智能选路是如何实现的？

智能选路采用WebAgent来实现。VPN设备会把多个链路IP上报到WebAgent，客户端设置WebAgent为服务器端，发起VPN连接时，WebAgent会将VPN网关多个链路IP发给客户端，客户端从这些IP下载相同的图片文件，从中选择一个时间最短的IP作为最优的链路地址。

L2TP是二层的，会比SSL VPN更安全吗？

L2TP之所以被称为二层，是因为隧道内的载荷报文是二层的，但是承载报文是UDP的，在这点上是和SSL相似的。但是L2TP本身不具备加密机制，所以L2TP不会比SSL VPN更安全。

既然用了VPDN，用户就会觉得通信链路很安全，为什么还需要VPN加密？

VPDN的线路和手机上网是一样的，数据从手机到基站是用无线编码的，具备一定的保密性，从基站到运营商内部核心网路由器，再从核心网路由器通过专线到客户那里，基本都是IP明文传输。VPDN相比普通用户上网安全性高一些，因为运营商核心网路由器到客户侧是专线，专线数据很难被黑客监听，而手机上网是从运营商核心网路由器直连Internet的。但是，从严格的安全保护角度，VPDN并不能保证从手机到客户都是全程加密的，因此要求在VPND专线的基础上进行SSL加密。

SSL产品支持的算法有哪些？

SSL相关算法：SM2、SM3、RSA、MD5、RSA-1024、RSA-2048、SHA-1、SHA-256、DES、3DES、AES、SANGFOR_DES、SM1、SM4、DH、RC4。

算法用途：身份鉴别、访问控制、审计记录、程序安全、数据传输、密钥管理。

IPSEC相关算法：MD5、SHA-1、SM3、DES、3DES、SANGFOR_DES、SM4。

算法用途：身份鉴别、访问控制、审计记录、程序安全、数据传输、密钥管理。

SSL VPN是否支持HTTP2.0？

目前HTTP2.0对SSL来说只影响Web资源，TCP和L3VPN资源只要服务端支持即可，目前HTTP2.0还没有大规模应用，在大规模应用之前Web资源也会支持。

使用SSL VPN能够避免哪些攻击？哪些是HTTPS解决不了的？

SSL VPN：

• 能降低用户身份仿冒攻击，在业务系统本身的认证之外增加了认证环境，且VPN的认证具备密码策略管理，可以强制密码复杂度、试错次数、防爆破、防自动化脚本攻击等。
• 增加了端点安全策略，能降低黑客通过合法客户端作为跳板进行攻击。
• 传输上支持更为安全的国家商用密码算法（硬件加密卡）。
• 对外只开放VPN服务端口，不开放业务服务器端口，避免了对服务器的入侵攻击，黑客如果要入侵系统，只能够先攻击VPN，控制VPN的前提下，才有可能对业务系统攻击。

HTTPS+认证：

• 只是业务系统本身传输的加密和认证，对攻击者来说，直接攻击的还是服务器本身（可以对服务器账号密码进行爆破、撞库、SSL中间人攻击等）。
• 不具备端点安全能力，如果合法用户的电脑已经被控制，很容易在使用业务系统的时候被进行跳板攻击。
• 服务器端口直接暴露在互联网，黑客可以对服务器进行各种攻击探测。

VPN设备本身的安全性：

• 设备每一个版本在生产销售过程中都经过各种检测，并有国家权威机构的检测证明。
• 设备本身作为一个安全产品，产品业务逻辑相比业务系统本身更安全，安全成熟度高。
• SSL VPN在大量金融、公检法单位使用，这些单位安全要求很高，VPN每年都会多次经历安全检查。

IPSec VPN支持的协商协议？

支持IKEv1协商协议。

SSL VPN的访问控制策略是否采用MD5/SHA1等密码技术实现完整性保护？

VPN的访问控制策略未采用MD5/SHA1等密码技术实现完整性保护，使用的SSL协议，协议本身就有完整性保护。