基于Tomcat的SSL VPN網關服務器的設計與實現(xiàn)

1 引言
虛擬專用網絡VPN(Virtual Private Network)是使用隧道封裝、認證、加密和訪問控制等網絡安全機制在公共網絡中建立專用數(shù)據(jù)通信網絡的技術。目前VPN主要有兩種：IPSecVPN和SSL VPN。安全套接層虛擬專網SSL VPN是基于應用層的VPN，而IPSee VPN是基于網絡層的VPN。南于IPSecVPN存在通信性能較低、需要安裝客戶端軟件、維護成本高及很難實現(xiàn)防火墻和NAT遍歷、無法解決IP地址沖突等問題，因此SSL VPN技術受到廣泛關注。

2 SSL VPN簡介及其特點
SSL VPN指采用安全套接層SSL(Security Socket Lay-er)協(xié)議實現(xiàn)遠程接人的一種新型VPN技術。SSL VPN能讓企業(yè)更多遠程用戶在不同地點接入，實現(xiàn)更多網絡資源訪問，且對客戶端設備要求低，因而降低了配置和運行支撐成本。SSL VPN通信基于標準TCP／UDP協(xié)議傳輸，因而能遍歷所有NAT設備、基于代理的防火墻和狀態(tài)檢測防火墻。SSLVPN是一種利用數(shù)據(jù)封裝技術，基于 SSL／TSL協(xié)議，以WebServet架構為依托的VPN實現(xiàn)。
與IPSec VPN相比，SSL VPN具有以下特點：(1)SSLVPN的用戶使用標準的瀏覽器，無需安裝客戶端程序即可通過SSL VPN隧道接人內部網絡；(2)SSL VPN保護基于Web的應用更有優(yōu)勢；(3)SSL VPN用戶不受上網方式限制，SSL VPN隧道可穿透防火墻；(4)SSL VPN只需維護中心節(jié)點的網關設備，客戶端免維護。降低了部署和支持費用；(5)SSL VPN更容易提供細粒度訪問控制，可對用戶的權限、資源、服務、文件進行更加具體的控制，與第三方認證系統(tǒng)結合更加便捷。

3 SSL VPN網絡架構
SSL VPN網關服務器一般位于企業(yè)的Internet防火墻之后．如圖1所示。

由于遠程客戶端(如PDA、便攜電腦、Mobile User等)和SSL VPN網關服務器位于不同網絡中，因此兩者之間要形成一個安全通道。需用SSL進行數(shù)據(jù)加密通信，從而在Internet上形成遠程客戶端到SSL VPN網關之間的加密隧道。VPN網關服務器相當于內部網絡中的安全代理，由于與其他各種服務器處于同一內部網中，因此它們之間的數(shù)據(jù)可通過明文傳輸。 SSL VPN充當兩種角色：當遠程客戶端與SSL VPN進行通信時，SSL VPN是服務器端，負責處理遠程客戶端的請求；而當SSL VPN與網內各服務器進行通信時，它則是客戶端，負責把遠程客戶端的請求轉發(fā)到內網服務器。

企業(yè)內部的服務器多種多樣，常見的有Web服務器、Mail服務器、FTP服務器、Telnet服務器等。SSL VPN需要能夠代理遠程客戶端訪問內部網絡的各種服務器．這種技術稱反向代理技術，它是一種服務器負載均衡技術，也是一種保護內部網絡的預防攻擊技術。