Вопрос или проблема
Это очень запутано. Я вижу две разные информации в различных книгах и на сайтах.
A. Фаервол приложения сканирует уровни с 1 по 7 модели OSI.
B. Фаервол приложения сканирует только данные Уровня Приложения (или Уровня Приложения, Презентации и Сессии).
Я спрашивал многих людей, и они тоже не были уверены в этом.
Фаервол на уровне приложения способен анализировать уровень приложения и осуществляет основную часть анализа на этом уровне. Это означает, что он будет анализировать полезную нагрузку приложения и может также проводить инспекцию TLS. Однако он часто также принимает решения на основе IP-адресов и портов (уровни 3 и 4) – обычно в контексте приложения, например, репутации определенного IP-адреса по отношению к отправке спама или вредоносного ПО в контексте доставки почты.
Тем не менее, уровни 1 и 2 обычно не анализируются, так как там обычно нет ничего существенного для анализа.
Кроме того, обратите внимание, что модель OSI не отражает современную реальность очень хорошо. Уровни с 5 по 7 обычно не могут быть четко разделены и часто объединяются. Модель TCP/IP более подходящая в данном случае.
Ответ или решение
Приветствую вас! Вопрос о том, на каких уровнях модели OSI функционирует файрвол приложения (application gateway firewall), действительно может вызывать путаницу. Давайте разберемся подробнее.
Функционирование файрвола приложения
-
Основной уровень анализа:
Файрволы приложения в первую очередь работают на уровне приложения (уровень 7 модели OSI). Это означает, что они анализируют данные на этом уровне, исследуя полезную нагрузку (payload) приложений и осуществляя, при необходимости, инспекцию TLS (шифрование передаваемых данных). -
Дополнительные уровни подхода:
Хотя основное внимание уделяется уровню приложения, такие файрволы также могут учитывать более низкие уровни, особенно уровень IP (уровень 3) и транспортный уровень (уровень 4). Например, файрвол может принимать решения на основе IP-адресов и номеров портов. Однако эти решения обычно принимаются в контексте приложения — например, файрвол может блокировать IP-адреса, известные как источники спама или вредоносного ПО, в контексте доставки электронной почты. -
Уровни 1 и 2:
Что касается уровней 1 (физический уровень) и 2 (канальный уровень), то они обычно не подлежат анализу со стороны файрволов приложения, так как на этих уровнях нет информации, имеющей отношение к безопасности приложений.
Современная реальность
Важно отметить, что модель OSI не всегда точно отражает современные сетевые технологии. Уровни 5 (сеансовый уровень), 6 (представительский уровень) и 7 (уровень приложения) часто не разделяются четко и могут рассматриваться в контексте единого слоя. В связи с этим многие специалисты по сетевой безопасности предпочитают использовать модель TCP/IP, которая более адаптирована к реальности.
Вывод
Таким образом, можно сказать, что файрвол приложения функционирует в основном на уровне приложения (уровень 7), но с возможностью учитывать и анализировать данные на уровнях 3 и 4. Уровни 1 и 2 не рассматриваются, поскольку они не предоставляют значимой информации для анализа на уровне приложений.
Если у вас есть дополнительные вопросы или требуется дальнейшая проработка этой темы, не стесняйтесь обращаться!