在隧道技術的基礎上才可談IPSEC VPN的安全性。隧道間傳輸密文,兩端是明文。

SSL VPN的安全性主要建立在SSL協議的基礎上,用PKI的證書體系進行秘密傳輸。

由於SSL非常靈活,所以廣受歡迎,现在差不多全部瀏覽器都內有SSL功能。它正成為企業應用、無線接入設備、Web服務及安全接入管理的關鍵協議。

1.SSL高效實現認證加密

SSL協議層含SSL握手協議與SSL記錄協議兩類子協議。它們共同為應用訪問連接(主要是HTTP連接)给予加密和防篡改功能。SSL能在TCP/IP與應用層間很完美處理Internet協議棧,而不影響其他協議層。SSL的這種嵌入功能還能用於類似Internet應用,如Intranet與Extranet接入、應用程式安全訪問、無線應用及web服務。

SSL能基於Internet達到安全數據通信:數據在從瀏覽器發出時加密,到達數據中心後解密；同樣地,數據在傳回客戶端時也加密,再在Intemet中傳輸。它工作於高層。SSL會話由連接和應用會話兩部分組成。在連接階段,客戶端和服務器互換證書且協商安全參數,若客戶端接受了服務器證書,即生成主密鑰,並對全部後面的通信加密。在應用會話階段，客戶端和服務器間安全傳輸各類信息,如認證卡號、股票交易數據、個人健康狀況等敏感或機密數據。

SSL安全功能組件包括以下幾部分：①認證,在連接兩端對服務器或同時驗證服務器與客戶端;②加密,加密通信,只有經過加密的兩方才能交換信息並相互；③識別,完整性檢驗,檢測信息內容,避免被篡改。保證通信進程安全的關鍵步驟是認證通信雙方，SSL握手子協議負責處理這個進程:客戶端提交有效證書給服務器,服務器用公共密鑰算法檢驗證書信息,來保證終端用戶的合法性。

开展最開始時,很多用SSL的傳統網絡應用,如電子商務並沒有客戶端認證功能。這類功能在SSL協議外,藉助一些組合信息,如姓名/認證卡號結合或其他客戶端的數據(如口令)實現的。现在大量企業在數據中心用SSL,主要是實現新型應用的客戶端認證。SSL VPN是為終端用戶附加認證設立的。客戶端認證能讓服務器在協議功能範疇內辨識用戶身份,同時客戶端也可用一樣的技術認證服務器。

2.SSL VPN控制功能強大

與傳統的IPSec VPN比較,SSL能在不同地點讓公司更多遠程用戶接入,可訪問更多的網絡資源,對客戶端設備的要求也低,從而降低了配置和運行支撐成本。很多企業用戶用SSL VPN做遠程安全的接入技術,主要看重的是它的接入控制功能。

SSL VPN給出加強的遠程安全接入功能。IPSec VPN顺利获得在兩站點間創建隧道直接(非代理方式)接入,實現透明訪問整個網絡。只要隧道創建用戶PC就和物理地處於企業LAN中一樣。這有許多的安全風險,特別是在接入用戶權限過大時。SSL VPN给予安全、可代理連接,只有認證的用戶才可訪問資源,這就安全多了。SSL VPN可細分加密隧道,使終端用戶能同時接入Internet與訪問內部企業網資源,即它是可控的。另外,SSL VPN還可細化接入控制功能,便於把不一樣訪問權限給不同用戶，達到伸縮性訪問。這種準確的功能對遠程接入IPSec VPN來說基本是無法實現的。

SSL VPN幾乎不限制接入位置,可從大量Internet接入設備,在任意遠程位置訪問網絡資源。SSL VPN通信基於標準TCP/UDP協議傳輸,因而能遍歷全部NAT設備、基於代理的防火牆和狀態檢測防火牆。這得用戶能從任意地方接入,不管是在其他公司網絡中基於代理的防火牆後,還是寬帶連接中。由於它很難遍歷防火牆和NAT,IPSec VPN在有點繁雜的網絡結構中很難完成,不能解決IP位址衝突問題。另外,SSL VPN可接入管理或非管理企業設備,如家用PC或公共Internet接入場所,而IPSec VPN客戶端只能接入可管理或固定設備。伴着不斷增長遠程接入需求,IPSec VPN在訪問控制面臨極大挑戰,且管理與運行的成本較高,它是點對點連接的最好的解決方案,但要完成任何位置的遠程安全接入,用SSL VPN要滿意得多。