应用层VPN能够远程安全访问多种应用和网络资源,这项技术正在引起人们的注意。与运行在第三层(网络层)基于IPSec的VPN所不同的是,应用层VPN运行在第七层(应用层)并且提供了对应用数据的可见性,使网管员能够对远程访问实施安全政策。
应用层VPN的核心是应用层代理。应用层代理能够保护位于防火墙之后的专用网络。应用层VPN在远程客户机请求与服务器应用之间起到协调作用。它在应用层上接收来自远程用户的连接请求,并对输入数据进行处理,然后将数据转换为合适的应用协议。在这一过程中,应用层VPN分析应用信息,执行安全政策,并发挥Internet与专用网络之间的网闸作用。
应用层VPN能够在一台服务器上同时运行客户机和服务器两个应用,以此满足远程PC对客户机应用程序的需求。对于Windows应用来说,客户机应用和服务器应用均安装在Windows终端服务器(Terminal Server)上,终端服务器利用微软远程桌面协议(RDP)完成远程用户与应用服务器之间的请求与应答操作。
安全套接层(SSL)被用来加密用户浏览器到应用层代理之间传输的数据。SSL具有很强的安全性,大多数Web浏览器都配置了SSL。远程用户启动浏览器,并输入应用层VPN专用设备的URL。应用层VPN在接收过程中执行安全政策,通过轮询外部认证和策略服务器(如活动目录或轻型目录访问协议)来验证用户身份以及授权某个应用访问。此后,浏览器通过瘦客户机应用协议向代理设备发送应用数据,代理设备接收这个协议,并将协议转换为RDP,然后将它提交给应用服务器。
应用层VPN还适应于基于Web的应用和内联网应用,用来实现安全的远程接入,而不会将不设防的内联网服务器暴露在外部攻击之下。经过应用层VPN的代理接收、分析和重写HTTP请求后,远程用户能够收到策略和安全规则所规定的Web应用资源。
用户请求没有被直接发送给应用服务器,而是被应用层VPN专用设备接收,被转换为适当的后端协议,最后再被传送给应用服务器。在这种模型中,应用层VPN发挥代理人作用,在执行认证和策略后再允许数据流进入应用服务器,有力保护了专用网络。相比之下,在IPSec VPN中,用户请求穿过网络层并访问整个企业网络,给企业网络带来一定威胁。
由于应用层VPN可以提供对多种应用的安全远程访问,允许网管员灵活控制哪些用户可以访问应用,因此这项技术将对企业网络的安全设计产生深远影响。