Что такое шлюз уровня приложений — Самое полное руководство по шлюзам приложений

от Dan Goodin

02 Дек 2022

"Эксперт в прокси и VPN. Будучи сертифицированным специалистом по кибербезопасности, Дэн охватывает самые разные темы - от утечки данных до фишинга. Делится ли он новостями или результатами собственных исследований, его контент всегда наводит на размышления и дает ценные инсайты."

Что такое шлюз прикладного уровня?

Шлюз уровня приложений (Application Level Gateway, ALG) — это не что иное, как аппаратное обеспечение безопасности, известное также как прокси-шлюз приложений, фильтрующий входящий трафик узла. Он является частью NAT-маршрутизатора и действует от имени приложения или сети, защищая их от вредоносного трафика в соответствии с определенными спецификациями. Эти спецификации определяют, что фильтруется только передаваемая информация от сетевого приложения. К таким приложениям относятся FTP (File Transfer Protocol), Real Time Streaming Protocol (RTSP), Telnet и BitTorrent.

ALG может выполнять различные функции на уровне приложений, который в модели OSI принято называть уровнем 7.

OSI Model — Модель OSI состоит из 7 уровней: физического, канала передачи данных, сетевого, транспортного, сеансового, презентационного и прикладного.

Эти функции могут включать в себя процесс синхронизации данных, управление трафиком, распределение ресурсов, а также трансляцию адресов и портов. Шлюз безопасности приложений действует как прокси-сервер и обеспечивает безопасность на уровне приложений, предотвращая или разрывая соединения в случае необходимости. Таким образом, соединение является безопасным, поскольку пользователь сначала соединяется с прокси-сервером.

Application Layer Gateway — ALG работает с Telnet, FTP, SMTP и HTTP, обеспечивая безопасное соединение

Как работает шлюз прикладного уровня?

Являясь компонентом маршрутизатора NAT, шлюз прикладного уровня понимает протокол app. Когда через него проходят пакеты этого протокола, он модифицирует их таким образом, чтобы пользователи, находящиеся за NAT, могли использовать этот протокол.

Маршрутизатор NAT пересылает пакеты, поступающие с внешнего IP-адреса, внутрь сети. После прохождения NAT некоторые параметры, такие как порт и адрес, становятся некорректными. В результате удаленная сторона не может установить соединение.

Определив, что пакет принадлежит данному протоколу, ALG подставляет его адрес и порт вместо вашего. Если удаленный компьютер устанавливает соединение на этом порту в соответствии с протоколом, то автоматически включается ретрансляция.

ALG похож на прокси-сервер. Он управляет такими протоколами, как SIP и FTP, используя глубокую инспекцию пакетов для обнаружения и блокирования атак до того, как трафик пройдет к приложению. Как правило, возможности шлюзов приложений превышают возможности межсетевых экранов.

ALG Structure — Когда пакеты этого протокола проходят через него, ALG модифицирует их таким образом, чтобы пользователи, находящиеся за NAT, могли использовать этот протокол

Каковы основные функции шлюза прикладного уровня?

Использование портов TCP/UDP: Application Layer Gateway позволяет клиентским приложениям использовать динамические порты для связи с портами, используемыми серверными приложениями. В отличие от ALG, конфигурация межсетевого экрана поддерживает только ограниченное число известных портов. Когда ALG не используется, порты могут оказаться заблокированными. В этом случае администратору сети придется открывать большое количество портов в межсетевом экране, что сделает сеть уязвимой для атак.

Преобразование: ALG преобразует информацию о сетевом адресе, находящуюся между адресами, допустимыми по обе стороны NAT или межсетевого экрана. Этот аспект вводит термин «шлюз» для ALG.

Полный контроль над командами: Аппаратура распознает конкретные команды и запросы и обеспечивает полный контроль над ними.

