RG-WALL V系列安全网关SSL VPN技术白皮书

SSL（Secure Socket Layer、安全套接字协议层）是目前Internet上应用最为广泛的安全协议。SSL协议提供了数据私密性、端点验证、信息完整性等特性。

发布时间：2009-09-25
点击量：
点赞：

分享至

我想评论

1 SSL VPN技术背景

随着我国社会主义市场经济环境的不断完善，经济领域的竞争日趋激烈，建立跨地域、跨行业、能沟通供应链上下游环节的企业级战略性信息系统已成为企业在市场中获取竞争优势的重要手段。目前，国内企业内部的信息化程度越来越高，很多企业都建有自己的局域网、财务系统、ERP系统等等，但建设和维护一个远程基础通讯设施所需的昂贵费用却使绝大多数企业望而却步，它们只能通过远程拨号访问、简单的FTP传输等手段来维系不同地域信息系统之间数据交换的最低要求，严重制约了信息系统整体效能的发挥。在这样的背景下，企业迫切需要一种低成本的网络互联解决方案，以实现异地分支机构、合作伙伴或移动用户与企业总部之间畅通、安全地交换或共享业务数据。

Internet技术的不断发展和日趋成熟为这种需求的实现提供了现实的可能性。Internet所具备的高带宽、低费用以及无限的连接特性对企业具有极大的诱惑性，但与此同时，Internet的高度开放性和松散管理结构也使得企业面临的网络安全问题益发尖锐，成了Internet作为商务网络必须跨越的重大障碍。为此，各种网络安全技术和产品应运而生，其中虚拟专用网（VPN）及其相关技术经过多年的实践、发展和完善，以其方便性、安全性、标准化等优势脱颖而出，逐步成为实现企业网络跨地域安全互联的主要技术手段，是目前和今后一段时间内企业构建广域网络的发展趋势。SSL VPN可以通过特殊的加密通讯协议，在Internet一端的出差员工和另一端的公司总部之间建立一条专有的通讯通道，就好比架设了一条专线。与传统VPN解决方案相比较，SSL VPN使用维护简单，不用更改现有网络结构；移动性强，无须安装客户端程序；具有强有力的访问控制能力，可以使移动用户轻松访问公司内部B/S和C/S应用和其他核心资源。

2 SSL VPN技术概述

SSL（Secure Socket Layer、安全套接字协议层）是目前Internet上应用最为广泛的安全协议。SSL协议提供了数据私密性、端点验证、信息完整性等特性。

SSL协议由许多子协议组成，其中两个主要的子协议是握手协议和记录协议。握手协议允许服务器和客户端在应用协议传输第一数据字节以前，彼此确认，协商一种加密算法和密码钥匙。在数据传输期间，记录协议利用握手协议生成的密钥加密和解密后来交换的数据。

SSL独立于应用，因此任何一个应用程序都可以享受它的安全性而不必理会执行细节。SSL置身于网络结构体系的传输层和应用层之间。此外，SSL本身就被几乎所有的Web浏览器支持，这意味着客户端不需要为了支持SSL连接安装额外的软件。这两个特征就是SSL能应用于VPN的关键点。

SSL VPN 的发展对现有SSL应用是一个补充，它增加了公司执行访问控制和安全的级别和能力，SSL VPN 还对那些因为使用远程访问应用系统而降低公司安全性的企业有所帮助。大量理论可以证明SSL的独特性以及VPN所能提供的安全远程访问控制能力。到目前为止，SSL VPN是解决远程用户访问敏感公司数据最简单最安全的解决技术。与复杂的IPSec VPN相比，SSL VPN通过简单易用的方法实现信息远程连通。任何安装浏览器的机器都可以使用SSL VPN，这是因为SSL 内嵌在浏览器中，它不需要象传统IPSec VPN一样必须为每一台客户机安装客户端软件。这一点对于拥有大量机器（包括家用机，工作机和客户机等等）需要与公司机密信息相连接的用户至关重要。

SSL VPN 的价值包括许多方面，最主要的是提高访问控制能力，安全易用以及高额的投资回报率。SSL VPN 对访问控制更加有效，因为实施了用户集中化管理；所有的远程访问都是通过SSL VPN 控制台进行控管，这样可以更加有效的监控用户使用权限，这些用户可能是公司内部员工，合作伙伴或客户；所有访问被限制在应用层，而且可以将权限细分到一个URL 或一个文件。

