我們之前說(shuō)到IPsec VPN遠(yuǎn)程接入方式,那這種接入方式有一個(gè)弊端,那就是必須要在電腦上安裝VPN Client軟件,在一臺(tái)沒有安裝VPN Client軟件的電腦上是不能建立IPsec VPN連接的,相當(dāng)于IPsec VPN是C/S架構(gòu)的。雖然在電腦上裝個(gè)VPN Client軟件并不是什么難事,但是假設(shè)出差在外你沒有帶電腦,或者在客戶那邊你不能使用自己的電腦接入Internet,在這種情況下你需要借用別人的電腦來(lái)使用VPN的時(shí)候,這很明顯就有些麻煩了,因?yàn)槟阈枰趧e人的電腦上安裝VPN Client軟件,這并不是任何時(shí)候別人都會(huì)同意你這么做,并且軟件還得考慮系統(tǒng)兼容性問(wèn)題,并非所有的電腦都能適用。所以如果能夠讓我們不用安裝軟件就能使用VPN連接的話這就最好不過(guò)了。基于上述種種原因,SSL VPN(也叫做WebVPN)出現(xiàn)了。
何謂SSL VPN,首先要從SSL談起,使用網(wǎng)絡(luò)不能不提的是各個(gè)網(wǎng)站,瀏覽網(wǎng)站使用瀏覽器,網(wǎng)絡(luò)上傳送網(wǎng)頁(yè)的協(xié)議叫HTTP,它是明文傳播的,傳播內(nèi)容可以被黑客讀取。而SSL全名叫Secure Session Layer(安全會(huì)話層),其最初目的是給HTTP加密使用的安全套件,使用SSL的HTTP,也就搖身一變成了HTTPS,端口也從HTTP的80變成了443。由于HTTPS具備安全性,也具備傳輸數(shù)據(jù)的能力,也就被研究VPN技術(shù)的專家盯上了,覺得HTTPS可以用于組建VPN方案,于是SSL VPN技術(shù)就這樣誕生了。
SSL VPN的實(shí)現(xiàn)就可以不需要借助軟件來(lái)完成,在一臺(tái)沒有安裝任何軟件的PC上同樣可以建立SSL VPN連接,這就是它的優(yōu)點(diǎn)。SSL VPN的建立只要在PC上使用支持HTTPS (HTTP over SSL)的網(wǎng)頁(yè)瀏覽器就可以完成,擺脫了安裝軟件的困擾,這就使得SSL VPN在任何環(huán)境的PC上都能夠建立,因?yàn)楝F(xiàn)在幾乎沒有任何一臺(tái)PC上是沒有網(wǎng)頁(yè)瀏覽器的。只要是支持HTTPS網(wǎng)頁(yè)瀏覽器的PC,無(wú)論在哪里,只要能夠連接Internet,就能與公司總部建立的SSL VPN連接遠(yuǎn)程訪問(wèn)到公司內(nèi)部服務(wù)器資源了。
如下圖,我們來(lái)看一下SSL VPN IP連接建立的過(guò)程,從而能夠遠(yuǎn)程訪問(wèn)到公司內(nèi)部服務(wù)器的。
1.遠(yuǎn)程電腦用戶登陸SSL VPN頁(yè)面,使用網(wǎng)頁(yè)瀏覽打開SSL VPN服務(wù)器的外網(wǎng)地址6.16.5.6,輸入使用者的身份信息,如賬戶密碼登陸,此時(shí)會(huì)建立一個(gè)HTTPS會(huì)話,服務(wù)器通過(guò)這個(gè)會(huì)話給用戶自動(dòng)加載SSL VPN客戶端程序;
2.此時(shí)的SSL VPN客戶端程序的目的是給用戶PC創(chuàng)建一個(gè)虛擬網(wǎng)卡,以實(shí)現(xiàn)到總部網(wǎng)絡(luò)的VPN連接;
3.虛擬網(wǎng)卡創(chuàng)建好后,SSL VPN服務(wù)器會(huì)從地址池192.168.1.0/24中取一個(gè)地址如192.168.1.2分配給該遠(yuǎn)程電腦用戶,同時(shí)下發(fā)路由、DNS等信息,SSL VPN服務(wù)器針對(duì)該地址池也會(huì)有一個(gè)服務(wù)器地址192.168.1.1,作為所有客戶端程序虛擬網(wǎng)卡的網(wǎng)關(guān);
4.此時(shí)SSL VPN客戶端程序與服務(wù)器之間會(huì)建立一個(gè)全新的SSL會(huì)話,專門用來(lái)傳輸虛擬網(wǎng)卡與SSL VPN服務(wù)器之間的流量;
5.假設(shè)遠(yuǎn)程電腦用戶要訪問(wèn)公司內(nèi)部DNS 10.6.16.1服務(wù)器,根據(jù)路由的關(guān)系,遠(yuǎn)程PC會(huì)通過(guò)虛擬網(wǎng)卡將訪問(wèn)公司內(nèi)部DNS請(qǐng)求(源192.168.1.2目的10.6.16.1)轉(zhuǎn)發(fā)給SSL VPN服務(wù)器192.168.1.1;
6.遠(yuǎn)程PC上的SSL VPN客戶端程序會(huì)將虛擬網(wǎng)卡發(fā)出的IP包封裝至新的SSL會(huì)話中,通過(guò)互聯(lián)網(wǎng)傳送到SSL VPN服務(wù)器;
7.SSL VPN服務(wù)器進(jìn)行解密,解封裝后發(fā)現(xiàn)IP目的地址是10.6.16.1,那么就轉(zhuǎn)發(fā)給內(nèi)部DNS服務(wù)器;
8.反向過(guò)程以及訪問(wèn)內(nèi)部ERP服務(wù)器10.6.16.4與此類似。
再來(lái)看一下數(shù)據(jù)封裝過(guò)程,會(huì)有更加直觀的認(rèn)識(shí)。
在SSL VPN的IP連接中,相當(dāng)于是一個(gè)內(nèi)部地址端到端會(huì)話,穿越互聯(lián)網(wǎng)的時(shí)候直接會(huì)話被封裝至SSL會(huì)話中了。
