1 SSL VPN手艺配景
 

 

   随着我国社会主义市场经济情形的一直完善，经济领域的竞争日趋强烈，建设跨地区、跨行业、能相同供应链上下游环节的企业级战略性信息系统已成为企业在市场中获取竞争优势的主要手段。现在，海内企业内部的信息化水平越来越高，许多企业都建有自己的局域网、财务系统、ERP系统等等，但建设和维护一个远程基础通讯设施所需的腾贵用度却使绝大大都企业望而却步，它们只能通过远程拨号会见、简朴的FTP传输等手段来维系差别地区信息系统之间数据交流的最低要求，严重制约了信息系统整体效能的施展。在这样的配景下，企业迫切需要一种低本钱的网络互联解决计划，以实现异地分支机构、相助同伴或移动用户与企业总部之间流通、清静地交流或共享营业数据。
 

 

    Internet手艺的一直生长和日趋成熟为这种需求的实现提供了现实的可能性。Internet所具备的高带宽、低用度以及无限的毗连特征对企业具有极大的诱惑性，但与此同时，Internet的高度开放性和松散治理结构一ü得企业面临的网络清静问题益发尖锐，成了Internet作为商务网络必需跨越的重大障碍。为此，种种网络清静手艺和产品应运而生，其中虚拟专用网（VPN）及其相关手艺经由多年的实践、生长和完善，以其利便性、清静性、标准化等优势脱颖而出，逐步成为实现企业网络跨地区清静互联的主要手艺手段，是现在和以后一段时间内企业构建广域网络的生长趋势。SSL VPN可以通过特殊的加密通讯协议，在Internet一端的出差员工和另一端的公司总部之间建设一条专有的通讯通道，就好比架设了一条专线。与古板VPN解决计划相较量，SSL VPN使用维护简朴，不必更改现有网络结构
；移动性强，无须装置客户端程序
；具有强有力的会见控制能力，可以使移动用户轻松会见公司内部B/S和C/S应用和其他焦点资源。
 

 

2 SSL VPN手艺概述
 

 

    SSL（Secure Socket Layer、清静套接字协议层）是现在Internet上应用最为普遍的清静协议。SSL协议提供了数据私密性、端点验证、信息完整性等特征。
 

 

    SSL协议由许多子协议组成，其中两个主要的子协议是握手协媾和纪录协议。握手协议允许效劳器和客户端在应用协议传输第一数据字节以前，相互确认，协商一种加密算法和密码钥匙。在数据传输时代，纪录协议使用握手协议天生的密钥加密息争密厥后交流的数据。
 

 

    SSL自力于应用，因此任何一个应用程序都可以享受它的清静性而不必剖析执行细节。SSL置身于网络结构系统的传输层和应用层之间。别的，SSL自己就被险些所有的Web浏览器支持，这意味着客户端不需要为了支持SSL毗连装置特另外软件。这两个特征就是SSL能应用于VPN的要害点。
 

 

    SSL VPN 的生长对现有SSL应用是一个增补，它增添了公司执行会见控制和清静的级别和能力，SSL VPN 还对那些由于使用远程会见应用系统而降低公司清静性的企业有所资助。大宗理论可以证实SSL的奇异性以及VPN所能提供的清静远程会见控制能力。到现在为止，SSL VPN是解决远程用户会见敏感公司数据最简朴最清静的解决手艺。与重大的IPSec VPN相比，SSL VPN通过简朴易用的要领实现信息远程连通。任何装置浏览器的机械都可以使用SSL VPN， 这是由于SSL 内嵌在浏览器中，它不需要象古板IPSec VPN一样必需为每一台客户机装置客户端软件。这一点关于拥有大宗机械（包括家用机，事情机和客户机等等）需要与公司神秘信息相毗连的用户至关主要。
 

 

    SSL VPN 的价值包括许多方面，最主要的是提高会见控制能力，清静易用以及高额的投资回报率。SSL VPN 对会见控制越发有用，由于实验了用户集中化治理
；所有的远程会见都是通过SSL VPN 控制台举行控管，这样可以越发有用的监控用户使用权限，这些用户可能是公司内部员工，相助同伴或客户
；所有会见被限制在应用层，并且可以将权限细分到一个URL 或一个文件。
 

