RG-WALL V系列安全網關SSL VPN技術白皮書

SSL（Secure Socket Layer、安全套接字協議層）是目前Internet上應用最為廣泛的安全協議。SSL協議提供了數據私密性、端點驗證、信息完整性等特性。

發布時間：2009-09-25
點擊量：
點贊：

分享至

我想評論

1 SSL VPN技術背景

隨著我國社會主義市場經濟環境的不斷完善，經濟領域的競爭日趨激烈，建立跨地域、跨行業、能溝通供應鏈上下游環節的企業級戰略性信息系統已成為企業在市場中獲取競爭優勢的重要手段。目前，國內企業內部的信息化程度越來越高，很多企業都建有自己的局域網、財務系統、ERP系統等等，但建設和維護一個遠程基礎通訊設施所需的昂貴費用卻使絕大多數企業望而卻步，它們只能通過遠程撥號訪問、簡單的FTP傳輸等手段來維系不同地域信息系統之間數據交換的最低要求，嚴重制約了信息系統整體效能的發揮。在這樣的背景下，企業迫切需要一種低成本的網絡互聯解決方案，以實現異地分支機構、合作伙伴或移動用戶與企業總部之間暢通、安全地交換或共享業務數據。

Internet技術的不斷發展和日趨成熟為這種需求的實現提供了現實的可能性。Internet所具備的高帶寬、低費用以及無限的連接特性對企業具有很大的誘惑性，但與此同時，Internet的高度開放性和松散管理結構也使得企業面臨的網絡安全問題益發尖銳，成了Internet作為商務網絡必須跨越的重大障礙。為此，各種網絡安全技術和產品應運而生，其中虛擬專用網（VPN）及其相關技術經過多年的實踐、發展和完善，以其方便性、安全性、標準化等優勢脫穎而出，逐步成為實現企業網絡跨地域安全互聯的主要技術手段，是目前和今后一段時間內企業構建廣域網絡的發展趨勢。SSL VPN可以通過特殊的加密通訊協議，在Internet一端的出差員工和另一端的公司總部之間建立一條專有的通訊通道，就好比架設了一條專線。與傳統VPN解決方案相比較，SSL VPN使用維護簡單，不用更改現有網絡結構；移動性強，無須安裝客戶端程序；具有強有力的訪問控制能力，可以使移動用戶輕松訪問公司內部B/S和C/S應用和其他核心資源。

2 SSL VPN技術概述

SSL（Secure Socket Layer、安全套接字協議層）是目前Internet上應用最為廣泛的安全協議。SSL協議提供了數據私密性、端點驗證、信息完整性等特性。

SSL協議由許多子協議組成，其中兩個主要的子協議是握手協議和記錄協議。握手協議允許服務器和客戶端在應用協議傳輸第一數據字節以前，彼此確認，協商一種加密算法和密碼鑰匙。在數據傳輸期間，記錄協議利用握手協議生成的密鑰加密和解密后來交換的數據。

SSL獨立于應用，因此任何一個應用程序都可以享受它的安全性而不必理會執行細節。SSL置身于網絡結構體系的傳輸層和應用層之間。此外，SSL本身就被幾乎所有的Web瀏覽器支持，這意味著客戶端不需要為了支持SSL連接安裝額外的軟件。這兩個特征就是SSL能應用于VPN的關鍵點。

SSL VPN 的發展對現有SSL應用是一個補充，它增加了公司執行訪問控制和安全的級別和能力，SSL VPN 還對那些因為使用遠程訪問應用系統而降低公司安全性的企業有所幫助。大量理論可以證明SSL的獨特性以及VPN所能提供的安全遠程訪問控制能力。到目前為止，SSL VPN是解決遠程用戶訪問敏感公司數據簡單安全的解決技術。與復雜的IPSec VPN相比，SSL VPN通過簡單易用的方法實現信息遠程連通。任何安裝瀏覽器的機器都可以使用SSL VPN，這是因為SSL 內嵌在瀏覽器中，它不需要象傳統IPSec VPN一樣必須為每一臺客戶機安裝客戶端軟件。這一點對于擁有大量機器（包括家用機，工作機和客戶機等等）需要與公司機密信息相連接的用戶至關重要。

