一、SSL VPN的安装位置

　　不同的SSL VPN设备，根据用户需求的不同，在企业网络结构中的安装位置不太一样。但很多时候，采用了旁路安装法。

　　我们以Array SSL VPN的一个安装案例来进行解释：

　　在福田公司的SSL VPN网络中，Array Networks将一台Array SPX5000（未来将扩充一台，提高可靠性）设备旁路部署在主干交换机上，与服务器一起置于外网防火墙的DMZ区，在不改变福田汽车的内部网络结构的前提下，增强了防火墙对SPX5000的安全保护。  

    我们再以网件为例,介绍一下SSL VPN在网内的旁路部署：

　　下图为新疆中泰化学股份有限公司SSL VPN接入示意图：
 

     总部为了满足移动办公用户的远程接入的需要，配置了一台SSL312，用于访问总部的服务器，其中总部通过三层交换机划分了若干vlan，ssl 312和FVX538在同一个vlan1，服务器群在另外的Vlan中，分支机构通过FVS338建立VPN后访问服务器群的资源，而移动用户可通过SSL 312远程访问服务器的资源。从上面的网络示意图中我们可以看出，Netgear SSL 312的一个特色就是支持旁路设备接入特性，SSL 312设备不改动原有的企业网络的拓扑结构，只要企业现有的网络中有一个空余的百兆网络端口，就可以将SSL 312接入到网络中，向远程用户提供SSL VPN服务。此外，公司无需在任何远程用户处安装任何客户端软件，极大的减轻了公司IT服务部门人员的维护压力，经过长时间的使用，取得了满意的应用效果。

　　下面,我们再看看F5的SSL VPN的部署方法：

　　它是把SSL VPN设备部署在防火墙的前端,放在网络的最前端。

     二、单设备接线方式

　　下图是一般 SSL VPN网关的后面板示意图，若是单设备工作（未使用双机备份），按照如图的方式进行SSL VPN 产品的接线。

     
    在后面板插上电源，打开电源开关，前面板的Power灯(绿色，电源指示灯)和Alarm灯(红色，告警灯)会点亮。大约1-2分钟后Alarm灯熄灭，说明网关正常工作。

　　用标准RJ-45 以太网线将LAN口与内部局域网连接，将安装SSL VPN控制台软件的计算机也连接到局域网，对SSL VPN进行配置。

　　使用标准RJ-45 以太网线将WAN1口与Internet接入设备相连接，如路由器、光纤收发器或ADSL Modem等。

　　注意：多线路的SSL VPN可以支持多条Internet线路，此时将WAN2口与第二个Internet接入设备相连,WAN3口与第三条Internet线路相连，依此类推。

　　使用标准RJ-45 以太网线将DMZ口与DMZ区的网络连接，一般而言，DMZ区放置对外提供服务的WEB 服务器、EMAIL 服务器等。SSL VPN可以为这些服务器提供安全保护，防止包括SYN FLOOD在内的多种DOS攻击和黑客入侵。

    将SSL VPN 的LAN 接口用RJ45 网线连接到本地局域网中。

　　三、双机备份接线方式

　　若采用SSL VPN网关双机热备的工作方式，按以下接线图方式进行外网线路和内网线路的接线。

    
    使用标准RJ-45 以太网线将两台SSL VPN网关的WAN1口（若使用多线路技术，接线方式类似，保证两台设备的外网接口接到同一个外网线路即可）接到同一交换机上，再使用标准的RJ-45以太网线与Internet接入设备相连接，如路由器、光纤收发器或ADSL Modem等。

　　将配件箱中的Console线取出，将两台SSL VPN设备的Console口用串口线连接起来。

　　使用标准RJ-45 以太网线将两台SSL VPN网关的LAN口接到同一交换机上，再使用标准的RJ-45以太网线与局域网交换机相连，连接到内部局域网。

　　接线完毕后，分别打开两台设备的电源，即可进行系统配置。双机系统配置时和单机系统配置一样，仅对一台主设备进行配置，另外一台从设备将自动进行同步，无需另行配置。