ПО­СРЕД­НИ­КИ ПРИ­КЛАД­НО­ГО УРОВНЯ

По­сред­ни­ки при­клад­но­го уров­ня (application-level proxy), часто на­зы­ва­е­мые proxy-сер­ве­ра­ми, кон­тро­ли­ру­ют и филь­тру­ют ин­фор­ма­цию на при­клад­ном уровне иерар­хии OSI (см. Ри­су­нок 4). По­сред­ни­ки раз­ли­ча­ют по под­дер­жи­ва­е­мым про­то­ко­лам при­клад­но­го уров­ня: чем их боль­ше, тем до­ро­же про­дукт. Наи­бо­лее часто под­дер­жи­ва­ют­ся служ­бы Web (HTTP), ftp, SMTP, POP3/IMAP, NNTP, Gopher, telnet, DNS, RealAudio/RealVideo. Когда кли­ент внут­рен­ней сети об­ра­ща­ет­ся, на­при­мер, к сер­ве­ру Web, то его за­прос по­па­да­ет к по­сред­ни­ку Web (или пе­ре­хва­ты­ва­ет­ся им). По­след­ний уста­нав­ли­ва­ет связь с сер­ве­ром от имени кли­ен­та, а по­лу­чен­ную ин­фор­ма­цию пе­ре­да­ет кли­ен­ту. Для внеш­не­го сер­ве­ра по­сред­ник вы­сту­па­ет в ка­че­стве кли­ен­та, а для внут­рен­не­го кли­ен­та — в ка­че­стве сер­ве­ра Web. Ана­ло­гич­но по­сред­ник может ра­бо­тать и в слу­чае внеш­не­го кли­ен­та и внут­рен­не­го сервера.

Ри­су­нок 4. По­сред­ни­ки при­клад­но­го уров­ня опе­ри­ру­ют на при­клад­ном уровне.

По­сред­ни­ки при­клад­но­го уров­ня де­лят­ся на про­зрач­ные (transparent) и непро­зрач­ные. Про­зрач­ные по­сред­ни­ки неви­ди­мы для кли­ен­тов и сер­ве­ров: кли­ент об­ра­ща­ет­ся к сер­ве­ру самым обыч­ным об­ра­зом, а по­сред­ник пе­ре­хва­ты­ва­ет за­прос и дей­ству­ет от лица кли­ен­та. Осо­бой по­пу­ляр­но­стью поль­зу­ют­ся про­зрач­ные по­сред­ни­ки для сер­ви­са Web, их неред­ко уста­нав­ли­ва­ют про­вай­де­ры Internet в целях по­вы­ше­ния про­из­во­ди­тель­но­сти ра­бо­ты и сни­же­ния на­груз­ки на гло­баль­ные ка­на­лы связи за счет кэ­ши­ро­ва­ния информации.

В слу­чае непро­зрач­ных по­сред­ни­ков кли­ент­скую си­сте­му тре­бу­ет­ся явным об­ра­зом на­стро­ить на ра­бо­ту с по­сред­ни­ком (на­при­мер, при ис­поль­зо­ва­нии непро­зрач­но­го по­сред­ни­ка Web в оп­ци­ях на­строй­ки бра­у­зе­ров необ­хо­ди­мо ука­зать IP-ад­рес по­сред­ни­ка и при­сво­ен­ный ему порт TCP). Непро­зрач­ные по­сред­ни­ки хо­ро­ши там, где тре­бу­ет­ся стро­гая аутен­ти­фи­ка­ция при входе во внут­рен­нюю сеть или на вы­хо­де из нее, осо­бен­но для служб, не под­дер­жи­ва­ю­щих шиф­ро­ва­ние па­ро­лей. Обыч­но это служ­бы telnet и ftp, при этом за­дей­ству­ет­ся си­сте­ма од­но­ра­зо­вых па­ро­лей (One-Time Password, OTP) (более по­дроб­но о си­сте­мах OTP см. в ста­тье «Уда­лен­ное управ­ле­ние се­те­вы­ми ОС» в LAN №5 за 1999 г.).

Ри­су­нок 5. Уста­нов­ле­ние со­еди­не­ния telnet с сер­ве­ром tn.​anywhere.​com, на­хо­дя­щим­ся за меж­се­те­вым экра­ном fw.anywhere.com.

