什么是SSL VPN？

SSL VPN是如何工作的？

移动办公用户访问企业内网的服务器时，首先与SSL VPN服务器之间建立起安全连接（SSL VPN隧道），采用标准的SSL协议对传输的数据包进行加密。登录SSL VPN服务器时，用户访问SSL VPN服务器登录界面，SSL VPN服务器会对用户身份进行认证。SSL VPN服务器往往支持多种用户认证方式，来保证访问的安全性、合法性。

然后SSL VPN服务器将报文转发给特定的内部服务器，从而使得移动办公用户在通过验证后，可访问企业内网中管理员分配指定的服务器资源。SSL VPN可以借助Web浏览器覆盖所有的远程访问需求。

SSL VPN应用场景

为什么选择SSL VPN？

企业出差员工和居家办公员工，需要在外地远程办公，并期望能够通过Internet随时随地的远程访问企业内部资源。同时，企业为了保证内网资源的安全性，希望能对移动办公用户进行多种形式的身份认证，并对移动办公用户可访问内网资源的权限做精细化控制。IPSec VPN和SSL VPN技术都可以支持远程接入这个应用场景。

作为一种轻量级VPN 技术，SSL VPN安全性不输于IPsec VPN，且能实现更为精细的资源控制和用户隔离。不需要安装客户端，浏览器登录的便捷性也让SSL VPN在企业和机构员工中更易于推广使用。SSL VPN工作在传输层和应用层之间，不会改变IP报文头和TCP报文头，不会影响原有网络拓扑，也不需要安装客户端。因此部署，配置和维护SSL VPN都比较简便和低成本。

SSL VPN vs. IPsec VPN

华为SSL VPN方案

SSL VPN服务器通常部署在企业出口防火墙的内部，而华为多款USG系列产品可以直接作为SSL VPN服务器。

移动办公用户可以访问的内网资源分为4种类型，按访问控制粒度由小到大依次为Web资源、文件资源、端口资源和IP资源。为了更精细的控制移动办公用户的资源访问权限，华为SSL VPN方案为每一类资源配置了与之对应的访问业务，分别为Web代理、文件共享、端口转发和网络扩展。

在用户身份验证方面，华为USG系列产品支持用户名/密码的本地认证和服务器认证；证书匿名和证书挑战两种证书认证；用户名/密码+证书双重因素认证等。通过配置角色对移动办公用户进行资源访问授权和接入控制。

华为防火墙向移动办公用户提供SSL VPN接入服务