ШЛЮЗЫ, ТРАНС­ЛИ­РУ­Ю­ЩИЕ АД­РЕ­СА ИЛИ СЕ­ТЕ­ВЫЕ ПРОТОКОЛЫ

По­жа­луй, самым из­вест­ным шлю­зом се­ан­со­во­го уров­ня можно счи­тать шлюз с пре­об­ра­зо­ва­ни­ем IP-ад­ре­сов (Network Address Translation, NAT). При ис­поль­зо­ва­нии шлюза NAT внут­рен­няя сеть имеет ад­ре­са, неви­ди­мые (и даже неза­ре­ги­стри­ро­ван­ные) в об­ще­до­ступ­ной сети. При об­ра­ще­нии внут­рен­не­го ком­пью­те­ра на­ру­жу шлюз пе­ре­хва­ты­ва­ет за­прос и вы­сту­па­ет от имени кли­ен­та, за­дей­ствуя свой внеш­ний (за­ре­ги­стри­ро­ван­ный) IP-ад­рес. По­лу­чен­ный ответ шлюз пе­ре­да­ет внут­рен­не­му ком­пью­те­ру (после под­ста­нов­ки внут­рен­не­го ад­ре­са ком­пью­те­ра), вы­сту­пая в ка­че­стве пе­ре­да­точ­но­го звена. Это поз­во­ля­ет убить сразу двух зай­цев: резко со­кра­тить ко­ли­че­ство за­ре­ги­стри­ро­ван­ных IP-ад­ре­сов и кон­тро­ли­ро­вать поток ин­фор­ма­ции, т. е. на­зна­чать или за­пре­щать до­ступ в Internet от­дель­ным компьютерам.

Классификация межсетевых экранов

Шлюзы NAT могут ра­бо­тать в одном из че­ты­рех ре­жи­мов: ди­на­ми­че­ском, ста­ти­че­ском, ста­ти­че­ском с ди­на­ми­че­ской вы­бор­кой IP-ад­ре­сов и комбинированном.

При ди­на­ми­че­ском ре­жи­ме, ино­гда на­зы­ва­е­мом транс­ля­ци­ей на уровне пор­тов (Port Address Translation, PAT), шлюз имеет один-един­ствен­ный внеш­ний IP-ад­рес. Все об­ра­ще­ния в об­ще­до­ступ­ную сеть (Internet) со сто­ро­ны кли­ен­тов внут­рен­ней сети осу­ществ­ля­ют­ся с ис­поль­зо­ва­ни­ем этого внеш­не­го ад­ре­са, при этом шлюз опе­ри­ру­ет лишь пор­та­ми внеш­не­го ин­тер­фей­са, т. е. при об­ра­ще­нии кли­ен­та шлюз вы­де­ля­ет ему уни­каль­ный про­грамм­ный порт транс­порт­но­го про­то­ко­ла (UDP, TCP) для внеш­не­го IP-ад­ре­са. В рас­по­ря­же­нии шлюза NAT могут иметь­ся пулы до 64 000 пор­тов TCP, 64 000 пор­тов UDP и 6 4000 пор­тов ICMP (в про­то­ко­ле ICMP тер­мин «порт» не при­ме­ня­ет­ся, но раз­ра­бот­чи­ки шлю­зов ис­поль­зу­ют его, чтобы под­черк­нуть прин­цип транс­ля­ции па­ке­тов), хотя в неко­то­рых ре­а­ли­за­ци­ях ем­кость пулов может быть много мень­ше этих ве­ли­чин, на­при­мер в Novell BorderManager каж­дый пул со­дер­жит по 5000 портов.

Ди­на­ми­че­ский режим пред­на­зна­чен для сетей, ком­пью­те­ры ко­то­рых вы­сту­па­ют ис­клю­чи­тель­но в ка­че­стве кли­ен­тов ре­сур­сов Internet.

При ста­ти­че­ском ре­жи­ме внеш­не­му ин­тер­фей­су шлюза на­зна­ча­ет­ся столь­ко за­ре­ги­стри­ро­ван­ных IP-ад­ре­сов, сколь­ко ком­пью­те­ров име­ет­ся во внут­рен­ней сети. Каж­до­му ком­пью­те­ру внут­рен­ней сети ста­вит­ся в со­от­вет­ствие уни­каль­ный внеш­ний IP-ад­рес шлюза. При об­мене дан­ны­ми между внут­рен­ней и об­ще­до­ступ­ной се­тя­ми шлюз транс­ли­ру­ет внут­рен­ние IP-ад­ре­са во внеш­ние и на­о­бо­рот. Ста­ти­че­ский режим необ­хо­дим, если ком­пью­те­ры внут­рен­ней сети ра­бо­та­ют в ка­че­стве сер­ве­ров Internet.

