導語：SSLVPN在軍隊學校網絡應用優勢透析論文一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

論文摘要：本文討論了在遠程安全接入領域的sslvpn技術，通過對SSL協議的分析，全面衡量了SSLVPN遠程接入方案在軍隊院校網絡應用中的綜合優勢。

論文關鍵詞：SSL;SSLVPN;遠程接入

1引言

打造遠程安全接入平臺，一直是網絡遠程訪問的迫切需求。當前，眾多的安全協議(如PPTP.L2TP.IPSec和MPLS)各具特色并側重于不同的方面，但能同時結合簡易、安全兩項特性的則非SSL莫屬，SSLVPN是平衡訪問自由度和安全性的出色解決方案。

2SSL

安全套接層(SecureSocketsLayer,SSL)是Netscape于1994年提出的基于Web應用的安全協議，它介于HTTP及TCP之間，高層協議可以透明地運行在該協議之上，它指定了一種在應用程序協議和丁CP/IP協議之間提供數據安全性分層的機制，能為丁CP/IP連接提供數據加密、服務器認證、消息完整性以及可選的客戶機認證。其安全連接基于握手協議、記錄協議和警告協議來完成。

3SSLVPN主要特點

(1)高安全性:SSL安全通道可確保端到端真正安全可靠的連接，能有效保證信息的真實性、完整性和保密性。

(2)高易用性:無需客戶端的安裝和配置，對終端系統具有良好的兼容性。

(3)高性價比:不需要配置，易于部署及管理，可有效降低網絡配置成本。

(4)高可擴展性和兼容性:可隨時添加需要VPN保護的服務器，并適用于大多數設備。

(5)高效的資源控制能力:可區分用戶設置訪問權限，實現區分對待的資源控制策略。

4SSLVPN應用優勢

隨著軍隊院校網絡信息化建設的推進，實際應用中面臨著越來越多的跨地域、跨部門的數據傳遞，以及大量的遠程訪問內網的需求。例如跨地域的會商研討、數據采集、資料檢索、分支部門和下屬機構的機要信息交換等。根據這些需求和實際情況，下面主要從SSLVPN和IPSecVPN對比出發，全面衡量SSLVPN的優勢。

(1)謹慎靈活的接入認證策略。在遠程接入過程中，用戶身份驗證是整個過程的第一環，也是最重要的一環，如果不能有效識別用戶的身份，使得非法用戶接入，將給內部網絡帶來極大的安全隱患。

SSLVPN提供對所傳送數據的加密、認證和發送源的身份認證，支持將多種身份識別方式進行組合，一般包括USB-Key、硬件特征碼、數字證書、動態令牌、短信認證等，而且可以對訪問權限進行嚴格的等級劃分，實現不同用戶對于不同應用程序的控制。

(2)穩妥有效的數據保護策略。因為SSLVPN接入的是內部網絡的應用，而不是整個網絡，并限制了非Web端口的訪問，使得部分文件操作功能不易實現，這實際上也起到了相應的保護功能。同時，SSL網關隔離了內部服務器和客戶端，客戶端的大多數病毒木馬感染不到內網服務器。而IPSecVPN實現的是IP級別的訪問，使得局域網能夠傳播的病毒，通過VPN也能夠傳播，極易導致內部網絡的防病毒策略形同虛設。一旦惡意IPSecVPN用戶獲得權限通過了網關，無疑會給內網帶來災難性的后果，但SSLVPN大大減弱了類似的風險。

(3)良好的可管理性和可控性。一方面，SSLVPN的部署不需改變原網絡結構，就可部署在內網任一節點處，并可隨時添加需要VPN保護的服務器。而IPSecVPN在部署時，則要考慮網絡的拓撲結構，設備的移除和添加就有可能導致VPN重新部署，且客戶終端設備的變更，也意味著客戶端軟件的更新或部署。另一方面，數字化校園已經將更多的服務集成于Web應用，具備個性化的門戶網站，不同的部門和人員都有對應的內網訪問權限。這和基于SSLVPN的用戶訪問級別劃分控制策略是一致的。

(4)便捷的移動性和分散性。SSL作為處于應用層和丁CP/UD尸層之間的安全協議，可提供基于應用層的訪問控制，更適合遠程安全訪問的移動性和分散性特點。SSLVPN能遍歷所有NAT設備、基于的防火墻和狀態檢測防火墻，這使得用戶能夠基本上不受接入位置限制，可以從眾多接入設備、任何遠程位置訪問網絡，而IPSecVPN則很難實現上述特點。其次，SSL無需在客戶端設備上安裝軟件，只需通過標準的Web瀏覽器連接網絡，即可訪問內部資源。而基于IPSec的遠程訪問不僅要安裝特殊用途的客戶端軟件，而且還存在兼容性問題。