锐捷网络公司作为一个专业化的网络产品研制、生产销售和服务提供商，对VPN的技术内涵和国内外企业的需求特点有着深刻的理解，并具有丰富的VPN产品经验。RG-WALL V安全网关就是我公司在总结国内外各种VPN产品的特点和国内用户实际需求的基础上，经过多年的技术沉淀，研制开发的系列产品，能满足各种不同类型企业的构网要求，保证企业通信的安全快捷。

RG-WALL V安全网关采用自主设计的安全操作系统，具有高可用性、高易用性、高扩展性和高安全性。经过简单配置分支机构、移动用户以及合作伙伴可以通过任何标准的浏览器实现远程安全接入企业总部。目前锐捷支持SSL VPN的产品型号是RG-WALL V1000。
RG-WALL V安全网关是使用者利用浏览器内建的Secure Socket Layer封包处理功能，用浏览器连回公司内部SSL VPN服务器，然后透过网络封包转向的方式，让使用者可以在远程计算机执行应用程序，读取公司内部服务器数据。它采用标准的安全套接层（SSL）对传输中的数据包进行加密，从而在应用层保护了数据的安全性。RG-WALL V安全网关通过SSL协议，利用PKI的证书体系，在传输过程中使用DES、3DES、AES、RSA、MD5、SHA1等多种密码算法保证数据的机密性、完整性、不可否认性而完成秘密传输，实现在Internet上安全的进行信息交换。

3 RG-WALL V网关SSL VPN功能介绍

RG-WALL V安全网关内部集成标准CA服务，用户可以使用默认的CA服务，也支持第三方标准CA服务器。RG-WALL V安全网关除了支持常规的本地用户库、RADIUS、LDAP/AD和USB RG-KEY等认证方式登陆，还支持在上述认证方式登陆过程中使用手机短信校验进行混合认证，确保在口令泄漏或usb key遗失的情况下，也能保证总部资源的安全性。

由于采用了IP Tunnel技术，RG-WALL V安全网关实现了对应用程序的完整支持。从功能上有网络访问、网上应用程序、Windows文件共享、移动电子邮件、应用程序访问、传统主机、终端服务器等众多功能以及基于TCP、UDP以及ICMP协议层以上的所有应用程序的支持。对于网络维护人员而言，由于SSL 的易用性，无需部署和维护客户端软件，极大降低了管理和维护VPN网络的工作量。对于拥有众多的移动员工、远程用户以及合作伙伴的企业用户来说，锐捷 SSL VPN提供了性价比极高的远程接入解决方案，降低了企业的总体拥有成本。

RG-WALL V安全网关还集成了对客户端计算机安全性检查的功能，能够有效避免由于SSL易用性带来的不安全因素，防止不具备相应安全等级的终端用户通过SSL VPN登录到企业总部带来的安全隐患，保证远程接入的安全性。

