虚拟专用网技术可以扩展企业的内部网络,使在外工作的员工和合作伙伴可以通过标准、公用的因特网访问企业的内部网络。基于安全套接字层协议的VPN远程访问方案以其方便、安全、快捷、灵活的特性成为远程用户快速访问企业内部网络的首要选择。传统的SSL VPN的解决方案是基于Web浏览器模式或基于连接转发的,对一些点到点和基于反向连接的网络应用服务不能提供很好的支持,极大地影响了VPN的远程接入的能力。针对上述缺陷,设计和实现了一种基于以太帧转发的SSL VPN远程接入系统,可以支持基于TCP/IP协议族的任何网络服务。基于以太帧转发的SSL VPN的基本原理是在客户端和网关服务器上分别安装一个虚拟网卡设备,通过IP路由机制转发客户端与内网服务之间通信的以太帧,从而建立客户端与内部网络的通信连接。在客户端与网关服务器之间,采用SSL加密隧道对通信的数据进行封装来保证通信的安全性。在身份认证方面,采用了基于用户名/密码和PKI身份认证相结合的认证策略;在连接安全方面,采用客户端和会话通道的非活跃状态超时检测机制;在访问控制方面,采用了基于角色资源权限的分布式访问控制策略,提供了基于单个服务资源的细粒度的访问控制机制;在会话内容保密方面,采用了基于磁盘过滤驱动的会话数据清除策略,使在会话结束后不会在客户机上留下任何操作痕迹。经测试,基于以太帧转发的SSL VPN客户端系统简单易用,实现了对基于TCP/IP协议的任何网络应用的支持,解决了在不改变任何网络结构的情况下进行远程访问内网资源的安全接入问题。