Что такое шлюз уровня цепи?

Прочитано: 61 раз(а)


Шлюз уровня цепи (CLG) — это функция брандмауэра, которая действует как прокси-сервер и фильтрует пакеты на основе информации о сеансе. CLG важны, поскольку они обеспечивают специализированную фильтрацию безопасности и предотвращают обнаружение IP-адресов и открытых портов на устройствах, защищенных CLG. Лучшие варианты использования основаны на том, как работают CLG, их плюсах и минусах, а также на том, чем они отличаются от других потенциальных решений.

Как работают шлюзы уровня цепи

CLG создают контролируемые мосты между двумя сетями, которые отслеживают, проверяют и фильтруют коммуникационные пакеты без проверки их содержимого. Он работает на сеансовом уровне модели взаимодействия открытых систем (OSI), а также между прикладным и транспортным уровнями модели протокола управления передачей/протокола Интернета (TCP/IP). CLG зависят от двух ключевых функций: возможности прокси-сервера и проверки пакетов с учетом состояния, чтобы блокировать нежелательную связь.

Успешная реализация шлюза на уровне канала защищает от неограниченного обмена данными, что может привести к зондированию сети, доставке вредоносного ПО и другим атакам. CLG можно комбинировать с потоками угроз для информирования политик безопасности, которые блокируют известные вредоносные URL-адреса и IP-адреса.

CLG не могут обнаруживать атаки; однако они просто отбрасывают пакеты, поскольку они не соответствуют записям связи. Это эффективно блокирует многие методы, используемые для исследования сетей и открытия портов для потенциальных атак. Отброшенные пакеты также защищают от многих различных типов распределенных атак типа «отказ в обслуживании» (DDoS), которые пытаются использовать ресурсы сервера с помощью TCP-пакетов, не связанных с установленными соединениями, таких как ACK-флуды и SYN-флуды.

Ключевые особенности шлюза на уровне канала

Шлюзы уровня цепи предоставляют очень узкое решение сетевой безопасности для управления коммуникационными соединениями. Это решение применяет политики безопасности к двум ключевым функциям: возможности прокси-сервера и проверке состояния.

Возможность прокси

CLG получает первоначальные запросы на связь от клиента на одной стороне CGL к хосту на другой стороне. CLG проверяет запрос на соответствие соответствующим правилам входящей или исходящей связи, и авторизованные запросы приводят к установлению соединения TCP или протокола пользовательских дейтаграмм (UDP) между клиентом и CLG.

Далее CLG действует как прокси-сервер для связи с хостом от имени клиента. Он выполняет процесс установления связи для завершения аутентификации и авторизации на хосте. Успешное соединение приведет к второму прямому соединению TCP или UDP между CLG и хостом, соединенному внутренним мостом с клиентским соединением. CLG не выполняет дальнейших проверок пакетов в этом сообщении на протяжении всего его существования.

Судя по всему, трафик исходит из CLG, поэтому шлюз видят и хосты, и клиенты. Однако ни один из них не может исследовать или заглянуть за ворота, которые сохраняют секретность внутренней архитектуры.

Проверка пакетов с отслеживанием состояния

CLG ведут учет всех открытых коммуникационных соединений, что позволяет проверять пакеты с учетом состояния. CLG сравнивает любой поступающий пакет с этими записями и просто отбрасывает любой пакет, не связанный с установленными каналами, если только это не запрос на установление нового соединения. Записи сеанса включают протоколы, номера портов, тайм-ауты, IP-адреса источника и назначения и удаляют информацию после завершения сеанса.

Проверка с отслеживанием состояния игнорирует содержимое пакетов, что обеспечивает быстрый анализ и высокую пропускную способность данных. К сожалению, это также означает, что вредоносный контент свободно проходит через законно установленные каналы связи.