RG-WALL V安全网关功能列表：

功能项目		支持情况
认证方式	本地用户数据库	支持
	LDAP/AD	支持
	RADIUS	支持
	USB KEY认证	支持
	支持校验码	支持
	短信校验	支持
操作系统	支持的操作系统类型	Windows2000/XP/2003
地址栏输入	地址方式	支持
	域名方式	支持
	不指定端口	支持
客户端登陆	客户端接入网络方式	WLAN卡、PCMCIA卡、GPRS卡、CDMA卡、10/100网卡、千兆网卡、WLAN、小区宽带、PPP拨号、ADSL拨号
	客户端登陆界面自主设置	支持
	客户端使用界面	中文
加密算法	AES	支持
	DES	支持
	3DES	支持
	DESX-CBC	支持
	BF-CBC	支持
	RC2	支持
	IDEA-CBC	支持
	CAST5-CBC	支持
	RC5-CBC	支持
	MD2	支持
	MD5	支持
	RSA	支持
	SHA	支持
	SHA1	支持
	DSA-SHA	支持
	RIPEMD160	支持
	MD4	支持
数据压缩	数据压缩	支持
浏览器	IE6	支持
	IE7	支持
	Netscape Navigator	支持
Web应用支持	支持 Html/Dhtml、 Jsp、 Asp、Java applet、 Activx、 Cookies等各种Web技术	支持
C/S应用支持	支持FTP、Email的Web访问	支持
	支持基于IP层以上的各种TCP/IP协议的应用。包括：http、Email、Ftp、网上邻居、Notes、Outlook、Oracle、 SQL等各种动态和静态的C/S应用	支持
	支持单主机和保护子网的访问	支持
	支持内部DNS	支持
	支持WINS	支持
访问细粒度控制	支持按用户分配接入权限和访问权限	支持
	支持用户组管理和角色管理	支持
	用户组访问资源时间可控制	支持
	用户组访问资源的用户地址可控制	支持
	支持用户黑名单	支持
客户端安全性	支持客户端安全扫描	支持
	支持客户端缓存清空	支持
	支持客户端Cookie清除	支持
	清除收藏夹内容	支持
	清除RAS自动拨号记录	支持
	清系统临时文件夹；	支持
	清除浏览网址历史记录	支持
	清除表单历史记录	支持
	清除网络连接历史记录	支持
	清除文档的历史记录	支持
	清除运行的自动匹配历史记录	支持
	客户端硬件特征码绑定	支持
实时监控	可实时监控用户接入情况	支持
	支持在线中断用户	支持
	实时监控系统的运行	支持
证书方式	支持本地CA根	支持
	支持第三方CA根	支持
	支持证书的导入	支持
	支持SCEP协议远程注册证书	支持
	支持SCEP协议远程更新证书	支持
	支持LDAP协议获取对方证书	支持
	支持CRL	支持
	支持CRL的自动更新	支持
管理方式	配置方式	GUI管理器
管理方式	配置界面	中文

4 RG-WALL V网关SSL VPN技术特点

4.1 成熟全面的SSL VPN技术

4.1.1 无需安装客户端，使用简单

RG-WALL V安全网关采用标准的SSL协议标准，因此用户在客户端只需要使用标准的Web浏览器连接Internet网，通过网页即可以访问SSL VPN内网的保护资源。相对于使用IPSEC VPN的用户来说，使用SSL VPN之后，管理员省去安装和维护大量客户端的麻烦，网络的管理成本和运营成本也随之降低。

无论用户采用固定地址或动态拨号、有线或无线的方式接入网络，都可以正常使用RG-WALL V安全网关。用户打开浏览器之后，可以通过地址、域名的方式来登陆SSL VPN，而不需再输入任何端口。

4.1.2 使用IP Tunnel技术支持所有应用和网络访问

RG-WALL V安全网关除了可以采用传统WEB AGENT技术对WEB应用进行安全传输外，还可以采用IP Tunnel技术能够支持各种C/S应用，支持所有的基于IP层以上的静态或动态端口应用，完全支持：网上邻居、文件共享、FTP、OUTLOOK、SQL、Lotus NOTES、SYBASE、ORACLE等各种应用。RG-WALL V安全网关还支持终端用户对内网单台机器或保护子网的访问。

终端用户在使用RG-WALL V安全网关的时候，不需要安装客户端，只需要通过标准浏览器打开SSL VPN的登陆界面之后，安装一个ActiveX控件，在客户端的机器上会自动生成一块专门用于SSL VPN通信的虚拟网卡，从而保证RG-WALL V安全网关的用户能够使用所有基于IP网络层的应用。

4.1.3 详尽的细粒度访问控制

SSL VPN相对于IPSEC VPN而言的一个优势就是客户的细粒度访问控制，RG-WALL V安全网关对用户的访问控制细粒度已经非常精确。根据组织架构，用户可以分组管理；根据在组织结构中的不同角色，用户可以分角色管理，为每个用户或用户组指定一个或多个角色；根据角色的不同安全级别，用户可以分时间和空间管理，为不同角色或用户划分允许访问的时间段和允许访问的物理地址。

RG-WALL V安全网关还可以通过内部集成的防火墙，对VPN数据进行访问控制；同时能够对每个用户的访问行为进行日志记录，便于管理员审查。

4.1.4 高效的压缩算法，硬卡加密提高访问速度

一般的SSL数据传送是不压缩的，这样会导致客户在访问保护资源的时候速度低下。RG-WALL V安全网关采用高效的LZO高效流压缩算法，对所有VPN数据先压缩再传输，大大提高了终端用户在使用Web资源、C/S应用以及网络访问的效率，能够显著减少下载时间和提高访问速度。特别是终端客户使用无线方式（CDMA、GPRS等）上网的时候，效果会更加明显。

