Применение прикладных шлюзов для защиты информации

23 Декабря 11, 06:57

Опубликовано в Технологии > Серверные технологии

На многих предприятиях прикладные шлюзы применяются для решения проблемы защиты. Например, предположим, что на каком-то предприятии необходимо ограничить использование сеансов дистанционного доступа. Допустим, что на этом предприятии принято правило, согласно которому применение таких сеансов разрешено только для определенной категории сотрудников. На рисунке показано, как может использоваться прикладной шлюз для реализации этого правила защиты. Пользователь должен подключаться к удаленным компьютерам через прикладной шлюз, который обеспечивает проверку прав доступа. авторегистрация сайта

Прикладной шлюз, который служит для реализации правила защиты, регламентирующего использование сеансов дистанционного доступа

Как показано на этом рисунке, для блокировки всех дейтаграмм, содержащих запросы на установление сеанса дистанционного доступа, кроме тех, что исходят из хоста, на котором работает прикладной шлюз, используется обычный фильтр IP-маршрутизатора (называемый также брандмауэром). Для открытия сеанса дистанционного доступа пользователь любого хоста на предприятии вызывает на выполнение клиентскую программу, которая вначале подключается к прикладному шлюзу. После получения пользователем разрешения на открытие сеанса, прикладной шлюз подключает его к требуемому компьютеру назначения.

19.9. Прикладные шлюзы и проблема дополнительного участка маршрута

Проблема дополнительного участка маршрута относится к той ситуации, когда дейтаграммы дважды проходят по одной и той же сети на пути к конечному месту назначения. Эта проблема обычно вызвана неправильной настройкой таблиц маршрутизации.

Установка прикладного шлюза в существующей сети также может породить проблему появления дополнительного участка маршрута. Чтобы понять, с чем это связано, рассмотрим сетевую топологию, показанную на рис. 19.4а. На этом рисунке изображен путь, который должен быть пройден сообщением от хоста к удаленному серверу, если хост поддерживает тот же транспортный протокол, что и сервер. А теперь предположим, что пользователь этого хоста решил обратиться к службе, доступной только по протоколу, отличному от используемого в данном хосте. В этом случае можно обеспечить способность к взаимодействию, введя прикладной шлюз, как показано на рис. 19.46. Прикладной шлюз принимает запросы с использованием одного набора протоколов и передает их на удаленный сервер с использованием другого. К сожалению, при этом каждое сообщение проходит по сети дважды. Этот рисунок полностью отражает реальность, поскольку сетевые администраторы часто физически устанавливают новый компьютер для каждой программы прикладного шлюза, стремясь избежать перегрузки существующих компьютеров. Но появление нового шлюза приводит к тому, что каясдое сообщение проходит по сети дважды.

Ряд хостов и один шлюз

После его установки прикладной шлюз используется клиентскими программами, работающими на хостах сети, для доступа к предоставляемой им службе. Клиент передает свой запрос на прикладной шлюз с использованием одного протокола, после чего шлюз перенаправляет запрос на удаленный сервер с использованием другого протокола. После возврата сервером ответа прикладной шлюз передает ответ клиенту. Создается впечатление, что система работает хорошо. И действительно, не приходится менять существующее программное обеспечение протокола на хостах, а после установки прикладного шлюза появляется возможность обеспечить доступ к желаемой службе из клиентской программы, работающей на любом хосте.

К сожалению, при более внимательном изучении базовой сети обнаруживается, что конфигурация, показанная на рис. 19.46, не обеспечивает рационального использования сетевых ресурсов. Она создает проблему дополнительного участка маршрута. Каждый запрос должен пройти по локальной сети дважды. Во-первых, запрос проходит от первоначального хоста к компьютеру прикладного шлюза и, во-вторых, передается из компьютера прикладного шлюза в конечное место назначения — на сервер. Если сервер входит в состав объединенной сети TCP/IP, находящейся за пределами IP-маршрутизатора, еще одна передача происходит, когда сообщение проходит от компьютера прикладного шлюза к IP-маршрутизатору. Если же сервер находится в локальной сети, то вторая передача выполняется, когда сообщение передается из компьютера прикладного шлюза на компьютер, где работает сервер.

Если служба не предусматривает использование слишком большого объема сетевого трафика, то издержки, связанные с появлением дополнительного участка маршрута, могут оказаться несущественными. И действительно, некоторые поставщики создают программные продукты, в которых используется топология, показанная на рис. 19.46. Но если сеть в значительной степени загружена или в службе используется большой объем сетевого трафика, то в связи с издержками дополнительного участка маршрута такое решение может оказаться слишком дорогостоящим. Поэтому проектировщики должны тщательно рассчитывать ожидаемую нагрузку, прежде чем принять на вооружение метод с использованием прикладного шлюза.

Похожие статьи

авторегистрация сайта Функционирование одного потока сервера продолжается неопределенно долгое время. В нем используется один пассивный сокет, привязанный к общепринятому порту протокола предоставляемой им..." href="/servernie-tehnologii/52-organizaciya-raboty.html">Организация работы
авторегистрация сайта Следует ли рассматривать передачу трафика IP по..." href="/servernie-tehnologii/105-telefonnye-linii.html">Туннелирование, инкапсуляция и коммутируемые телефонные линии
Степень распараллеливания