 

    PP电子5金狮网络公司作为一个专业化的网络产品研制、生产销售和效劳提供商，对VPN的手艺内在和海内外企业的需求特点有着深刻的明确，并具有富厚的VPN产品履历。RG-WALL V清静网关就是我公司在总结海内外种种VPN产品的特点和海内用户现实需求的基础上，经由多年的手艺沉淀，研制开发的系列产品，能知足州差别类型企业的构网要求，包管企业通讯的清静快捷。
 

 

    RG-WALL V清静网关接纳自主设计的清静操作系统，具有高可用性、高易用性、高扩展性和高清静性。经由简朴设置分支机构、移动用户以及相助同伴可以通过任何标准的浏览器实现远程清静接入企业总部。现在PP电子5金狮支持SSL VPN的产品型号是RG-WALL V1000。
RG-WALL V清静网关是使用者使用浏览器内建的Secure Socket Layer封包处置惩罚功效，用浏览器连回公司内部SSL VPN效劳器，然后透过网络封包转向的方法，让使用者可以在远程盘算机执行应用程序，读取公司内部效劳器数据。它接纳标准的清静套接层（SSL）对传输中的数据包举行加密，从而在应用层
；ち耸莸那寰残。RG-WALL V清静网关通过SSL协议，使用PKI的证书系统，在传输历程中使用DES、3DES、AES、RSA、MD5、SHA1等多种密码算法包管数据的神秘性、完整性、不可否定性而完成神秘传输，实现在Internet上清静的举行信息交流。
 

 

3 RG-WALL V网关SSL VPN功效先容
 

 

    RG-WALL V清静网关内部集成标准CA效劳，用户可以使用默认的CA效劳，也支持第三方标准CA效劳器。RG-WALL V清静网关除了支持通例的外地用户库、RADIUS、LDAP/AD和USB RG-KEY等认证方法上岸，还支持在上述认证方法上岸历程中使用手机短信校验举行混淆认证，确保在口令走漏或usb key遗失的情形下，也能包管总部资源的清静性。
 

 

    由于接纳了IP Tunnel手艺，RG-WALL V清静网关实现了对应用程序的完整支持。从功效上有网络会见、网上应用程序、Windows文件共享、移动电子邮件、应用程序会见、古板主机、终端效劳器等众多功效以及基于TCP、UDP以及ICMP协议层以上的所有应用程序的支持。关于网络维护职员而言，由于SSL 的易用性，无需安排和维护客户端软件，极大降低了治理和维护VPN网络的事情量。关于拥有众多的移发动工、远程用户以及相助同伴的企业用户来说，PP电子5金狮 SSL VPN提供了性价比极高的远程接入解决计划，降低了企业的总体拥有本钱。
 

 

    RG-WALL V清静网关还集成了对客户端盘算机清静性检查的功效，能够有用阻止由于SSL易用性带来的不清静因素，避免不具备响应清静品级的终端用户通过SSL VPN登录到企业总部带来的清静隐患，包管远程接入的清静性。
 

 

