| 应用层VPN能够远 与运行在第三层(网络层)基 提供了对应用数据的可见性 |
程安全访问多种应用和网络资源 于IPSec的VPN所不同的是,应用 ,使网管员能够对远程访问实施 |
,这项技术正在引起人们的注意。 层VPN运行在第七层(应用层)并且 安全政策。 |
| 应用层VPN的核心 应用层VPN在远程客户机请 户的连接请求,并对输入数 应用层VPN分析应用信息, |
是应用层代理。应用层代理能够 求与服务器应用之间起到协调作 据进行处理,然后将数据转换为 执行安全政策,并发挥Internet |
保护位于防火墙之后的专用网络。 用。它在应用层上接收来自远程用 合适的应用协议。在这一过程中, 与专用网络之间的网闸作用。 |
 |
| 应用层VPN能够在 对客户机应用程序的需求。 Windows终端服务器(Termin 用户与应用服务器之间的请 |
一台服务器上同时运行客户机和 对于Windows应用来说,客户机 al Server)上,终端服务器利用 求与应答操作。 |
服务器两个应用,以此满足远程PC 应用和服务器应用均安装在 微软远程桌面协议(RDP)完成远程 |
| 安全套接层(SSL)被用来加密用 强的安全性,大多数Web浏览器都配置了S 备的URL。应用层VPN在接收过程中执行安 录或轻型目录访问协议)来验证用户身份 应用协议向代理设备发送应用数据,代理 提交给应用服务器。 |
户浏览器到应用层代理之间传输的数据。SSL具有很 SL。远程用户启动浏览器,并输入应用层VPN专用设 全政策,通过轮询外部认证和策略服务器(如活动目 以及授权某个应用访问。此后,浏览器通过瘦客户机 设备接收这个协议,并将协议转换为RDP,然后将它 |
| 应用层VPN还适应于基于Web的应 将不设防的内联网服务器暴露在外部攻击 请求后,远程用户能够收到策略和安全规 |
用和内联网应用,用来实现安全的远程接入,而不会 之下。经过应用层VPN的代理接收、分析和重写HTTP 则所规定的Web应用资源。 |
| 用户请求没有被直 适当的后端协议,最后再被 在执行认证和策略后再允许 IPSec VPN中,用户请求穿 |
接发送给应用服务器,而是被应 传送给应用服务器。在这种模型 数据流进入应用服务器,有力保 过网络层并访问整个企业网络, |
用层VPN专用设备接收,被转换为 中,应用层VPN发挥代理人作用, 护了专用网络。相比之下,在 给企业网络带来一定威胁。 |
| 由于应用层VPN可以提供对多种 可以访问应用,因此这项技术将对企业网 |
应用的安全远程访问,允许网管员灵活控制哪些用户 络的安全设计产生深远影响。 |