简介：

SSL VPN以SSL（Secure Sockets Layer，安全套接字层）为基础提供远程的安全连接服务。用户可通过互联网，使用内嵌SSL协议的浏览器与远端的Web服务器建立安全的连接，访问内部资源。企业或机构可通过SSL VPN来为移动用户或者外部客户提供访问内部资源的服务并保证安全性。

技术原理：

SSL VPN是以HTTPS（Secure HTTP，安全的HTTP，即支持SSL的HTTP协议）为基础的VPN技术，工作在传输层和应用层之间。SSL VPN充分利用了SSL协议提供的基于证书的身份认证、数据加密和消息完整性验证机制，可以为应用层之间的通信建立安全连接。

SSLVPN是解决远程用户访问公司敏感数据最简单最安全的解决技术。SSL VPN是一种既简单又安全的远程隧道访问技术，使用非常简单。SSL VPN采用公匙加密的方式来保障数据在传输的过程中的安全性，它采用客户端和服务器直接沟通的方式，既方便了用户的使用，又可以通过SSL协议来保证数据的安全。SSL协议是采用SSL/TLS综合加密的方式来保障数据安全的。SSL协议从其使用上来说可以分为两层：第一层是SSL记录协议，这种协议可以为数据的传输提供基本的数据压缩、加密等功能；第二层是SSL握手协议，主要用于检测用户的账号密码是否正确，进行身份验证登录。

SSL VPN的工作机制为：

SSL VPN服务通过SSL VPN网关来提供。SSL VPN网关位于远端接入用户和企业内部网络之间，负责在二者之间转发报文。管理员需要在SSL VPN网关上创建与企业网内服务器对应的资源。

SSL VPN网关与远端接入用户建立SSL连接，并对接入用户进行身份认证。远端接入用户的访问请求只有通过SSL VPN网关的安全检查和认证后，才会被SSL VPN网关转发到企业网络内部，从而实现对企业内部资源的保护。

SSL VPN的工作机制为：

(1)     远程接入用户与SSL VPN网关建立HTTPS连接，通过SSL提供的基于证书的身份验证功能，SSL VPN网关和远程接入用户可以验证彼此的身份。

(2)     远程接入用户输入用户名、密码等身份信息，SSL VPN网关对用户的身份进行认证，并对用户可以访问的资源进行授权。

(3)     用户获取到可以访问的资源，通过SSL连接将访问请求发送给SSL VPN网关。

(4)     SSL VPN网关将资源访问请求转发给企业网内的服务器。

(5)     SSL VPN网关接收到服务器的应答后，通过SSL连接将其转发给用户。

实现方式：

目前主流的SSL VPN功能实现方案是基于开源软件OpenVPN进行包装，该方案实现简单，几乎不需要过多二次开发就可以使用，但是OpenVPN是基于内核实现，同时只支持单进程，对于当下NFV的多核多线程架构，无法高效的利用资源，性能上的瓶颈也无法突破。

VPP是目前主流的NFV数据转发平台软件，支持多核多线程的架构，最新版本已经支持TCP协议栈，同时还支持TLS(based on OpenSSL)。所以只需要实现SSL VPN协商交互功，数据封装转发，资源匹配，资源配置等一些上层功能，就能基于VPP实现整个SSL VPN的功能。具体工作逻辑见下图：

应用场景：

SSL-VPN是一种使用SSL作为安全协议的VPN隧道技术，是一种使用简便，功能强大的VPN实现方式，主要的应用场景是保证远程用户能够在企业外部安全、高效的访问企业内部的网络资源，或者访问云内的网络资源。