Прикладной шлюз, называемый также экранирующим шлюзом, функционирует на прикладном уровне модели OSI, охватывая также уровень представления, и обеспечивает наиболее надежную защиту межсетевых взаимодействий. Защитные функции прикладного шлюза, как и шлюза сеансового уровня, относятся к функциям посредничества. Однако прикладной шлюз, в отличие от шлюза сеансового уровня, может выполнять существенно большее количество функций защиты, к которым относятся следующие:
• идентификация и аутентификация пользователей при попытке установления соединений через МЭ;
• проверка подлинности информации, передаваемой через шлюз;
• разграничение доступа к ресурсам внутренней и внешней сетей;
• фильтрация и преобразование потока сообщений, например, динамический поиск вирусов и прозрачное шифрование информации;
• регистрация событий, реагирование на задаваемые события, а также анализ зарегистрированной информации и генерация отчетов;
• кэширование данных, запрашиваемых из внешней сети.
|
|
Поскольку функции прикладного шлюза относятся к функциям посредничества, этот шлюз представляет собой универсальный компьютер, на котором функционируют программные посредники (экранирующие агенты) — по одному для каждого обслуживаемого прикладного протокола (HTTP, FTP, SMTP, NNTP и др.). Программный посредник (application proxy) каждой службы TCP/IP ориентирован на обработку сообщений и выполнение функций защиты, относящихся именно к этой службе.
Прикладной шлюз перехватывает с помощью соответствующих экранирующих агентов входящие и исходящие пакеты, копирует и перенаправляет информацию, т. е. функционирует в качестве сервера-посредника, исключая прямые соединения между внутренней и внешней сетью (рис. 9.6).
Посредники, используемые прикладным шлюзом, имеют важные отличия от канальных посредников шлюзов сеансового уровня. Во-первых, посредники прикладного шлюза связаны с конкретными приложениями (программными серверами), во-вторых, они могут фильтровать поток сообщений на прикладном уровне модели OSI.
Прикладные шлюзы используют в качестве посредников специально разработанные для этой цели программные серверы конкретных служб TCP/IP — серверы HTTP, FTP, SMTP, NNTP и др. Эти программные серверы функционируют на МЭ в резидентном режиме и реализуют функции защиты, относящиеся к соответствующим службам TCP/IP.
Шлюз прикладного уровня обладает следующими достоинствами:
• обеспечивает высокий уровень защиты локальной сети благодаря возможности выполнения большинства функций посредничества;
• защита на уровне приложений позволяет осуществлять большое число дополнительных проверок, уменьшая тем самым вероятность проведения успешных атак, возможных из-за недостатков программного обеспечения;
|
|
• при нарушении его работоспособности блокируется сквозное прохождение пакетов между разделяемыми сетями, в результате чего безопасность защищаемой сети не снижается из-за возникновения отказов.
К недостаткам прикладного шлюза относятся:
• высокие требования к производительности и ресурсоемкости компьютерной платформы;
• отсутствие «прозрачности» для пользователей и снижение пропускной способности при реализации межсетевых взаимодействий.