RG-WALL V清静网关功效列表：
 

功效项目		支持情形
认证方法	外地用户数据库	支持
	LDAP/AD	支持
	RADIUS	支持
	USB KEY认证	支持
	支持校验码	支持
	短信校验	支持
操作系统	支持的操作系统类型	Windows2000/XP/2003
地点栏输入	地点方法	支持
	域名方法	支持
	不指定端口	支持
客户端上岸	客户端接入网络方法	WLAN卡、PCMCIA卡、GPRS卡、CDMA卡、10/100网卡、千兆网卡、WLAN、小区宽带、PPP拨号、ADSL拨号
	客户端上岸界面自主设置	支持
	客户端使用界面	中文
加密算法	AES	支持
	DES	支持
	3DES	支持
	DESX-CBC	支持
	BF-CBC	支持
	RC2	支持
	IDEA-CBC	支持
	CAST5-CBC	支持
	RC5-CBC	支持
	MD2	支持
	MD5	支持
	RSA	支持
	SHA	支持
	SHA1	支持
	DSA-SHA	支持
	RIPEMD160	支持
	MD4	支持
数据压缩	数据压缩	支持
浏览器	IE6	支持
	IE7	支持
	Netscape Navigator	支持
Web应用支持	支持 Html/Dhtml、 Jsp、 Asp、Java applet、 Activx、 Cookies等种种Web手艺	支持
C/S应用支持	支持FTP、Email的Web会见	支持
	支持基于IP层以上的种种TCP/IP协议的应用。包括：http、Email、Ftp、网上邻人、Notes、Outlook、Oracle、 SQL等种种动态和静态的C/S应用	支持
	支持单主机和 ；ぷ油幕峒	支持
	支持内部DNS	支持
	支持WINS	支持
会见细粒度控制	支持按用户分派接入权限和会见权限	支持
	支持用户组治理和角色治理	支持
	用户组会见资源时间可控制	支持
	用户组会见资源的用户地点可控制	支持
	支持用户黑名单	支持
客户端清静性	支持客户端清静扫描	支持
	支持客户端缓存清空	支持
	支持客户端Cookie扫除	支持
	扫除珍藏夹内容	支持
	扫除RAS自动拨号纪录	支持
	清辖档唾时文件夹 ；	支持
	扫除浏览网址历史纪录	支持
	扫除表单历史纪录	支持
	扫除网络毗连历史纪录	支持
	扫除文档的历史纪录	支持
	扫除运行的自动匹配历史纪录	支持
	客户端硬件特征码绑定	支持
实时监控	可实时监控用户接入情形	支持
	支持在线中止用户	支持
	实时监控系统的运行	支持
证书方法	支持外地CA根	支持
	支持第三方CA根	支持
	支持证书的导入	支持
	支持SCEP协议远程注册证书	支持
	支持SCEP协议远程更新证书	支持
	支持LDAP协议获取对方证书	支持
	支持CRL	支持
	支持CRL的自动更新	支持
治理方法	设置方法	GUI治理器
	设置界面	中文

 

4 RG-WALL V网关SSL VPN手艺特点

 

4.1 成熟周全的SSL VPN手艺
 

 

4.1.1 无需装置客户端，使用简朴
 

 

    RG-WALL V清静网关接纳标准的SSL协议标准，因此用户在客户端只需要使用标准的Web浏览器毗连Internet网，通过网页即可以会见SSL VPN内网的
；ぷ试。相关于使用IPSEC VPN的用户来说，使用SSL VPN之后，治理员省去装置和维护大宗客户端的贫困，网络的治理本钱和运营本钱也随之降低。
 

 

    无论用户接纳牢靠地点或动态拨号、有线或无线的方法接入网络，都可以正常使用RG-WALL V清静网关。用户翻开浏览器之后，可以通过地点、域名的方法来上岸SSL VPN，而不需再输入任何端口。

 

4.1.2 使用IP Tunnel手艺支持所有应用和网络会见

 

    RG-WALL V清静网关除了可以接纳古板WEB AGENT手艺对WEB应用举行清静传输外，还可以接纳IP Tunnel手艺能够支持种种C/S应用，支持所有的基于IP层以上的静态或动态端口应用，完全支持：网上邻人、文件共享、FTP、OUTLOOK、SQL、Lotus NOTES、SYBASE、ORACLE等种种应用。RG-WALL V清静网关还支持终端用户对内网单台机械或
；ぷ油幕峒。
 

 

    终端用户在使用RG-WALL V清静网关的时间，不需要装置客户端，只需要通过标准浏览器翻开SSL VPN的上岸界面之后，装置一个ActiveX控件，在客户端的机械上会自动天生一块专门用于SSL VPN通讯的虚拟网卡，从而包管RG-WALL V清静网关的用户能够使用所有基于IP网络层的应用。
 

 

4.1.3 详尽的细粒度会见控制
 

 

