目前关于什么是 SSL VPN 的说法不一，也不乏有鱼目混珠的产品，打着 SSL VPN 的幌子欺骗用户。为帮助广大用户识别真假优劣，我们在此探讨一下 “ 什么是真正的 SSL VPN”。

　　从概念角度来说， SSL VPN 即指采用 SSL （ Security Socket Layer ）协议来实现远程接入的一种新型 VPN 技术。 SSL 协议是网景公司提出的基于 WEB 应用的安全协议，它包括：服务器认证、客户认证（可选）、 SSL 链路上的数据完整性和 SSL 链路上的数据保密性。对于内、外部应用来说，使用 SSL 可保证信息的真实性、完整性和保密性。目前 SSL 协议被广泛应用于各种浏览器应用，也可以应用于 Outlook 等使用 TCP 协议传输数据的 C/S 应用。正因为 SSL 协议被内置于 IE 等浏览器中，使用 SSL 协议进行认证和数据加密的 SSL VPN 就可以免于安装客户端。相对于传统的 IPSEC VPN 而言， SSL VPN 具有部署简单，无客户端，维护成本低，网络适应强等特点，这两种类型的 VPN 之间的差别就类似 C/S 构架和 B/S 构架的区别。

　　一般而言， SSL VPN 必须满足最基本的两个要求：

1 、使用 SSL 协议进行认证和加密 。没有采用 SSL 协议的 VPN 产品自然不能称为 SSL VPN ，其安全性也需要进一步考证。
2 、直接使用浏览器完成操作，无需安装独立的客户端。 即使使用了 SSL 协议，但仍然需要分发和安装独立的 VPN 客户端 ( 如 Open VPN) 不能称为 SSL VPN ，否则就失去了 SSL VPN 易于部署，免维护的优点了。

　　随着技术的进步和客户需求的进一步成熟的推动，当前主流市场的 SSL VPN 和几年前面市的仅支持 WEB 访问的 SSL VPN 已经发生很大的变化。主要表现在：

1 、对应用的支持更广泛。 最早期的 SSL VPN 仅仅支持 WEB 应用。但目前几乎所有的 SSL VPN 都支持使用插件的形式、将 TCP 应用的数据重定向到 SSL 隧道中，从而支持绝大部分基于 TCP 的应用。 SSL VPN 可以通过判断来自不同平台请求，从而自动安装不同的插件。

2 、对网络的支持更加广泛。 早期的 SSL VPN 还无法支持服务器和客户端间的双向访问以及 UDP 应用；更不支持给移动接入用户分配虚拟 IP ，从而实现按 IP 区分的安全审计功能。但现在多数优秀的 SSL VPN 都能通过用户可选的客户端插件形式为终端用户分配虚拟 IP ，并通过 SSL 隧道建立层三（ Level 3 ）隧道，实现与传统 IPSEC VPN 客户端几乎一样强大的终端网络功能。

3 、对终端的安全性要求更严格。 原来的 SSL VPN 设计初衷是只要有浏览器就能接入，但随着间谍软件和钓鱼软件的威胁加大，在不安全的终端上接入内部网络，将可能造成重要信息从终端泄漏。因此很多 SSL VPN 加入了客户端安全检查的功能：通过插件对终端操作系统版本，终端安全软件的部署情况进行检查，来判断其接入的权限。

　　以上这些不断创新的 SSL VPN 功能都需要插件支持，因此简单的通过判断是否安装有插件来判断是否是 SSL VPN 肯定是不正确的；那么又如何有效的选择优秀的 SSL VPN 产品呢？

1 、考察 SSL 的真实性。 有些厂商仅仅将 TCP 数据做了简单的封装，或者把 IPSEC VPN 做些修改，将数据转发到 443 端口，便宣称自己是 SSL VPN 。鉴别这种伪 SSL VPN ，可以使用标准的 HTTP 流量测试工具如 Loadrunner,Web bench,Avalanche 等。如果能进行 SSL 对接，并进行 SSL 负载测试的就是真正的 SSL VPN 。但是普通客户往往没有这个测试条件，因此建议在 SSL VPN 选型时购买经过第三方评测机构（如网络世界，赛迪评测等）评测过的产品。

2 、考察 SSL VPN 的可用性。 SSL VPN 的部署要支持客户的实际应用和未来的应用扩展。因此需要考虑选购的 SSL VPN 是否支持所有的 B/S 应用， C/S 应用，甚至基于 UDP ， ICMP 的 IP 应用，当然支持得越多越好。 SSL VPN 要支持各种网络环境，因此要对 SSL VPN 的穿透性进行考察，检查 SSL VPN 是否可以在 NAT 环境， Web 代理环境， Socket 代理环境下都能工作正常。 SSL VPN 最好能适应中国的各种跨运营商环境，如果在全国大范围内部署 SSL VPN ，则需要考察 SSL VPN 是否支持多 ISP 链路，是否支持选择最快接入线路的功能。

3 、考察 SSL VPN 的易用性。 易用性的考察主要依赖于用户体验。除了考察管理员是否易于操作和掌握 SSL VPN 网关的使用，很重要的需要考察 SSL VPN 的终端是否易于使用和维护。在登录 SSL VPN 之前，终端不应该安装独立的客户端。 SSL VPN 的插件应该做到自动安装自动修复。用户登录 SSL VPN 不需要培训和指导就能进入应用。对于大规模的 SSL VPN 用户部署，应该要支持对统一用户认证数据的无缝支持，如域认证， Radius 认证，目录服务认证等，这样可以避免在 SSL VPN 上维护大量用户。

4 、考察 SSL VPN 的安全性。 如果是真实的 SSL VPN ，其安全性在很大程度上得到了 SSL 协议的保证。更多的安全性主要体现在对多种认证的支持，除了通用的 X509,PKI,Radius 等认证外，最好能够提供更安全的 USB KEY ，动态令牌，一次性短信口令等较难复制盗用的认证方法。还有就是终端安全，主要包括对终端的 Cookie 清除，客户端安全检查等。

5 、考察 SSL VPN 的性能。 SSL VPN 的性能一定要满足用户目前的用户容量和未来几年内的用户扩展要求。 SSL VPN 最主要的性能指标是并发用户数和加密吞吐量。往往采购的 SSL VPN 的并发用户授权可以远小于真实的使用用户数量，因为大部分情况下，不是所有的用户都同时在使用 SSL VPN 的，一般而言，需要购买的授权数为实际使用用户 1/4-1/3 即可。因此，选购 SSL VPN 并非用户容量越多越好，因为大容量也意味着高价格，不要过于追求性能造成浪费。但也不能过于追求价格而忽视了未来的扩展。比如现在只有几十个并发用户，就暂时购买了最大容量才二十几个用户的设备。但是，一年后业务发展了，就不得不再更换设备，结果还是造成了浪费。

6 、考察 SSL VPN 的性价比。 一般而言，同等价格获得越多的功能和性能，则性价比越高。但获得的更多功能和性能都应该是用户目前或未来 1-2 年内能够使用得到的，否则就无法体现其价值。另外，单一的 SSL VPN 无法解决所有互联需求和安全需求，比如 SSL VPN 就不能解决网对网的互联问题。因此需要多种安全和互联需求的用户，如果能在同等价格下，购买集成 SSL ,IPSEC VPN 和防火墙的一体化设备，将更加划算。