应用层VPN的简单介绍

      VPN指的是虚拟专用网络，在OSI模型当中，VPN有多种的分类，包括物理层、数据链路层、网络层以及应用层，如下图所示。在这里，我们就重点来介绍一下应用层VPN。

　　应用层VPN是指通讯双方用传输层或应用程序协议作为隧道协议，对数据进行封装、加密，保证通讯安全性的VPN,这是为了特定的应用程序而构建的。

　　1.安全套接字(SSL)

　　安全套接字(SSL)属于高层安全机制，广泛应用于web浏览器程序和Web 服务器程序，提供对等的身份认证和应用数据的加密。SSL是4个端到端协议，因而是在处于通信通路端点的机器上实现(通常是在客户机和服务器上)，而不需要在通信通路的中间节点(如路由器或防火墙)上实现。

　　SSL是一个非常好的应用层VPN，其具备很强的灵活性，因而广受欢迎，如今几乎所有浏览器都内建有SSL功能。它正成为企业应用、无线接入设备、Web服务以及安全接入管理的关键协议。

　　SSL VPN的特点：

　　（1）SSL安全通道是在客户到所访问的资源之间建立的，确保点到点的真正安全。无论在内部网络还是在因特网上数据都不是透明的。客户对资源的每一次操作都需要经过安全的身份验证和加密。

　　（2）若是采取SSL VPN来联机，因为是直接开启应用系统，并没在网络层上连接，黑客不易侦测出应用系统内部网络设置，同时黑客攻击的也只是VPN服务器，无法攻击到后台的应用服务器，攻击机会相对就减少。

　　（3）而对于SSL VPN的联机，病毒传播会局限于这台主机，而且这个病毒必须是针对应用系统的类型，不同类型的病毒是不会感染到这台主机的。因此通过SSL VPN连接，受外界病毒感染的可能性大大减小。

　　（4）关于通讯协议。因为在远程主机与SSLVPN Gateway之间，采用SSL通讯端口443来作为传输通道，这个通讯端口，一般是作为Web Server对外的数据传输通道，因此，不需在防火墙上做任何修改，也不会因为不同应用系统的需求，而来修改防火墙上的设定，减少IT管理者的困扰。如果所有后台系统都通过SSL VPN的保护，那么在日常办公中防火墙只开启一个443端口就可以，因此大大增强内部网络受外部黑客攻击的可能性。

　　（5）SSL VPN一般部署在内网中任一节点处即可，可以随时根据需要，添加需要VPN保护的服务器，因此无需影响原有网络结构。

　　2.SSH

　　SSH是作为一种加密机制及各种网络设备安全登录会话而推出的。SSH可以加密并为其他应用层协议创建VPN，如FTP和HTTP。

　　3.SOCKS

　　SOCKS是一个网络连接的代理协议，它处于OSI 模型的会话层。SOCKS 能将连接请求进行鉴别和授权，并建立代理连接和传送数据。在SOCKS 协议中，客户程序通常是先连接到防火墙，然后由防火墙建立到目的主机的单稳会话，这样，它使SOCKS后面的主机能通过Intemet 取得完全的访问权，而避免了通过Intemet 对内部主机进行未授权访问。目前，有SOCKSv4和SOCKSv5两个版本，SOCKSv5可以处理UDP，而SOCKSv4则不能。

　　SOCKS的问题在于必须对客户端应用程序做修改，加入对SOCKS协议的支持。与IPSec相比，SOCKS在协议枝中处于较高层，因而效率相对比IPSec低一些，但另一方面，较高层协议对于会话控制可以提供更大的灵活性。

　　4.安全HTTP协议

　　安全HTTP协议是HTTP协议的安全扩展，它提供身份认证，也可以提供数据加密。虽然它比SSL 要灵活得多， m实际应用中用的很少，因为SSL易于管理，而且实践证明它能为大多数安全Web应用提供足够的安全保护。

　　5.安全电子邮件

　　安全的多用途因特网邮件扩展(S-MIME)可以被看作一个特殊的类似于SSL的协议， S-MIME属于应用层安全体系，但它的应用仅限于保护电子邮件系统，通过加密和数字签名来保撞邮件的安全，这些安全手段都是基于公钥技术的，通信双方的身份靠X.509格式的证书来标识的。S-MIME一般在终端通信系统中实现，无须对通信途径的路由器或防火墙做任何改动。

　　应用层VPN的一个主要缺点在于它们通常不是无缝连接的。用户必须执行一些操作才能使终端设备为各种应用程序创建VPN。当添加新的服务和相应的应用程序时，也要开发对它们的支持。这不像网络层和链路层，它们在建立了基本的VPN后为所有的应用程序提供了无缝的VPN连接。

　　VPN是一种远程访问技术，简单的说就是利用公用网络架设专用网络，而应用层VPN作为VPN当中重要的一种，使用它便可以保证应用层的安全性。以上就为本文的所有内容了，希望大家阅读愉快，谢谢!