giải pháp bảo mật ở các tầng khác nhau
12.3 An toàn tầng ứng dụng ALS (application layer security)
Điều này hoàn toàn là lợi thế của các giao thức tầng cao. An toàn dựa vào ứng dụng có khả năng diễn dịch và t−ơng tác với thông tin chứa trong phần tải trọng của một gói dữ liệu. Ví dụ, các proxy ứng dụng sử dụng ở hầu hết các filewall đối với các cuộc truyền FTP. Các proxy này có khả năng hạn chế việc sử dụng một số lệnh nào đó cho dù các lệnh này đ−ợc l−u trong phần trọng tải của gói dữ liệu. Khi khởi đầu một cuộc truyền FTP, một kết nối đ−ợc thiết lập để truyền các lệnh tới server. Các lệnh mà bạn gõ (ví dụ, LIST, GET, PASV) đ−ợc gửi tới server trong phần trọng tải của gói lệnh nh− minh hoạ ở hình sau. Do đ−ợc căn cứ
vào ứng dụng nên filewall proxy có khả năng kiểm soát các lệnh này và vì thế hạn chế việc sử dụng chúng.
ETHERNET HEADER IP HEADER TCP HEADER PAYLOAD 0040A0...40020A 10.1.2.1...10.2.1.2 FTP (Command) List...
Giao thức truyền file - Lệnh - Gói
Các giao thức an toàn tầng thấp nh− IPSEC không có khả năng này. Chúng có thể mã hoá các lệnh nhằm bảo mật và xác thực, nh−ng không thể hạn chế sử dụng chúng.
Nh−ng an toàn tầng ứng dụng chính xác là cái gì? Nh− tên đã bao hàm, nó là sự an toàn do bản thân ch−ơng trình ứng dụng cung cấp. Ví dụ, kho dữ liệu dùng các danh sách điều khiển truy nhập đ−ợc l−u giữ bên trong để hạn chế ng−ời dùng truy nhập tới các file, bản ghi hoặc các file đang thực thi an toàn theo ứng dụng. áp dụng an toàn ở mức ứng dụng tạo cho nó có thể thực hiện một số yêu cầu an toàn phức tạp nào đó và điều tiết các yêu cầu bổ sung khi chúng xảy đến. Ngữ cảnh này làm việc đặc biệt tốt khi tất cả các ứng dụng của bạn đ−ợc l−u trên một máy chủ đơn lẻ hoặc intranet an toàn, nh−ng nó trở nên khó hiểu khi bạn cố gắng mở rộng chức năng tiện ích của nó qua Internet tới hàng nghìn hệ thống và ứng dụng khác nhau. Theo cách truyền thống, an toàn trong các môi tr−ờng này đ−ợc xác định theo kiểu riêng trong chính các ứng dụng, nh−ng điều này đang thay đổi nhanh chóng. Trạng thái phân bố tự nhiên của các ứng dụng trên Internet đã đ−a đến việc thiết kế một vài giải pháp chuẩn hoá để thay thế các cơ chế an toàn theo nhà sản suất cụ thể, không dự tính tr−ớc.