當前位置:首頁 > 智能硬件 > 智能硬件
[導讀]1 引言 虛擬專用網絡VPN(Virtual Private Network)是使用隧道封裝、認證、加密和訪問控制等網絡安全機制在公共網絡中建立專用數據通信網絡的技術。目前VPN主要有兩種:IPSecVPN和SSL VPN。安全套接層虛擬專網SS

1 引言
    虛擬專用網絡VPN(Virtual Private Network)是使用隧道封裝、認證、加密和訪問控制等網絡安全機制在公共網絡中建立專用數據通信網絡的技術。目前VPN主要有兩種:IPSecVPN和SSL VPN。安全套接層虛擬專網SSL VPN是基于應用層的VPN,而IPSee VPN是基于網絡層的VPN。南于IPSecVPN存在通信性能較低、需要安裝客戶端軟件、維護成本高及很難實現防火墻和NAT遍歷、無法解決IP地址沖突等問題,因此SSL VPN技術受到廣泛關注。

2 SSL VPN簡介及其特點
    SSL VPN指采用安全套接層SSL(Security Socket Lay-er)協(xié)議實現遠程接人的一種新型VPN技術。SSL VPN能讓企業(yè)更多遠程用戶在不同地點接入,實現更多網絡資源訪問,且對客戶端設備要求低,因而降低了配置和運行支撐成本。SSL VPN通信基于標準TCP/UDP協(xié)議傳輸,因而能遍歷所有NAT設備、基于代理的防火墻和狀態(tài)檢測防火墻。SSLVPN是一種利用數據封裝技術,基于 SSL/TSL協(xié)議,以WebServet架構為依托的VPN實現。
    與IPSec VPN相比,SSL VPN具有以下特點:(1)SSLVPN的用戶使用標準的瀏覽器,無需安裝客戶端程序即可通過SSL VPN隧道接人內部網絡;(2)SSL VPN保護基于Web的應用更有優(yōu)勢;(3)SSL VPN用戶不受上網方式限制,SSL VPN隧道可穿透防火墻;(4)SSL VPN只需維護中心節(jié)點的網關設備,客戶端免維護。降低了部署和支持費用;(5)SSL VPN更容易提供細粒度訪問控制,可對用戶的權限、資源、服務、文件進行更加具體的控制,與第三方認證系統(tǒng)結合更加便捷。

3 SSL VPN網絡架構
    SSL VPN網關服務器一般位于企業(yè)的Internet防火墻之后.如圖1所示。

    由于遠程客戶端(如PDA、便攜電腦、Mobile User等)和SSL VPN網關服務器位于不同網絡中,因此兩者之間要形成一個安全通道。需用SSL進行數據加密通信,從而在Internet上形成遠程客戶端到SSL VPN網關之間的加密隧道。VPN網關服務器相當于內部網絡中的安全代理,由于與其他各種服務器處于同一內部網中,因此它們之間的數據可通過明文傳輸。 SSL VPN充當兩種角色:當遠程客戶端與SSL VPN進行通信時,SSL VPN是服務器端,負責處理遠程客戶端的請求;而當SSL VPN與網內各服務器進行通信時,它則是客戶端,負責把遠程客戶端的請求轉發(fā)到內網服務器。


    企業(yè)內部的服務器多種多樣,常見的有Web服務器、Mail服務器、FTP服務器、Telnet服務器等。SSL VPN需要能夠代理遠程客戶端訪問內部網絡的各種服務器.這種技術稱反向代理技術,它是一種服務器負載均衡技術,也是一種保護內部網絡的預防攻擊技術。

4 網關服務器的設計
4.1 為Tomcat配置SSL
    本系統(tǒng)中,SSL VPN網關是基于Web服務器Tomcat實現的。從圖1中可知遠程客戶端和VPN之間通過SSL協(xié)議安全通信,目前瀏覽器大多支持SSL,無需額外配置,則主要是為Tomcat配置SSL,包含:準備安全證書以及配置Tomcat的SSL連接器(Connector)。具體配置方法如下:
    (1)使用keytool命令生成證書庫文件打開命令行對話框,輸人如下命令:keytool-genkey-alias tomcat-keyalg RSA-keysize 1024-validity 365-keystore tomcat.keystore,則會在當前目錄下生成文件tomcat.keystore。
    (2)保存文件將生成的tomcat.keystore文件保存在TOM-CAT/conf目錄下。
    (3)修改server.xml文件 去掉SSL Connector注釋語句<!

