VPN作为网络安全的一个重要组成部分,已经越来越多地应用到现代企事业单位中, VPN提供的安全远程接入方案可以有效地解决现代企事业单位异地部门之间的安全通信问题。近年来,随着应用层VPN技术的提出应用层VPN解决方案以其安全、快捷和灵活的特性使其成为现代企业网络安全设计不可替代的解决方案之一。本文重点研究与探讨了应用层VPN安全互联系统的设计与实现等相关问题,并从系统原型设计上支持的两种工作模式——代理模式和点对点模式展开具体实现细节上的讨论。在系统代理工作模式的讨论上,重点讨论了VPN客户端及VPN服务器各个主要模块的设计与实现过程,其中包括用户网络请求重定向,隧道多线路热备,双因素身份认证,细粒度访问控制,以及利用跳板解决VPN服务器动态IP入口地址解析的问题等;在系统点对点工作模式的讨论上,则重点讨论了应用层VPN网关的设计等问题,这其中包括引入虚拟网卡解决IP数据包在隧道与协议栈之间转发的问题,提出了VPN网络地址空间免规划的解决思路,以及从实际应用角度分划出多版本的VPN网关解决总部、分支和移动用户之间的互联问题。与传统VPN相比,基于应用层实现的VPN一方面可以实现远程应用和网络资源的安全访问,对应用和资源提供细粒度的访问控制,另外一方面基于代理模式的应用层数据转发减少了隧道传输过程中的数据冗余,从而取得了传统VPN无法媲美的传输效率。此外,基于应用层的VPN隧道可以成功穿透NAT及防火墙。