什么是SSL VPN？其中的协议结构是怎样的？

定义：SSL VPN是以SSL协议为安全基础的VPN远程接入技术，移动办公人员使用SSL VPN可以安全、方便的接入企业内网，访问企业内网资源，提高工作效率。

SSL（Security Socket Layer）是一个安全协议，为基于TCP（Transmission Control Protocol）的应用层协议提供安全连接，SSL介于TCP/IP协议栈第四层和第七层之间。SSL可以为HTTP（Hypertext Transfer Protocol）协议提供安全连接。

SSL VPN是以SSL/TLS协议为基础，利用标准浏览器都内置支持SSL/TLS的现实优势，对其应用功能进行扩展的新型VPN。除了Web访问、TCP/UDP应用之外，SSL VPN还能够对IP通信进行保护。SSL VPN通信基于标准TCP/UDP，不受NAT限制，能够穿越防火墙，使用户在任何地方都能够通过SSL VPN虚拟网关访问内网资源，使远程安全接入更加灵活简单，大大降低了企业部署维护VPN的费用。

SSL VPN帮助用户使用标准的浏览器，就可以访问企业的内部应用。这使得移动办公人员只要有一台接入了Internet的电脑，就可以随时随地进行安全的远程访问了。SSL VPN的安全性、便捷性和易用性为企业的移动办公带来了便利，使移动员工的工作效率最大化。

要使用SSL协议进行VPN通信，通信双方必须支持SSL。目前常见的应用一般都支持SSL，如IE、Netscape浏览器、Outlook、Eudora邮件应用等。

SSL协议结构可以分为两层：

底层为SSL记录协议（SSL record protocol）

主要负责对上层的数据进行分块、压缩、计算并添加MAC、加密，最后把记录块传输给对方。

上层为SSL握手协议（SSL handshake protocol）、SSL密码变化协议（SSL change cipher spec protocol）和SSL警告协议（SSL alert protocol）

SSL握手协议：客户端和服务器通过握手协议建立一个会话。会话包含一组参数，主要有会话ID、对方的证书、加密算法列表（包括密钥交换算法、数据加密算法和MAC算法）、压缩算法以及主密钥。SSL会话可以被多个连接共享，以减少会话协商开销。

SSL密码变化协议：客户端和服务器端通过密码变化协议通知接收方，随后的报文都将使用新协商的加密算法列表和密钥进行保护和传输。

SSL警告协议：用来允许一方向另一方报告告警信息。消息中包含告警的严重级别和描述。