  
    (4)重新啟動Tomcat訪問http://localhost:8443,一般打開頁面前會提示確認證書的內容,選擇OK即可看到頁面。
    遠程客戶端通過瀏覽器訪問SSL VPN,為保證兩者通信的安全性,在HTTP協(xié)議下采用SSL協(xié)議,如圖1所示。采用SSL機制的HTTP稱為HTTPS協(xié)議,HTTP使用的默認端口為80,而HTTPS使用的默認端口為443。
4.2 Web轉發(fā)功能模塊的設計
    SSL VPN中Web轉發(fā)功能模塊主要實現以下功能:當遠程客戶端發(fā)出訪問企業(yè)內部某一服務器的請求時,SSL VPN中的Web轉發(fā)功能模塊分析該請求,得到其真正要訪問的內網URL,然后向內網服務器發(fā)出該請求,再取回并修改遠程客戶端所需信息,傳至遠程客戶端,如圖2所示。

    該系統(tǒng)的SSL VPN網關中用于實現Web轉發(fā)功能模塊的是一個名為WebAgent的Servlet。為訪問WebAgent,需在Tomcat的配置文件Web.xml中配置訪問該Servlet的URL模式,通過servlet-mapping元素實現:


    通過上述配置,假設SSL VPN的IP地址為222.207.224.19,所有格式為https://222.207.224.19/agent/*的URL請求都將由該Servlet處理。
    為實現代理功能,WebAgent接收到的請求中應包含遠程用戶真正想要訪問的內網服務器的URL信息。但如果直接暴露內網服務器的URL地址可能會帶來安全隱患,故該系統(tǒng)采用加密內網資源URL地址信息的方案。例如當遠程客戶要訪問http://192.168.0.1/index.jsp時, WebAgent接收到的請求為https://222.207.224.19/agent/S6GH78GL/index.jsp。這里的 S6GH78GL為http://192.168.0.1的密文信息。WebAgent解密請求得到真正要訪問的URL信息,通過HTTP客戶端工具(如 HttpClient)向內網服務器發(fā)出訪問請求,內網服務器收到請求后,向WebAgent返回應答信息。
4.3 HTML文檔中后續(xù)訪問的處理
    如果應答對象為HTML文檔,由于該文檔中包含超鏈接以及其他引用對象。為使基于該頁面的后續(xù)訪問請求仍能通過HTTP代理服務器轉發(fā),需將應答信息修改后再發(fā)送至遠程客戶端。圖3為HTTP協(xié)議的應答信息格式。

HTTP響應消息分為狀態(tài)行、頭部行、附屬體3部分。其中狀態(tài)行有協(xié)議版本、狀態(tài)碼、原因短語3個字段,分別用于告知服務器端使用的HTTP協(xié)議版本號、本次請求執(zhí)行的狀態(tài)(如發(fā)生錯誤,給出錯誤原因等)。頭部行包含有關服務器端環(huán)境及應答正文的有用信息(如正文字節(jié)數、發(fā)送時間、包含在附屬體中的對象類型等)。附屬體包含是應答正文信息。
     HTML文檔由標簽構成,有些標簽中含有URL信息,例如<a href="http://192.168.0.1/index.html">SSL VPN簡介</a>,該標簽是一個超鏈接,鏈接地址通過參數href指明,href的值就是一個URL。可用HtmlParser工具解析 HTML文檔,以找出其中包含的所有URL信息,然后根據事先約定的加密算法加密URL,例如假設對于http://192.168.0.1。通過某種算法加密后密文為S6GH78GL,則上述標簽中的URL修改后為<ahref="https://222.207.224. 19/agent/S6GH78GL/index.html">SSL VPN簡介</a>,經這樣的修改,由于URL地址形式滿足訪問WebAgent的URL模式,因而對該超級鏈接的訪問也是由 WebAgent進行轉發(fā)的。


    還要修改HTTP應答信息中的某些應答頭(如Loeation、Conten-Length等)。如果應答中出現Location這個應答頭,表明要訪問資源位置已改變,新的位置由應答頭Location的值給出,即該頭部信息中包含URL信息,所以也需加密修改。應答頭Conten-Length指明附屬體中正文的大小,當修改正文后,該應答頭的值也要作相應修改。此之,還需對Set-Cookie,Transfer-Encoding等頭部行根據其含義作相應修改。所有信息修改完成后,Web轉發(fā)功能模塊把修改后的應答信息發(fā)送給外網用戶,以實現信息轉發(fā)。