RG-WALL V安全网关还支持高速硬件加密卡，对所有VPN数据都可以通过硬卡进行加密和解密，分流了CPU的处理数据，从而提高了用户访问资源的处理速度。

4.1.5 自主定制用户登陆界面

RG-WALL V安全网关可以定制登陆界面，管理员根据自己的需求制订用户的登陆界面；同时用户还可以根据个人喜好或工作需要，定制浏览器的页面风格。系统支持5种不同的风格。

4.2 易用安全的SSL VPN

4.2.1 安全的加密认证

RG-WALL V安全网关采用标准的SSL协议加密建立安全的专用通道，使用标准浏览器内置的RC4 (128 位)加密算法进行加密，并通过RSA(1024 位交换)非对称密钥进行签名，保证了数据在传输过程的安全性。

RG-WALL V安全网关支持的除了支持用户名/密码的方式之外，还支持证书方式认证，用户通过保存证书的RG-KEY来进行身份认证。RG-KEY是一种USB身份认证设备，为防止RG-KEY丢失后被盗用，还为RG-KEY加入PIN码保护，同时为了防止对PIN码的强制性攻击，在芯片组中设置多次密码试错自锁功能。

4.2.2 短信校验多重保证

面对当前日益严重威胁网络安全的间谍软件、木马以及钓鱼软件等，终端用户的机器面临被黑客攻击后控制了用户的机器，或者一些间谍软件、钓鱼软件泄漏了用户名密码等访问口令，或者KEY的遗失和PIN码的泄漏。但是采用RG-WALL V安全网关的动态短信校验之后，即使出现如上情况，也能避免威胁企业内部的资源。

RG-WALL V安全网关的短信校验技术是随着无线技术的突飞猛进而出现，充分利用了其灵活可靠的特点，是一种革新性的认证解决方案。此认证系统分为手机短信终端和短信认证服务两部分，短信认证服务器可以集成于RG-WALL V安全网关，终端用户在已有移动电话和PDA的基础上，通过手机短信方式获取用户认证必需的校验码。这样RG-WALL V安全网关的终端用户就可以通过用户名/密码和RG-KEY的方式登陆SSL VPN，在登陆的过程中通过移动电话或PDA短信收取一次性校验码，经过如上双重因素认证之后就能访问相应的内网资源了。

多种认证方式、完善的认证体系，使得企业在选择的时候，可以根据相应的安全级别，对客户端的认证方式进行组合，最大限度地保证了接入用户的合法性和企业内网资源的高度安全。

4.2.3 支持标准的PKI体系

随着商务电子化以及银行业务网络化的建设步伐，PKI（即Public Key Infrastructure的简称），一个利用现代密码学中的公钥密码技术在开放的Internet网络环境中提供数据加密以及数字签名服务的统一的技术框架越来越受到人们的重视。PKI技术用来管理在开放网络环境中使用的公开密钥和数字证书，而标准PKI的功能包括很多方面，主要有签发数字证书、作废证书、签发与发布证书作废表以及最近增加的一些功能，如时戳、基于策略的证书校验等。

RG-WALL V安全网关能够支持标准的PKI体系，和许多使用CA中心的应用有效集成，简化认证过程：即同一套PKI既用于SSL VPN的接入认证，又用于接入后登录应用系统的认证。

4.2.4 自带CA中心

RG-WALL V安全网关本地默认集成一个CA中心，可以减少中小企业构建CA安全认证体系的成本。通过锐捷CMS（默认与SSL VPN相同CA根），管理员可以给每个远程终端用户颁发证书，并存储于RG-KEY中，用来识别每个接入用户的身份。

4.2.5 支持第三方CA

RG-WALL V安全网关遵循X.509证书体系，在线支持第三方CA服务。锐捷网关可以通过SCEP协议远程注册证书、自动更新证书、CRL的下载和自动更新；还支持通过LDAP协议下载获取本地证书和CRL。

4.2.6 支持外部有效认证

RG-WALL V安全网关的除了支持终端用户使用本地用户数据库的用户登陆访问内网资源外，还支持外部第三方认证服务器。通过与第三方的LDAP认证服务器或RADIUS认证服务器的有效集成，一个组织结构就可以只保存一套认证体系，简化了部署过程，减少了运营成本。

