SSL VPN技术超全解析( 二 ) _SSL

3. 假设“订单提交”网站在单位内部私有URL是http://site1/page ，那么在SSL VPN服务器上的订单提交链接URL则会进行相应的修改，变成https://sslvpn/httpsite1/pate ，相当于SSL VPN站点的内部链接；
4. 使用者点击“订单提交”链接后，会新建一个浏览器窗口，打开链接https://sslvpn/httpsite1/page ，也就是说对于使用者而言，订单提交像是SSL VPN站点的一个链接，而非另外一个站点，所有的访问都终结在SSL VPN站点；
5. SSL VPN站点的所有者SSL VPN服务器在接收到使用者对https://sslvpn/httpsite1/page的页面请求后， SSL VPN服务器会做WEB代理的工作，即以内部地址10.1.1.1向真正的“订单提交”站点10.6.16.3访问页面http://site1/page；
6. 可以发现整个页面访问是由使用者与服务器之间的HTTPS会话、服务器与“订单提交”站点的HTTP会话连接而成的，服务器在这个访问中起的是WEB代理作用，因为在“订单提交”站点看来，访问者IP是服务器，而不是最终用户IP；
7. 而使用者访问另外一个站点“财务报表” ，也是类似过程。
WEB代理因为原理简单，实现起来较为容易，因为传统的WEB Proxy代理是两段HTTP会话的衔接，而SSL VPN的WEB代理则把用户与服务器的连接把HTTP换成了HTTPS、并对网站的URL进行了替换而已，从图中我们可以看到红色部分即为URL的替换。

文章插图

从这张封装原理图，我们可以比较清楚地看到HTTPS与HTTP会话在这个访问过程中的衔接。可能有人会问，让“订单提交”站点直接在互联网提供HTTPS服务，直接用一个HTTPS会话不是更好，原理上当然更好，但是有更多的现实问题：
1. 直接在互联网提供HTTPS服务，需要一个互联网地址和公共域名，这两样都是要花钱申请的，使用SSL VPN统一接入，这么多内部站点只需要一个公网地址、一个公网域名，多划算；
2. 订单提交真的需要开放到互联网吗？订单提交都是公司内部业务，访问量也不大，直接开放到互联网并不能有更多的提速效果；
3. 开放到互联网怎么保证安全，财务报表等信息都是公司机密，老老实实放在内网，前面通过SSL VPN服务器挡着，即使有攻击也只是攻击SSL VPN服务器，内网服务器还是很安全的。
综上所述对于一些内部站点，使用SSL VPN还是相当有好处的，特别是在拥有一款强大的SSL VPN服务器的时候。
三、端口映射
刚才讲的是WEB代理，对于一些内部服务器并不是WEB站点，那WEB代理还能使用吗？不能使用了，比如内部站点是FTP应用，那么访问不可能由HTTPS会话和FTP会话衔接而成， SSL VPN必须想其余办法。
由于SSL只能封装在TCP之上，所以端口映射服务器只能针对内部的TCP应用，如FTP 。

文章插图

在端口映射中， SSL VPN的使用者会从SSL VPN页面自动加载一个客户端程序，我们姑且就叫它SSL VPN客户端程序吧，它是怎么使端口映射工作的呢，我们假设内部有两个FTP服务器，一个叫FTP1 ，内部地址10.6.16.1 ，另一个是FTP2 ，内部地址10.6.16.4 ，都是监听TCP 21端口：
1. SSL VPN服务器为这两个内部服务器做了端口映射， TCP 2021端口映射到FTP1的TCP 21 ， 3021则映射到FTP2；
2. SSL VPN服务器会让使用者PC自动加载SSL VPN客户端程序，并根据这两个映射生成两个静态host映射表项，告诉使用者PC访问FTP1其实就是访问127.0.0.2 ，访问FTP2就是访问127.0.0.3 ， 127.0.0.0/8称为环回地址，及该地址只能在PC内部使用，不可能被发出到PC之外，那么SSL VPN客户端程序就监听这两个内部地址；
3. 使用者访问FTP1 ，其实访问的是TCP 127.0.0.2:21 ，所有数据都会被SSL VPN客户端程序监听，客户端程序会进行代理，变成访问服务器TCP 6.16.5.6:2021 ，该TCP访问会使用SSL进行加密；