ll компанії DEC і ANS Interlock компанії ANS. Наприклад, Alta Vista Firewall використовує канальні посередники прикладного рівня для кожної з шести служб TCP/IP, до яких належать, зокрема, FTP, HTTP (Hyper Text Transport Protocol) і Telnet. Крім того, міжмережевий екран компанії DEC забезпечує шлюз мережевого рівня, що підтримує інші загальнодоступні служби TCP/IP, такі як Gopher і SMTP, для яких міжмережевий екран не надає посередників прикладного рівня. p> Шлюз мережевого рівня виконує ще одну важливу функцію захисту: він використовується в якості сервера-посередника. Цей сервер-посередник виконує процедуру трансляції адрес, при якої відбувається перетворення внутрішніх IP-адрес в один "Надійний" IP-адресу. Ця адреса асоціюється з міжмережевим екраном, з якого передаються всі вихідні пакети. У результаті в мережі зі шлюзом мережевого рівня всі вихідні пакети виявляються відправленими з цього шлюзу, що виключає прямий контакт між внутрішньою (авторизованої) мережею і потенційно небезпечної зовнішньої мережею. IP-адреса шлюзу мережевого рівня стає єдино активним IP-адресою, який потрапляє в зовнішню мережу. Таким чином, шлюз мережевого рівня і інші сервери-посередники захищають внутрішні мережі від нападів типу підміни адрес. p>
10. Шлюзи прикладного рівня Для усунення ряду недоліків, властивих фільтруючим маршрутизаторів, міжмережеві екрани повинні використовувати додаткові програмні засоби для фільтрації повідомлень сервісів типу TELNET і FTP. Такі програмні засоби називаються повноважними серверами (серверами-посередниками), а хост-комп'ютер, на якому вони виконуються, - шлюзом прикладного рівня.
Шлюз прикладного рівня виключає пряму взаємодію між авторизованим клієнтом і зовнішнім хост - комп'ютером. Шлюз фільтрує всі вхідні і вихідні пакети на прикладному рівні. Пов'язані з додатком сервери - посередники перенаправляють через шлюз інформацію, що генерується конкретними серверами. p> Для досягнення більш високого рівня безпеки та гнучкості шлюзи прикладного рівня та фільтрувальні маршрутизатори можуть бути об'єднані в одному межсетевом екрані. Як приклад розгляну мережа, в якій за допомогою фільтруючого маршрутизатора блокуються вхідні з'єднання TELNET і FTP. Цей маршрутизатор допускає проходження пакетів TELNET або FTP тільки до одного хост - комп'ютера - Шлюзу прикладного рівня TELNET/FTP. Зовнішній користувач, який хоче з'єднатися з деякою системою в мережі, повинен спочатку з'єднатися зі шлюзом прикладного рівня, а потім вже з потрібним внутрішнім хост-комп'ютером.
На додаток до фільтрації пакетів багато шлюзи прикладного рівня реєструють всі виконувані сервером дії і, що особливо важливо, попереджають мережевого адміністратора про можливі порушення захисту. Наприклад, при спробах проникнення в мережу ззовні BorderWare Firewall Server компанії Secure Computing дозволяє фіксувати адреси відправника і одержувача пакетів, час, у який ці спроби були зроблені, і використовуваний протокол. Міжмережевий екран Black Hole компанії Milkyway Networks реєструє всі дії сервера і попереджає адміністратора про можливі порушення, надсилаючи йому повідомлення по електронній пошті або на пейджер. Аналогічні функції виконують і ряд інших шлюзів прикладного рівня. p> Шлюзи прикладного рівня дозволяють забезпечити найбільш високий рівень захисту, оскільки взаємодія з зовнішнім світом реалізується через невелике число прикладних повноважних програм-посередників, повністю контролюючих весь вхідний та вихідний трафік. p> Шлюзи прикладного рівня мають ряд переваг у порівнянні зі звичайним режимом, при якому прикладної трафік пропускається безпосередньо до внутрішніх хост - комп'ютерам. Перерахую ці переваги. p> Гј Невидимість структури мережі, що захищається з глобальної мережі Internet. Імена внутрішніх систем можна не повідомляти зовнішніх систем через DNS, оскільки шлюз прикладного рівня може бути єдиним хост - комп'ютером, ім'я якого має бути відомо зовнішнім системам. p> Гј Надійна аутентифікація та реєстрація. Прикладний трафік може бути аутентифікований, перш ніж він досягне внутрішніх хост-комп'ютерів, і може бути зареєстрований більш ефективно, ніж за допомогою стандартної реєстрації. p> Гј Оптимальне співвідношення між ціною і ефективністю. Додаткові або апаратні засоби для аутентифікації або реєстрації потрібно встановлювати тільки на шлюзі прикладного рівня. p> Гј Прості правила фільтрації. Правила на фільтруючому маршрутизаторі виявляються менш складними, ніж вони були б, якби маршрутизатор сам фільтрував прикладної трафік і відправляв його великому числу внутрішніх систем. Маршрутизатор повинен пропускати прикладної трафік, призначений тільки для шлюзу прикладного рівня, і блокувати весь інший трафік. p> Гј Можливість організації великого числа перевірок. Захист на рівні додатків дозволяє здійснювати велику ...
