Межсетевые экраны уровня приложений
Межсетевые экраны приложений контролируют содержимое пакетов на уровне приложений. Они обеспечивают более высокий уровень безопасности. по сравнению с пакетными фильтрами, но за счет потери прозрачности для контролируемых служб. Межсетевые экраны приложения играют роль сервера для клиента и клиента для реального сервера, обрабатывая запросы реального сервера вместо пользователей, которых он защищает.
При использовании межсетевого экрана прикладного уровня все соединения проходят через него (рисунок 2). Как показано на рисунке, соединение начинается на системе-клиенте и поступает на внутренний интерфейс межсетевого экрана. Межсетевой экран принимает соединение, анализирует содержимое пакета и используемый протокол и определяет, соответствует ли данный трафик правилам политики безопасности. Если это так, то межсетевой экран инициирует новое соединение между своим внешним интерфейсом и системой-сервером.
Межсетевые экраны прикладного уровня используют модули доступа для входящих подключений. Модуль доступа в межсетевом экране принимает входящее подключение и обрабатывает команды перед отправкой трафика получателю. Таким образом, межсетевой экран защищает системы от атак, выполняемых посредством приложений.
Рисунок 2. Соединения модуля доступа межсетевого экрана прикладного уровня
Межсетевые экраны прикладного уровня содержат модули доступа для наиболее часто используемых протоколов, таких как HTTP, SMTP, FTP и telnet. Некоторые модули доступа могут отсутствовать. Если модуль доступа отсутствует, то конкретный протокол не может использоваться для соединения через межсетевой экран. Межсетевые экраны приложений могут осуществлять дополнительную проверку сообщений, которую простой фильтр пакетов не предусматривает. Они способны проверять на наличие вирусов и удалять с Web-страниц активное содержимое, например, Java-апплеры. Так как анализ трафика между Internet требует вычислительных затрат, то должен для этих целей выделен специальный компьютер. В отличие от пакетных фильтров, шлюзы приложений позволяют ограничить количество допустимых операций за одно соединение.
Недостатками межсетевые экраны приложений являются более низкая производительность по сравнению с пакетными фильтрами и более высокая, чем для пакетных фильтров стоимость; невозможность использовании протоколов RPC и UDP