我們之前說到 方式,那這種接入方式有一個弊端,那就是必須要在電腦上安裝VPN Client軟件,在一臺沒有安裝VPN Client軟件的電腦上是不能建立IPsec VPN連接的,相當於IPsec VPN是C/S架構的。雖然在電腦上裝個VPN Client軟件並不是什麼難事,但是假設出差在外你沒有帶電腦,或者在客戶那邊你不能使用自己的電腦接入Internet,在這種情況下你需要借用別人的電腦來使用VPN的時候,這很明顯就有些麻煩了,因為你需要在別人的電腦上安裝VPN Client軟件,這並不是任何時候別人都會同意你這麼做,並且軟件還得考慮系統兼容性問題,並非所有的電腦都能適用。所以如果能夠讓我們不用安裝軟件就能使用VPN連接的話這就最好不過了。基於上述種種原因,SSL VPN(也叫做WebVPN)出現了。
何謂SSL VPN,首先要從SSL談起,使用網絡不能不提的是各個網站,瀏覽網站使用瀏覽器,網絡上傳送網頁的協議叫HTTP,它是明文傳播的,傳播內容可以被黑客讀取。而SSL全名叫Secure Session Layer(安全會話層),其最初目的是給HTTP加密使用的安全套件,使用SSL的HTTP,也就搖身一變成了HTTPS,端口也從HTTP的80變成了443。由於HTTPS具備安全性,也具備傳輸數據的能力,也就被研究VPN技術的專家盯上了,覺得HTTPS可以用於組建VPN方案,於是SSL VPN技術就這樣誕生了。
SSL VPN的實現就可以不需要藉助軟件來完成,在一臺沒有安裝任何軟件的PC上同樣可以建立SSL VPN連接,這就是它的優點。SSL VPN的建立只要在PC上使用支持HTTPS (HTTP over SSL)的網頁瀏覽器就可以完成,擺脫了安裝軟件的困擾,這就使得SSL VPN在任何環境的PC上都能夠建立,因為現在幾乎沒有任何一臺PC上是沒有網頁瀏覽器的。只要是支持HTTPS網頁瀏覽器的PC,無論在哪裡,只要能夠連接Internet,就能與公司總部建立的SSL VPN連接遠程訪問到公司內部服務器資源了。
如下圖,我們來看一下SSL VPN IP連接建立的過程,從而能夠遠程訪問到公司內部服務器的。
1.遠程電腦用戶登陸SSL VPN頁面,使用網頁瀏覽打開SSL VPN服務器的外網地址6.16.5.6,輸入使用者的身份信息,如賬戶密碼登陸,此時會建立一個HTTPS會話,服務器通過這個會話給用戶自動加載SSL VPN客戶端程序;
2.此時的SSL VPN客戶端程序的目的是給用戶PC創建一個虛擬網卡,以實現到總部網絡的VPN連接;
3.虛擬網卡創建好後,SSL VPN服務器會從地址池192.168.1.0/24中取一個地址如192.168.1.2分配給該遠程電腦用戶,同時下發路由、DNS等信息,SSL VPN服務器針對該地址池也會有一個服務器地址192.168.1.1,作為所有客戶端程序虛擬網卡的網關;
4.此時SSL VPN客戶端程序與服務器之間會建立一個全新的SSL會話,專門用來傳輸虛擬網卡與SSL VPN服務器之間的流量;
5.假設遠程電腦用戶要訪問公司內部DNS 10.6.16.1服務器,根據路由的關係,遠程PC會通過虛擬網卡將訪問公司內部DNS請求(源192.168.1.2目的10.6.16.1)轉發給SSL VPN服務器192.168.1.1;
6.遠程PC上的SSL VPN客戶端程序會將虛擬網卡發出的IP包封裝至新的SSL會話中,通過互聯網傳送到SSL VPN服務器;
7.SSL VPN服務器進行解密,解封裝後發現IP目的地址是10.6.16.1,那麼就轉發給內部DNS服務器;
8.反向過程以及訪問內部ERP服務器10.6.16.4與此類似。
再來看一下數據封裝過程,會有更加直觀的認識。
在SSL VPN的IP連接中,相當於是一個內部地址端到端會話,穿越互聯網的時候直接會話被封裝至SSL會話中了。
閱讀更多 IT老良 的文章
