Посредники прикладного уровня

Посредники прикладного уровня практически ничем не отличаются от шлю­зов сеансового уровня, за одним исключением. Они также осуществляют по­средническую функцию между двумя узлами, исключая их непосредственное взаимодействие, но позволяют проникать в контекст передаваемого трафика, так как функционируют на прикладном уровне. Межсетевые экраны, построен­ные по этой технологии, содержат т.н. посредников приложений (application pro­xy), которые, «зная», как функционирует то или иное приложение, могут обра­батывать сгенерированный ими трафик. Таким образом, эти посредники могут, например, разрешать в исходящем трафике команду GET (получение файла) протокола FTP и запрещать команду PUT (отправка файла) и наоборот. Еще одно отличие от шлюзов сеансового уровня — возможность фильтрации каждо­го пакета.

Однако, как видно из приведенного описания, если для какого-либо из прило­жений отсутствует свой посредник приложений, то межсетевой экран не сможет обрабатывать трафик такого приложения, и он будет отбрасываться. Именно по­этому так важно, чтобы производитель межсетевого экрана своевременно разра­батывал посредники для новых приложений, например для мультимедиа-прило­жений.

Рис 3 «Посредник прикладного уровня»