4.2.7 支持客户端硬件特征码绑定

每个终端用户使用的PC机都独有自己的某些硬件特征信息，在登陆RG-WALL V安全网关的过程中，将自己的硬件特征信息上报。RG-WALL V安全网关根据管理员的选择，可以自动将上报的硬件特征信息生成特征码，并与登陆的用户进行绑定。绑定之后的用户将只限于在绑定的机器上使用，进一步提高了接入用户的合法性和企业内网资源的安全性。

4.2.8 支持在规定时间、规定地点和规定主机上的“三规”访问

RG-WALL V安全网关可以根据用户登录的时间、登录的IP地址和登录主机的硬件特征信息进行限制，从而真正实现在规定的时间、规定的地点和规定的主机上远程访问的控制。

4.2.9 客户端安全扫描

为了保证终端用户接入VPN之前的安全性，RG-WALL V安全网关在用户登陆的时候，系统会对客户端的主机健康状态进行检查，内容涉及到主机的操作系统、是否安装防火墙软件、是否安装防病毒软件、是否打了最新的补丁等信息。如果主机健康状态不佳，管理员可以限制主机联入内部网。

4.2.10 清除访问用户访问记录

终端用户访问内部资源之后，RG-WALL V安全网关可以对遗留的历史信息进行清除。系统提供了多种清除垃圾的工具，包括Cache清除、Cookie清除、地址栏清除、网络连接历史记录清除、表单历史记录清除以及历史文档清除等操作，消除访问痕迹，避免安全隐患。

4.3 高效稳定的部署能力

4.3.1 双机热备技术保证系统的稳定性

双机热备技术，就是指为了解决网络节点单点故障引起的整个网络瘫痪问题而提供的两台节点设备实时热备功能，即除主网关以外，还有一台网关处于热备状态，有机地构成了一个具有实时热切换的高可靠性系统。双机热备在集群节点间保持间歇的通信信号，称为心跳信号，是错误检测的一个机制。即通过每一个通信路径，在两个对等系统之间进行周期性的握手，如果连续没有收到的心跳信号到了一定的数目，双机软件就把这条路径标示为失效。心跳的作用就是让主机了解对方是否存在，服务是否健全，一旦双机种的任何一方心跳消失，则另一台主机立即接替继续提供服务。RG-WALL V安全网关部署为双机热备模式之后，能够保证当主网关发生意外Down机、网络链路发生故障、硬件故障等情况的时候，从网关自动切换为工作状态，代替主网关正常工作，从而保证了网络的正常使用。切换过程不需要人为操作和其他系统的参与，切换时间少于5S。

4.3.2 多链路技术保证链路的稳定性

随着Internet应用的不断发展，只有一个链路连接公共网络将导致单点失败和网络极其脆弱，目前日益增多的企业为了保证公司各个部门之间、供应商和客户之间可靠的Internet访问，都逐步采用多宿主网络来避免Internet链路中断所造成的损失（“多宿主网络”指同时使用不同ISP提供的多条Internet链路）。

RG-WALL V安全网关多链路技术将多条线路、不同方式接入方式的上网线路实现带宽叠加和互为备份，保证了整个系统的持续可靠运行。若任何一条线路出现故障，RG-WALL V安全网关可以将数据无缝切换到其他正常线路，不会影响SSL VPN用户的接入和访问。RG-WALL V安全网关多链路技术还能通过线路优选解决不同运营商之间的线路对接问题。总部SSL VPN配置不同服务商的多链路之后，各区域的终端用户可以自动选择匹配的线路与总部进行VPN通信。

4.3.3 多种接入方式保证系统高效部署

在网络应用高度发展的今天，大量网络设备被用来部署网络环境，用户往往要求新加入的设备能够完美的融入而不影响原网络的使用。RG-WALL V安全网关支持各种复杂的网络应用，能够按照用户的需求灵活高效的部署。

RG-WALL V安全网关支持的接入方式有透明模式、路由模式；既可以作为出口设备部署，也支持单臂路由方式，在不改变网络拓扑的情况下，直接部署在内网；既支持固定地址组网，也支持全动态地址组网。

4.4 安全灵敏的系统

4.4.1 实时监控系统状态

通过锐捷安全网关管理中心，管理员可以远程实时地监控用户接入情况，检查每个在线用户的状态，随时中断可疑的通信。管理员还可以方便快捷实时观察SSL VPN地系统运行情况，或通过日志来分析出现的故障，并予以远程解决。

