Программные nocpegнuku

Программные посредники полезны тем, что позволяют создавать более жесткие правила политики безопасности, чем это позволяют сделать шлюзы с фильтрацией пакетов. Для управления трафиком между хостами глобальной и локальной сети в шлюзах приложений используются специальные программы, называемые службами-посредниками. Поэтому для защиты каждого защищаемого шлюзом приложения требуется установить отдельную службу, без которой приложение не сможет предоставлять свои услуги сетевым пользователям. Далее служба-посредник может быть сконфигурирована для предоставления только определенной части услуг защищаемого приложения.

При использовании программных посредников авторизованные пользователи имеют возможность получать доступ к службам-посредникам, чтобы получить нужную им услугу, но им не разрешен доступ к шлюзу приложения, поскольку это несет угрозу безопасности брандмауэра. Программные посредники, в отличие от шлюзов приложений, запрещают прямой обмен пакетами между внутренними и внешними хостами. Например, служба-посредник FTP разрешает прохождение трафика FTP через брандмауэр, и при подключении к FТР-порту брандмауэра исполняется служба FTP-посредник. Такие сеансы связи могут быть разрешены только при инициации FТР-соединения внутренними хостами сети, но сеансы блокируются, если запрос на FТР-соединение поступит от внешнего хоста.

Основное преимущество программных посредников состоит в возможности жесткого ограничения доступа ко всем приложениям и службам со стороны как внешних, так и внутренних хостов. Для решения такой задачи, как и в случае шлюзов с фильтрацией пакетов, используются правила фильтрации. Примером программного посредника можно назвать программу Deerfield Wingate Pro (http://www.wingate.com). Этот брандмауэр позволяет инсталлировать два компонента - серверный и клиентский. Серверный компонент, исполняемый на бастионном хосте, позволяет управлять сетевым трафиком от клиентских компонентов, реализуя защиту внутрисетевых компьютеров от внешних угроз.