Прикладные шлюзы
2.4.4 Прикладные шлюзы
Чтобы защититься от ряд уязвимых мест, связанных с маршрутизаторами с фильтрацией пакетов, в брандмауэрах нужно использовать прикладные программы для перенаправления и фильтрации соединений с такими службами, как TELNET и FTP. Такое приложение называется прокси-службой, а хост, на котором работает прокси-служба - прикладным шлюзом. Прикладные шлюзы и маршрутизаторы с фильтрацией пакетов могут быть объединены для достижения более высокой безопасности и гибкости, чем была бы достигнута, если бы они использовались отдельно.
Например, рассмотрим сеть, в которой блокируются входящие соединения TELNET и FTP с помощью маршрутизатора с фильтрацией пакетов. Этот маршрутизатор позволяет пропускать пакеты TELNET или FTP только к одной машине, прикладному шлюзу TELNET/FTP. Пользователь, который хочет соединиться снаружи с системой в сети, должен сначала соединиться с прикладным шлюзом, а затем уж с нужным хостом :
- сначала пользователь устанавливает telnet-соединение с прикладным шлюзом и вводит имя внутреннего хоста
- шлюз проверяет IP-адрес пользователя и разрешает или запрещает соединение в соответствии с тем или иным критерием доступа
- может понадобиться аутентификация пользователя(возможно с помощью одноразовых паролей)
- прокси-сервер создает telnet-соединение между шлюзом и внутренним хостом
- прокси-сервер передает данные между этими двумя соединениями
- прикладной шлюз протоколирует соединение