SSL VPN 的價值包括許多方面，最主要的是提高訪問控制能力，安全易用以及高額的投資回報率。SSL VPN 對訪問控制更加有效，因為實施了用戶集中化管理；所有的遠程訪問都是通過SSL VPN 控制臺進行控管，這樣可以更加有效的監控用戶使用權限，這些用戶可能是公司內部員工，合作伙伴或客戶；所有訪問被限制在應用層，而且可以將權限細分到一個URL 或一個文件。

銳捷網絡公司作為一個專業化的網絡產品研制、生產銷售和服務提供商，對VPN的技術內涵和國內外企業的需求特點有著深刻的理解，并具有豐富的VPN產品經驗。RG-WALL V安全網關就是我公司在總結國內外各種VPN產品的特點和國內用戶實際需求的基礎上，經過多年的技術沉淀，研制開發的系列產品，能滿足各種不同類型企業的構網要求，保證企業通信的安全快捷。

RG-WALL V安全網關采用自主設計的安全操作系統，具有高可用性、高易用性、高擴展性和高安全性。經過簡單配置分支機構、移動用戶以及合作伙伴可以通過任何標準的瀏覽器實現遠程安全接入企業總部。目前銳捷支持SSL VPN的產品型號是RG-WALL V1000。
RG-WALL V安全網關是使用者利用瀏覽器內建的Secure Socket Layer封包處理功能，用瀏覽器連回公司內部SSL VPN服務器，然后透過網絡封包轉向的方式，讓使用者可以在遠程計算機執行應用程序，讀取公司內部服務器數據。它采用標準的安全套接層（SSL）對傳輸中的數據包進行加密，從而在應用層保護了數據的安全性。RG-WALL V安全網關通過SSL協議，利用PKI的證書體系，在傳輸過程中使用DES、3DES、AES、RSA、MD5、SHA1等多種密碼算法保證數據的機密性、完整性、不可否認性而完成秘密傳輸，實現在Internet上安全的進行信息交換。

3 RG-WALL V網關SSL VPN功能介紹

RG-WALL V安全網關內部集成標準CA服務，用戶可以使用默認的CA服務，也支持第三方標準CA服務器。RG-WALL V安全網關除了支持常規的本地用戶庫、RADIUS、LDAP/AD和USB RG-KEY等認證方式登陸，還支持在上述認證方式登陸過程中使用手機短信校驗進行混合認證，確保在口令泄漏或usb key遺失的情況下，也能保證總部資源的安全性。

由于采用了IP Tunnel技術，RG-WALL V安全網關實現了對應用程序的完整支持。從功能上有網絡訪問、網上應用程序、Windows文件共享、移動電子郵件、應用程序訪問、傳統主機、終端服務器等眾多功能以及基于TCP、UDP以及ICMP協議層以上的所有應用程序的支持。對于網絡維護人員而言，由于SSL 的易用性，無需部署和維護客戶端軟件，很大程度上降低了管理和維護VPN網絡的工作量。對于擁有眾多的移動員工、遠程用戶以及合作伙伴的企業用戶來說，銳捷 SSL VPN提供了性價比極高的遠程接入解決方案，降低了企業的總體擁有成本。

RG-WALL V安全網關還集成了對客戶端計算機安全性檢查的功能，能夠有效避免由于SSL易用性帶來的不安全因素，防止不具備相應安全等級的終端用戶通過SSL VPN登錄到企業總部帶來的安全隱患，保證遠程接入的安全性。

