c. Demilitarized Zone (DMZ khu vực phi quân sự) hay Screened-subnet Firewall
2.4.2. Cổng ứng dụng (Application Gateway)
Application Gateway được thiết kế để tăng cường chức năng kiểm soát các loại dich vụ vào giao thức được cho phép truy cập vào hệ thống mạng. Cơ chế hoạt động của nó dưạ trên cái gọi là “dịch vụ đại diện” (proxy Service).
Proxy Service hoạt động theo cơ chế: Một ứng dụng nào đó được quy chiếu đến (hay đại diện bởi) một proxy Service chạy trên các hệ thống máy chủ thì được quy chiếu đến ApplicationGateway của firewall. Cơ chế lọc của packet filtering phối hợp kiểm soát với cơ chế “đại diện của ”Application gateway cung cấp một khả năng an toàn hơn cho firewall trong việc giao tiếp thông tin với mạng ngoài.
Ví dụ một hệ thống mạng có chức năng lọc gói tin, nó sẽ ngăn các kết nối bằng Telnet vào hệ thống chỉ trừ một cổng duy nhất -Telnet Application Gateway- là được phép. Một người sử dụng dịch vụ Telnet muốn kết nối vào hệ thống phải thực hiện các bước sau:
Thực hiện dịch vụ Telnet đến Telnet Application Gateway rồi cho biết tên của máy chủ bên trong cần truy cập.
Gateway kiểm tra địa chỉ IP nơi xuất phát của người truy cập rồi cho phép hoặc từ chối tuỳ theo chế độ an ninh của hệ thống.
Người truy cập phải vượt qua được hệ thống kiểm tra xác định. Proxy service liên kết lưu thông giữa người truy cập với máy chủ.
Cơ chế hoạt động này có ý nghĩa quan trọng trong việc thiết kế an ninh hệ thống. Nó có thể cung cấp nhiều khả năng, ví dụ như:
Che dấu các thông tin: người dùng chỉ có thể nhìn thấy trực tiếp các Gateway được phép.
Tăng cường kiểm tra truy cập bằng các dịch vụ xác thực (Authentication). Giảm đáng kể giá thành cho việc phát triển các hệ quản trị xác thực vì hệ thống này được thiết kế chỉ quy chiếu đến Application Gateway.
Giảm thiếu các quy tắc kiểm soát của bộ lọc (Packet Filtering). Điều này làm tăng một cách đáng kể tốc độ hoạt động của Firewall.