随着Internet应用的普及，由于虚拟专用网(VPN)以Internet媒介，能为企业提供一种安全、经济、灵活的组网方式受到越来越多的关注。VPN大致可分为两种类型：VDPN(Virtual Private Dial Network)和Intranet VPN(即VPN网关)。VDPN是远程用户或移动雇员和公司内部网之间的VPN，它为远程用户或移动雇员和公司内部网之间提供一条安全、经济的数据通道；VPN网关(Intranet VPN)是公司远程分支机构的LAN和公司总部LAN之间的VPN，可使企业中的异地局域网通过Internet实现安全的互连。 目前实现VPN网关主要是基于IPSec协议，基于IPSec协议的VPN网关能为上层应用提供透明的支持，所以是企业构建跨地区信息化管理平台的首选。但由于基于IPSec协议的VPN网关实现复杂(需要更改或重构操作系统的TCP／IP协议栈)，高开发成本导致VPN网关产品昂贵，不能很好满足国内中小型企业的需要(性价比)。 为简化实现难度，降低开发成本，满足国内中小型企业的需要，本文在分析了当前典型的基于IPSec协议VPN网关解决方案的基础上，参照IPSec协议，结合国内中小企业的应用环境(Windows平台)和企业应用(Web服务、FTP服务、邮件服务、ERP系统、OA系统)，运用Winpcap函数库、原始套接字技术和CryptoAPI，提出了一种在应用层加密待转发IP数据包的新设计方案并将之实现。 该VPN网关作为一个模块已经成功用于某无线办公网的控制系统中，对上层的企业应用提供了良好的透明支持；对异地局域网之间传输的IP包提供了私密性保护和完整性、真实性验证；实现了会话密钥的自动分发和更新。在实际应用中，取得了良好的效果。