5.4.3.3. Шлюзы прикладного уровня
Так же как и ШСУ, шлюз прикладного уровня (ШПУ) исключает прямое взаимодействие между авторизованным клиентом и внешней средой. Для фильтрации на прикладном уровне они используют дополнительные программные средства (называемые серверами – посредниками). Эти программы (серверы – посредники) перенаправляют через шлюз информацию, которая генерируется конкретными приложениями.
Например, если ШПУ содержит серверы – посредники для служб FTPиTELNET, то в защищаемой сети будут разрешены только эти сервисы, а все остальные будут блокироваться.
Как указывалось ранее, для достижения более высокого уровня безопасности и гибкости, шлюзы сетевого и прикладного уровня объединяются с фильтрующими маршрутизаторами в одном межсетевом экране. При этом такой МЭ будет обладать следующими преимуществами:
Невидимость структуры защищаемой сети;
Надежная аутентификация и регистрация (прикладной трафик может быть аутентифицирован, прежде чем он достигнет внутренней сети);
Оптимальное соотношение между ценой и эффективностью (организация приобретает только те серверы – посредники для шлюзов прикладного уровня, которые реально используются;
Раздельные правила фильтрации для ФМ и ШПУ упрощают общую логику фильтрации.
Недостатки:
Более низкая производительность по сравнению с «чистыми» ФМ из-за процедуры квитирования;
Более высокая стоимость.
5.4.4. Типовые схемы защиты с использованием мэ
До сих пор мы рассматривали простейшие схемы защиты от НСД с помощью МЭ. Однако, часто перед администратором безопасности стоит задача организации в составе корпоративной сети нескольких сегментов с различными уровнями защищенности. Например, необходимо организовать три сегмента:
Сегмент свободного доступа (рекламный WWW– сервер);
Сегмент с ограниченным доступом (для доступа удаленных клиентов);
Закрытый сегмент (закрытая локальная сеть, в которой циркулирует финансовая информация).
Рассмотрим каким образом разрешается проблема сегментирования сетей с использованием МЭ.
5.4.4.1. Мэ на основе двухпортового шлюза
Информационный
сервер
Прикладной
шлюз 
Фильтрующий
маршрутизатор
Порт 1
Порт 2
Рис. 5.2
Такой тип МЭ включает компьютер с двумя сетевыми интерфейсами. При передаче информации между этими интерфейсами и происходит основная фильтрация. Для обеспечения дополнительной защиты между прикладным шлюзом и открытой сетью обычно размещается фильтрующий маршрутизатор, в результате чего между прикладным шлюзом и ФМ образуется внутренняя экранированная подсеть.
5.4.4.2. Мэ – экранированная подсеть
Информационный
сервер
Внешний
ФМ Внутренний ФМ
Почтовый
сервер Прикладной
шлюз
Рис. 5.3
Для создания экранированной подсети используются два фильтрующих маршрутизатора – один внешний и один внутренний. Экранированная подсеть (иногда ее называют DMZ - "демилитаризованная зона") содержит прикладной шлюз (для фильтрации на прикладном уровне информации, циркулирующей между локальной и внешней сетью) и может включать информационные, почтовые и другие серверы, требующие контролируемого доступа. Такая схема МЭ обеспечивает наилучшую безопасность благодаря двум эшелонам обороны.
Внешний маршрутизатор работает по следующим правилам:
Разрешает трафик из Интернет к прикладному шлюзу и обратно;
Разрешает трафик электронной почты из Интернет к соответствующему серверу и обратно;
Разрешает трафик типа FTPиз Интернет к информационному серверу;
Запрещает остальной трафик.
Внутренний маршрутизатор защищает внутреннюю сеть как от Интернет, так и от экранированной подсети (что является вторым эшелоном обороны, необходимым в случае компрометации первого эшелона).
Внутренний маршрутизатор работает по следующим правилам:
Разрешает трафик от прикладного шлюза к локальной сети и обратно;
Разрешает трафик электронной почты от сервера электронной почты к почтовым клиентам и обратно;
Разрешает трафик типа FTPиз локальной сети к информационному серверу;
Запрещает остальной трафик.
Применение того или иного типа МЭ или их комбинации зависит от политики безопасности, которой придерживается организация и, естественно, от типа организации. Приведем некоторые рекомендации, для этого будем оценивать различные варианты по пятибалльной шкале (см. Таблица 5.2.).
Таблица 5.2.
|
4 |
Рекомендованный вариант |
|
3 |
Эффективный вариант |
|
2 |
Допустимый вариант |
|
1 |
Минимальная безопасность |
|
0 |
Неприемлемо |
В следующей таблице приведем риски применения того или иного варианта для организаций с различными политиками безопасности.
Таблица 5.3.
|
Архитектура МЭ (если один из типов, указанных ниже, реализован) |
Среда с высоким риском, например банк |
Среда со средним риском, например университет |
Среда с низким риском, например мелкий магазин |
|
Фильтрующий маршрутизатор |
0 |
1 |
4 |
|
Шлюз прикладного уровня |
3 |
4 |
2 |
|
Гибридные шлюзы |
4 |
3 |
2 |
Итак, подводя итог вышесказанному о МЭ, необходимо сказать, что они предоставляют очень мощные возможности по централизованному администрированию, настройке и управлению большими компьютерными сетями, позволяют резко снизить число «узких мест» в системе, но, к сожалению, не решает проблемы глобально, т.е. все равно остаются возможности нарушения защиты системы. Строится жесткая система обороны от внешних врагов, но от врагов внутренних она на 100 процентов не защищает. Ошибки администрирования, злой умысел сотрудников технической службы, да и просто сотрудников, которые имеют доступ к физическим кабельным соединениям – все это может свести на нет защитные функции, предоставляемые МЭ. Тем не менее, использование их, безусловно, можно считать оправданным.