4.4.2 完善的日志服务

RG-WALL V安全网关提供事件、错误、警告、管理、访问五个级别的运行日志，能够依据系统要求记录敏感通信事件和管理事件，同时也能提供网络使用情况的统计数据。管理员根据日志记录可以审计SSL VPN的使用情况、管理员所进行的操作和网关所阻断的探测、攻击等非法访问，并为安全策略的进一步完善提供参考。同时RG-WALL V安全网关还支持日志的导出，利用日志分析工具对导出的日志按照不同的需求分析。

RG-WALL V安全网关支持独立的日志中心，可以实时的将日志传送到日志服务器，为管理员统计、分析VPN资源的详细使用情况提供详细的数据支持。

4.4.3 双系统备份

在系统升级过程中，由于网络故障或软件故障，一旦升级失败，就会破坏系统环境，导致系统无法正常使用，只能返厂维修。为了防止这种情况，RG-WALL V安全网关采用独创的双备份系统进行引导。如果升级失败，系统会自动恢复进入最近一次正常的系统或备份系统，从而不会影响到用户的使用。

4.4.4 在线升级

RG-WALL V安全网关支持在线升级，管理员可以通过串口、telnet或管理器升级以提高网关的性能和功能。通过在线升级功能，管理员可以拥有不断更新换代的SSL VPN产品。同等型号设备的所有升级都是免费的。

4.4.5 集成强大的防火墙

RG-WALL V安全网关可以对用户的内部资源提供入侵检测和防御保护。能够抵抗多种DoS、DDoS攻击、TCP/UDP/ICMP的Flood攻击、Land Attack、Ping to Death、Tear Drop等常见攻击，尤其是能够抵抗各种系统漏洞扫描，从而能够有效防止更进一步的黑客攻击。通过设置抗扫描攻击、洪泛攻击和各类非法报文攻击的参数，用户可以对内部服务器提供重点保护。

RG-WALL V安全网关中的防火墙模块采用高性能的基于全状态检测的防火墙引擎，对来自Internet上的和远程VPN接入端的请求和应答全部进行规则检查，从而极大的防止了入侵者通过数据驱动方式对内部网的攻击。通过对连接表进行优化，RG-WALL V安全网关能够最大支持100万条并发连接，从而满足高端用户的通信需求。

5 RG-WALL V网关SSL VPN运行步骤

管理员配置完SSL VPN的资源之后，远程终端用户首先通过SSL协议来访问总部SSL VPN。用户在浏览器的地址栏输入HTTPs格式的访问地址，在HTTP层将用户需求翻译成HTTP请求并送至SSL层；SSL层借助下层协议的信道协商出一份加密密钥，并用此密钥来加密HTTP请求；加密后的HTTP请求通过TCP层的443端口与SSL VPN建立连接，传递SSL处理后的数据。

锐捷SSL VPN收到加密的数据包之后，在SSL层通过协商出的加密密钥来解密，再将翻译出的数据送至应用层。此后，远程终端用户将打开SSL VPN的资源管理Web页面，并在HTTP层下载Active控件来协商与中心SSL VPN的隧道，终端用户通过与总部SSL VPN已经建立的加密连接来协商隧道的加密算法、验证算法以及进行端口转换的端口号和通信协议。隧道协商成功之后，客户端将会启动一个虚拟网卡并显示为已连接的状态，此后可信任资源的访问都将通过SSL VPN加密传输。

远程终端用户通过SSL VPN访问应用数据的时候，传输过程如下：

1 应用程序把应用数据提交至本地的SSL

2 远程终端用户根据需要指定的压缩算法，压缩应用数据；

3 远程终端用户把应用数据用加密算法加密，再按照指定的协议和端口号通过公网网络传输到总部SSL VPN网关；

4 SSL VPN网关用相同的加密算法对密文进行解密，得到明文；

5 SSL VPN网关用相同的散列算法对明文中的应用数据散列，计算的得到的散列值和明文的散列值比较。如果一致，则明文有效；否则丢弃该报文。

6 SSL VPN网关将明文应用数据转发到保护子网的资源主机，资源主机对该应用数据包处理之后再向远程终端用户回包；

7 经过SSL VPN网关的加密后（同远程终端相同步骤），再传输至远程终端用户；

8 远程终端用户的SSL层接收加密包后再使用解密算法解密，并将该应用数据包发送至用户的应用层。

至此，一个数据包经过SSL VPN传输的过程完毕。

数据包流程示意图如下: