Gateway mức ứng dụng (Application level Gateway)- 123docz.net

Proxy server mức ứng dụng cung cấp tất cả các chức năng cơ bản của proxy server và còn phân tích các gói dữ liệu. Khi các gói từ bên ngoài đến cổng này, chúng được kiểm tra và đánh giá để xác định chính sách an toàn có cho phép gói này đi vào mạng nội bộ hay không. Proxy server không chỉ đánh giá địa chỉ IP, nó còn nhìn vào dữ liệu trong gói để ngăn những kẻ đột nhập cất dấu thông tin trong đó.

Với các proxy server, các chính sách an toàn mạnh hơn và mềm dẻo hơn nhiều vì tất cả thông tin trong các gói được người điều hành sử dụng để ghi các luật xác định cách xử lý các gói. Có thể giám sát dễ dàng mọi việc xảy ra trên proxy server. Bạn cũng có thể bỏ các tên máy tính để che dấu hệ thống bên trong, và có thể đánh giá nội dung của các gói dữ liệu vì mục đích hợp lý và an toàn. Tính “hợp lý” là một tùy chọn thú vị. Bạn có thể thiết lập bộ lọc để loại bỏ mọi bản tin điện tử chứa các nội dung không được phép.

Hình 2.7. Giao tiếp trên mạng thông qua proxy server

Một proxy server điển hình có thể cung cấp các dịch vụ ủy quyền cho các ứng dụng và giao thức như Telnet, FTP ( File Transfer Protool), HTTP ( Hypertext Transfer Protocol), và SMTP ( Simple Mail Transfer Protocol). Proxy server này không cho phép bất kỳ một gói tin nào đi thẳng trực tiếp giữa hai mạng, mà loại Firewall này được thiết kế để tăng cường khả năng kiểm soát thông qua dịch vụ người đại diện (Proxy Service). Khi một trạm bên ngoài muốn kết nối với các trạm bên trong tường lửa thông qua một dịch vụ nào đó thì trạm bên ngoài phải thông qua Proxy Server. Nếu dịch vụ và các trạm bên ngoài không thuộc diện cấm thông qua đối với Proxy thì Proxy

Server sẽ đi tìm trạm đích bên trong tường lửa để tạo kết nối với trạm bên ngoài và ngược lại các trạm bên trong muốn kết nối ra ngoài cũng vậy. Với cách thức này thì sẽ đánh bại được một số loại tấn công cơ bản như gây tràn bộ đệm của tường lửa.

Tuy nhiên cũng có một số hạn chế đối với dạng tường lửa loại này là: Đây là loại tường lửa được cài đặt cho từng loại dịch vụ riêng rẽ trên mạng ví dụ như Telnet, Mail, FPT…. Nếu chúng ta muốn hỗ trợ một dịch vụ nào đó cho mạng của mình thông qua tường lửa thì chúng ta nhất thiết phải thêm vào proxy cho loại dịch vụ đó. Vì vậy nếu trên mạng bên ngoài có thêm một dich vụ mới nào đó thì người quản trị tường lửa phải xây dựng chính sách đại diện thích hợp với dịch vụ đó. Có hai nguyên tắc để tạo ra chính sách đại diện mặc định ở đây đó là hoăc từ chối tất cả những thứ không được đại diện, hoặc là chấp nhận tất cả những dịch vụ không có dịch vụ đại diện trên tường lửa. Nhưng

cả hai cách này dều gây ra những nguy cơ an ninh và bất tiện mới cho hệ thống mạng bên trong tường lửa.

Gateway mức ứng dụng (Application level Gateway)

CÔNG NGHỆ BẢO MẬT THEO LỚP

Bảo mật sử dụng bức tường lửa