RG-WALL V安全網關功能列表：

功能項目		支持情況
認證方式	本地用戶數據庫	支持
	LDAP/AD	支持
	RADIUS	支持
	USB KEY認證	支持
	支持校驗碼	支持
	短信校驗	支持
操作系統	支持的操作系統類型	Windows2000/XP/2003
地址欄輸入	地址方式	支持
	域名方式	支持
	不指定端口	支持
客戶端登陸	客戶端接入網絡方式	WLAN卡、PCMCIA卡、GPRS卡、CDMA卡、10/100網卡、千兆網卡、WLAN、小區寬帶、PPP撥號、ADSL撥號
	客戶端登陸界面自主設置	支持
	客戶端使用界面	中文
加密算法	AES	支持
	DES	支持
	3DES	支持
	DESX-CBC	支持
	BF-CBC	支持
	RC2	支持
	IDEA-CBC	支持
	CAST5-CBC	支持
	RC5-CBC	支持
	MD2	支持
	MD5	支持
	RSA	支持
	SHA	支持
	SHA1	支持
	DSA-SHA	支持
	RIPEMD160	支持
	MD4	支持
數據壓縮	數據壓縮	支持
瀏覽器	IE6	支持
	IE7	支持
	Netscape Navigator	支持
Web應用支持	支持 Html/Dhtml、 Jsp、 Asp、Java applet、 Activx、 Cookies等各種Web技術	支持
C/S應用支持	支持FTP、Email的Web訪問	支持
	支持基于IP層以上的各種TCP/IP協議的應用。包括：http、Email、Ftp、網上鄰居、Notes、Outlook、Oracle、 SQL等各種動態和靜態的C/S應用	支持
	支持單主機和保護子網的訪問	支持
	支持內部DNS	支持
	支持WINS	支持
訪問細粒度控制	支持按用戶分配接入權限和訪問權限	支持
	支持用戶組管理和角色管理	支持
	用戶組訪問資源時間可控制	支持
	用戶組訪問資源的用戶地址可控制	支持
	支持用戶黑名單	支持
客戶端安全性	支持客戶端安全掃描	支持
	支持客戶端緩存清空	支持
	支持客戶端Cookie清除	支持
	清除收藏夾內容	支持
	清除RAS自動撥號記錄	支持
	清系統臨時文件夾；	支持
	清除瀏覽網址歷史記錄	支持
	清除表單歷史記錄	支持
	清除網絡連接歷史記錄	支持
	清除文檔的歷史記錄	支持
	清除運行的自動匹配歷史記錄	支持
	客戶端硬件特征碼綁定	支持
實時監控	可實時監控用戶接入情況	支持
	支持在線中斷用戶	支持
	實時監控系統的運行	支持
證書方式	支持本地CA根	支持
	支持第三方CA根	支持
	支持證書的導入	支持
	支持SCEP協議遠程注冊證書	支持
	支持SCEP協議遠程更新證書	支持
	支持LDAP協議獲取對方證書	支持
	支持CRL	支持
	支持CRL的自動更新	支持
管理方式	配置方式	GUI管理器
管理方式	配置界面	中文

4 RG-WALL V網關SSL VPN技術特點

4.1 成熟全面的SSL VPN技術

4.1.1 無需安裝客戶端，使用簡單

RG-WALL V安全網關采用標準的SSL協議標準，因此用戶在客戶端只需要使用標準的Web瀏覽器連接Internet網，通過網頁即可以訪問SSL VPN內網的保護資源。相對于使用IPSEC VPN的用戶來說，使用SSL VPN之后，管理員省去安裝和維護大量客戶端的麻煩，網絡的管理成本和運營成本也隨之降低。

無論用戶采用固定地址或動態撥號、有線或無線的方式接入網絡，都可以正常使用RG-WALL V安全網關。用戶打開瀏覽器之后，可以通過地址、域名的方式來登陸SSL VPN，而不需再輸入任何端口。

4.1.2 使用IP Tunnel技術支持所有應用和網絡訪問

RG-WALL V安全網關除了可以采用傳統WEB AGENT技術對WEB應用進行安全傳輸外，還可以采用IP Tunnel技術能夠支持各種C/S應用，支持所有的基于IP層以上的靜態或動態端口應用，完全支持：網上鄰居、文件共享、FTP、OUTLOOK、SQL、Lotus NOTES、SYBASE、ORACLE等各種應用。RG-WALL V安全網關還支持終端用戶對內網單臺機器或保護子網的訪問。