Синхронизация данных: ALG синхронизирует данные сеанса, предоставляемые двумя хостами, обменивающимися данными. Например, FTP-приложения могут использовать отдельные соединения для передачи и обмена данными. Во время передачи больших файлов управляющее соединение может оставаться свободным. ALG может предотвратить ожидание сетевыми устройствами истечения срока действия управляющего соединения до завершения длительной передачи файла.

Почему важны шлюзы приложений?

ALG обеспечивает безопасность соединения и дополнительную защиту от вредоносного трафика. Использование такого оборудования позволяет уберечь бизнес от атак и защитить персональную информацию (PII) от утечки. Это вариант для защиты приложений и сохранения в тайне важных данных.

Плюсы и минусы использования шлюзов приложений

Плюсы

Шлюз расширяет сеть, соединяя различные системы.

Он предотвращает утечку данных и защищает от злонамеренных атак, выступая в роли посредника.

Эти «протокольные конвертеры» изменяют формат данных в соответствии с требуемой архитектурой.

ALG контролирует домен с точки зрения коллизий и широковещания.

Минусы

Шлюзы дороги и сложны в установке и настройке.

Перевод и преобразование данных занимает некоторое время. Кроме того, шлюзы возвращают всю неиспользованную в процессе работы кэш-информацию, что также занимает некоторое время.

Компьютеры, работающие с разными протоколами, должны быть исправлены индивидуально.

Что такое межсетевой экран?

Брандмауэр — это аппаратное или программное обеспечение, принимающее решение о пропуске или блокировании проходящего пакета данных. Его основная функция — блокировка вредоносной активности и предотвращение несанкционированных действий пользователей как в частной сети, так и за ее пределами.

Firewall — Брандмауэр — это аппаратное или программное обеспечение, принимающее решение о пропуске или блокировании проходящего пакета данных

Как работает межсетевой экран?

Межсетевой экран работает как фильтр: из всего потока трафика он пропускает только отфильтрованный. Это первая линия оборонительных укреплений между внутренними сетями и внешними, такими как Интернет. Необходимость в межсетевых экранах возникла, когда стало ясно, что принцип полной связности сетей больше не работает.

Межсетевой экран предназначен для защиты внутренней информационной среды или ее отдельных частей от некоторых внешних потоков и, наоборот, защищает от прохождения отдельных пакетов наружу. Межсетевые экраны позволяют отфильтровывать подозрительный и вредоносный трафик, в том числе предотвращать попытки взлома и компрометации данных.

При правильной настройке сетевой экран позволяет пользователям сети получать доступ к необходимым ресурсам. Кроме того, он отклоняет нежелательные соединения от хакеров, вирусов и других вредоносных программ, которые пытаются проникнуть в защищенную среду.

Каковы функции межсетевого экрана?

Фильтрация данных: Брандмауэр распределяет пакеты данных по заголовкам. Слабость этого подхода заключается в том, что если пакеты фрагментируются или происходит подмена IP-адреса. Следовательно, появляется возможность прорваться сквозь защиту.

Установка шлюза: Межсетевой экран устанавливает шлюз в рамках сессии между получателем и отправителем пакета, но содержимое пакетов не контролируется. Уязвимости те же, что и в первом типе.

Посредник в соединении: программное обеспечение отслеживает содержимое пакетов на предмет передаваемых команд и потенциально опасных инструкций. Минусом этого варианта является то, что они работают относительно медленно и требуют больших вычислительных мощностей.

Проверка состояния: гармонично анализирует данные, используя все три вышеперечисленные возможности.

Шлюзы приложений в сравнении с межсетевыми экранами

Брандмауэр	ALG
Может быть как аппаратным, так и программным	Только аппаратные средства
Обеспечение безопасности сети	Защита сети и объединение отдельных сетей
При установке требуется дополнительная плата за дополнительные узлы и обновления сервера.	Дорого, но требует единовременных затрат
Не преобразовывать данные	Преобразование данных
Гарантирует конфиденциальность	Конфиденциальность зависит от защиты паролем