Прикладные шлюзы



2.4.4 Прикладные шлюзы

Чтобы защититься от ряд уязвимых мест, связанных с маршрутизаторами с фильтрацией пакетов, в брандмауэрах нужно использовать прикладные программы для перенаправления и фильтрации соединений с такими службами, как TELNET и FTP. Такое приложение называется прокси-службой, а хост, на котором работает прокси-служба - прикладным шлюзом. Прикладные шлюзы и маршрутизаторы с фильтрацией пакетов могут быть объединены для достижения более высокой безопасности и гибкости, чем была бы достигнута, если бы они использовались отдельно.

Например, рассмотрим сеть, в которой блокируются входящие соединения TELNET и FTP с помощью маршрутизатора с фильтрацией пакетов. Этот маршрутизатор позволяет пропускать пакеты TELNET или FTP только к одной машине, прикладному шлюзу TELNET/FTP. Пользователь, который хочет соединиться снаружи с системой в сети, должен сначала соединиться с прикладным шлюзом, а затем уж с нужным хостом :

  • сначала пользователь устанавливает telnet-соединение с прикладным шлюзом и вводит имя внутреннего хоста
  • шлюз проверяет IP-адрес пользователя и разрешает или запрещает соединение в соответствии с тем или иным критерием доступа
  • может понадобиться аутентификация пользователя(возможно с помощью одноразовых паролей)
  • прокси-сервер создает telnet-соединение между шлюзом и внутренним хостом
  • прокси-сервер передает данные между этими двумя соединениями
  • прикладной шлюз протоколирует соединение



Содержание раздела