5.3.2. Шлюзы сетевого уровня
Шлюзы сетевого уровня (ШСУ) исключают прямое взаимодействие между авторизованным клиентом и внешней средой.
Логика работы ШСУ заключается в следующем:
Сначала авторизованный клиент запрашивает некоторый сервис, шлюз принимает этот запрос и проверяет, удовлетворяет ли этот запрос правам, предоставленным клиенту;
Далее, действуя от имени клиента, шлюз устанавливает связь с внешней средой и следит за процессом квитирования (процесс квитирования заключается в обмене синхронизирующими посылками между клиентом и внешним компьютером);
После завершения процедуры квитирования шлюз устанавливает соединение, копирует пакеты и перенаправляет их между участниками взаимодействия, не проводя никакой фильтрации.
Характерная особенность ШСУ:
При работе ШСУ осуществляется т.н. «туннелирование трафика» или маскировка топологии сети, т.е. при обращении авторизованного клиента к внешнему источнику происходит преобразование внутренних IP – адресов в один внешний IP – адрес МЭ и все исходящие из внутренней сети пакеты оказываются отправленными от этого шлюза, что исключает прямой контакт между внутренней сетью и потенциально опасной внешней.
Недостаток ШСУ:
После установления связи ШСУ не могут проверять содержимое пакетов, передаваемых между внутренней и внешней сетью на уровне прикладных программ, и хакер во внешней сети может переслать свои вредоносные пакеты через шлюз. Поэтому ШСУ, как правило, не используются отдельно от других компонент МЭ и для фильтрации передаваемой информации по смыслу к ШСУ необходимо добавлять шлюз прикладного уровня.
5.3.3. Шлюзы прикладного уровня
Так же как и ШСУ, шлюз прикладного уровня (ШПУ) исключает прямое взаимодействие между авторизованным клиентом и внешней средой. Для фильтрации на прикладном уровне они используют дополнительные программные средства (называемые серверами – посредниками). Эти программы (серверы – посредники) перенаправляют через шлюз информацию, которая генерируется конкретными приложениями.
Например, если ШПУ содержит серверы – посредники для служб FTP и TELNET, то в защищаемой сети будут разрешены только эти сервисы, а все остальные будут блокироваться. Как указывалось ранее, для достижения более высокого уровня безопасности и гибкости, шлюзы сетевого и прикладного уровня объединяются с фильтрующими маршрутизаторами в одном межсетевом экране. При этом такой МЭ будет обладать следующими преимуществами:
Невидимость структуры защищаемой сети;
Надежная аутентификация и регистрация (прикладной трафик может быть аутентифицирован, прежде чем он достигнет внутренней сети);
Оптимальное соотношение между ценой и эффективностью (организация приобретает только те серверы – посредники для шлюзов прикладного уровня, которые реально используются;
Раздельные правила фильтрации для ФМ и ШПУ упрощают общую логику фильтрации.
Недостатки:
Более низкая производительность по сравнению с «чистыми» ФМ из-за процедуры квитирования;
Более высокая стоимость.