Посредники прикладного уровня
Посредники прикладного уровня практически ничем не отличаются от шлюзов сеансового уровня, за одним исключением. Они также осуществляют посредническую функцию между двумя узлами, исключая их непосредственное взаимодействие, но позволяют проникать в контекст передаваемого трафика, так как функционируют на прикладном уровне. Межсетевые экраны, построенные по этой технологии, содержат т.н. посредников приложений (application proxy), которые, «зная», как функционирует то или иное приложение, могут обрабатывать сгенерированный ими трафик. Таким образом, эти посредники могут, например, разрешать в исходящем трафике команду GET (получение файла) протокола FTP и запрещать команду PUT (отправка файла) и наоборот. Еще одно отличие от шлюзов сеансового уровня — возможность фильтрации каждого пакета.
Однако, как видно из приведенного описания, если для какого-либо из приложений отсутствует свой посредник приложений, то межсетевой экран не сможет обрабатывать трафик такого приложения, и он будет отбрасываться. Именно поэтому так важно, чтобы производитель межсетевого экрана своевременно разрабатывал посредники для новых приложений, например для мультимедиа-приложений.
| Достоинства | Недостатки |
| Анализ на прикладном уровне и возможность реализации дополнительных механизмов защиты (например, анализ содержимого) Исключение прямого взаимодействия между двумя узлами Высокий уровень защищенности Контроль состояния соединения | Невозможность анализа трафика от «неизвестного» приложения Невысокая производительность Уязвимость к атакам на уровне ОС и приложений Требование изменения модификации клиентского ПО Не всегда есть посредник для приложений на базе протоколов UDP и RPC Двойной анализ — на уровне приложения и уровне посредника |
Рис 3 «Посредник прикладного уровня»