随着网络应用的不断扩大,一个企业往往要运行很多并不一定基于Web的应用,于是,SSL VPN(Secure Socket Layer Virtual Private Network)相对IPSec VPN的种种优点,就显得微不足道。为此,提出一种基于虚拟网卡的SSL VPN(VNICB-SSL VPN)体系结构。它由虚拟网卡接收到达的数据包,通过对数据包的策略匹配,对符合规则的数据包进行压缩、加密、封装,再交给协议栈,经由物理的网卡进行转发,从而实现了可以支持绝大数TCP/UDP服务的新特性。在VNIC-SSL VPN的基础上,提出网络访问保护NAP(Network Access Protection)、网络接入控制NAC(Network Access Control)和角色访问控制RBAC(Role Based Access Control)等技术相结合的核心思想,设计了一种细粒度的安全访问控制系统。其设计思想是:客户端从服务器下载安全列表,根据安全列表对客户端的防火墙、反病毒软件和系统补丁进行检测,并生成安全报告上报给服务器,服务器根据安全报告中的用户名,查找用户所属的用户组,获得对应的资源,根据客户端的安全情况生成资源列表和规则库,下发给客户端。SSL VPN客户端根据服务器下发的访问规则库,给虚拟网卡添加路由,并生成IP规则库。从而实现了客户端和服务器相结合的双重访问控制系统,达到了端口级的细粒度访问控制,并且大大增强了系统的安全性能。同时,VNIC-SSL VPN支持用户名/口令+验证码、用户名/口令+数字证书、USB Key和短信猫多种认证方式,通过客户端和服务器的双向认证来确保用户的合法性,并通过清除本地上网痕迹来保障客户端的安全。测试表明,改进后的SSL VPN系统简单易用,实现了对大多数传统应用程序的支持,解决了SSL VPN的应用范围受限问题,做到了端口级的细粒度访问控制,并且增强了系统的安全性。