Вопрос или проблема
Есть ли разница между шлюзом на уровне цепи и шлюзом на уровне приложений, кроме того, что один работает на уровне 3, а другой на уровне 7 модели OSI?
Ответ whitewinterwolf говорит
шлюз уровня соединения ИЗМЕНЯЕТ IP-адрес источника исходящего пакета (с точки зрения внутренней сети).
Создаются два разных TCP-соединения: входящее и исходящее.
Я не понял, что пытался сказать Ади. Пример был интересным, но затем не имел для меня смысла.
Юрий говорит:
шлюз уровня приложения может рассматривать все уровни модели OSI, в то время как шлюз уровня соединения рассматривает только уровень сети.
Это действительно имеет смысл. Но я видел, как люди говорят, что шлюз уровня соединения более мощный, чем шлюз уровня приложения. Плюс порядок обучения также означает, что шлюз уровня соединения лучше, чем шлюз уровня приложения.
Таким образом, у меня есть сомнения (и то, что я узнал) -:
-
Шлюз уровня приложения открывает 2 TCP-соединения: входящее и исходящее, и так же делает шлюз уровня соединения.
-
Шлюз уровня приложения просто аутентифицирует с помощью имени пользователя и пароля, но шлюз уровня соединения не аутентифицирует (тогда как он доверяет входящим и исходящим пользователям?), это запутанно. (Или он все-таки аутентифицирует?) Многие книги утверждают, что он этого не делает.
-
Шлюз уровня приложения не проверяет содержимое (как фильтрация пакетов), и шлюз уровня соединения тоже, насколько мне известно.
-
Единственное различие, которое я нашел, это то, что шлюз уровня приложения не изменяет IP-адрес источника пакета, а шлюз уровня соединения делает. Таким образом, как-то шлюз уровня соединения прозрачный. (И те пункты, которые я упомянул выше)
Вы можете прочитать это для получения дополнительной информации!
Основные моменты:
-
Брандмауэр шлюза уровня приложения специфичен для приложений. То есть для фильтрации HTTP-трафика вам нужен HTTP-прокси; для фильтрации FTP-трафика вам нужен FTP-прокси; для фильтрации почтового трафика вам нужен SMTP, POP, IMAP-прокси и так далее!
-
Брандмауэр шлюза уровня приложения сканирует все уровни OSI сверху вниз. Мне не нужно об этом рассказывать 🙂
-
Поэтому брандмауэр уровня приложения требует больше времени, больше ресурсов; его также называют брандмауэром глубокого инспекционного анализа.
-
Поскольку брандмауэр уровня приложения сканирует данные приложения, но шлюз уровня соединения не делает этого напрямую. То есть
Как вы видите на рисунке, шлюз уровня соединения не может напрямую читать данные приложения. Вместо этого они инкапсулированы и зашифрованы (если используется VPN/IPSec в каком-либо режиме – AH или ESP), поэтому безопасность не будет выше. Представьте, что кто-то зашифровал вирус в данных приложения, где вы нажимаете на ссылку, и он «съедает» ваш ПК! Вы не найдете этого в шлюзе уровня соединения.
Вы можете взглянуть на рисунок ниже для лучшего сравнения всего того, что я сказал выше.
Это взято из этой ссылки.
Ответ или решение
Различия между маршрутизаторами уровня цепей и уровня приложений выходят за рамки простого деления по уровням модели OSI. Обе технологии предоставляют функциональные возможности, но каждая из них имеет свои особенности, предназначение и ограничения.
-
Степень анализа и фильтрации:
- Шлюз уровня приложений (или прокси-сервер) работает на более высоком уровне модели OSI, что позволяет ему анализировать и фильтровать данные на уровне приложений (уровни 5-7). Это позволяет ему проверять содержимое пакетов, идентифицировать тип трафика (например, HTTP, FTP и т. д.) и выполнять сложные правила фильтрации.
- Шлюз уровня цепей, действующий на сетевом уровне (уровень 3), не имеет такой способности. Он управляет только соединениями TCP, не рассматривая содержимое передаваемых данных. Это делает его менее защищенным от потенциально вредоносного трафика, так как он не обнаруживает злоумышленный код или вирусы, замаскированные в данных.
-
Ошибки и мощность:
- Из-за свого глубокого анализа и ресурсоемкости шлюз уровня приложений обычно работает медленнее и требует больше вычислительных ресурсов по сравнению с шлюзом уровня цепей. Это может стать узким местом в сценариях с высоким объемом трафика.
- Оба типа шлюзов формируют два отдельных TCP-соединения — одно для входящего, другое для исходящего трафика. Однако это делает шлюз уровня цепей более "прозрачным" с точки зрения настройки сетевых устройств, так как он не изменяет адреса исходящего трафика.
-
Аутентификация:
- Шлюзы уровня приложений часто требуют аутентификации пользователей (например, логин и пароль), что позволяет им контролировать доступ на более высоком уровне и предотвращать несанкционированный доступ.
- Шлюзам уровня цепей, с другой стороны, не свойственна такая аутентификация. Они предоставляют соединение, основываясь на том, что команда TCP и IP корректны, что делает их менее надежными в отношении контроля пользователя.
-
Безопасность:
- В силу того, что шлюз уровня приложений анализирует данные, он может защищать сеть от сложных атак, таких как SQL-инъекции, кросс-доменные скрипты и другие. Шлюзы уровня цепей этого не могут, так как не заглядывают в содержимое трафика.
- Использование таких технологий, как шифрование (например, VPN-соединение), может затруднить анализ трафика для шлюза уровня цепей, что существенно снижает уровень безопасности.
- Принцип управления трафиком:
- Шлюз уровня приложений может вносить более тонкие настройки и управлять трафиком более детально, изменяя поведение в зависимости от типа приложения и осуществляя политику безопасности на основе специфики протоколов. Это, в свою очередь, делает его более гибким.
- Шлюз уровня цепей предоставляет более простую задачу управления, ориентируясь только на параметры сетевого уровня.
В заключение, хотя различия между шлюзами уровня цепей и уровня приложений включают в себя лишь работу на разных уровнях модели OSI, их функциональные возможности и вопросов интеграции в сетевые структуры весьма разнообразны. Для обеспечения надежной защиты сети обычно рекомендуется использовать шлюзы уровня приложений, особенно в высоко рискованных средах, тогда как шлюзы уровня цепей могут быть эффективнее в целях производительности в некоторых сценариях.