На Ри­сун­ке 5 по­ка­зан ти­пич­ный при­мер ис­поль­зо­ва­ния telnet. Здесь кли­ент с по­мо­щью си­сте­мы OTP уста­нав­ли­ва­ет со­еди­не­ние с сер­ве­ром tn.​anywhere.​com, на­хо­дя­щим­ся за непро­зрач­ным по­сред­ни­ком fw.​anywhere.​com. Поль­зо­ва­тель сна­ча­ла дол­жен за­ре­ги­стри­ро­вать­ся на по­сред­ни­ке, со­об­щив для на­ча­ла свое имя, в ответ на ко­то­рое ему пе­ре­да­ет­ся вызов (673 jar564). С по­мо­щью каль­ку­ля­то­ра OTP поль­зо­ва­тель вы­чис­ля­ет затем па­роль­ную фразу, ко­то­рую и вво­дит в поле Password. Далее он со­об­ща­ет адрес сер­ве­ра, с ко­то­рым со­би­ра­ет­ся уста­но­вить со­еди­не­ние. Сле­ду­ет от­ме­тить, что ре­ги­стра­ции на сер­ве­ре tn.​anywhere.​com не тре­бу­ет­ся, по­сколь­ку меж­се­те­вой экран и дан­ный сер­вер ис­поль­зу­ют общую базу учет­ных за­пи­сей пользователей.

Классификация межсетевых экранов

Со своей сто­ро­ны раз­ра­бот­чи­ки ин­спек­то­ров со­сто­я­ния ука­зы­ва­ют, что их си­сте­мы имеют го­раз­до боль­ше воз­мож­но­стей рас­ши­ре­ния. При по­яв­ле­нии новой служ­бы или но­во­го про­то­ко­ла при­клад­но­го уров­ня для его под­держ­ки до­ста­точ­но до­ба­вить несколь­ко шаб­ло­нов. В то же время раз­ра­бот­чи­ки по­сред­ни­ков при­клад­но­го уров­ня вы­нуж­де­ны пи­сать «с нуля» мо­дуль для каж­до­го но­во­го про­то­ко­ла. Так-то оно так, но до­ба­вить мо­дуль в по­сред­ник при­клад­но­го уров­ня ни­чуть не слож­нее, чем до­ба­вить шаб­ло­ны в ин­спек­тор со­сто­я­ния. К тому же про­из­во­ди­те­ли ин­спек­то­ров со­сто­я­ния и по­сред­ни­ков при­клад­но­го уров­ня при­вык­ли ре­шать про­бле­му кар­ди­наль­ным спо­со­бом, по­сред­ством вы­пус­ка новой вер­сии продукта.

Един­ствен­ным до­сто­ин­ством ин­спек­то­ров со­сто­я­ния (не за­тра­ги­вая во­прос про­из­во­ди­тель­но­сти) по срав­не­нию с по­сред­ни­ка­ми при­клад­но­го уров­ня яв­ля­ет­ся то, что ин­спек­тор со­сто­я­ния аб­со­лют­но про­зра­чен для кли­ен­тов и не тре­бу­ет до­пол­ни­тель­ной на­строй­ки кли­ент­ско­го ПО. Од­на­ко, в свою оче­редь, клас­си­че­ские ин­спек­то­ры со­сто­я­ния не го­дят­ся для кэ­ши­ро­ва­ния Web. По­это­му даже если меж­се­те­вой экран ос­но­ван на ин­спек­то­ре со­сто­я­ния, для кэ­ши­ро­ва­ния Web в него вклю­ча­ют по­сред­ник Web при­клад­но­го уровня.

На самом деле, спор, что лучше — ин­спек­тор со­сто­я­ния или по­сред­ник при­клад­но­го уров­ня, пред­став­ля­ет­ся бес­поч­вен­ным. Для боль­шин­ства задач они при­мер­но рав­но­цен­ны. Пре­иму­ще­ство же в про­из­во­ди­тель­но­сти ин­спек­то­ров со­сто­я­ния не имеет осо­бо­го зна­че­ния, если речь идет о под­клю­че­нии к Internet по мед­лен­ным ка­на­лам связи.

Меж­се­те­вые экра­ны экс­перт­но­го клас­са ос­но­вы­ва­ют­ся либо на тех­но­ло­гии ин­спек­то­ров со­сто­я­ния, либо на тех­но­ло­гии по­сред­ни­ков при­клад­но­го уров­ня, но обя­за­тель­но до­пол­ня­ют­ся се­те­вы­ми филь­тра­ми и шлю­за­ми се­ан­со­во­го уров­ня. По­дав­ля­ю­щее боль­шин­ство вы­пус­ка­е­мых меж­се­те­вых экра­нов пред­став­ля­ет собой по­сред­ни­ки при­клад­но­го уров­ня, но, как было от­ме­че­но ранее, ин­спек­то­ры со­сто­я­ния (вер­нее, один ин­спек­тор — FireWall-1 ком­па­нии Check Point) до­ми­ни­ру­ют на рынке.

Дата добавления: 2014-01-03; Просмотров: 1906; Нарушение авторских прав?; Мы поможем в написании вашей работы!