基于Tomcat的SSL VPN網(wǎng)關(guān)服務(wù)器的設計與實(shí)現

4 網(wǎng)關(guān)服務(wù)器的設計
4．1 為Tomcat配置SSL
本系統中，SSL VPN網(wǎng)關(guān)是基于Web服務(wù)器Tomcat實(shí)現的。從圖1中可知遠程客戶(hù)端和VPN之間通過(guò)SSL協(xié)議安全通信，目前瀏覽器大多支持SSL，無(wú)需額外配置，則主要是為Tomcat配置SSL，包含：準備安全證書(shū)以及配置Tomcat的SSL連接器(Connector)。具體配置方法如下：
(1)使用keytool命令生成證書(shū)庫文件打開(kāi)命令行對話(huà)框，輸人如下命令：keytool-genkey-alias tomcat-keyalg RSA-keysize 1024-validity 365-keystore tomcat．keystore，則會(huì )在當前目錄下生成文件tomcat．keystore。
(2)保存文件將生成的tomcat．keystore文件保存在TOM-CAT／conf目錄下。
(3)修改server．xml文件 去掉SSL Connector注釋語(yǔ)句!

(4)重新啟動(dòng)Tomcat訪(fǎng)問(wèn)http：／／localhost：8443，一般打開(kāi)頁(yè)面前會(huì )提示確認證書(shū)的內容，選擇OK即可看到頁(yè)面。
遠程客戶(hù)端通過(guò)瀏覽器訪(fǎng)問(wèn)SSL VPN，為保證兩者通信的安全性，在HTTP協(xié)議下采用SSL協(xié)議，如圖1所示。采用SSL機制的HTTP稱(chēng)為HTTPS協(xié)議，HTTP使用的默認端口為80，而HTTPS使用的默認端口為443。
4．2 Web轉發(fā)功能模塊的設計
SSL VPN中Web轉發(fā)功能模塊主要實(shí)現以下功能：當遠程客戶(hù)端發(fā)出訪(fǎng)問(wèn)企業(yè)內部某一服務(wù)器的請求時(shí)，SSL VPN中的Web轉發(fā)功能模塊分析該請求，得到其真正要訪(fǎng)問(wèn)的內網(wǎng)URL，然后向內網(wǎng)服務(wù)器發(fā)出該請求，再取回并修改遠程客戶(hù)端所需信息，傳至遠程客戶(hù)端，如圖2所示。

該系統的SSL VPN網(wǎng)關(guān)中用于實(shí)現Web轉發(fā)功能模塊的是一個(gè)名為WebAgent的Servlet。為訪(fǎng)問(wèn)WebAgent，需在Tomcat的配置文件Web．xml中配置訪(fǎng)問(wèn)該Servlet的URL模式，通過(guò)servlet-mapping元素實(shí)現：

通過(guò)上述配置，假設SSL VPN的IP地址為222．207．224．19，所有格式為https：／／222．207．224．19／agent／*的URL請求都將由該Servlet處理。
為實(shí)現代理功能，WebAgent接收到的請求中應包含遠程用戶(hù)真正想要訪(fǎng)問(wèn)的內網(wǎng)服務(wù)器的URL信息。但如果直接暴露內網(wǎng)服務(wù)器的URL地址可能會(huì )帶來(lái)安全隱患，故該系統采用加密內網(wǎng)資源URL地址信息的方案。例如當遠程客戶(hù)要訪(fǎng)問(wèn)http：／／192．168．0．1／index．jsp時(shí)， WebAgent接收到的請求為https：／／222．207．224．19／agent／S6GH78GL／index．jsp。這里的 S6GH78GL為http：／／192．168．0．1的密文信息。WebAgent解密請求得到真正要訪(fǎng)問(wèn)的URL信息，通過(guò)HTTP客戶(hù)端工具(如 HttpClient)向內網(wǎng)服務(wù)器發(fā)出訪(fǎng)問(wèn)請求，內網(wǎng)服務(wù)器收到請求后，向WebAgent返回應答信息。
4．3 HTML文檔中后續訪(fǎng)問(wèn)的處理
如果應答對象為HTML文檔，由于該文檔中包含超鏈接以及其他引用對象。為使基于該頁(yè)面的后續訪(fǎng)問(wèn)請求仍能通過(guò)HTTP代理服務(wù)器轉發(fā)，需將應答信息修改后再發(fā)送至遠程客戶(hù)端。圖3為HTTP協(xié)議的應答信息格式。

HTTP響應消息分為狀態(tài)行、頭部行、附屬體3部分。其中狀態(tài)行有協(xié)議版本、狀態(tài)碼、原因短語(yǔ)3個(gè)字段，分別用于告知服務(wù)器端使用的HTTP協(xié)議版本號、本次請求執行的狀態(tài)(如發(fā)生錯誤，給出錯誤原因等)。頭部行包含有關(guān)服務(wù)器端環(huán)境及應答正文的有用信息(如正文字節數、發(fā)送時(shí)間、包含在附屬體中的對象類(lèi)型等)。附屬體包含是應答正文信息。