ОБЩИЕ НЕДО­СТАТ­КИ ШЛЮ­ЗОВ СЕ­АН­СО­ВО­ГО УРОВНЯ

Ос­нов­ным недо­стат­ком шлю­зов се­ан­со­во­го уров­ня сле­ду­ет на­звать невоз­мож­ность ре­гу­ли­ро­ва­ния пе­ре­да­чи ин­фор­ма­ции на при­клад­ном уровне и, как след­ствие, от­сле­жи­ва­ния некор­рект­ных или по­тен­ци­аль­но опас­ных дей­ствий поль­зо­ва­те­ля. На­при­мер, они не поз­во­лят кон­тро­ли­ро­вать вы­пол­не­ние ко­ман­ды PUT сер­ви­са ftp или от­филь­тро­вы­вать при­ло­же­ния ActiveX со сто­ро­ны внеш­них машин, если такая опе­ра­ция до­пу­сти­ма для внут­рен­них клиентов.

Хотя при­ме­не­ние шлю­зов се­ан­со­во­го уров­ня поз­во­ля­ет предот­вра­тить ряд опас­ных атак на внут­рен­нюю сеть, неко­то­рые типы атак, в част­но­сти ка­те­го­рии «отказ в об­слу­жи­ва­нии», можно ре­а­ли­зо­вать в обход этих шлю­зов. За ис­клю­че­ни­ем шлюза IPX/IP и по­сред­ни­ка SOCKS 5, все осталь­ные филь­тры имеют крайне нена­деж­ную си­сте­му иден­ти­фи­ка­ции и аутен­ти­фи­ка­ции, ос­но­ван­ную на IP-ад­ре­сах от­пра­ви­те­ля/по­лу­ча­те­ля. В свою оче­редь, при­ме­не­ние шлю­зов IPX/IP и SOCKS 5 при­вно­сит свои про­бле­мы, так как тре­бу­ет уста­нов­ки на кли­ент­ские ма­ши­ны спе­ци­а­ли­зи­ро­ван­но­го ПО.

За ис­клю­че­ни­ем шлю­зов IPX/IP и SOCKS 5, дру­гие шлюзы се­ан­со­во­го уров­ня обыч­но не по­став­ля­ют­ся в виде ком­мер­че­ско­го про­дук­та. Тем не менее все меж­се­те­вые экра­ны экс­перт­но­го клас­са в обя­за­тель­ном по­ряд­ке ком­плек­ту­ют­ся са­мы­ми раз­ны­ми шлю­за­ми се­ан­со­во­го уров­ня (так же, как и се­те­вы­ми филь­тра­ми), по­сколь­ку по­сред­ни­ки при­клад­но­го уров­ня или ин­спек­то­ры со­сто­я­ния не могут от­сле­жи­вать пе­ре­да­чу дан­ных на ниж­них уров­нях иерар­хии OSI.