基于Tomcat的SSL VPN網(wǎng)關(guān)服務(wù)器的設(shè)計(jì)與實(shí)現(xiàn)

1 引言
    虛擬專用網(wǎng)絡(luò)VPN(Virtual Private Network)是使用隧道封裝、認(rèn)證、加密和訪問控制等網(wǎng)絡(luò)安全機(jī)制在公共網(wǎng)絡(luò)中建立專用數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)。目前VPN主要有兩種：IPSecVPN和SSL VPN。安全套接層虛擬專網(wǎng)SSL VPN是基于應(yīng)用層的VPN，而IPSee VPN是基于網(wǎng)絡(luò)層的VPN。南于IPSecVPN存在通信性能較低、需要安裝客戶端軟件、維護(hù)成本高及很難實(shí)現(xiàn)防火墻和NAT遍歷、無法解決IP地址沖突等問題，因此SSL VPN技術(shù)受到廣泛關(guān)注。

2 SSL VPN簡(jiǎn)介及其特點(diǎn)
    SSL VPN指采用安全套接層SSL(Security Socket Lay-er)協(xié)議實(shí)現(xiàn)遠(yuǎn)程接人的一種新型VPN技術(shù)。SSL VPN能讓企業(yè)更多遠(yuǎn)程用戶在不同地點(diǎn)接入，實(shí)現(xiàn)更多網(wǎng)絡(luò)資源訪問，且對(duì)客戶端設(shè)備要求低，因而降低了配置和運(yùn)行支撐成本。SSL VPN通信基于標(biāo)準(zhǔn)TCP／UDP協(xié)議傳輸，因而能遍歷所有NAT設(shè)備、基于代理的防火墻和狀態(tài)檢測(cè)防火墻。SSLVPN是一種利用數(shù)據(jù)封裝技術(shù)，基于 SSL／TSL協(xié)議，以WebServet架構(gòu)為依托的VPN實(shí)現(xiàn)。
    與IPSec VPN相比，SSL VPN具有以下特點(diǎn)：(1)SSLVPN的用戶使用標(biāo)準(zhǔn)的瀏覽器，無需安裝客戶端程序即可通過SSL VPN隧道接人內(nèi)部網(wǎng)絡(luò)；(2)SSL VPN保護(hù)基于Web的應(yīng)用更有優(yōu)勢(shì)；(3)SSL VPN用戶不受上網(wǎng)方式限制，SSL VPN隧道可穿透防火墻；(4)SSL VPN只需維護(hù)中心節(jié)點(diǎn)的網(wǎng)關(guān)設(shè)備，客戶端免維護(hù)。降低了部署和支持費(fèi)用；(5)SSL VPN更容易提供細(xì)粒度訪問控制，可對(duì)用戶的權(quán)限、資源、服務(wù)、文件進(jìn)行更加具體的控制，與第三方認(rèn)證系統(tǒng)結(jié)合更加便捷。

3 SSL VPN網(wǎng)絡(luò)架構(gòu)
    SSL VPN網(wǎng)關(guān)服務(wù)器一般位于企業(yè)的Internet防火墻之后．如圖1所示。

    由于遠(yuǎn)程客戶端(如PDA、便攜電腦、Mobile User等)和SSL VPN網(wǎng)關(guān)服務(wù)器位于不同網(wǎng)絡(luò)中，因此兩者之間要形成一個(gè)安全通道。需用SSL進(jìn)行數(shù)據(jù)加密通信，從而在Internet上形成遠(yuǎn)程客戶端到SSL VPN網(wǎng)關(guān)之間的加密隧道。VPN網(wǎng)關(guān)服務(wù)器相當(dāng)于內(nèi)部網(wǎng)絡(luò)中的安全代理，由于與其他各種服務(wù)器處于同一內(nèi)部網(wǎng)中，因此它們之間的數(shù)據(jù)可通過明文傳輸。 SSL VPN充當(dāng)兩種角色：當(dāng)遠(yuǎn)程客戶端與SSL VPN進(jìn)行通信時(shí)，SSL VPN是服務(wù)器端，負(fù)責(zé)處理遠(yuǎn)程客戶端的請(qǐng)求；而當(dāng)SSL VPN與網(wǎng)內(nèi)各服務(wù)器進(jìn)行通信時(shí)，它則是客戶端，負(fù)責(zé)把遠(yuǎn)程客戶端的請(qǐng)求轉(zhuǎn)發(fā)到內(nèi)網(wǎng)服務(wù)器。

