Шлюзы прикладного и сетевого уровня.

Для устранения некоторых недостатков, присущих фильтрующим маршрутизаторам, Firewall должны использовать дополнительное программное обеспечение для фильтрации сообщений службах типа TELNET и FTP. Такие приложения называются полномочными службами, а хост, на котором они выполняются — шлюзом прикладного уровня. Шлюзы прикладного уровня и фильтрующие маршрутизаторы можно объединять в одном хосте, чтобы обеспечить более высокий уровень безопасности и гибкости, чем при использовании каждого из них в отдельности.

В качестве примера рассмотрим сеть, блокирующую доступ извне через TELNET и FTP с помощью фильтрующего маршрутизатора. Маршрутизатор допускает прохождение пакетов TELNET и FTP только к одному хосту, а именно, к шлюзу прикладного уровня TELNET/FTP. Пользователь, который хочет соединиться с сетью, должен сначала соединиться со шлюзом прикладного уровня, а затем с портом приемника. Это происходит следующим образом:

пользователь осуществляет соединение со шлюзом прикладного уровня с помощью протокола TELNET и запрашивает интересующий его внутренний хост,

шлюз проверяет IP адрес источника и принимает или отвергает его в соответствии с используемой политикой доступа,

пользователю может потребоваться аутентифицировать себя,

полномочная служба устанавливает соединение TELNET между шлюзом и внутренним хостом,

в ходе всего сеанса передача информации ведется через полномочную службу,, шлюз прикладного уровня регистрирует соединение. Этот пример демонстрирует преимущества использования полномочных служб.

Во-первых, полномочные службы пропускают только определенные службы. Другими словами, если шлюз прикладного уровня обладает полномочиями для реализации FTP и TELNET, то в защищенной подсети допускаются только FTP и TELNET, а все другие службы полностью блокируются. Для некоторых сетей такой уровень безопасности имеет большое значение, поскольку он гарантирует, что через Firewall проходят только те службы, которые считаются надежными. Он также предотвращает реализацию других ненадежных служб без ведома администратора Firewall.

Во-вторых, преимуществом использования полномочных служб является возможность фильтрации протокола. Например, некоторые Firewall способны фильтровать соединения FTP и запрещать использование команды FTP put, чтобы пользователи поместить информацию в сервер FTP.

Шлюзы прикладного уровня обладают рядом общих преимуществ по сравнению с методом разрешения передачи прикладного трафика непосредственно к внутренним хостам. Среди них:

скрытие информации; имена внутренних систем не обязательно сообщать внешним системам через DNS, поскольку шлюз прикладного уровня может быть единственным хостом, доступным извне,

отказоустойчивые аутентификация и регистрирование; можно выполнить предварительную аутентификацию прикладного трафика, прежде чем он достигнет внутренних хостов, и он может регистрироваться более эффективно, чем с помощью стандартной регистрации,

низкие затраты; поскольку программное или аппаратное обеспечение аутентификации или регистрирования необходимо размещать только на шлюзе прикладного уровня,

несложные правила фильтрации; правила, которым подчиняется фильтрующий маршрутизатор, являются менее сложными, чем если бы маршрутизатор фильтровал прикладной трафик и направлял его целому ряду систем. Маршрутизатор должен разрешать прикладной трафик, предназначенный только для шлюза прикладного уровня, и запрещать все остальные.

Недостатком шлюзов прикладного уровня является то, что в случае реализации протоколов типа клиент-сервер, например, TELNET, для входных и выходных соединений требуются два этапа. Некоторые такие шлюзы требуют модификации программ-клиентов, что можно рассматривать и как преимущество, и как недостаток, в зависимости от того, облегчает или затрудняет модификация клиентов использование Firewall. Для шлюза прикладного уровня TELNET не обязательно нужен модифицированный клиент, однако для него необходим другой порядок работы пользователя, а именно: пользователь должен соединяться с firewall (HO не входить в него), вместо того чтобы соединяться непосредственно с хостом. Модифицированный клиент TELNET может сделать Firewall прозрачным, разрешая пользователю указывать в команде TELNET систему-приемник, а не Firewall. Поведение пользователя остается неизменным, однако сохраняется оно за счет модификации программы-клиента в каждой системе.

Помимо TELNET, шлюзы прикладного уровня обычно используются для FTP и электронной почты, для Х Windows и некоторых других служб. Некоторые прикладные шлюзы FTP могут запрещать для определенных хостов команды put и get. Например, внешний пользователь, установивший сеанс FTP (через шлюз прикладного уровня FTP) с внутренней системой может попытаться загрузить файлы на сервер. Шлюз прикладного уровня может профильтровать протокол и запретить все команды put на сервер FTP, что должно обеспечить большую уверенность, чем в случае, когда полагаются только на корректность допуска к серверу FTP.

Шлюз прикладного уровня электронной почты служит для централизованного сбора электронной почты и распределения ее внутренним хостам и пользователям. Для внешних пользователей все внутренние пользователи должны иметь адреса электронной почты следующего вида: user@emailhost,

где emailhost — это имя шлюза электронной почты. Шлюз должен принимать почту от внешних пользователей и отправлять ее по необходимости дальше к другим внутренним системам. Пользователи, посылающие электронную почту из внутренних систем, могут отправлять ее прямо со своих хостов, или, в том случае, когда имена внутренней системы неизвестны вне защищенной подсистемы, на шлюз прикладного уровня, который затем пересылает ее хосту-приемнику.

Еще один компонент Firewall — шлюз сетевого уровня. Шлюз сетевого уровня передает сообщения TCP, но не осуществляет дополнительной обработки или фильтрации протоколов. Например, рассмотренный выше пример шлюза прикладного уровня TELNET, может быть примером шлюза сетевого уровня, поскольку, как только связь между источником и приемником установлена, Firewall просто передает информацию между системами. Другой пример шлюза сетевого уровня касается NNTP, когда сервер NNTP соединяется с Firewall, а затем с последним соединяются клиенты NNTP внутренней системы. Firewall в этом случае также просто передает информацию.

 

Вопросы 17-21.