2020-01-14
146
Пакетному фильтру приходится принимать решения только на основе информации в заголовке пакета. К сожалению, заголовок содержит в основном адреса другие данные, необходимые протоколу для доставки пакета к месту назначения через лабиринт сетей. В заголовок пакета не включены детали, которые мог ли бы помочь фильтру решить, следует ли пропускать пакет через межсетевой экран. Например, маршрутизатор может определить, что пакет предназначен для какого-то протокола, скажем, FTP. Но он не в состоянии распознать, какой это запрос получить или передать. При этом не исключено, что запросы одного типа окажутся вполне допустимыми, а запросы другого типа для данного узла должны будут блокироваться.
Шлюз приложений (applicationgateway), или proxy-сервер (application proxy), - это программа, которая выполняется на брандмауэре и перехватывает трафик приложений определенного типа. Она может, например, перехватить запрос пользователя из локальной сети, а затем подключиться к внешнему серверу от его имени. При этом внутренние узлы никогда не будут напрямую присоединяться к удаленным серверам. Вместо этого в качестве посредника между клиентом и сервером выступит proxy-сер вер, передающий информацию между ними. Преимущество такого подхода состоит в том, что proxy-сервер способен пропускать или блокировать трафик на основе ин формации в области данных пакета, а не только в его заголовке.
|
|
|
В настоящее время широко распространена одна из форм proxy-сервера - так называемые трансляторы сетевых адресов (NetworkAddressTranslator,NAT). Серверы этого типа повышают безопасность внутренней локальной сети, скрывая настоящие IP-адреса в ней. В запросах к внешним серверам используется IР-адрес proxy-сервера. Еще одно преимущество трансляции адресов, которым обусловлена ее популярность, - зарегистрированный IP-адрес должен иметь только proxy-сервер, а адреса клиентов во внутренней сети могут быть произвольными. Поскольку пространство свободных IP-адресов Internet быстро уменьшается, такой метод очень удобен для расширения локальной сети, по скольку не требует получения нового диапазона адресов от провайдера.
Недостатком proxy-серверов является их привязка к конкретному приложению. Для каждого приложения или сервиса, поддержку которых нужно реализовать в межсетевом экране, понадобится отдельный proxy-сервер. Кроме того, необходимо, чтобы клиентское программное обеспечение могло работать через proxy-сервер. Большинство современных программ обладают такой возможностью, поэтому обычно это не представляет проблемы. Например, Netscape Navigator и Microsoft, Internet Explorer позволяют задавать используемые proxy-серверы.
|
|
|
Существуют способы добиться работоспособности и старых программ, не знающих о существовании proxy-серверов. Например, при помощи Telnet пользователь может вначале зарегистрироваться на proxy-сервере, а затем создать сеанс связи с внешним компьютером. Такой двухступенчатый метод менее удобен, чем прозрачный доступ, обеспечиваемый программами, которые умеют работать через proxy-сервер. Чтобы приложения функционировали через proxy-серверы, применяются паке ты Trusted Information Systems Firewall Toolkit (FWTK) или SOCKS. SOCKS - это библиотека, с помощью которой создаются или модифицируются клиенты с целью реализации их взаимодействия с proxy-сервером SOCKS. Пакет TIS Firewall Toolkit также содержит proxy-серверы для большинства стандартных служб, таких как Telnet, FTP и HTTP,
Практическая часть