    企業(yè)內(nèi)部的服務(wù)器多種多樣，常見的有Web服務(wù)器、Mail服務(wù)器、FTP服務(wù)器、Telnet服務(wù)器等。SSL VPN需要能夠代理遠(yuǎn)程客戶端訪問內(nèi)部網(wǎng)絡(luò)的各種服務(wù)器．這種技術(shù)稱反向代理技術(shù)，它是一種服務(wù)器負(fù)載均衡技術(shù)，也是一種保護(hù)內(nèi)部網(wǎng)絡(luò)的預(yù)防攻擊技術(shù)。

4 網(wǎng)關(guān)服務(wù)器的設(shè)計(jì)
4．1 為Tomcat配置SSL
    本系統(tǒng)中，SSL VPN網(wǎng)關(guān)是基于Web服務(wù)器Tomcat實(shí)現(xiàn)的。從圖1中可知遠(yuǎn)程客戶端和VPN之間通過SSL協(xié)議安全通信，目前瀏覽器大多支持SSL，無需額外配置，則主要是為Tomcat配置SSL，包含：準(zhǔn)備安全證書以及配置Tomcat的SSL連接器(Connector)。具體配置方法如下：
    (1)使用keytool命令生成證書庫(kù)文件打開命令行對(duì)話框，輸人如下命令：keytool-genkey-alias tomcat-keyalg RSA-keysize 1024-validity 365-keystore tomcat．keystore，則會(huì)在當(dāng)前目錄下生成文件tomcat．keystore。
    (2)保存文件將生成的tomcat．keystore文件保存在TOM-CAT／conf目錄下。
    (3)修改server．xml文件 去掉SSL Connector注釋語(yǔ)句<!

  
    (4)重新啟動(dòng)Tomcat訪問http：／／localhost：8443，一般打開頁(yè)面前會(huì)提示確認(rèn)證書的內(nèi)容，選擇OK即可看到頁(yè)面。
    遠(yuǎn)程客戶端通過瀏覽器訪問SSL VPN，為保證兩者通信的安全性，在HTTP協(xié)議下采用SSL協(xié)議，如圖1所示。采用SSL機(jī)制的HTTP稱為HTTPS協(xié)議，HTTP使用的默認(rèn)端口為80，而HTTPS使用的默認(rèn)端口為443。
4．2 Web轉(zhuǎn)發(fā)功能模塊的設(shè)計(jì)
    SSL VPN中Web轉(zhuǎn)發(fā)功能模塊主要實(shí)現(xiàn)以下功能：當(dāng)遠(yuǎn)程客戶端發(fā)出訪問企業(yè)內(nèi)部某一服務(wù)器的請(qǐng)求時(shí)，SSL VPN中的Web轉(zhuǎn)發(fā)功能模塊分析該請(qǐng)求，得到其真正要訪問的內(nèi)網(wǎng)URL，然后向內(nèi)網(wǎng)服務(wù)器發(fā)出該請(qǐng)求，再取回并修改遠(yuǎn)程客戶端所需信息，傳至遠(yuǎn)程客戶端，如圖2所示。

    該系統(tǒng)的SSL VPN網(wǎng)關(guān)中用于實(shí)現(xiàn)Web轉(zhuǎn)發(fā)功能模塊的是一個(gè)名為WebAgent的Servlet。為訪問WebAgent，需在Tomcat的配置文件Web．xml中配置訪問該Servlet的URL模式，通過servlet-mapping元素實(shí)現(xiàn)：

    通過上述配置，假設(shè)SSL VPN的IP地址為222．207．224．19，所有格式為https：／／222．207．224．19／agent／*的URL請(qǐng)求都將由該Servlet處理。
    為實(shí)現(xiàn)代理功能，WebAgent接收到的請(qǐng)求中應(yīng)包含遠(yuǎn)程用戶真正想要訪問的內(nèi)網(wǎng)服務(wù)器的URL信息。但如果直接暴露內(nèi)網(wǎng)服務(wù)器的URL地址可能會(huì)帶來安全隱患，故該系統(tǒng)采用加密內(nèi)網(wǎng)資源URL地址信息的方案。例如當(dāng)遠(yuǎn)程客戶要訪問http：／／192．168．0．1／index．jsp時(shí)， WebAgent接收到的請(qǐng)求為https：／／222．207．224．19／agent／S6GH78GL／index．jsp。這里的 S6GH78GL為http：／／192．168．0．1的密文信息。WebAgent解密請(qǐng)求得到真正要訪問的URL信息，通過HTTP客戶端工具(如 HttpClient)向內(nèi)網(wǎng)服務(wù)器發(fā)出訪問請(qǐng)求，內(nèi)網(wǎng)服務(wù)器收到請(qǐng)求后，向WebAgent返回應(yīng)答信息。
4．3 HTML文檔中后續(xù)訪問的處理
    如果應(yīng)答對(duì)象為HTML文檔，由于該文檔中包含超鏈接以及其他引用對(duì)象。為使基于該頁(yè)面的后續(xù)訪問請(qǐng)求仍能通過HTTP代理服務(wù)器轉(zhuǎn)發(fā)，需將應(yīng)答信息修改后再發(fā)送至遠(yuǎn)程客戶端。圖3為HTTP協(xié)議的應(yīng)答信息格式。