    SSL VPN相关于IPSEC VPN而言的一个优势就是客户的细粒度会见控制，RG-WALL V清静网关对用户的会见控制细粒度已经很是准确。凭证组织架构，用户可以分组治理
；凭证在组织结构中的差别角色，用户可以分角色治理，为每个用户或用户组指定一个或多个角色
；凭证角色的差别清静级别，用户可以分时间和空间治理，为差别角色或用户划分允许会见的时间段和允许会见的物理地点。
 

 

    RG-WALL V清静网关还可以通过内部集成的防火墙，对VPN数据举行会见控制
；同时能够对每个用户的会见行为举行日志纪录，便于治理员审查。
 

 

4.1.4 高效的压缩算法，硬卡加密提高会见速率

 

    一样平常的SSL数据传送是不压缩的，这样会导致客户在会见
；ぷ试吹氖奔渌俾实拖。RG-WALL V清静网关接纳高效的LZO高效流压缩算法，对所有VPN数据先压缩再传输，大大提高了终端用户在使用Web资源、C/S应用以及网络会见的效率，能够显著镌汰下载时间和提高会见速率。特殊是终端客户使用无线方法（CDMA、GPRS等）上网的时间，效果会越发显着。
 

 

    RG-WALL V清静网关还支持高速硬件加密卡，对所有VPN数据都可以通过硬卡举行加密息争密，分流了CPU的处置惩罚数据，从而提高了用户会见资源的处置惩罚速率。
 

 

4.1.5 自主定制用户上岸界面
 

 

    RG-WALL V清静网关可以定制上岸界面，治理员凭证自己的需求制订用户的上岸界面
；同时用户还可以凭证小我私家喜欢或事情需要，定制浏览器的页面气概。系统支持5种差别的气概。
 

 

4.2 易用清静的SSL VPN

 

4.2.1 清静的加密认证
 

 

    RG-WALL V清静网关接纳标准的SSL协议加密建设清静的专用通道，使用标准浏览器内置的RC4 (128 位)加密算法举行加密，并通过RSA(1024 位交流)非对称密钥举行署名，包管了数据在传输历程的清静性。
 

 

    RG-WALL V清静网关支持的除了支持用户名/密码的方法之外，还支持证书方法认证，用户通过生涯证书的RG-KEY来举行身份认证。RG-KEY是一种USB身份认证装备，为避免RG-KEY丧失后被盗用，还为RG-KEY加入PIN码
；，同时为了避免对PIN码的强制性攻击，在芯片组中设置多次密码试错自锁功效。
 

 

4.2.2 短信校验多重包管
 

 

    面临目今日益严重威胁网络清静的特工软件、木马以及垂纶软件等，终端用户的机械面临被黑客攻击后控制了用户的机械，或者一些特工软件、垂纶软件走漏了用户名密码等会见口令，或者KEY的遗失和PIN码的走漏。可是接纳RG-WALL V清静网关的动态短信校验之后，纵然泛起如上情形，也能阻止威胁企业内部的资源。
 

 

    RG-WALL V清静网关的短信校验手艺是随着无线手艺的突飞猛进而泛起，充分使用了其无邪可靠的特点，是一种刷新性的认证解决计划。此认证系统分为手机短信终端和短信认证效劳两部分，短信认证效劳器可以集成于RG-WALL V清静网关，终端用户在已有移动电话和PDA的基础上，通过手机短信方法获取用户认证必需的校验码。这样RG-WALL V清静网关的终端用户就可以通过用户名/密码和RG-KEY的方法上岸SSL VPN，在上岸的历程中通过移动电话或PDA短信收取一次性校验码，经由如上双重因素认证之后就能会见响应的内网资源了。
 

 

    多种认证方法、完善的认证系统，使得企业在选择的时间，可以凭证响应的清静级别，对客户端的认证方法举行组合，最大限度地包管了接入用户的正当性和企业内网资源的高度清静。
 

 

4.2.3 支持标准的PKI系统

 