5 結束語
    SSL VPN是解決遠程用戶訪問企業(yè)內部數據的一種簡單又安全的技術,與復雜的IPSec VPN相比,SSL通過簡單易用的方法即可實現信息遠程連接,任何安裝瀏覽器的機器都可以使用SSL VPN。SSL VPN網關服務器需要能代理遠程客戶端訪問內網服務器。詳細介紹一種基于Tomcat的SSL VPN網關服務器的設計與實現方法,具有一定的借鑒意義。但由于需通過代理訪問,遠程客戶端訪問內網服務器的效率不可避免地降低了,為提高系統(tǒng)效率,可采用Cache等手段,這是下一步研究的內容。

本站聲明: 本文章由作者或相關機構授權發(fā)布,目的在于傳遞更多信息,并不代表本站贊同其觀點,本站亦不保證或承諾內容真實性等。需要轉載請聯(lián)系該專欄作者,如若文章內容侵犯您的權益,請及時聯(lián)系本站刪除。
換一批
延伸閱讀

9月2日消息,不造車的華為或將催生出更大的獨角獸公司,隨著阿維塔和賽力斯的入局,華為引望愈發(fā)顯得引人矚目。

關鍵字: 阿維塔 塞力斯 華為

加利福尼亞州圣克拉拉縣2024年8月30日 /美通社/ -- 數字化轉型技術解決方案公司Trianz今天宣布,該公司與Amazon Web Services (AWS)簽訂了...

關鍵字: AWS AN BSP 數字化

倫敦2024年8月29日 /美通社/ -- 英國汽車技術公司SODA.Auto推出其旗艦產品SODA V,這是全球首款涵蓋汽車工程師從創(chuàng)意到認證的所有需求的工具,可用于創(chuàng)建軟件定義汽車。 SODA V工具的開發(fā)耗時1.5...

關鍵字: 汽車 人工智能 智能驅動 BSP

北京2024年8月28日 /美通社/ -- 越來越多用戶希望企業(yè)業(yè)務能7×24不間斷運行,同時企業(yè)卻面臨越來越多業(yè)務中斷的風險,如企業(yè)系統(tǒng)復雜性的增加,頻繁的功能更新和發(fā)布等。如何確保業(yè)務連續(xù)性,提升韌性,成...

關鍵字: 亞馬遜 解密 控制平面 BSP

8月30日消息,據媒體報道,騰訊和網易近期正在縮減他們對日本游戲市場的投資。

關鍵字: 騰訊 編碼器 CPU

8月28日消息,今天上午,2024中國國際大數據產業(yè)博覽會開幕式在貴陽舉行,華為董事、質量流程IT總裁陶景文發(fā)表了演講。

關鍵字: 華為 12nm EDA 半導體

8月28日消息,在2024中國國際大數據產業(yè)博覽會上,華為常務董事、華為云CEO張平安發(fā)表演講稱,數字世界的話語權最終是由生態(tài)的繁榮決定的。

關鍵字: 華為 12nm 手機 衛(wèi)星通信

要點: 有效應對環(huán)境變化,經營業(yè)績穩(wěn)中有升 落實提質增效舉措,毛利潤率延續(xù)升勢 戰(zhàn)略布局成效顯著,戰(zhàn)新業(yè)務引領增長 以科技創(chuàng)新為引領,提升企業(yè)核心競爭力 堅持高質量發(fā)展策略,塑強核心競爭優(yōu)勢...

關鍵字: 通信 BSP 電信運營商 數字經濟

北京2024年8月27日 /美通社/ -- 8月21日,由中央廣播電視總臺與中國電影電視技術學會聯(lián)合牽頭組建的NVI技術創(chuàng)新聯(lián)盟在BIRTV2024超高清全產業(yè)鏈發(fā)展研討會上宣布正式成立。 活動現場 NVI技術創(chuàng)新聯(lián)...

關鍵字: VI 傳輸協(xié)議 音頻 BSP

北京2024年8月27日 /美通社/ -- 在8月23日舉辦的2024年長三角生態(tài)綠色一體化發(fā)展示范區(qū)聯(lián)合招商會上,軟通動力信息技術(集團)股份有限公司(以下簡稱"軟通動力")與長三角投資(上海)有限...

關鍵字: BSP 信息技術
關閉
關閉