关于合肥工业大学VPN的使用与常见问题解答-信息化建设与管理办公室

在SSL VPN的IP连接中，客户端访问内部服务器不再像WEB代理、端口映射那应该多个会话衔接而成，而是一个内部地址端到端会话，穿越互联网的时候直接会话被封装至SSL会话中，和L2TP Over IPSec非常类似。 从这张图可以看出更详细的数据封装过程以及会话衔接过程，使用SSL VPN服务器进行端口映射的好处与WEB代理类似，可以牺牲SSL VPN服务器，保护内部服务器。 WEB代理是专门针对WEB应用的，端口映射则受制于SSL只支持TCP应用，如果使用者要任意访问一个内部服务器的任意协议、端口，该如何是好呢？ 使用者应用程序与SSL VPN客户端程序的普通TCP会话SSL VPN客户端程序与服务器的SSL会话服务器与内部站点的普通TCP会话。

L2TP只能实现3，无法实现1和2，更是很难实现行为审计功能。 连接与验证、审计与退出都是统一流程，也比较简单。 而SSL VPN是天然的安全远程接入，在方案上，特别是权限控制、应用粒度上有独到之处，成为目前远程接入领域的香饽饽，目前已经超越了技术范畴，而成为一个安全网络服务框架。 何谓SSL VPN，首先要从SSL谈起，使用网络不能不提的是各个网站，浏览网站使用浏览器，网络上传送网页的协议叫HTTP，它是明文传播的，传播内容可以被黑客读取。

可能有人会问，让“订单提交”站点直接在互联网提供HTTPS服务，直接用一个HTTPS会话不是更好，原理上当然更好，但是有更多的现实问题： 以上7个步骤可以划分为三个阶段：阶段一是连接与验证、阶段二是VPN应用、阶段三是审计与退出。 L2TP实现的是远程接入VPN，而IPSec为L2TP提供安全保护，这种应用已经非常成熟，但属于两个协议的生硬组合，在方案上不是特别灵活。 因此业界非常看好SSL VPN的前景，但使用SSL VPN必然也有一些局限性和代价：

由于SSL是封装在TCP上的，穿越NAT不是问题，所以在示例中客户端使用公网地址进行介绍： IP连接应运而生，IP连接可以完美地替代L2TP这种传统意义上的VPN：虚拟连接、内部地址、路由互联。 而SSL全名叫Secure Session Layer（安全会话层），其最初目的是给HTTP加密使用的安全套件，使用SSL的HTTP，也就摇身一变成了HTTPS，端口也从HTTP的80变成了443。