应用层VPN实现安全访问

　　应用层VPN能够远程安全访问多种应用和网络资源，这项技术正在引起人们的注意。与运行在第三层(网络层)基于IPSec的VPN所不同的是，应用层VPN运行在第七层(应用层)并且提供了对应用数据的可见性，使网管员能够对远程访问实施安全政策。 　　

　　应用层VPN的核心是应用层代理。应用层代理能够保护位于防火墙之后的专用网络。应用层VPN在远程客户机请求与服务器应用之间起到协调作用。它在应用层上接收来自远程用户的连接请求，并对输入数据进行处理，然后将数据转换为合适的应用协议。在这一过程中，应用层VPN分析应用信息，执行安全政策，并发挥Internet与专用网络之间的网闸作用。 　　

　　应用层VPN能够在一台服务器上同时运行客户机和服务器两个应用，以此满足远程PC对客户机应用程序的需求。对于Windows应用来说，客户机应用和服务器应用均安装在Windows终端服务器(Terminal Server)上，终端服务器利用微软远程桌面协议(RDP)完成远程用户与应用服务器之间的请求与应答操作。　　

　　安全套接层(SSL)被用来加密用户浏览器到应用层代理之间传输的数据。SSL具有很强的安全性，大多数Web浏览器都配置了SSL。远程用户启动浏览器，并输入应用层VPN专用设备的URL。应用层VPN在接收过程中执行安全政策，通过轮询外部认证和策略服务器(如活动目录或轻型目录访问协议)来验证用户身份以及授权某个应用访问。此后，浏览器通过瘦客户机应用协议向代理设备发送应用数据，代理设备接收这个协议，并将协议转换为RDP，然后将它提交给应用服务器。 　　

　　应用层VPN还适应于基于Web的应用和内联网应用，用来实现安全的远程接入，而不会将不设防的内联网服务器暴露在外部攻击之下。经过应用层VPN的代理接收、分析和重写HTTP请求后，远程用户能够收到策略和安全规则所规定的Web应用资源。 　　

　　用户请求没有被直接发送给应用服务器，而是被应用层VPN专用设备接收，被转换为适当的后端协议，最后再被传送给应用服务器。在这种模型中，应用层VPN发挥代理人作用，在执行认证和策略后再允许数据流进入应用服务器，有力保护了专用网络。相比之下，在IPSec VPN中，用户请求穿过网络层并访问整个企业网络，给企业网络带来一定威胁。 　　

　　由于应用层VPN可以提供对多种应用的安全远程访问，允许网管员灵活控制哪些用户可以访问应用，因此这项技术将对企业网络的安全设计产生深远影响。