Прокси прикладного уровня являются более мощными firewall’ами, которые комбинируют управление доступом на низком уровне с функциональностью более высокого уровня (уровень 7 – Application).
Рис. 1.3. Типичные прокси-агенты
При использовании firewall’а прикладного уровня обычно, как и в случае пакетного фильтра не требуется дополнительное устройство для выполнения роутинга: firewall выполняет его сам. Все сетевые пакеты, которые поступают на любой из интерфейсов firewall’а, находятся под управлением этого прикладного прокси. Прокси-сервер имеет набор правил управления доступом для определения того, какому трафику может быть разрешено проходить через firewall.
Аутентификация пользователя может иметь много форм, например такие:
- с помощью User ID и пароля;
- с помощью аппаратного или программного токена;
- по адресу источника;
- биометрическая аутентификация.
Прокси-сервер, который анализирует конкретный протокол прикладного уровня, называется агентом прокси.
Firewall’ы прикладного уровня имеют много преимуществ по сравнению с пакетными фильтрами и stateful inspection пакетными фильтрами.
Преимущества прокси-сервера прикладного уровня:
- Прокси имеет возможность запросить аутентификацию пользователя. Часто существует возможность указывать тип аутентификации, который считается необходимым для данной инфраструктуры. Прикладные прокси имеют возможность аутентифицировать самих пользователей, в противоположность пакетным фильтрам и stateful inspection пакетным фильтрам, обычно проверяющим только адрес сетевого уровня, с которого пришел пользователь. Эти адреса сетевого уровня могут быть легко подменены без обнаружения подмены пакетным фильтром.
- Возможности аутентификации, свойственные архитектуре прикладного уровня, лучше по сравнению с теми, которые существуют в пакетных фильтрах и stateful inspection пакетных фильтрах. Благодаря этому прикладные прокси могут быть сделаны менее уязвимыми для атак подделки адреса.
- Firewall’ы прикладного уровня обычно имеют больше возможностей анализировать весь сетевой пакет, а не только сетевые адреса и порты. Например, они могут определять команды и данные, специфичные для каждого приложения.
- Как правило, прокси прикладного уровня создают более подробные логи.
Более развитая функциональность прикладного прокси имеет также несколько недостатков по сравнению с пакетными фильтрами и stateful inspection пакетными фильтрами.
Недостатки прокси-сервера прикладного уровня:
- Так как прикладные прокси "знают о пакете все", firewall вынужден тратить много времени для чтения и интерпретации каждого пакета. По этой причине прикладные прокси обычно не подходят для приложений, которым необходима высокая пропускная способность, или приложений реального времени. Чтобы уменьшить загрузку firewall’а, может использоваться выделенный прокси-сервер для обеспечения безопасности менее чувствительных ко времени сервисов, таких как e-mail и большинство web-трафика.
- Прикладные прокси обрабатывают ограниченное количество сетевых приложений и протоколов и не могут автоматически поддерживать новые сетевые приложения и протоколы. Для каждого прикладного протокола, который должен проходить через firewall, необходим свой агент прокси. Большинство производителей прикладных прокси предоставляют общих агентов прокси для поддержки неизвестных сетевых приложений или протоколов. Однако эти общие агенты не имеют большинства преимуществ прикладных прокси: как правило, они просто туннелируют трафик через firewall.
