от Dan Goodin
02 Дек 2022

«Дэн Гудин — идейный лидер в области кибербезопасности, который годами писал о последних киберугрозах и разрабатывал стратегии по смягчению их воздействия. Будучи сертифицированным специалистом по кибербезопасности, Дэн привносит в свои работы обширные знания, охватывая самые разные темы, от утечки данных до фишинга. Мошенничество с прокси-сервисами. Делится ли он новостями или делится выводами из своих собственных исследований, он всегда стремится создавать информативный, привлекательный и наводящий на размышления контент».

Что такое шлюз прикладного уровня?

Шлюз уровня приложений (Application Level Gateway, ALG) — это не что иное, как аппаратное обеспечение безопасности, известное также как прокси-шлюз приложений, фильтрующий входящий трафик узла. Он является частью NAT-маршрутизатора и действует от имени приложения или сети, защищая их от вредоносного трафика в соответствии с определенными спецификациями. Эти спецификации определяют, что фильтруется только передаваемая информация от сетевого приложения. К таким приложениям относятся FTP (File Transfer Protocol), Real Time Streaming Protocol (RTSP), Telnet и BitTorrent.

ALG может выполнять различные функции на уровне приложений, который в модели OSI принято называть уровнем 7.

ALG может выполнять различные функции на уровне приложений, который в модели OSI принято называть уровнем 7.

OSI Model
Модель OSI состоит из 7 уровней: физического, канала передачи данных, сетевого, транспортного, сеансового, презентационного и прикладного.

Эти функции могут включать в себя процесс синхронизации данных, управление трафиком, распределение ресурсов, а также трансляцию адресов и портов. Шлюз безопасности приложений действует как прокси-сервер и обеспечивает безопасность на уровне приложений, предотвращая или разрывая соединения в случае необходимости. Таким образом, соединение является безопасным, поскольку пользователь сначала соединяется с прокси-сервером.

Application Layer Gateway 
ALG работает с Telnet, FTP, SMTP и HTTP, обеспечивая безопасное соединение

Как работает шлюз прикладного уровня?

Являясь компонентом маршрутизатора NAT, шлюз прикладного уровня понимает протокол app. Когда через него проходят пакеты этого протокола, он модифицирует их таким образом, чтобы пользователи, находящиеся за NAT, могли использовать этот протокол.

Маршрутизатор NAT пересылает пакеты, поступающие с внешнего IP-адреса, внутрь сети. После прохождения NAT некоторые параметры, такие как порт и адрес, становятся некорректными. В результате удаленная сторона не может установить соединение.

Определив, что пакет принадлежит данному протоколу, ALG подставляет его адрес и порт вместо вашего. Если удаленный компьютер устанавливает соединение на этом порту в соответствии с протоколом, то автоматически включается ретрансляция.

ALG похож на прокси-сервер. Он управляет такими протоколами, как SIP и FTP, используя глубокую инспекцию пакетов для обнаружения и блокирования атак до того, как трафик пройдет к приложению. Как правило, возможности шлюзов приложений превышают возможности межсетевых экранов.

ALG Structure
Когда пакеты этого протокола проходят через него, ALG модифицирует их таким образом, чтобы пользователи, находящиеся за NAT, могли использовать этот протокол

Каковы основные функции шлюза прикладного уровня?

  • Использование портов TCP/UDP: Application Layer Gateway позволяет клиентским приложениям использовать динамические порты для связи с портами, используемыми серверными приложениями. В отличие от ALG, конфигурация межсетевого экрана поддерживает только ограниченное число известных портов. Когда ALG не используется, порты могут оказаться заблокированными. В этом случае администратору сети придется открывать большое количество портов в межсетевом экране, что сделает сеть уязвимой для атак.
  • Преобразование: ALG преобразует информацию о сетевом адресе, находящуюся между адресами, допустимыми по обе стороны NAT или межсетевого экрана. Этот аспект вводит термин «шлюз» для ALG.
  • Полный контроль над командами: Аппаратура распознает конкретные команды и запросы и обеспечивает полный контроль над ними.
  • Синхронизация данных: ALG синхронизирует данные сеанса, предоставляемые двумя хостами, обменивающимися данными. Например, FTP-приложения могут использовать отдельные соединения для передачи и обмена данными. Во время передачи больших файлов управляющее соединение может оставаться свободным. ALG может предотвратить ожидание сетевыми устройствами истечения срока действия управляющего соединения до завершения длительной передачи файла.