HTTP響應(yīng)消息分為狀態(tài)行、頭部行、附屬體3部分。其中狀態(tài)行有協(xié)議版本、狀態(tài)碼、原因短語(yǔ)3個(gè)字段，分別用于告知服務(wù)器端使用的HTTP協(xié)議版本號(hào)、本次請(qǐng)求執(zhí)行的狀態(tài)(如發(fā)生錯(cuò)誤，給出錯(cuò)誤原因等)。頭部行包含有關(guān)服務(wù)器端環(huán)境及應(yīng)答正文的有用信息(如正文字節(jié)數(shù)、發(fā)送時(shí)間、包含在附屬體中的對(duì)象類型等)。附屬體包含是應(yīng)答正文信息。
     HTML文檔由標(biāo)簽構(gòu)成，有些標(biāo)簽中含有URL信息，例如<a href="http：／／192．168．0．1／index．html">SSL VPN簡(jiǎn)介<／a>，該標(biāo)簽是一個(gè)超鏈接，鏈接地址通過參數(shù)href指明，href的值就是一個(gè)URL?？捎肏tmlParser工具解析 HTML文檔，以找出其中包含的所有URL信息，然后根據(jù)事先約定的加密算法加密URL，例如假設(shè)對(duì)于http：／／192．168．0．1。通過某種算法加密后密文為S6GH78GL，則上述標(biāo)簽中的URL修改后為<ahref="https：／／222．207．224． 19／agent／S6GH78GL／index．html">SSL VPN簡(jiǎn)介<／a>，經(jīng)這樣的修改，由于URL地址形式滿足訪問WebAgent的URL模式，因而對(duì)該超級(jí)鏈接的訪問也是由 WebAgent進(jìn)行轉(zhuǎn)發(fā)的。

    還要修改HTTP應(yīng)答信息中的某些應(yīng)答頭(如Loeation、Conten-Length等)。如果應(yīng)答中出現(xiàn)Location這個(gè)應(yīng)答頭，表明要訪問資源位置已改變，新的位置由應(yīng)答頭Location的值給出，即該頭部信息中包含URL信息，所以也需加密修改。應(yīng)答頭Conten-Length指明附屬體中正文的大小，當(dāng)修改正文后，該應(yīng)答頭的值也要作相應(yīng)修改。此之，還需對(duì)Set-Cookie，Transfer-Encoding等頭部行根據(jù)其含義作相應(yīng)修改。所有信息修改完成后，Web轉(zhuǎn)發(fā)功能模塊把修改后的應(yīng)答信息發(fā)送給外網(wǎng)用戶，以實(shí)現(xiàn)信息轉(zhuǎn)發(fā)。

5 結(jié)束語(yǔ)
    SSL VPN是解決遠(yuǎn)程用戶訪問企業(yè)內(nèi)部數(shù)據(jù)的一種簡(jiǎn)單又安全的技術(shù)，與復(fù)雜的IPSec VPN相比，SSL通過簡(jiǎn)單易用的方法即可實(shí)現(xiàn)信息遠(yuǎn)程連接，任何安裝瀏覽器的機(jī)器都可以使用SSL VPN。SSL VPN網(wǎng)關(guān)服務(wù)器需要能代理遠(yuǎn)程客戶端訪問內(nèi)網(wǎng)服務(wù)器。詳細(xì)介紹一種基于Tomcat的SSL VPN網(wǎng)關(guān)服務(wù)器的設(shè)計(jì)與實(shí)現(xiàn)方法，具有一定的借鑒意義。但由于需通過代理訪問，遠(yuǎn)程客戶端訪問內(nèi)網(wǎng)服務(wù)器的效率不可避免地降低了，為提高系統(tǒng)效率，可采用Cache等手段，這是下一步研究的內(nèi)容。