Поиск
Категории
Случайные новости
Архив
Статистика
Интересное
Шлюзы прикладного уровня. Hачало
Автор: adm
В приведенном выше примере мы видели, что фильтрация пакетов позволяет организации грубо разделять потоки данных на основании содержимого заголовков протоколов IP и TCP/UDP, включая IP-адреса, номера портов и биты подтверждения.
Например, мы видели, что фильтрация на основе комбинации IP-адреса и номера порта может позволить устанавливать исходящие Telnet-соединения и в то же время, запретить установку входящих Teinet-соединений. Но что если организация хочет предоставить услуги Telnet-соединений лишь ограниченному числу внутренних пользователей? И что, если организация хочет, чтобы эти привилегированные пользователи перед установкой Telnet-соединения проходили процедуру аутентификации? Такие задачи уже не по плечу простому фильтру, работающему на уровне сетевого и транспортного протоколов. В самом деле, информация о личности внутренних пользователей не включается в IP/TCP/UDP-заголовки, а переносится в данных прикладного уровня.
Для обеспечения более высокого уровня безопасности брандмауэры должны объединять функции пакетных фильтров и шлюзов прикладного уровня. Шлюз прикладного уровня представляет собой сервер, через который должна проходить вся информация прикладного уровня (входная и выходная). На одном и том же хосте могут работать сразу несколько шлюзов прикладного уровня, но каждый такой шлюз — это отдельный сервер с собственными процессами.
Попробуем спроектировать брандмауэр, разрешающий устанавливать исходящие Telnet-соединения лишь ограниченному множеству внутренних пользователей и не разрешающий устанавливать входящие Telnet-соединения внешним клиентам. Подобная политика может быть реализована путем объединения пакетного фильтра (на маршрутизаторе) и прикладного Telnet-шлюза (рис.24).
Например, мы видели, что фильтрация на основе комбинации IP-адреса и номера порта может позволить устанавливать исходящие Telnet-соединения и в то же время, запретить установку входящих Teinet-соединений. Но что если организация хочет предоставить услуги Telnet-соединений лишь ограниченному числу внутренних пользователей? И что, если организация хочет, чтобы эти привилегированные пользователи перед установкой Telnet-соединения проходили процедуру аутентификации? Такие задачи уже не по плечу простому фильтру, работающему на уровне сетевого и транспортного протоколов. В самом деле, информация о личности внутренних пользователей не включается в IP/TCP/UDP-заголовки, а переносится в данных прикладного уровня.
Для обеспечения более высокого уровня безопасности брандмауэры должны объединять функции пакетных фильтров и шлюзов прикладного уровня. Шлюз прикладного уровня представляет собой сервер, через который должна проходить вся информация прикладного уровня (входная и выходная). На одном и том же хосте могут работать сразу несколько шлюзов прикладного уровня, но каждый такой шлюз — это отдельный сервер с собственными процессами.
Попробуем спроектировать брандмауэр, разрешающий устанавливать исходящие Telnet-соединения лишь ограниченному множеству внутренних пользователей и не разрешающий устанавливать входящие Telnet-соединения внешним клиентам. Подобная политика может быть реализована путем объединения пакетного фильтра (на маршрутизаторе) и прикладного Telnet-шлюза (рис.24).
Комментарии
Нет комментариев. Вы можете быть первым!