    随着商务电子化以及银行营业网络化的建想程序，PKI（即Public Key Infrastructure的简称），一个使用现代密码学中的公钥密码手艺在开放的Internet网络情形中提供数据加密以及数字署名效劳的统一的手艺框架越来越受到人们的重视。PKI手艺用来治理在开放网络情形中使用的果真密钥和数字证书，而标准PKI的功效包括许多方面，主要有签发数字证书、作废证书、签发与宣布证书作废表以及最近增添的一些功效，如时戳、基于战略的证书校验等。
 

 

    RG-WALL V清静网关能够支持标准的PKI系统，和许多使用CA中心的应用有用集成，简化认证历程：即统一套PKI既用于SSL VPN的接入认证，又用于接入后登录应用系统的认证。
 

 

4.2.4 自带CA中心

 

    RG-WALL V清静网关外地默认集成一个CA中心，可以镌汰中小企业构建CA清静认证系统的本钱。通过PP电子5金狮CMS（默认与SSL VPN相同CA根），治理员可以给每个远程终端用户揭晓证书，并存储于RG-KEY中，用来识别每个接入用户的身份。
 

 

4.2.5 支持第三方CA

 

    RG-WALL V清静网关遵照X.509证书系统，在线支持第三方CA效劳。PP电子5金狮网关可以通过SCEP协议远程注册证书、自动更新证书、CRL的下载和自动更新
；还支持通过LDAP协议下载获取外地证书和CRL。
 

 

4.2.6 支持外部有用认证
 

 

    RG-WALL V清静网关的除了支持终端用户使用外地用户数据库的用户上岸会见内网资源外，还支持外部第三方认证效劳器。通过与第三方的LDAP认证效劳器或RADIUS认证效劳器的有用集成，一个组织结构就可以只生涯一套认证系统，简化了安排历程，镌汰了运营本钱。
 

 

4.2.7 支持客户端硬件特征码绑定
 

 

    每个终端用户使用的PC机都独吞自己的某些硬件特征信息，在上岸RG-WALL V清静网关的历程中，将自己的硬件特征信息上报。RG-WALL V清静网关凭证治理员的选择，可以自动将上报的硬件特征信息天生特征码，并与上岸的用户举行绑定。绑定之后的用户将只限于在绑定的机械上使用，进一步提高了接入用户的正当性和企业内网资源的清静性。
 

 

4.2.8 支持在划准时间、划定所在和划定主机上的“三规”会见

 

    RG-WALL V清静网关可以凭证用户登录的时间、登录的IP地点和登录主机的硬件特征信息举行限制，从而真正实现在划定的时间、划定的所在和划定的主机上远程会见的控制。
 

 

4.2.9 客户端清静扫描

 

    为了包管终端用户接入VPN之前的清静性，RG-WALL V清静网关在用户上岸的时间，系统会对客户端的主机康健状态举行检查，内容涉及到主机的操作系统、是否装置防火墙软件、是否装置防病毒软件、是否打了最新的补丁等信息。若是主机康健状态不佳，治理员可以限制主机联入内部网。
 

 

4.2.10 扫除会见用户会见纪录

 

    终端用户会见内部资源之后，RG-WALL V清静网关可以对遗留的历史信息举行扫除。系统提供了多种扫除垃圾的工具，包括Cache扫除、Cookie扫除、地点栏扫除、网络毗连历史纪录扫除、表单历史纪录扫除以及历史文档扫除等操作，消除会见痕迹，阻止清静隐患。
 

 

4.3 高效稳固的安排能力

 

4.3.1 双机热备手艺包管系统的稳固性
 

 

    双机热备手艺，就是指为相识决网络节点单点故障引起的整个网络瘫痪问题而提供的两台节点装备实时热备功效，即除主网关以外，尚有一台网关处于热备状态，有机地组成了一个具有实时热切换的高可靠性系统。双机热备在集群节点间坚持间歇的通讯信号，称为心跳信号，是过失检测的一个机制。即通过每一个通讯路径，在两个对等系统之间举行周期性的握手，若是一连没有收到的心跳信号到了一定的数目，双机软件就把这条路径标示为失效。心跳的作用就是让主机相识对方是否保存，效劳是否健全，一旦双机种的任何一方心跳消逝，则另一台主机连忙接替继续提供效劳。RG-WALL V清静网关安排为双机热备模式之后，能够包管当主网关爆发意外Down机、网络链路爆发故障、硬件故障等情形的时间，从网关自动切换为事情状态，取代主网关正常事情，从而包管了网络的正常使用。切换历程不需要人为操作和其他系统的加入，切换时间少于5S。
 

