SSl协议支队通信双方传输的应用数据进行加密，而不是对从一个主机到另一个主机的所有数据进行加密。

　　由于IPSec是基于网络层的协议，很难穿越NAT和防火墙，特别是在接入一些防护措施较为严格的个人网络和公共计算机时，往往会导致访问受阻。移动用户使用IPSec VPN需要安装专用的客户端软件，为日益增长的用户群发放、安装、配置、维护客户端软件已经使管理员不堪重负。因此，IPSec VPN在Point- to-Site远程移动通信方面并不适用。

　　每个虚拟网关都是独立可管理的，可以配置各自的资源、用户、认证方式、访问控制规则以及管理员等。

　　当企业有多个部门时，可以为每个部门或者用户群体分配不同的虚拟网关，从而形成完全隔离的访问体系。

　　它将远端浏览器的页面请求(采用https协议)转发给web服务器VPN连接出错609，然后将服务器的响应回传给终端用户，提供细致到URL的权限控制，即可控制到用户对某一张具体页面的访问。

　　从业务交互流程可以看出，Web代理功能的基本实现原理是将远程用户访问Web Server的过程被分成了两个阶段。首先是远程用户与NGFW虛拟网关之间建立HTTPS会话，然后NGFW虚拟网关再与Web Server建立HTTP会话。虚拟网关在远程用户访问企业内网Web Server中起到了改写、转发Web请求的作用。

　　分离模式：用户可以访问远端企业内网 (通过虚拟网卡) 和本地局域网 (通过实际网卡) ，不能访问Internet。

　　全路由模式：用户只允许访问远端企业内网 (通过虚拟网卡) ，不能访问Internet和本地局域网。

　　手动模式：用户可以访问远端企业内网特定网段的资源 (通过虚拟网卡) ，对其它Internet和本地局域网的访问不受影响 (通过实际网卡) 。网段冲突时优先访问远端企业内网。

　　终端安全是在请求接入内网的主机上部署一个软件，通过该软件检查终端主机的安全状况。主要包括:主机检查、缓存清理。

　　USG可以在用户访问虚拟网关结束时，采用必要的手段清除终端.上的访问痕迹(例如生成的临时文件、Cookie等)，以防止泄密，杜绝安全隐患。

　　认证结果为通过的用户能够登录SSLVPN网关界面，以相应的业务权限来使用SSL VPN业务。

　　在网络规划时，SVN的接口IP为内网IP地址，此地址需要能与所有被访问需求的服务器路由可达。

　　防火墙上需配置nat server,将SVN的地址映射到防火墙的某一公网IP. 上。也可以只映射部分端口，如443。如果外网用户有管理SVN的需求，还需要映射SSH、Telnet等端口。

　　在此类组网环境中，SVN使用两个不同的网口连接外网与内网，这种组网方式下，具有清晰的内网、外网概念;无需做额外的配置，外网口对应虚拟网关IP，内网口配置内网管理IP。

　　虛拟网关IP不一定需要经过NAT转换，只要外网用户能够访问此虚拟网关IP地址即可。内外网接口没有特定的物理接口，任何一个物理接口都可以作为内网或外网接口。

　　图中路由器和交换机之间处于连接状态。这是因为客户网络中可能有部分应用不需要经过SSL加密，而是直接通过防火墙访问外网。这时就需要在交换机和路由器.上配置策略路由，需要建立SSLVPN的流量就转发到SVN上，而普通的应用就直接通过防火墙访问外网。