終端用戶在使用RG-WALL V安全網關的時候，不需要安裝客戶端，只需要通過標準瀏覽器打開SSL VPN的登陸界面之后，安裝一個ActiveX控件，在客戶端的機器上會自動生成一塊專門用于SSL VPN通信的虛擬網卡，從而保證RG-WALL V安全網關的用戶能夠使用所有基于IP網絡層的應用。

4.1.3 詳盡的細粒度訪問控制

SSL VPN相對于IPSEC VPN而言的一個優勢就是客戶的細粒度訪問控制，RG-WALL V安全網關對用戶的訪問控制細粒度已經非常精確。根據組織架構，用戶可以分組管理；根據在組織結構中的不同角色，用戶可以分角色管理，為每個用戶或用戶組指定一個或多個角色；根據角色的不同安全級別，用戶可以分時間和空間管理，為不同角色或用戶劃分允許訪問的時間段和允許訪問的物理地址。

RG-WALL V安全網關還可以通過內部集成的防火墻，對VPN數據進行訪問控制；同時能夠對每個用戶的訪問行為進行日志記錄，便于管理員審查。

4.1.4 高效的壓縮算法，硬卡加密提高訪問速度

一般的SSL數據傳送是不壓縮的，這樣會導致客戶在訪問保護資源的時候速度低下。RG-WALL V安全網關采用高效的LZO高效流壓縮算法，對所有VPN數據先壓縮再傳輸，大大提高了終端用戶在使用Web資源、C/S應用以及網絡訪問的效率，能夠顯著減少下載時間和提高訪問速度。特別是終端客戶使用無線方式（CDMA、GPRS等）上網的時候，效果會更加明顯。

RG-WALL V安全網關還支持高速硬件加密卡，對所有VPN數據都可以通過硬卡進行加密和解密，分流了CPU的處理數據，從而提高了用戶訪問資源的處理速度。

4.1.5 自主定制用戶登陸界面

RG-WALL V安全網關可以定制登陸界面，管理員根據自己的需求制訂用戶的登陸界面；同時用戶還可以根據個人喜好或工作需要，定制瀏覽器的頁面風格。系統支持5種不同的風格。

4.2 易用安全的SSL VPN

4.2.1 安全的加密認證

RG-WALL V安全網關采用標準的SSL協議加密建立安全的專用通道，使用標準瀏覽器內置的RC4 (128 位)加密算法進行加密，并通過RSA(1024 位交換)非對稱密鑰進行簽名，保證了數據在傳輸過程的安全性。

RG-WALL V安全網關支持的除了支持用戶名/密碼的方式之外，還支持證書方式認證，用戶通過保存證書的RG-KEY來進行身份認證。RG-KEY是一種USB身份認證設備，為防止RG-KEY丟失后被盜用，還為RG-KEY加入PIN碼保護，同時為了防止對PIN碼的強制性攻擊，在芯片組中設置多次密碼試錯自鎖功能。

4.2.2 短信校驗多重保證

面對當前日益嚴重威脅網絡安全的間諜軟件、木馬以及釣魚軟件等，終端用戶的機器面臨被黑客攻擊后控制了用戶的機器，或者一些間諜軟件、釣魚軟件泄漏了用戶名密碼等訪問口令，或者KEY的遺失和PIN碼的泄漏。但是采用RG-WALL V安全網關的動態短信校驗之后，即使出現如上情況，也能避免威脅企業內部的資源。