 

4.3.2 多链路手艺包管链路的稳固性
 

 

    随着Internet应用的一直生长，只有一个链路毗连公共网络将导致单点失败和网络极其懦弱，现在日益增多的企业为了包管公司各个部分之间、供应商和客户之间可靠的Internet会见，都逐步接纳多宿主网络来阻止Internet链路中止所造成的损失（“多宿主网络”指同时使用差别ISP提供的多条Internet链路）。
 

 

    RG-WALL V清静网关多链路手艺将多条线路、差别方法接入方法的上网线路实现带宽叠加和互为备份，包管了整个系统的一连可靠运行。若任何一条线路泛起故障，RG-WALL V清静网关可以将数据无缝切换到其他正常线路，不会影响SSL VPN用户的接入和会见。RG-WALL V清静网关多链路手艺还能通过线路优选解决差别运营商之间的线路对接问题。总部SSL VPN设置差别效劳商的多链路之后，各区域的终端用户可以自动选择匹配的线路与总部举行VPN通讯。
 

 

4.3.3 多种接入方法包管系统高效安排

 

    在网络应用高度生长的今天，大宗网络装备被用来安排网络情形，用户往往要求新加入的装备能够完善的融入而不影响原网络的使用。RG-WALL V清静网关支持种种重大的网络应用，能够凭证用户的需求无邪高效的安排。
 

 

    RG-WALL V清静网关支持的接入方法有透明模式、路由模式
；既可以作为出口装备安排，也支持单臂路由方法，在不改变网络拓扑的情形下，直接安排在内网
；既支持牢靠地点组网，也支持全动态地点组网。
 

 

4.4 清静迅速的系统

 

4.4.1 实时监控系统状态
 

 

    通过PP电子5金狮清静网关治理中心，治理员可以远程实时地监控用户接入情形，检查每个在线用户的状态，随时中止可疑的通讯。治理员还可以利便快捷实时视察SSL VPN地系统运行情形，或通过日志来剖析泛起的故障，并予以远程解决。
 

 

4.4.2 完善的日志效劳
 

 

    RG-WALL V清静网关提供事务、过失、忠言、治理、会见五个级别的运行日志，能够依据系统要求纪录敏感通讯事务和治理事务，同时也能提供网络使用情形的统计数据。治理员凭证日志纪录可以审计SSL VPN的使用情形、治理员所举行的操作和网关所阻断的探测、攻击等不法会见，并为清静战略的进一步完善提供参考。同时RG-WALL V清静网关还支持日志的导出，使用日志剖析工具对导出的日志凭证差别的需求剖析。
 

 

    RG-WALL V清静网关支持自力的日志中心，可以实时的将日志传送到日志效劳器，为治理员统计、剖析VPN资源的详细使用情形提供详细的数据支持。
 

 

4.4.3 双系统备份
 

 

    在系统升级历程中，由于网络故障或软件故障，一旦升级失败，就会破损系统情形，导致系统无法正常使用，只能返厂维修。为了避免这种情形，RG-WALL V清静网关接纳独创的双备份系统举行指导。若是升级失败，系统会自动恢复进入最近 一次正常的系统或备份系统，从而不会影响到用户的使用。
 

 

4.4.4 在线升级
 

 

    RG-WALL V清静网关支持在线升级，治理员可以通过串口、telnet或治理器升级以提高网关的性能和功效。通过在线升级功效，治理员可以拥有一直更新换代的SSL VPN产品。一律型号装备的所有升级都是免费的。
 

 

4.4.5 集成强盛的防火墙
 

 

    RG-WALL V清静网关可以对用户的内部资源提供入侵检测和防御
；。能够对抗多种DoS、DDoS攻击、TCP/UDP/ICMP的Flood攻击、Land Attack、Ping to Death、Tear Drop等常见攻击，尤其是能够对抗种种系统误差扫描，从而能够有用避免更进一步的黑客攻击。通过设置抗扫描攻击、洪泛攻击和种种不法报文攻击的参数，用户可以对内部效劳器提供重点
；。
 

