作为SSL VPN，至少要达到三个关键点可以称之为安全的SSL VPN。这三点是：必须是应用层的设备；考虑终端安全；考虑细粒度访问控制。

一、SSL VPN必须是应用层的设备 必须是基于应用层技术实现的SSL VPN设备。这样可以阻断DOS、蠕虫、木马的攻击、保证后台服务器的绝对安全。 真正的SSL VPN设备在安全方面会起到两大作用：一是数据的加密传输；二是隔绝木马、蠕虫、DOS对应用服务器的攻击，保护应用服务器的安全。DOS、蠕虫、木马的攻击都是运行在网络层的，在应用层是无法实现的，因此要求SSL VPN必须是基于应用层的，才可以完全阻绝这些攻击。在应用层的基础上，内部的服务器无法与客户端建立IP层的连接，因此也无法受DOS、蠕虫、木马的攻击。

二、必须考虑终端安全，尤其是接入的安全。 实现基于硬件的双因素认证，可以用完整的证书。 SSL VPN设备最大的安全隐患在于入口的安全，入口安全的关键在于认证。由于SSL VPN是网关型设备，后台很多服务在其保护之下，如果用户以合法身份登录，将直接访问后台应用服务。 对于使用者的身份是否合法，可以采用双因素认证，如RSA，usbKEY、手机动态密码认证等方式，同时针对usbKEY可以支持CA证书的自动生成与导入，具体的应用如下为进一步保护入口的安全，可以采用mac地址认证、保证外来用户机器接入局域网以后也无法访问应用服务器。 对终端安全的整体考虑：终端安全主要分成身份认证部分、终端部分、连接安全等三个部门。终端部分我们主要是采用了与终端集成，通过MAC地址来进行对终端电脑进行访问控制；连接安全我们在应用层通过SSL 的双向加密来实现；身份认证部分，我们采用了RSA、USB KEY、LDAP、RADIUS、AD域、手机认证等方式来进行多因素的认证，加强身份认证的安全性。

三、细粒度访问控制 基于外部访问应用、管理内部的应用服务器时，细致划分访问的策略和权限，精确控制访问链接，实现按需访问控制。
1、对于一个基于应用层的设备，它对用户的访问权限的控制可以精确到一个具体的URL（即连接），即可以允许一个用户访问某个页面，不允许访问某个页面
2、对内部的电脑与设备进行远程控制时的安全分级功能。
3、远程控制内网电脑访，对内网电脑的访问进行细粒度的控制，如访问，读、写、文件夹的访问等。SSL VPN远程桌面控制，实现类似于PC anyware 的功能，但是通过我们的SSL VPN实现的远程控制，数据传输是加密的。 我们的SSL VPN设备其它特点的简述：

四、清除访问记录、cookie，保护系统资源的安全。 用户退出后，系统可以自动清楚应用时的访问记录、cookie，插件等，来保护保护系统资源的安全，如不能清除，则存在潜在的危险

五、保护内部服务器的安全，不能暴露内部服务器的IP地址，外部的访问与内部的服务器不能有IP层的链接。 在SSL VPN应用时，首先在IE中的地址栏中不能暴露内部服务器的IP地址，即该地址栏必须是加密的，，同时外部的访问与内部的服务器不能有IP层的链接，如有，则意味则外部的机器可以直接攻击内部服务器

六、与应用结合、实现统一认证和单点登录。 对于内部的多个应用时，每个应用都有一套用户名与密码，因此作为一个SSL VPN的接入的入口，需要具备统一认证的功能，即所有的应用可以集中进行认证，也就是说用户只需要一套用户与密码就可以了。在这个基础上，可以进一步实现单点登录

七、SSL VPN的数据库支持外部数据库方式，如可以采用MS-SQL，MYSQL，ORACLE等大型关系数据库，便于移植与统一管理，如进行统一认证，集群等应用 八、具备SSL VPN设备配置文件的备份与恢复。 这个功能主要是在故障时，可以在最短的时间内恢复设备，一般恢复时间控制在30分钟之内。 另外，设备具有的SSL加速功能，超时断开功能等等就不再详细描述。