解決相關(guān)技術(shù)難題。

VPN[1]（Virtual Private Network）技術(shù)是指依靠ISP或NSP，在公用網(wǎng)絡(luò)Internet中建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)。實際應(yīng)用中，根據(jù)ISP或NSP提供的傳輸介質(zhì)與設(shè)施進(jìn)行網(wǎng)絡(luò)虛擬邏輯劃分，并以這些通信設(shè)施為基礎(chǔ)為用戶提供定制的網(wǎng)絡(luò)連接服務(wù)，連接使得用戶可以具有相同的安全優(yōu)先級服務(wù)，可采用隧道技術(shù)和特殊配置技術(shù)措施實現(xiàn)仿真的點到點的連接等。VPN的出現(xiàn)可幫助企業(yè)構(gòu)建基于Internet規(guī)劃的最安全和經(jīng)濟(jì)的企業(yè)網(wǎng)擴(kuò)展，真正實現(xiàn)企業(yè)內(nèi)與企業(yè)外的無縫對接。

SSL[2]是網(wǎng)景公司推出的基于Web應(yīng)用的安全通信協(xié)議，現(xiàn)已成為互聯(lián)網(wǎng)上保密通信的工業(yè)標(biāo)準(zhǔn)，應(yīng)用于包括Web應(yīng)用的諸多方面。將SSL的獨特性與VPN的安全遠(yuǎn)程訪問控制相結(jié)合，就是SSL VPN。SSL VPN是指采用SSL協(xié)議來實現(xiàn)遠(yuǎn)程接入的一種新型VPN技術(shù)。因為SSL內(nèi)嵌在瀏覽器中了，所以客戶端只要安裝有瀏覽器就可以使用SSL VPN，相比于傳統(tǒng)的IPSec VPN需要安裝客戶端軟件來說顯得更加的方便、快捷，是新生代的遠(yuǎn)程安全訪問方式。

隧道技術(shù)是指利用一種網(wǎng)絡(luò)協(xié)議來傳輸另一種網(wǎng)絡(luò)協(xié)議的技術(shù)，主要由網(wǎng)絡(luò)隧道協(xié)議實現(xiàn)相關(guān)功能。傳統(tǒng)的網(wǎng)絡(luò)隧道協(xié)議有用于構(gòu)建遠(yuǎn)程訪問虛擬專網(wǎng)的二層隧道協(xié)議和用于構(gòu)建與擴(kuò)展企業(yè)內(nèi)部虛網(wǎng)的三層隧道協(xié)議等，本文提出的VPN網(wǎng)絡(luò)架構(gòu)是基于SSL的四層隧道協(xié)議，即SSL VPN，主要在應(yīng)用層構(gòu)建VPN隧道，相比傳統(tǒng)的架構(gòu)更加安全可靠。

VPN網(wǎng)絡(luò)中建立連接的兩個終端間的隧道結(jié)構(gòu)主要有以下幾種：

1）點到點隧道：該類隧道需要由兩個終端協(xié)商各自在網(wǎng)絡(luò)中的角色是服務(wù)器還是客戶端，兩個終端間需要具有相同數(shù)量的隧道資源。此隧道技術(shù)速度快、保密性好，但不利于多用戶交流，訪問對象動態(tài)切換較困難。

2）改進(jìn)的點到點隧道：為終端協(xié)商配置專門服務(wù)器，需要建立隧道時，先到服務(wù)器上檢索登記信息并自主登錄，服務(wù)器根據(jù)規(guī)則完成協(xié)商，檢測兩終端狀態(tài)若均為活動狀態(tài)，則反饋協(xié)商結(jié)果給兩客戶端，完成隧道構(gòu)建。此方法較好的解決多用戶問題，應(yīng)用廣泛。

3）網(wǎng)關(guān)型隧道：隧道中的每個終端都作為客戶端連接到VPN網(wǎng)關(guān)，與VPN網(wǎng)關(guān)建立隧道，由網(wǎng)關(guān)完成終端間隧道的構(gòu)建。這種方法較為安全，但速度較慢且比較耗資源。

4）綜合型隧道：這種隧道將改進(jìn)的點到點隧道與網(wǎng)關(guān)型隧道相結(jié)合，現(xiàn)在應(yīng)用非常廣泛，方便進(jìn)行大中型網(wǎng)絡(luò)和多級VPN網(wǎng)絡(luò)的構(gòu)建。本文涉及的系統(tǒng)就采用這種方法，但構(gòu)建的是一個企業(yè)級的中小型VPN網(wǎng)絡(luò)。

本系統(tǒng)中的SSL VPN主要采用四層隧道協(xié)議完成OSI的二層和三層的連接工作，構(gòu)建點到點的VPN數(shù)據(jù)連接。用路由網(wǎng)絡(luò)連接數(shù)據(jù)地址，不同用戶共享一條線路完成數(shù)據(jù)傳輸，通過瀏覽器建立較安全的HTTPS連接，構(gòu)建安全、易操作的遠(yuǎn)程數(shù)據(jù)訪問平臺。出于安全考慮，隧道技術(shù)可以根據(jù)不同的用戶權(quán)限控制規(guī)則，拒絕未經(jīng)授權(quán)用戶的登錄請求。

[1]戴宗坤,唐三平.VPN與網(wǎng)絡(luò)安全[M].北京:電子工業(yè)出版社,2002.

[2]百度知道.SSL VPN[EB/OL]. http://baike.baidu.com/view/708397.htm.

[3]菅永超.基于隧道技術(shù)的SSL VPN的改進(jìn)與設(shè)計[D].武漢:華中科技大學(xué),2007.

[4]李之棠,何桂麗,王美珍.基于虛擬網(wǎng)卡的SSL VPN體系結(jié)構(gòu)的研究[J].計算機(jī)應(yīng)用研究,2007(12).