RG-WALL V安全網關的短信校驗技術是隨著無線技術的突飛猛進而出現，充分利用了其靈活可靠的特點，是一種革新性的認證解決方案。此認證系統分為手機短信終端和短信認證服務兩部分，短信認證服務器可以集成于RG-WALL V安全網關，終端用戶在已有移動電話和PDA的基礎上，通過手機短信方式獲取用戶認證必需的校驗碼。這樣RG-WALL V安全網關的終端用戶就可以通過用戶名/密碼和RG-KEY的方式登陸SSL VPN，在登陸的過程中通過移動電話或PDA短信收取一次性校驗碼，經過如上雙重因素認證之后就能訪問相應的內網資源了。

多種認證方式、完善的認證體系，使得企業在選擇的時候，可以根據相應的安全級別，對客戶端的認證方式進行組合，充分保證了接入用戶的合法性和企業內網資源的高度安全。

4.2.3 支持標準的PKI體系

隨著商務電子化以及銀行業務網絡化的建設步伐，PKI（即Public Key Infrastructure的簡稱），一個利用現代密碼學中的公鑰密碼技術在開放的Internet網絡環境中提供數據加密以及數字簽名服務的統一的技術框架越來越受到人們的重視。PKI技術用來管理在開放網絡環境中使用的公開密鑰和數字證書，而標準PKI的功能包括很多方面，主要有簽發數字證書、作廢證書、簽發與發布證書作廢表以及最近增加的一些功能，如時戳、基于策略的證書校驗等。

RG-WALL V安全網關能夠支持標準的PKI體系，和許多使用CA中心的應用有效集成，簡化認證過程：即同一套PKI既用于SSL VPN的接入認證，又用于接入后登錄應用系統的認證。

4.2.4 自帶CA中心

RG-WALL V安全網關本地默認集成一個CA中心，可以減少中小企業構建CA安全認證體系的成本。通過銳捷CMS（默認與SSL VPN相同CA根），管理員可以給每個遠程終端用戶頒發證書，并存儲于RG-KEY中，用來識別每個接入用戶的身份。

4.2.5 支持第三方CA

RG-WALL V安全網關遵循X.509證書體系，在線支持第三方CA服務。銳捷網關可以通過SCEP協議遠程注冊證書、自動更新證書、CRL的下載和自動更新；還支持通過LDAP協議下載獲取本地證書和CRL。

4.2.6 支持外部有效認證

RG-WALL V安全網關的除了支持終端用戶使用本地用戶數據庫的用戶登陸訪問內網資源外，還支持外部第三方認證服務器。通過與第三方的LDAP認證服務器或RADIUS認證服務器的有效集成，一個組織結構就可以只保存一套認證體系，簡化了部署過程，減少了運營成本。

4.2.7 支持客戶端硬件特征碼綁定

每個終端用戶使用的PC機都獨有自己的某些硬件特征信息，在登陸RG-WALL V安全網關的過程中，將自己的硬件特征信息上報。RG-WALL V安全網關根據管理員的選擇，可以自動將上報的硬件特征信息生成特征碼，并與登陸的用戶進行綁定。綁定之后的用戶將只限于在綁定的機器上使用，進一步提高了接入用戶的合法性和企業內網資源的安全性。

4.2.8 支持在規定時間、規定地點和規定主機上的“三規”訪問

RG-WALL V安全網關可以根據用戶登錄的時間、登錄的IP地址和登錄主機的硬件特征信息進行限制，從而真正實現在規定的時間、規定的地點和規定的主機上遠程訪問的控制。

4.2.9 客戶端安全掃描

為了保證終端用戶接入VPN之前的安全性，RG-WALL V安全網關在用戶登陸的時候，系統會對客戶端的主機健康狀態進行檢查，內容涉及到主機的操作系統、是否安裝防火墻軟件、是否安裝防病毒軟件、是否打了最新的補丁等信息。如果主機健康狀態不佳，管理員可以限制主機聯入內部網。

4.2.10 清除訪問用戶訪問記錄

終端用戶訪問內部資源之后，RG-WALL V安全網關可以對遺留的歷史信息進行清除。系統提供了多種清除垃圾的工具，包括Cache清除、Cookie清除、地址欄清除、網絡連接歷史記錄清除、表單歷史記錄清除以及歷史文檔清除等操作，消除訪問痕跡，避免安全隱患。

