Компьютерная безопасность. Криптографические методы защиты - Петров А.А.
ISBN 5-89818-064-8
Скачать (прямая ссылка):
Иными словами, если процедура квитирования связи успешно завершена, шлюз сеансового уровня установит соединение и будет копировать и перенаправлять все последующие пакеты независимо от их содержимого. Чтобы фильтровать пакеты, генерируемые определенными сетевыми службами в соответствии с их содержимым, необходим шлюз прикладного уровня.
3.6.3. Шлюзы уровня приложений
Вместо анализа IP-пакетов шлюзы этого типа изучают данные на уровне приложений. Часто шлюзы приложений используют уполномоченное приложение для создания отдельного сеанса. В отличие от фильтра пакетов, этот сеанс не допускает прямого соединения между двумя сетями, другими словами, он не молсет выступать в качестве посредника для трафика пакетов
Обнаружив сетевой сеанс, шлюз приложений останавливает его и вызывает уполномоченное приложение для оказания запрашиваемой услуги, пусть это будет telnet, ftp, World Wide Web или электронная почта.
п-з
322 Компьютерная безопасность и практическое применение криптографии
Инициировав уполномоченный сеанс, брандмауэр, по существу, ограничивает доступ к определенным приложениям. Многие шлюзы приложений предоставляют также полномочия для доступа к HTTP, Network News Transfer Protocol (протокол для управления группами новостей Usenet), Simple Mail Transfer Protocol и SNM P. Некоторые продукты, например Gauntlet компании Trusted Information Systems, помимо вышеупомянутых сервисов, поддерлшвают и такие, как rlogin, TN3270, РОР-3, gopher, X Window, finger и whois.
По большей части популярные МЭ представляют собой шлюзы приложений, хотя они в состоянии осуществлять также фильтрацию пакетов и некоторые другие функции. По самой своей природе шлюзы приложений имеют много преимуществ над фильтрами пакетов. Они выполняются на стандартном оборудовании, в частности на рабочей станции UNIX, имеющей больше, чем у маршрутизатора, возможностей для настройки. В январе 1996 года Raptor Systems выпустила Eagle NT - первый брандмауэр на базе Windows NT, с помощью которого администраторы сетей могут сконфигурировать надежную защиту без знания UNIX. С тех пор такие компании, как Checkpoint и NetGuard, тоже выпустили программные МЭ для Windows NT.
Ввиду того, что шлюзы приложений функционируют на уровне приложений, контроль доступа может быть отрегулирован значительно точнее, нежели при использовании фильтров пакетов. Однако один из недостатков такого подхода заключается в том, что поток трафика в этом случае существенно замедляется, поскольку инициация уполномоченного сеанса требует времени. Многие шлюзы приложений поддерживают скорости вплоть до уровня T-1, но, если компании развертывают несколько МЭ сразу или число сеансов увеличивается, заторы становятся настоящей проблемой.
Шлюзы приложений, кроме того, требуют отдельного приложения для каждого сетевого сервиса, иначе МЭ, не имеющие соответствующего приложения, не позволят осуществить к нему доступ. С технической точки зрения это означает, что при появлении новой версии какого-либо приложения она должна быть загружена на брандмауэр. В Checkpoint эта проблема решена следующим образом: заказчики могут скачать с узла Web компании макросы с поддержкой последних редакций популярных приложений.
Другой тип МЭ, шлюзы уровня канала, напоминает шлюзы приложений, за исключением того, что уполномоченный сеанс организуется на уровне TCP (или UDP), а не на уровне приложения. Приложение выполняется не на МЭ, а в настольной системе внутреннего пользователя. Шлюзы каналов располагаются на хостах и как таковые действуют аналогично
Применение межсетевых экранов_323
транслирующей программе, получая пакеты от одного хоста и передавая их другому. Такая схема менее надежна, чем в случае шлюза приложений, поскольку пакеты анализируются на сеансовом (пятый уровень модели OSI), а не на прикладном уровне (седьмой уровень модели OSI). Кроме того, шлюзы уровня канала упрощают задачу инициирования внутренним пользователям незаконного сеанса и редко применяются в автономных устройствах, однако если они используются совместно со шлюзами приложений, то такой МЭ более надежен.
3.6.4. Использование межсетевых экранов для создания VPN
Ряд МЭ позволяют также организовывать виртуальные корпоративные сети VPN, объединяющие несколько локальных сетей, включенных в Internet, в одну виртуальную сеть. BorderWare Firewall Server 4.0 позволяет передавать информацию через Internet по шифрованным каналам с применением закрытых и открытых ключей. Продукт обеспечивает шифрование по алгоритму RSA Data Security, стандарт шифрования данных DES с 56-разрядным ключом, Triple DES в три раза мощнее DES, и стандарт шифрования RC5.
Eagle 4.0 компании Raptor Systems также поддерживает VPN с возможностью фильтрации внутри канала виртуальной пользовательской сети. Обычно канал открыт для всех протоколов, но Eagle может пропускать только указанные прилолсеиия. Например, сеансы telnet могут быть запрещены, а электронная почта и WWW разрешены. Раньше все сервисы необходимо было разрешать или запрещать одновременно, теперь же некоторые функции можно блокировать по выбору.