 

    RG-WALL V清静网关中的防火墙？榻幽筛咝阅艿幕谌刺觳獾姆阑鹎揭，对来自Internet上的和远程VPN接入端的请求和应答所有举行规则检查，从而极大的避免了入侵者通过数据驱动方法对内部网的攻击。通过对毗连表举行优化，RG-WALL V清静网关能够最大支持100万条并发毗连，从而知足高端用户的通讯需求。
 

 

5 RG-WALL V网关SSL VPN运行办法
 

    治理员设置完SSL VPN的资源之后，远程终端用户首先通过SSL协议来会见总部SSL VPN。用户在浏览器的地点栏输入HTTPs名堂的会看法址，在HTTP层将用户需求翻译成HTTP请求并送至SSL层
；SSL层借助下层协议的信道协商出一份加密密钥，并用此密钥来加密HTTP请求
；加密后的HTTP请求通过TCP层的443端口与SSL VPN建设毗连，转达SSL处置惩罚后的数据。
 

 

    PP电子5金狮SSL VPN收到加密的数据包之后，在SSL层通过协商出的加密密钥来解密，再将翻译出的数据送至应用层。以后，远程终端用户将翻开SSL VPN的资源治理Web页面，并在HTTP层下载Active控件来协商与中心SSL VPN的隧道，终端用户通过与总部SSL VPN已经建设的加密毗连来协商隧道的加密算法、验证算法以及举行端口转换的端口号和通讯协议。隧道协商乐成之后，客户端将会启动一个虚拟网卡并显示为已毗连的状态，以后可信托资源的会见都将通过SSL VPN加密传输。
 

 

远程终端用户通过SSL VPN会见应用数据的时间，传输历程如下：
 

 

    1 应用程序把应用数据提交至外地的SSL
 

    2 远程终端用户凭证需要指定的压缩算法，压缩应用数据
；
 

    3 远程终端用户把应用数据用加密算法加密，再凭证指定的协媾和端口号通过公网网络传输到总部SSL VPN网关
；
 

    4 SSL VPN网关用相同的加密算法对密文举行解密，获得明文
；
 

    5 SSL VPN网关用相同的散列算法对明文中的应用数据散列，盘算的获得的散列值和明文的散列值较量。若是一致，则明文有用
；不然扬弃该报文。
 

    6 SSL VPN网关将明文应用数据转发到
；ぷ油淖试粗骰，资源主机对该应用数据包处置惩罚之后再向远程终端用户回包
；
 

    7 经由SSL VPN网关的加密后（同远程终端相同办法），再传输至远程终端用户
；
 

    8 远程终端用户的SSL层吸收加密包后再使用解密算法解密，并将该应用数据包发送至用户的应用层。
 

    至此，一个数据包经由SSL VPN传输的历程完毕。
 

数据包流程示意图如下:

 

流程图注解：
 

    1 外地应用数据的加密
；
 

    2 加密数据传送至SSL VPN网关
；
 

    3 SSL VPN网关将解密的数据传送至应用效劳器
；
 

    4 应用效劳器的处置惩罚
；
 

    5 处置惩罚后的数据传送至SSL VPN网关
；
 

    6 SSL VPN网关加密数据包后传送至远端用户
；
 

    7 外地吸收到数据后解密以及应用
 

6 RG-WALL V网关SSL VPN典范安排

 

6.1 路由模式安排图
 

 

【需求剖析】
 

 

RG-WALL V清静网关可以作为公司总部的出口装备，对公司总部的内网举行清静
；
；远程终端用户也可以通过VPN清静会见内部的效劳器资源。

 

 

【抵达的效果】
 

 

    ♦ 移动用户可以任何方法接入Internet网，通过SSL VPN，移动用户可以清静会见内网的资源。
 

 

