基于Tomcat的SSL VPN網(wǎng)關(guān)服務(wù)器的設計與實(shí)現

1 引言
虛擬專(zhuān)用網(wǎng)絡(luò )VPN(Virtual Private Network)是使用隧道封裝、認證、加密和訪(fǎng)問(wèn)控制等網(wǎng)絡(luò )安全機制在公共網(wǎng)絡(luò )中建立專(zhuān)用數據通信網(wǎng)絡(luò )的技術(shù)。目前VPN主要有兩種：IPSecVPN和SSL VPN。安全套接層虛擬專(zhuān)網(wǎng)SSL VPN是基于應用層的VPN，而IPSee VPN是基于網(wǎng)絡(luò )層的VPN。南于IPSecVPN存在通信性能較低、需要安裝客戶(hù)端軟件、維護成本高及很難實(shí)現防火墻和NAT遍歷、無(wú)法解決IP地址沖突等問(wèn)題，因此SSL VPN技術(shù)受到廣泛關(guān)注。

2 SSL VPN簡(jiǎn)介及其特點(diǎn)
SSL VPN指采用安全套接層SSL(Security Socket Lay-er)協(xié)議實(shí)現遠程接人的一種新型VPN技術(shù)。SSL VPN能讓企業(yè)更多遠程用戶(hù)在不同地點(diǎn)接入，實(shí)現更多網(wǎng)絡(luò )資源訪(fǎng)問(wèn)，且對客戶(hù)端設備要求低，因而降低了配置和運行支撐成本。SSL VPN通信基于標準TCP／UDP協(xié)議傳輸，因而能遍歷所有NAT設備、基于代理的防火墻和狀態(tài)檢測防火墻。SSLVPN是一種利用數據封裝技術(shù)，基于 SSL／TSL協(xié)議，以WebServet架構為依托的VPN實(shí)現。
與IPSec VPN相比，SSL VPN具有以下特點(diǎn)：(1)SSLVPN的用戶(hù)使用標準的瀏覽器，無(wú)需安裝客戶(hù)端程序即可通過(guò)SSL VPN隧道接人內部網(wǎng)絡(luò )；(2)SSL VPN保護基于Web的應用更有優(yōu)勢；(3)SSL VPN用戶(hù)不受上網(wǎng)方式限制，SSL VPN隧道可穿透防火墻；(4)SSL VPN只需維護中心節點(diǎn)的網(wǎng)關(guān)設備，客戶(hù)端免維護。降低了部署和支持費用；(5)SSL VPN更容易提供細粒度訪(fǎng)問(wèn)控制，可對用戶(hù)的權限、資源、服務(wù)、文件進(jìn)行更加具體的控制，與第三方認證系統結合更加便捷。

3 SSL VPN網(wǎng)絡(luò )架構
SSL VPN網(wǎng)關(guān)服務(wù)器一般位于企業(yè)的Internet防火墻之后．如圖1所示。

由于遠程客戶(hù)端(如PDA、便攜電腦、Mobile User等)和SSL VPN網(wǎng)關(guān)服務(wù)器位于不同網(wǎng)絡(luò )中，因此兩者之間要形成一個(gè)安全通道。需用SSL進(jìn)行數據加密通信，從而在Internet上形成遠程客戶(hù)端到SSL VPN網(wǎng)關(guān)之間的加密隧道。VPN網(wǎng)關(guān)服務(wù)器相當于內部網(wǎng)絡(luò )中的安全代理，由于與其他各種服務(wù)器處于同一內部網(wǎng)中，因此它們之間的數據可通過(guò)明文傳輸。 SSL VPN充當兩種角色：當遠程客戶(hù)端與SSL VPN進(jìn)行通信時(shí)，SSL VPN是服務(wù)器端，負責處理遠程客戶(hù)端的請求；而當SSL VPN與網(wǎng)內各服務(wù)器進(jìn)行通信時(shí)，它則是客戶(hù)端，負責把遠程客戶(hù)端的請求轉發(fā)到內網(wǎng)服務(wù)器。

企業(yè)內部的服務(wù)器多種多樣，常見(jiàn)的有Web服務(wù)器、Mail服務(wù)器、FTP服務(wù)器、Telnet服務(wù)器等。SSL VPN需要能夠代理遠程客戶(hù)端訪(fǎng)問(wèn)內部網(wǎng)絡(luò )的各種服務(wù)器．這種技術(shù)稱(chēng)反向代理技術(shù)，它是一種服務(wù)器負載均衡技術(shù)，也是一種保護內部網(wǎng)絡(luò )的預防攻擊技術(shù)。