Ста­ти­че­ский режим с ди­на­ми­че­ской вы­бор­кой IP-ад­ре­сов ана­ло­ги­чен ста­ти­че­ско­му, за ис­клю­че­ни­ем того, что за внут­рен­ни­ми ком­пью­те­ра­ми не за­креп­ля­ют­ся за­ра­нее (ста­ти­че­ски) опре­де­лен­ные внеш­ние IP-ад­ре­са, они ре­зер­ви­ру­ют­ся ди­на­ми­че­ски из пула внеш­них IP-адресов.

Ком­би­ни­ро­ван­ный режим под­ра­зу­ме­ва­ет од­но­вре­мен­ное ис­поль­зо­ва­ние сразу несколь­ких вы­ше­пе­ре­чис­лен­ных ре­жи­мов и пред­на­зна­чен для сетей, где име­ют­ся как кли­ен­ты, так и сер­ве­ры Internet.

По­ми­мо общих недо­стат­ков шлю­зов се­ан­со­во­го уров­ня (см. ниже) шлю­зам NAT при­сущ свой спе­ци­фи­че­ский изъян: они не под­дер­жи­ва­ют се­те­вые при­ло­же­ния, па­ке­ты при­клад­но­го уров­ня ко­то­рых со­дер­жат IP-ад­ре­са. Един­ствен­ным ис­клю­че­ни­ем яв­ля­ет­ся сер­вис ftp, для ко­то­ро­го боль­шин­ство шлю­зов NAT умеет кон­тро­ли­ро­вать (и из­ме­нять) IP-ад­ре­са внут­ри па­ке­тов при­клад­но­го уровня.

Вто­рым недо­стат­ком шлю­зов NAT можно на­звать то, что они не под­дер­жи­ва­ют аутен­ти­фи­ка­цию на уровне поль­зо­ва­те­лей, а толь­ко на уровне IP-ад­ре­сов, что де­ла­ет их уяз­ви­мы­ми для атак по типу IP-spoofing. Кроме того, шлюзы NAT не могут предот­вра­тить атаки типа «отказ в об­слу­жи­ва­нии», в част­но­сти SYN-flooding, по­это­му их имеет смысл при­ме­нять толь­ко сов­мест­но с дру­ги­ми ти­па­ми шлю­зов се­ан­со­во­го и/или при­клад­но­го уров­ней. Кроме шлю­зов NAT до­ста­точ­но из­вест­ны шлюзы IPX/IP, пред­на­зна­чен­ные для ор­га­ни­за­ции вы­хо­да в Internet ком­пью­те­ров, ра­бо­та­ю­щих в сетях IPX/SPX. При за­про­се кли­ен­та внут­рен­ней сети к сер­ве­ру Internet шлюз пе­ре­хва­ты­ва­ет за­прос и вме­сто па­ке­та IPX фор­ми­ру­ет со­от­вет­ству­ю­щий IP-па­кет. При по­ступ­ле­нии от­кли­ка от сер­ве­ра шлюз де­ла­ет об­рат­ное пре­об­ра­зо­ва­ние. По­жа­луй, это самый на­деж­ный тип шлю­зов, по­сколь­ку внут­рен­няя сеть имеет прин­ци­пи­аль­но дру­гую, по срав­не­нию с TCP/IP, про­грамм­ную среду. Не было от­ме­че­но еще ни од­но­го слу­чая взло­ма такой ин­фра­струк­ту­ры. Кроме того, в от­ли­чие от шлю­зов NAT, аутен­ти­фи­ка­ция на шлю­зах IPX/IP осу­ществ­ля­ет­ся не толь­ко на уровне се­те­вых ад­ре­сов ком­пью­те­ров, но и на уровне поль­зо­ва­те­лей с по­мо­щью ин­фор­ма­ции база дан­ных NDS (для NetWare 4.x и 5.x) или BINDERY (для NetWare 3.x). Прав­да, такая аутен­ти­фи­ка­ция воз­мож­на лишь при до­сту­пе из внут­рен­ней сети в Internet, за ис­клю­че­ни­ем слу­чая, когда внеш­ний кли­ент ис­поль­зу­ет NetWare на ос­но­ве TCP/IP.