飞连应用网关是基于零信任理念构建的应用层（Layer 7）访问控制组件。应用网关位于外部访问与企业内网 Web 资源之间，接管应用访问流量，在不直接暴露内网架构的前提下，实现基于身份的精细化访问控制。

核心价值与作用

• 无客户端接入：​用户无需安装飞连客户端或建立 VPN 连接，直接通过浏览器即可访问被授权的内网资源，支持 BYOD 设备及合作伙伴等外部人员接入。
• 应用级权限控制：​区别于网络层接入，应用网关基于 URL 或域名进行细粒度授权。用户仅能访问被明确授权的特定应用，无法通过网关访问内网其他资源。
• 收敛业务暴露面：​内网业务系统隐藏在网关之后，不直接对互联网开放端口，有效隐藏业务拓扑，防御针对源站的扫描与攻击。

访问模式对比

根据企业是否配置应用网关，员工访问内部业务的链路与体验存在以下差异：
1. 网络层直连模式（不配置应用网关）

在此模式下，飞连通过 VPN 技术打通网络隧道。

• 接入方式：​员工必须在终端设备安装并登录飞连客户端，开启连接功能。
• 访问逻辑：​终端设备获得内网网络访问能力，通过网络路由直接访问企业内网应用。

2. 应用层代理模式（配置应用网关）

在此模式下，访问请求由应用网关代为转发。

• 接入方式：​员工无需安装飞连客户端，无需建立 VPN 连接，直接在浏览器中访问应用地址。
• 访问逻辑：​访问请求首先到达应用网关，网关解析请求数据并验证用户身份。验证通过后，网关依据预设的权限策略，将合法的请求转发至后端的业务应用，并将响应结果返回给用户。

关于应用网关的具体配置操作，请参见管理应用网关。