SSL三个协议与使用场景

三者

WEB代理

1. 假设SSL VPN的WEB站点的互联网域名是

https://sslvpn，该WEB站点对应的主机则是SSL VPN服务

器；

2. 使用者登陆SSL VPN的WEB页面后，WEB代理一栏会有

许多链接，如内部财务报表、订单提交等内部网站；

3. 假设“订单提交”网站在单位内部私有URL是

http://site1/page，那么在SSL VPN服务器上的订单提交

链接URL则会进行相应的修改，变成

https://sslvpn/httpsite1/pate，相当于SSL VPN站点的

内部链接

4. 使用者点击“订单提交”链接后，会新建一个浏览器

窗口，打开链接https://sslvpn/httpsite1/page，也就是

说对于使用者而言，订单提交像是SSL VPN站点的一个链

接，而非另外一个站点，所有的访问都终结在SSL VPN站

点；

5. SSL VPN站点的所有者SSL VPN服务器在接收到使用者

对https://sslvpn/httpsite1/page的页面请求后，SSL

VPN服务器会做WEB代理的工作，即以内部地址10.1.1.1向

真正的“订单提交”站点10.6.16.3访问页面

6. 可以发现整个页面访问是由使用者与服务器之间的HTTPS会话、服务器与“订单提交”站点的HTTP会话连接而

成的，服务器在这个访问中起的是WEB代理作用，因为在“

订单提交”站点看来，访问者IP是服务器，而不是最终用

三者的区别在于用户端使用何种应用来创建安全交互的方式

端口映射

1. SSL VPN服务器为这两个内部服务器做了端口映射，TCP 2021端口映射到FTP1的TCP 21，3021则映射到FTP2；

2. SSL VPN服务器会让使用者PC自动加载SSL VPN客户端程序，并根据这两个映射生成两个静态host映射表项，告诉使用者PC访问FTP1其实就是访问127.0.0.2，访问FTP2就是访问127.0.0.3，127.0.0.0/8称为环回地址，及该地址只能在PC内部使用，不可能被发出到PC之外，那么SSL VPN 客户端程序就监听这两个内部地址；

3. 使用者访问FTP1，其实访问的是TCP 127.0.0.2:21，所有数据都会被SSL VPN客户端程序监听，客户端程序会进行代理，变成访问服务器TCP 6.16.5.6:2021，该TCP访问会使用SSL进行加密；

4. 大家可能会问，为何需要个客户端程序进行代理呢，使用者的应用程序不能直接和SSL VPN服务器建立SSL会话吗？这个问题很好，使用者的应用程序的确无法直接建立SSL会话，所以使用客户端程序代劳，这种方式可以让所有TCP应用都能够享用SSL VPN服务；

5. 服务器接收到SSL加密的请求后，首先会进行解密，然后根据端口映射，会向内部FTP1站点TCP 10.

6.16.1:21发起访问；

方式

IP连接

1. 用户登陆SSL VPN页面后，会建立HTTPS会话，服务器

通过这个会话给用户自动加载SSL VPN客户端程序；

2. 此时的SSL VPN客户端程序的目的是给用户PC创建一

个虚拟网卡，以实现类似于L2TP那种到客户总部网络的VPN 连接；

3. 虚拟网卡创建好后，服务器会给该用户从地址池中取

一个地址分配给该用户，同时下发路由、DNS等信息，服务器针对该地址池也会有一个服务器地址192.168.1.1，作为所有客户端程序虚拟网卡的网关；

4. 此时SSL VPN客户端程序与服务器之间会建立一个全

新的SSL会话，专门用来传输虚拟网卡与服务器之间的流

量；

5. 假设用户要访问DNS 10.

6.16.1，根据路由的关系，

PC会通过虚拟网卡将DNS请求（源192.168.1.2目的

10.6.16.1）转发给SSL VPN服务器192.168.1.1；

6. PC上的SSL VPN客户端程序会将虚拟网卡发出的IP包

封装至新的SSL会话中，通过互联网传送到服务器；

7.服务器进行解密，解封装后发现IP目的地址是

10.6.16.1，那么就转发给DNS；