Особенности межсетевого экранирования на различных уровнях модели OSI

Брандмауэры поддерживают безопасность межсетевого взаимодействия на различных уровнях модели OSI. При этом функции защиты, выполняемые на разных уровнях эталонной модели, существенно отличаются друг от друга. Поэтому комплексный межсетевой экран удобно представить в виде совокуп­ности неделимых экранов, каждый из которых ориентирован на отдельный уровень модели OSI. Чаще всего комплексный экран функционирует на сете­вом, сеансовом и прикладном уровнях эталонной модели. Соответственно различают такие неделимые брандмауэры (рис. 5.2), как экранирующий маршрутизатор, экранирующий транспорт (шлюз сеансового уровня), а также экранирующий шлюз (шлюз прикладного уровня).

Учитывая, что используемые в сетях протоколы (TCP/IP, SPX/IPX) не одно­значно соответствуют модели OSI, то экраны перечисленных типов при вы­полнении своих функций могут охватывать и соседние уровни эталонной модели. Например, прикладной экран может осуществлять автоматическое зашифровывание сообщений при их передаче во внешнюю сеть, а также автоматическое расшифровывание криптографически закрытых принимае­мых данных. В этом случае такой экран функционирует не только на при­кладном уровне модели OSI, но и на уровне представления. Шлюз сеансо­вого уровня при своем функционировании охватывает транспортный и сетевой уровни модели OSI. Экранирующий маршрутизатор при анализе пакетов сообщений проверяет их заголовки не только сетевого, но и транс­портного уровня.

Межсетевые экраны каждого из типов имеют свои достоинства и недостат­ки. Многие из используемых брандмауэров являются либо прикладными шлюзами, либо экранирующими маршрутизаторами, не поддерживая пол­ную безопасность межсетевого взаимодействия. Надежную же защиту обес­печивают только комплексные межсетевые экраны, каждый из которых объ­единяет экранирующий маршрутизатор, шлюз сеансового уровня, а также прикладной шлюз.

Рис. 5.2.Типы межсетевых экранов, функционирующих на отдельных уровнях модели OSI.