gateway-uri la nivel de aplicație - informatică, programare

10. Gateways Application Layer

Pentru a elimina unele dintre dezavantajele de filtrare routere, firewall-uri au nevoie de a utiliza software suplimentar pentru filtrarea serviciilor Telnet si FTP cum ar fi mesagerie. Astfel de software sunt numite server proxy (servere proxy), iar calculatorul gazdă pe care acestea sunt realizate, - poarta de acces de aplicare.

Pentru a atinge un nivel mai ridicat de securitate și flexibilitatea gateway la nivel de aplicație și ruterele de filtrare pot fi combinate într-un singur firewall. Ca un exemplu, ia în considerare o rețea în care routerul prin filtrul este blocat TELNET de intrare și de conexiune FTP. Acest router permite trecerea TELNET și FTP pachetele la un singur host - calculator - nivel de aplicație gateway-TELNET / FTP. Un utilizator extern care dorește să se conecteze la un sistem de rețea trebuie să se conecteze mai întâi la gateway-ul de aplicare, și apoi la calculatorul gazdă intern adecvat.

Gateways Application Layer permite cel mai înalt nivel de protecție, deoarece interacțiunea cu lumea exterioară este realizată printr-un număr mic de programe de aplicație autorizate intermediar de control complet tot traficul de intrare și de ieșire.

gateway-uri la nivel de aplicație au o serie de avantaje în comparație cu modul normal în care traficul aplicat este trecut direct la gazdă interne - calculatoare. Aceste avantaje.

# 252; Invizibilitatea protejate structura de rețea a rețelei de Internet la nivel mondial. Denumirile sistemelor interne nu pot comunica prin intermediul sistemelor externe DNS, deoarece gateway-ul de aplicație poate fi o singură gazdă - computerul, al cărui nume trebuie să fie cunoscut în afara sistemelor.

# 252; Autentificarea puternică și de înregistrare. traficul de aplicare poate fi autentificat înainte de a ajunge la gazde interne, și pot fi înregistrate mai eficient decât cu un standard de inregistrare.

# 252; Relația optimă dintre preț și performanță. Suplimentare sau hardware pentru autentificare sau de înregistrare trebuie să fie instalat numai pe gateway-ul de aplicare.

# 252; reguli de filtrare simple. Reguli privind routere de filtrare sunt mai puțin complexe decât ar fi dacă router-ul în sine pentru a filtra traficul de aplicații și trimite-l la un număr mare de sisteme interne. Router-ul trebuie să treacă de trafic aplicație destinată numai pentru gateway aplicație și blochează celelalte tipuri de trafic.

# 252; Posibilitatea de a organiza un număr mare de controale. protecție la nivel de aplicație permite unui număr mare de verificări suplimentare, ceea ce reduce posibilitatea de a rupe cu „găuri“ în software-ul.

Dezavantajele gateway la nivel de aplicație includ:

# 251; performanțe mai scăzute în comparație cu routere de filtrare; în special, folosind un protocoale client-server, cum ar fi TELNET, este necesară procedură în două etape pentru conexiunile de intrare și ieșire;

# 251; costul mai ridicat în comparație cu un router de filtrare.

În plus față de TELNET și FTP gateway-urile la nivel de aplicație sunt de obicei folosite pentru e-mail, Windows și alte servicii.

O componentă importantă a conceptului de autentificare firewall (autentificarea utilizatorului). Înainte de a utilizatorului i se acordă dreptul de a utiliza orice serviciu, este necesar să se asigure că el într-adevăr cine pretinde a fi.

O modalitate este de a utiliza standard de autentificare UNIX parola. Cu toate acestea, acest sistem este cel mai vulnerabil în termeni de securitate - parola pot fi capturate și utilizate de către o altă persoană. Multe dintre incidentele de pe Internet a avut loc în parte din cauza vulnerabilităților de parole tradiționale. Atacatorii pot urmări programele TV pe internet și intercepta transmise acestora în parole text clar, astfel încât sistemul de autentificare cu parole tradiționale ar trebui să fie considerate depășite.

Deoarece firewall-uri pot centraliza gestionarea accesului la rețea, acestea sunt un loc potrivit pentru a instala software-ul sau de dispozitive de autentificare puternice. Deși mijloacele de autentificare puternice pot fi utilizate pe fiecare gazdă - un calculator, un loc practic le pe firewall. Fig. Acesta arată că într-o rețea fără un firewall, folosind măsuri puternice de autentificare aplicații de trafic neautentificate, cum ar fi TELNET sau FTP, poate trece direct la sistemele din rețea. În cazul în care gazda - calculatoare nu folosesc măsuri puternice de autentificare, un atacator ar putea încerca să sparge parole sau intercepta traficul din rețea, în scopul de a găsi în sesiuni de ea, în timpul căreia parolele transmise.

În acest caz, sesiunea TELNET, sau FTP, stabilite de Internet cu sistemele de rețea ar trebui să fie inspectate cu ajutorul unor puternice de autentificare înseamnă, înainte de a li se permite, sistemul de rețea poate solicita, pentru a permite parole de acces și statice, dar aceste parole, chiar dacă acestea vor fi interceptate de către un atacator, acesta nu poate fi folosit ca mijloc de autentificare puternice și alte componente ale unui firewall pentru a preveni intruși sau scurtcircuitarea firewall.

schema 12.Osnovnye de securitate a rețelei bazate pe firewall-uri

Când conectați o rețea corporativă sau locală administratorului de securitate a rețelei WAN ar trebui să îndeplinească următoarele sarcini:

Ø protecție sau rețeaua companiei de accesul neautorizat din rețeaua de arie largă;

Ø ascunde informații despre structura rețelei și a componentelor sale de la utilizatorii de Internet,

Ø accesul concurent la rețeaua WAN protejate și de la rețeaua protejată la rețeaua globală.

Nevoia de a lucra cu utilizatorii de la distanță necesită instalarea de restricții rigide privind accesul la resursele informaționale ale rețelei protejate. Astfel, de multe ori este nevoie pentru organizație, ca parte a rețelei korporatsionnoy mai multe segmente, cu diferite nivele de securitate:

Ø segment cu acces restricționat (de exemplu, angajații organizației pentru a avea acces la site-uri de la distanță)

Ø închis segmente (de exemplu, rețeaua organizației financiare locale).

Principalele scheme de firewall-uri folosite pentru a proteja rețea corporativă sau locală:

Ø firewall - router de filtrare;

Ø firewall pe bază de gateway dvuportovogo;

Ø firewall bazat pe gateway-ecranată;

Ø firewall - subrețea ecranate.

ori. Datorită specificului schemei de informații determina cantitatea de informații legate de partea de conținut, se dovedește a universală nu-vayutsya. Universală este abordarea alfabetică a măsurarea cantității de informații. În această abordare, mesajul prezentat în orice sistem de semn, considerat ca un set-TION a raportat că poziția țintă în posledovatelnos-TI.

Baze de date; puteți controla distribuția zonelor din memoria externă, pentru a controla accesul utilizatorilor la baza de date, etc. într-o rețea individuală la nivel de sistem, la nivel de întreprindere sau limitate reale corporative. În general, un set de produse de server unsprezecea problemă compania Sybase este un set solid, bine gândit-out de instrumente care pot fi.