www.eprace.edu.pl » omijanie-zapor-sieciowych » Technologie zapór sieciowych » Bramy warstwy aplikacyjnej

Bramy warstwy aplikacyjnej

Bramy aplikacyjne, zwane też serwerami proxy, są swego rodzaju przezroczystym interfejsem pomiędzy siecią publiczną i prywatną (rys. 2.3). Potrafią precyzyjnie kontrolować ruch aż na poziomie warstwy 7 (aplikacyjnej) modelu OSI. Są to systemy, które posiadają fizyczny dostęp do sieci zewnętrznej oraz wewnętrznej i pośredniczą w ustanawianiu połączeń między hostami, którego takiego dostępu nie mają. Należy zwrócić uwagę na to, że ani komputery klientów, ani serwery internetowe nie „spostrzegają” różnicy w komunikacji i wygląda ona dla nich niemal identycznie jak przy połączeniu bezpośrednim. Rozwiązania proxy tworzone jest przy wykorzystaniu komputerów, na których instalowane jest odpowiednie oprogramowanie (np. Squid, Microsoft ISA Server).

Rys. 2.3 - Działanie serwera Proxy

Usługi pośredniczenia działają w taki sposób, że użytkownicy korzystający z serwera proxy nie mają bezpośredniej komunikacji z serwerami w internecie. To program użytkownika komunikuje się z serwerem pośredniczącym zamiast z prawdziwym serwerem zewnętrznym. Proxy analizuje wtedy żądanie pod kątem polityki bezpieczeństwa i porozumiewa się z docelowym serwerem w imieniu klienta.

Serwery pośredniczące dzielą się na aplikacyjne i obwodowe. Te pierwsze znają aplikacje, na rzecz której pośredniczą, rozumieją i interpretują polecenia danego protokołu. Z kolei serwery obwodowe przesyłają tylko dane do miejsca ich przeznaczenia bez wnikania w szczegóły protokołu.

Serwery proxy można podzielić także na uniwersalne, obsługujące wiele protokołów oraz wyspecjalizowane, które przetwarzają tylko ruch dotyczący konkretnego protokołu (np. HTTP lub FTP).

Istnieje jeszcze jeden rodzaj serwerów proxy, zwany inteligentnym. Przeważnie odnosi się on do wyspecjalizowanych serwerów aplikacyjnych, które oprócz przekazywania żądań potrafią dokładnie rejestrować zdarzenia, przeprowadzać zaawansowaną kontrolę dostępu, a także dla serwerów pośredniczących HTTP buforować dane. Dzięki tej ostatniej z cech, te same dane wielokrotnie nie przechodzą przez bramę, tylko są lokalnie zapisywane i tylko odświeżane ze źródła w internecie. Dotyczy to stron internetowych, które zapisuje się na dysku twardym serwera i w przypadku ponownego żądania danej strony, z internetu pobierana jest tylko aktualizacja. Większość danych serwer proxy przekazuje klientowi z lokalnego bufora.

Bramy poziomu aplikacji mogą modyfikować lub nawet usuwać fragmenty treści wiadomości. Przykładowo, oprogramowanie Squid pozwala między innymi na modyfikacje nagłówków User-Agent. W ten sposób każde zapytanie wysłane z serwera proxy do serwerów stron internetowych będzie się legitymowało tym samym nagłówkiem. Ze względu na to, że usługa pośredniczenia aktywnie ingeruje w połączenie, dzięki temu umożliwia przeprowadzenia uwierzytelnienia użytkownika, co dodatkowo podnosi bezpieczeństwo.

Specyficznym rodzajem bramy pośredniczącej jest serwer SOCKS. Stanowi uniwersalne rozwiązanie, które nie kontroluje i nie rejestruje zdarzeń specyficznych dla poszczególnych protokołów. Umożliwia kontrolę na poziomie użytkownika, źródłowych i docelowych adresów oraz portów.

Obecnie używane są dwie wersje SOCKS: SOCKS4 i SOCKS5. Ta kolejna wzbogaca możliwości poprzedniej, dzięki czemu można przekazywać oprócz protokołu TCP także UDP oraz ICMP.

Jedną z głównych zalet wykorzystania zapory sieciowej jako bramy pośredniczącej jest to, że ten typ zapory skutecznie maskuje źródło połączenia i chroni sieć lokalną przed dostępem użytkowników od strony Internetu. Ponadto, istotna jest oszczędność przestrzeni adresowej, gdyż tylko jeden komputer, pełniący rolę serwera proxy, wymaga publicznego adresu IP. Jednak, by używać w sieci rozwiązania opartego o usługi pośredniczenia, muszą być spełnione następujące warunki:



komentarze

Copyright © 2008-2010 EPrace oraz autorzy prac.