Прикладной шлюз

Прикладной шлюз, называемый также экранирующим шлюзом, функцио­нирует на прикладном уровне модели OSI, охватывая также уровень пред­ставления, и обеспечивает наиболее надежную защиту межсетевых взаимо­действий. Защитные функции прикладного шлюза, как и экранирующего транспорта, относятся к функциям посредничества. Однако прикладной шлюз, в отличие от шлюза сеансового уровня, может выполнять существен­но большее количество функций защиты, к которым относятся следующие: идентификация и аутентификация пользователей при попытке установ­ления соединений через брандмауэр; проверка подлинности информации, передаваемой через шлюз; разграничение доступа к ресурсам внутренней и внешней сетей; фильтрация и преобразование потока сообщений, например динамический поиск вирусов и прозрачное шифрование информации; регистрация событий, реагирование на задаваемые события, а также ана­лиз зарегистрированной информации и генерация отчетов; кэширование данных, запрашиваемых из внешней сети.

Учитывая, что функции прикладного шлюза относятся к функциям посред­ничества, он представляет собой универсальный компьютер, на котором функционируют программные посредники (экранирующие агенты) – по одному для каждого обслуживаемого прикладного протокола (HTTP, FTP, SMTP, NNTP и др).

Посредник каждой службы TCP/IP ориентирован на обработку сообщений и выполнение функций защиты, относящихся именно к этой службе. Так же как и шлюз сеансового уровня, прикладной шлюз перехватывает с по­мощью соответствующих экранирующих агентов входящие и исходящие па­кеты, копирует и перенаправляет информацию через шлюз и функциониру­ет в качестве сервера-посредника, исключая прямые соединения между внутренней и внешней сетью. Однако посредники, используемые приклад­ным шлюзом, имеют важные отличия от канальных посредников шлюзов сеансового уровня. Во-первых, посредники прикладного шлюза связаны с конкретными приложениями (программными серверами), а во-вторых, они могут фильтровать поток сообщений на прикладном уровне модели OSI.

Прикладные шлюзы используют в качестве посредников специально разра­ботанные для этой цели программные серверы конкретных служб TCP/IP — серверы HTTP, FTP, SMTP, NNTP и др. Эти программные серверы функ­ционируют на брандмауэре в резидентном режиме и реализуют функции защиты, относящиеся к соответствующим службам TCP/IP. Трафик UDP обслуживается специальным транслятором содержимого UDP-пакетов.

Как и в случае шлюза сеансового уровня, для связи между рабочей станцией внутренней сети и компьютером внешней сети соответствующий посредник прикладного шлюза образует два соединения: от рабочей станции до бранд­мауэра и от брандмауэра до места назначения. Но в отличие от канальных посредников, посредники прикладного шлюза пропускают только пакеты, сгенерированные теми приложениями, которые им поручено обслуживать. Например программа-посредник службы HTTP может обрабатывать лишь трафик, генерируемый этой службой. Если в сети работает прикладной шлюз, то входящие и исходящие пакеты могут передаваться лишь для тех служб, для которых имеются соответствующие посредники. Так, если при­кладной шлюз использует только программы-посредники HTTP, FTP и Telnet, то он будет обрабатывать лишь пакеты, относящиеся к этим служ­бам, блокируя при этом пакеты всех остальных служб.

Фильтрация потоков сообщений реализуется прикладными шлюзами на прикладном уровне модели OSI. Соответственно, посредники прикладного шлюза, в отличие от канальных посредников, обеспечивают проверку со­держимого обрабатываемых пакетов. Они могут фильтровать отдельные ви­ды команд или информации в сообщениях протоколов прикладного уровня, которые им поручено обслуживать. Например для службы FTP возможно динамическое обезвреживание компьютерных вирусов в копируемых из внешней сети файлах. Кроме того, посредник данной службы может быть сконфигурирован таким образом, чтобы предотвращать использование кли­ентами команды PUT, предназначенной для записи файлов на FTP-сервер. Такое ограничение уменьшает риск случайного повреждения хранящейся на FTP-сервере информации и снижает вероятность заполнения его гигабайта­ми ненужных данных.

При настройке прикладного шлюза и описании правил фильтрации сообще­ний используются такие параметры, как название сервиса, допустимый вре­менной диапазон его использования, ограничения на содержимое сообщений, связанных с данным сервисом, компьютеры, с которых можно пользоваться сервисом, идентификаторы пользователей, схемы аутентификации и др.