Почему важны шлюзы приложений?

ALG обеспечивает безопасность соединения и дополнительную защиту от вредоносного трафика. Использование такого оборудования позволяет уберечь бизнес от атак и защитить персональную информацию (PII) от утечки. Это вариант для защиты приложений и сохранения в тайне важных данных.

Плюсы и минусы использования шлюзов приложений

Плюсы

  • Шлюз расширяет сеть, соединяя различные системы.
  • Он предотвращает утечку данных и защищает от злонамеренных атак, выступая в роли посредника.
  • Эти «протокольные конвертеры» изменяют формат данных в соответствии с требуемой архитектурой.
  • ALG контролирует домен с точки зрения коллизий и широковещания.

Минусы

  • Шлюзы дороги и сложны в установке и настройке.
  • Перевод и преобразование данных занимает некоторое время. Кроме того, шлюзы возвращают всю неиспользованную в процессе работы кэш-информацию, что также занимает некоторое время.
  • Компьютеры, работающие с разными протоколами, должны быть исправлены индивидуально.

Что такое межсетевой экран?

Брандмауэр — это аппаратное или программное обеспечение, принимающее решение о пропуске или блокировании проходящего пакета данных. Его основная функция — блокировка вредоносной активности и предотвращение несанкционированных действий пользователей как в частной сети, так и за ее пределами.

Firewall 
Брандмауэр — это аппаратное или программное обеспечение, принимающее решение о пропуске или блокировании проходящего пакета данных

Как работает межсетевой экран?

Межсетевой экран работает как фильтр: из всего потока трафика он пропускает только отфильтрованный. Это первая линия оборонительных укреплений между внутренними сетями и внешними, такими как Интернет. Необходимость в межсетевых экранах возникла, когда стало ясно, что принцип полной связности сетей больше не работает.

Межсетевой экран предназначен для защиты внутренней информационной среды или ее отдельных частей от некоторых внешних потоков и, наоборот, защищает от прохождения отдельных пакетов наружу. Межсетевые экраны позволяют отфильтровывать подозрительный и вредоносный трафик, в том числе предотвращать попытки взлома и компрометации данных.

При правильной настройке сетевой экран позволяет пользователям сети получать доступ к необходимым ресурсам. Кроме того, он отклоняет нежелательные соединения от хакеров, вирусов и других вредоносных программ, которые пытаются проникнуть в защищенную среду.

Каковы функции межсетевого экрана?

  • Фильтрация данных: Брандмауэр распределяет пакеты данных по заголовкам. Слабость этого подхода заключается в том, что если пакеты фрагментируются или происходит подмена IP-адреса. Следовательно, появляется возможность прорваться сквозь защиту.
  • Установка шлюза: Межсетевой экран устанавливает шлюз в рамках сессии между получателем и отправителем пакета, но содержимое пакетов не контролируется. Уязвимости те же, что и в первом типе.
  • Посредник в соединении: программное обеспечение отслеживает содержимое пакетов на предмет передаваемых команд и потенциально опасных инструкций. Минусом этого варианта является то, что они работают относительно медленно и требуют больших вычислительных мощностей.
  • Проверка состояния: гармонично анализирует данные, используя все три вышеперечисленные возможности.

Шлюзы приложений в сравнении с межсетевыми экранами

БрандмауэрALG
Может быть как аппаратным, так и программнымТолько аппаратные средства
Обеспечение безопасности сетиЗащита сети и объединение отдельных сетей
При установке требуется дополнительная плата за дополнительные узлы и обновления сервера.Дорого, но требует единовременных затрат
Не преобразовывать данныеПреобразование данных
Гарантирует конфиденциальностьКонфиденциальность зависит от защиты паролем

Мы используем файлы cookie на нашем сайте, чтобы обеспечить вам наилучшее качество просмотра.Продолжая просматривать сайт, вы соглашаетесь с этим использованием. Более подробную информацию о том, как мы используем файлы cookie, см. в Политике конфиденциальности.

Понятно

Мы добавили этот прокси в список сравнения