4.3 高效穩定的部署能力

4.3.1 雙機熱備技術保證系統的穩定性

雙機熱備技術，就是指為了解決網絡節點單點故障引起的整個網絡癱瘓問題而提供的兩臺節點設備實時熱備功能，即除主網關以外，還有一臺網關處于熱備狀態，有機地構成了一個具有實時熱切換的高可靠性系統。雙機熱備在集群節點間保持間歇的通信信號，稱為心跳信號，是錯誤檢測的一個機制。即通過每一個通信路徑，在兩個對等系統之間進行周期性的握手，如果連續沒有收到的心跳信號到了一定的數目，雙機軟件就把這條路徑標示為失效。心跳的作用就是讓主機了解對方是否存在，服務是否健全，一旦雙機種的任何一方心跳消失，則另一臺主機立即接替繼續提供服務。RG-WALL V安全網關部署為雙機熱備模式之后，能夠保證當主網關發生意外Down機、網絡鏈路發生故障、硬件故障等情況的時候，從網關自動切換為工作狀態，代替主網關正常工作，從而保證了網絡的正常使用。切換過程不需要人為操作和其他系統的參與，切換時間少于5S。

4.3.2 多鏈路技術保證鏈路的穩定性

隨著Internet應用的不斷發展，只有一個鏈路連接公共網絡將導致單點失敗和網絡極其脆弱，目前日益增多的企業為了保證公司各個部門之間、供應商和客戶之間可靠的Internet訪問，都逐步采用多宿主網絡來避免Internet鏈路中斷所造成的損失（“多宿主網絡”指同時使用不同ISP提供的多條Internet鏈路）。

RG-WALL V安全網關多鏈路技術將多條線路、不同方式接入方式的上網線路實現帶寬疊加和互為備份，保證了整個系統的持續可靠運行。若任何一條線路出現故障，RG-WALL V安全網關可以將數據無縫切換到其他正常線路，不會影響SSL VPN用戶的接入和訪問。RG-WALL V安全網關多鏈路技術還能通過線路優選解決不同運營商之間的線路對接問題?？偛縎SL VPN配置不同服務商的多鏈路之后，各區域的終端用戶可以自動選擇匹配的線路與總部進行VPN通信。

4.3.3 多種接入方式保證系統高效部署

在網絡應用高度發展的今天，大量網絡設備被用來部署網絡環境，用戶往往要求新加入的設備能夠完美的融入而不影響原網絡的使用。RG-WALL V安全網關支持各種復雜的網絡應用，能夠按照用戶的需求靈活高效的部署。

RG-WALL V安全網關支持的接入方式有透明模式、路由模式；既可以作為出口設備部署，也支持單臂路由方式，在不改變網絡拓撲的情況下，直接部署在內網；既支持固定地址組網，也支持全動態地址組網。

4.4 安全靈敏的系統

4.4.1 實時監控系統狀態

通過銳捷安全網關管理中心，管理員可以遠程實時地監控用戶接入情況，檢查每個在線用戶的狀態，隨時中斷可疑的通信。管理員還可以方便快捷實時觀察SSL VPN地系統運行情況，或通過日志來分析出現的故障，并予以遠程解決。

4.4.2 完善的日志服務

RG-WALL V安全網關提供事件、錯誤、警告、管理、訪問五個級別的運行日志，能夠依據系統要求記錄敏感通信事件和管理事件，同時也能提供網絡使用情況的統計數據。管理員根據日志記錄可以審計SSL VPN的使用情況、管理員所進行的操作和網關所阻斷的探測、攻擊等非法訪問，并為安全策略的進一步完善提供參考。同時RG-WALL V安全網關還支持日志的導出，利用日志分析工具對導出的日志按照不同的需求分析。

