飞连应用网关是基于零信任理念构建的应用层（Layer 7）访问控制组件。应用网关部署在企业外部网络与内部 Web 资源之间，充当反向代理的角色。它在不直接对外暴露内网架构与真实服务器 IP 的前提下，接管用户的 Web 访问流量，并实施基于身份与上下文的精细化访问控制。

核心价值与作用 #

• 无客户端（Agentless）便捷接入：用户无需安装飞连客户端或建立 VPN 连接，直接在浏览器中输入业务域名即可访问。这一特性极大地降低了接入成本，特别适用于 BYOD（自带设备）办公、外部合作伙伴协作以及外包人员的临时网络接入。
• 应用级（L7）微隔离与权限管控：有别于传统 VPN 粗放的网段级连通，应用网关基于具体的 URL 或域名进行细粒度授权。用户仅能访问被明确授权的特定 Web 应用，无法借此作为跳板对内网其他服务器进行扫描或越权访问，有效阻断内网横向移动的风险。
• 收敛业务暴露面：​内网业务系统完全隐藏在应用网关之后，不直接对公网开放任何服务端口。所有外部请求必须先经过应用网关的身份认证与合法性校验，有效抵御了针对业务源站的 DDoS 攻击、漏洞扫描与数据窃取。

访问模式对比 #

根据企业是否采用应用网关，员工访问内部业务的网络链路与体验存在以下差异：

1. 网络层直连模式（不配置应用网关）
   在此模式下，飞连通过底层 VPN 或代理技术打通网络隧道。
   • 接入方式：​员工必须在终端设备安装并登录飞连客户端，完成身份认证并开启连接功能。
   • 访问逻辑：​终端设备获得内网网络访问能力，通过网络路由直接访问企业内网应用。
2. 应用层代理模式（配置应用网关）
   在此模式下，访问请求由应用网关作为“中间人”代为验证与转发。
   • 接入方式：​员工无需安装飞连客户端，无需建立 VPN 连接，直接在标准浏览器中访问应用的对外域名。
   • 访问逻辑：​访问请求首先抵达处于网络边界的应用网关。网关对请求进行解析，并强制验证用户的身份与权限。仅当验证通过后，网关才会代替用户，将合法的请求转发至后端的真实业务服务器，最终将响应结果回传给用户。整个过程中，用户与真实服务器之间不存在直接的网络连通。

相关操作指南 #

为了帮助您快速在企业内部署并使用应用网关，建议您按照以下流程进行配置：

1. 第一步：部署网关节点
   在使用应用网关前，您需要先完成网关服务器的添加与基础配置。
   • 相关文档：接入应用网关
2. 第二步：发布 Web 应用
   网关就绪后，您可以将企业内部的 Web 业务（HTTP/HTTPS）发布至应用网关，并为其配置外部访问地址与证书。
   • 相关文档：管理 Web 应用
3. 第三步：配置策略与防护
   应用发布后，您可以为其叠加零信任访问控制与深度流量检测能力。
   • 相关文档：
     • 配置应用高级策略：配置细粒度访问权限（ACL）、免密单点登录（SSO）及动态水印。
     • 配置应用安全策略：配置防数据泄露（DLP）与 Web 漏洞防护（WAF）策略。
4. 第四步：日常运维与审计
   在业务运行期间，您可以通过网关日志对用户的访问行为进行持续监控与回溯。
   • 相关文档：查看应用网关日志