SSL VPN的基本工作原理是怎么樣的

我們之前說到IPsec VPN遠(yuǎn)程接入方式，那這種接入方式有一個(gè)弊端，那就是必須要在電腦上安裝VPN Client軟件，在一臺(tái)沒有安裝VPN Client軟件的電腦上是不能建立IPsec VPN連接的，相當(dāng)于IPsec VPN是C/S架構(gòu)的。雖然在電腦上裝個(gè)VPN Client軟件并不是什么難事，但是假設(shè)出差在外你沒有帶電腦，或者在客戶那邊你不能使用自己的電腦接入Internet，在這種情況下你需要借用別人的電腦來使用VPN的時(shí)候，這很明顯就有些麻煩了，因?yàn)槟阈枰趧e人的電腦上安裝VPN Client軟件，這并不是任何時(shí)候別人都會(huì)同意你這么做，并且軟件還得考慮系統(tǒng)兼容性問題，并非所有的電腦都能適用。所以如果能夠讓我們不用安裝軟件就能使用VPN連接的話這就最好不過了?；谏鲜龇N種原因，SSL VPN（也叫做WebVPN）出現(xiàn)了。

何謂SSL VPN，首先要從SSL談起，使用網(wǎng)絡(luò)不能不提的是各個(gè)網(wǎng)站，瀏覽網(wǎng)站使用瀏覽器，網(wǎng)絡(luò)上傳送網(wǎng)頁的協(xié)議叫HTTP，它是明文傳播的，傳播內(nèi)容可以被黑客讀取。而SSL全名叫Secure Session Layer（安全會(huì)話層），其最初目的是給HTTP加密使用的安全套件，使用SSL的HTTP，也就搖身一變成了HTTPS，端口也從HTTP的80變成了443。由于HTTPS具備安全性，也具備傳輸數(shù)據(jù)的能力，也就被研究VPN技術(shù)的專家盯上了，覺得HTTPS可以用于組建VPN方案，于是SSL VPN技術(shù)就這樣誕生了。

SSL VPN的實(shí)現(xiàn)就可以不需要借助軟件來完成，在一臺(tái)沒有安裝任何軟件的PC上同樣可以建立SSL VPN連接，這就是它的優(yōu)點(diǎn)。SSL VPN的建立只要在PC上使用支持HTTPS (HTTP over SSL)的網(wǎng)頁瀏覽器就可以完成，擺脫了安裝軟件的困擾，這就使得SSL VPN在任何環(huán)境的PC上都能夠建立，因?yàn)楝F(xiàn)在幾乎沒有任何一臺(tái)PC上是沒有網(wǎng)頁瀏覽器的。只要是支持HTTPS網(wǎng)頁瀏覽器的PC，無論在哪里，只要能夠連接Internet，就能與公司總部建立的SSL VPN連接遠(yuǎn)程訪問到公司內(nèi)部服務(wù)器資源了。

如下圖，我們來看一下SSL VPN IP連接建立的過程，從而能夠遠(yuǎn)程訪問到公司內(nèi)部服務(wù)器的。

1.遠(yuǎn)程電腦用戶登陸SSL VPN頁面，使用網(wǎng)頁瀏覽打開SSL VPN服務(wù)器的外網(wǎng)地址6.16.5.6，輸入使用者的身份信息，如賬戶密碼登陸，此時(shí)會(huì)建立一個(gè)HTTPS會(huì)話，服務(wù)器通過這個(gè)會(huì)話給用戶自動(dòng)加載SSL VPN客戶端程序；

2.此時(shí)的SSL VPN客戶端程序的目的是給用戶PC創(chuàng)建一個(gè)虛擬網(wǎng)卡，以實(shí)現(xiàn)到總部網(wǎng)絡(luò)的VPN連接；

3.虛擬網(wǎng)卡創(chuàng)建好后，SSL VPN服務(wù)器會(huì)從地址池192.168.1.0/24中取一個(gè)地址如192.168.1.2分配給該遠(yuǎn)程電腦用戶，同時(shí)下發(fā)路由、DNS等信息，SSL VPN服務(wù)器針對(duì)該地址池也會(huì)有一個(gè)服務(wù)器地址192.168.1.1，作為所有客戶端程序虛擬網(wǎng)卡的網(wǎng)關(guān)；

4.此時(shí)SSL VPN客戶端程序與服務(wù)器之間會(huì)建立一個(gè)全新的SSL會(huì)話，專門用來傳輸虛擬網(wǎng)卡與SSL VPN服務(wù)器之間的流量；

5.假設(shè)遠(yuǎn)程電腦用戶要訪問公司內(nèi)部DNS 10.6.16.1服務(wù)器，根據(jù)路由的關(guān)系，遠(yuǎn)程PC會(huì)通過虛擬網(wǎng)卡將訪問公司內(nèi)部DNS請(qǐng)求（源192.168.1.2目的10.6.16.1）轉(zhuǎn)發(fā)給SSL VPN服務(wù)器192.168.1.1；

6.遠(yuǎn)程PC上的SSL VPN客戶端程序會(huì)將虛擬網(wǎng)卡發(fā)出的IP包封裝至新的SSL會(huì)話中，通過互聯(lián)網(wǎng)傳送到SSL VPN服務(wù)器；

7.SSL VPN服務(wù)器進(jìn)行解密，解封裝后發(fā)現(xiàn)IP目的地址是10.6.16.1，那么就轉(zhuǎn)發(fā)給內(nèi)部DNS服務(wù)器；

8.反向過程以及訪問內(nèi)部ERP服務(wù)器10.6.16.4與此類似。

再來看一下數(shù)據(jù)封裝過程，會(huì)有更加直觀的認(rèn)識(shí)。

在SSL VPN的IP連接中，相當(dāng)于是一個(gè)內(nèi)部地址端到端會(huì)話，穿越互聯(lián)網(wǎng)的時(shí)候直接會(huì)話被封裝至SSL會(huì)話中了。