Một vị trí mà SSL VPN có thể đặt trong mạng nội bộ được mô tả trong hình 4.1.
Hình 4.1. Máy chủ trong mạng nội bộ a) Ưu điểm
• Không có các cổng ngoài một cho SSL ( và có thể có một cổng cho HTTP thông thường) cần được mở trong bất kỳ tường lửa nào.
• Giải mã lưu lượng SSL được thực hiện trong văn phòng.
• Các khóa SSL được lưu trữ trong một mạng an toàn.
b) Nhược điểm
• Làm hư hỏng kiến trúc tường lửa: Nó có thể làm hỏng toàn bộ kiến trúc tường lửa. Các giao thức mà tường lửa hỗ trợ để chặn bị đường hầm hóa sử dụng SSL trên tất cả các đường tới mạng nội bộ. Tại thời điểm máy chủ SSL VPN khôi phục lại định dạng ban đầu, nội dung của các phiên giao tiếp đã nằm trong mạng nội bộ mà trong khi nó không thuộc mạng này.
• Mạng dựa trên IDS trên DMZ trở thành không tác dụng: Bất kỳ mạng nào dựa trên các IDS trên DMZ sẽ mất tác dụng. Các IDS hoạt động bằng cách quét các gói mạng khi chúng đi qua mạng – việc đặt các IDS trên một DMZ là một công nghệ hữu ích để dừng lưu lượng xấu tới mạng công ty. Tuy nhiên, trong trường hợp một SSL VPN trên mạng nội bộ, tất cả các yêu cầu được mã hóa với SSL. Nếu các yêu cầu truyền qua DMZ ở dạng mã hóa, IDS sẽ không thể đọc được. Và do đó, IDS sẽ không thể phân biệt được người dùng và các cuộc tấn công.
• Tự do truy cập tới mạng nội bộ: Nếu máy chủ SSL VPN bị tấn công bởi một hacker hoặc sâu, các nhóm không nhận thực có thể tự do truy cập tới mạng nội bộ mà máy chủ SSL VPN kết nối được.
• Các nút từ xa thực hiện như một cầu nối tới mạng khác: Các nút từ xa có thể trở thành các cầu nối tới mạng khác như đã mô tả. Nếu một người dùng được cho phép thết lập một kết nối mạng qua SSL, thì có thể tất cả người dùng trên mạng nội bộ của máy đó có thể kết nối tới mạng nội bộ. Điều này làm ảnh hưởng nghiêm trọng đến kiến trúc công ty.
• Các nhóm không nhận thực được phép gửi các gói mạng tới mạng nội bộ: Vì một số lý do nào đó, công ty có thể cho phép các truy cập vi phạm các chính sách bảo mật. Từ đó, hacker và sâu có thể có truy cập tới bất kỳ tài nguyên nào của công ty. Dẫn tới các cuộc tấn công từ chối dịch vụ DoS, map mạng công ty, quét các điểm yếu và từ đó ăn trộm dữ liệu hoặc điều khiển các máy tính nội bộ,…