RG-WALL V安全網關支持獨立的日志中心，可以實時的將日志傳送到日志服務器，為管理員統計、分析VPN資源的詳細使用情況提供詳細的數據支持。

4.4.3 雙系統備份

在系統升級過程中，由于網絡故障或軟件故障，一旦升級失敗，就會破壞系統環境，導致系統無法正常使用，只能返廠維修。為了防止這種情況，RG-WALL V安全網關采用自主研發的雙備份系統進行引導。如果升級失敗，系統會自動恢復進入最近一次正常的系統或備份系統，從而不會影響到用戶的使用。

4.4.4 在線升級

RG-WALL V安全網關支持在線升級，管理員可以通過串口、telnet或管理器升級以提高網關的性能和功能。通過在線升級功能，管理員可以擁有不斷更新換代的SSL VPN產品。同等型號設備的所有升級都是免費的。

4.4.5 集成強大的防火墻

RG-WALL V安全網關可以對用戶的內部資源提供入侵檢測和防御保護。能夠抵抗多種DoS、DDoS攻擊、TCP/UDP/ICMP的Flood攻擊、Land Attack、Ping to Death、Tear Drop等常見攻擊，尤其是能夠抵抗各種系統漏洞掃描，從而能夠有效防止更進一步的黑客攻擊。通過設置抗掃描攻擊、洪泛攻擊和各類非法報文攻擊的參數，用戶可以對內部服務器提供重點保護。

RG-WALL V安全網關中的防火墻模塊采用高性能的基于全狀態檢測的防火墻引擎，對來自Internet上的和遠程VPN接入端的請求和應答全部進行規則檢查，從而很大程度上防止了入侵者通過數據驅動方式對內部網的攻擊。通過對連接表進行優化，RG-WALL V安全網關能夠最大支持100萬條并發連接，從而滿足高端用戶的通信需求。

5 RG-WALL V網關SSL VPN運行步驟

管理員配置完SSL VPN的資源之后，遠程終端用戶首先通過SSL協議來訪問總部SSL VPN。用戶在瀏覽器的地址欄輸入HTTPs格式的訪問地址，在HTTP層將用戶需求翻譯成HTTP請求并送至SSL層；SSL層借助下層協議的信道協商出一份加密密鑰，并用此密鑰來加密HTTP請求；加密后的HTTP請求通過TCP層的443端口與SSL VPN建立連接，傳遞SSL處理后的數據。

銳捷SSL VPN收到加密的數據包之后，在SSL層通過協商出的加密密鑰來解密，再將翻譯出的數據送至應用層。此后，遠程終端用戶將打開SSL VPN的資源管理Web頁面，并在HTTP層下載Active控件來協商與中心SSL VPN的隧道，終端用戶通過與總部SSL VPN已經建立的加密連接來協商隧道的加密算法、驗證算法以及進行端口轉換的端口號和通信協議。隧道協商成功之后，客戶端將會啟動一個虛擬網卡并顯示為已連接的狀態，此后可信任資源的訪問都將通過SSL VPN加密傳輸。

遠程終端用戶通過SSL VPN訪問應用數據的時候，傳輸過程如下：

1 應用程序把應用數據提交至本地的SSL

2 遠程終端用戶根據需要指定的壓縮算法，壓縮應用數據；

3 遠程終端用戶把應用數據用加密算法加密，再按照指定的協議和端口號通過公網網絡傳輸到總部SSL VPN網關；

4 SSL VPN網關用相同的加密算法對密文進行解密，得到明文；

5 SSL VPN網關用相同的散列算法對明文中的應用數據散列，計算的得到的散列值和明文的散列值比較。如果一致，則明文有效；否則丟棄該報文。

6 SSL VPN網關將明文應用數據轉發到保護子網的資源主機，資源主機對該應用數據包處理之后再向遠程終端用戶回包；

7 經過SSL VPN網關的加密后（同遠程終端相同步驟），再傳輸至遠程終端用戶；

8 遠程終端用戶的SSL層接收加密包后再使用解密算法解密，并將該應用數據包發送至用戶的應用層。

至此，一個數據包經過SSL VPN傳輸的過程完畢。

數據包流程示意圖如下: