我們之前說到IPsec VPN遠程接入方式，那這種接入方式有一個弊端，那就是必須要在電腦上安裝VPN Client軟件，在一臺沒有安裝VPN Client軟件的電腦上是不能建立IPsec VPN連接的，相當于IPsec VPN是C/S架構的。雖然在電腦上裝個VPN Client軟件并不是什么難事，但是假設出差在外你沒有帶電腦，或者在客戶那邊你不能使用自己的電腦接入Internet，在這種情況下你需要借用別人的電腦來使用VPN的時候，這很明顯就有些麻煩了，因為你需要在別人的電腦上安裝VPN Client軟件，這并不是任何時候別人都會同意你這么做，并且軟件還得考慮系統兼容性問題，并非所有的電腦都能適用。所以如果能夠讓我們不用安裝軟件就能使用VPN連接的話這就最好不過了。基于上述種種原因，SSL VPN（也叫做WebVPN）出現了。

何謂SSL VPN，首先要從SSL談起，使用網絡不能不提的是各個網站，瀏覽網站使用瀏覽器，網絡上傳送網頁的協議叫HTTP，它是明文傳播的，傳播內容可以被黑客讀取。而SSL全名叫Secure Session Layer（安全會話層），其最初目的是給HTTP加密使用的安全套件，使用SSL的HTTP，也就搖身一變成了HTTPS，端口也從HTTP的80變成了443。由于HTTPS具備安全性，也具備傳輸數據的能力，也就被研究VPN技術的專家盯上了，覺得HTTPS可以用于組建VPN方案，于是SSL VPN技術就這樣誕生了。

SSL VPN的實現就可以不需要借助軟件來完成，在一臺沒有安裝任何軟件的PC上同樣可以建立SSL VPN連接，這就是它的優點。SSL VPN的建立只要在PC上使用支持HTTPS (HTTP over SSL)的網頁瀏覽器就可以完成，擺脫了安裝軟件的困擾，這就使得SSL VPN在任何環境的PC上都能夠建立，因為現在幾乎沒有任何一臺PC上是沒有網頁瀏覽器的。只要是支持HTTPS網頁瀏覽器的PC，無論在哪里，只要能夠連接Internet，就能與公司總部建立的SSL VPN連接遠程訪問到公司內部服務器資源了。

如下圖，我們來看一下SSL VPN IP連接建立的過程，從而能夠遠程訪問到公司內部服務器的。

1.遠程電腦用戶登陸SSL VPN頁面，使用網頁瀏覽打開SSL VPN服務器的外網地址6.16.5.6，輸入使用者的身份信息，如賬戶密碼登陸，此時會建立一個HTTPS會話，服務器通過這個會話給用戶自動加載SSL VPN客戶端程序；

2.此時的SSL VPN客戶端程序的目的是給用戶PC創建一個虛擬網卡，以實現到總部網絡的VPN連接；

3.虛擬網卡創建好后，SSL VPN服務器會從地址池192.168.1.0/24中取一個地址如192.168.1.2分配給該遠程電腦用戶，同時下發路由、DNS等信息，SSL VPN服務器針對該地址池也會有一個服務器地址192.168.1.1，作為所有客戶端程序虛擬網卡的網關；

4.此時SSL VPN客戶端程序與服務器之間會建立一個全新的SSL會話，專門用來傳輸虛擬網卡與SSL VPN服務器之間的流量；

5.假設遠程電腦用戶要訪問公司內部DNS 10.6.16.1服務器，根據路由的關系，遠程PC會通過虛擬網卡將訪問公司內部DNS請求（源192.168.1.2目的10.6.16.1）轉發給SSL VPN服務器192.168.1.1；

6.遠程PC上的SSL VPN客戶端程序會將虛擬網卡發出的IP包封裝至新的SSL會話中，通過互聯網傳送到SSL VPN服務器；

7.SSL VPN服務器進行解密，解封裝后發現IP目的地址是10.6.16.1，那么就轉發給內部DNS服務器；

8.反向過程以及訪問內部ERP服務器10.6.16.4與此類似。

再來看一下數據封裝過程，會有更加直觀的認識。

在SSL VPN的IP連接中，相當于是一個內部地址端到端會話，穿越互聯網的時候直接會話被封裝至SSL會話中了。