    ♦ 接纳多种认证方法确认用户的身份，确保通讯的实体是可信托的，RG-WALL V清静网关支持外地数据库、RADIUS认证、LDAP/AD认证、证书认证和短信校验等方法。用户可以凭证企业内网的现真相形举行选择。
 

 

    ♦ 移动用户可以同时会见Internet数据和企业内部网络数据
； 相互之间不会有任何滋扰。
 

 

    ♦ 支持客户端通过域名的方法上岸网关，利便用户影象，纵然VPN地点爆发转变也不影响终端用户的上岸。
 

 

    ♦ RG-WALL V清静网关集成防火墙？，能对内部资源提供入侵检测和防御
；。
 

 

6.2 透明模式安排图
 

 

【需求剖析】
 

 

若是公司总部网络已经妄想完毕，RG-WALL V清静网关支持透明方法接入网络，在原有网络不做任何改动的情形下，终端用户通过VPN清静会见内网资源。

 

 

【抵达的效果】
 

 

    ♦ 移动用户可以任何方法接入Internet网，通过SSL VPN，移动用户可以清静会见内网的资源。
 

 

    ♦ 接纳多种认证方法确认用户的身份，确保通讯的实体是可信托的，RG-WALL V清静网关支持外地数据库、RADIUS认证、LDAP/AD认证、证书认证和短信校验等方法。用户可以凭证企业内网的现真相形举行选择。
 

 

    ♦ 移动用户可以同时会见Internet数据和企业内部网络数据
； 相互之间不会有任何滋扰。
 

 

    ♦ 治理员可以在稳固换原有网络的情形下，实现SSL VPN的安排。
 

 

    ♦ RG-WALL V清静网关集成防火墙？楹捅ㄎ墓，能对内部资源提供通讯检测和防御
；。
 

6.3 单臂路由模式
 

 

【需求剖析】
 

 

若是公司总部网络已经妄想完毕，RG-WALL V清静网关支持单臂路由方法接入网络，在原有网络不做任何改动的情形下，终端用户通过VPN清静会见内网资源。

 

 

【抵达的效果】
 

 

    ♦ 移动用户可以任何方法接入Internet网，通过SSL VPN，移动用户可以清静会见内网的资源。
 

 

    ♦ 接纳多种认证方法确认用户的身份，确保通讯的实体是可信托的，RG-WALL V清静网关支持外地数据库、RADIUS认证、LDAP/AD认证、证书认证和短信校验等方法。用户可以凭证企业内网的现真相形举行选择。
 

 

    ♦ 移动用户可以同时会见Internet数据和企业内部网络数据
； 相互之间不会有任何滋扰。
 

 

    ♦ 治理员可以在稳固换原有网络的情形下，将RG-WALL V清静网关看作内网的一台主机，直接安排在网络中使用，降低了用户治理和使用的重漂后。
 

 

6.4 混淆安排、集中治理模式
 

 

【需求剖析】
 

 

    公司总部和分支机构均安排RG-WALL V清静网关，小我私家用户可以通过VPN划分会见
总部和分支的资源。差别地区的VPN可以通过VMS效劳器集中治理，实时治理和盘问上岸差别SSL VPN的用户信息。

 

 

 

【抵达的效果】
 

 

    ♦ 移动用户可以任何方法接入Internet网，通过SSL VPN，移动用户可以清静会见内网的资源。
 

 

    ♦  接纳多种认证方法确认用户的身份，确保通讯的实体是可信托的，RG-WALL V清静网关支持外地数据库、RADIUS认证、LDAP/AD认证、证书认证和短信校验等方法。用户可以凭证企业内网的现真相形举行选择。
 

 

    ♦  移动用户可以同时会见Internet数据和企业内部网络数据
； 相互之间不会有任何滋扰。
 

 

    ♦  差别地区的RG-WALL V清静网关可以通过PP电子5金狮VMS效劳器集中治理，便于治理员统一妄想，节约运营本钱。
 

 

    ♦  RG-WALL V清静网关实时将上岸自己的终端用户信息上报至VMS效劳器，治理员能够实时治理和盘问上岸用户的信息。
注重：该安排模式需要购置RG-VMS产品（VPN集中治理系统）。