Варианты использования шлюза на уровне канала

Используйте CLG для обеспечения целенаправленной безопасности связи, которая поддерживает высокую пропускную способность данных, скрывает детали сети и проверяет законный трафик. Поскольку они обеспечивают узкую безопасность, варианты использования должны сочетать функции CLG с другими решениями безопасности, такими как межсетевые экраны с фильтрацией пакетов , межсетевые экраны следующего поколения (NGFW) или доступ к сети с нулевым доверием (ZTNA), которые защищают от более широких атак.

Защита сети

К 1990 году компания AT&T Bell Laboratories разработала первый межсетевой экран с отслеживанием состояния , который они назвали шлюзами уровня канала, для защиты и мониторинга сеансов связи. Сегодня CLG представляют собой подмножество функций проверки с учетом состояния, принятых во многих типах межсетевых экранов , и должны быть реализованы как одна из многих функций межсетевых экранов, которые защищают локальные, виртуальные и облачные сети.

Сегментация сети

Используйте функцию CLG межсетевого экрана на основе хоста на маршрутизаторе, чтобы обеспечить дополнительную защиту и сегментацию сети. Такая сегментация может изолировать исследовательские лаборатории, системы обработки кредитных карт или аналогичные регулируемые или ценные ресурсы, которые требуют изоляции от менее конфиденциального сетевого трафика.

Защита приложений

Некоторые поставщики встраивают возможности CLG в приложения, чтобы обеспечить дополнительную защиту предприятия. Например, IBM использует протокол SOCKS для обеспечения фильтрации и защиты CLG системы баз данных Db2. Такие возможности обеспечивают строгий контроль над высокоскоростной связью, а также скрывают детали инфраструктуры для базы данных (или других приложений).

5 преимуществ шлюзов канального уровня

Функции шлюза на уровне канала обеспечивают явные преимущества в области безопасности и эксплуатации:

  • Незаметные соединения: реализует простой прокси-сервер для всех соединений, который скрывает IP-адреса и информацию о портах защищаемых ресурсов.
  • Высокая пропускная способность. Использует простые правила фильтрации на основе установленных сеансов связи, чтобы быстро разрешать или отбрасывать пакеты и поддерживать высокоскоростную передачу данных.
  • Низкое использование ресурсов: обрабатывает решения по пакетным правилам с низкими требованиями к памяти и процессору, что обеспечивает экономичное развертывание или сочетание нескольких функций.
  • Выборочная фильтрация: пытается фильтровать только пакеты, связанные с установленной связью, и может просто и быстро отбрасывать все несвязанные пакеты без какого-либо анализа правил.
  • Упрощенная эксплуатация: требует простой настройки с относительно упрощенными правилами, что упрощает установку, внесение изменений, обслуживание и тестирование.

5 недостатков шлюзов уровня цепи

У CLG есть пять общих недостатков:

  • Добавляет накладные расходы: замедляет пропускную способность данных при трансляции прокси и проверке информации о сеансе по сравнению с более простыми правилами фильтрации пакетов.
  • Чувствительность к изменениям: опирается на установленные IP-адреса, имена хостов и имена процессов, поэтому базовые CLG могут с трудом обнаруживать и успевать за изменениями в сети.
  • Недостаток осведомленности: проверяет только информацию о сеансе и, следовательно, не имеет понимания приложений или данных приложений для защиты от атак с использованием установленных соединений.
  • Чрезмерно разрешительный: устанавливает любой запрос на связь, разрешенный установленными правилами, без проверки известных вредоносных URL-адресов или IP-адресов.
  • Упрощенная безопасность: основное внимание уделяется установлению соединений и соответствующей информации о сеансе без какой-либо проверки вредоносных полезных данных в пакетах данных.

Поставщики не производят автономные устройства CLG, поэтому большинство межсетевых экранов с поддержкой CLG объединяют функции CLG с другими функциями безопасности, которые компенсируют недостатки безопасности CLG.

Шлюзы уровня цепи и альтернативы CLG

Шлюзы на уровне канала предоставляют одну из нескольких функций прокси в межсетевых экранах и повышают безопасность сетевых маршрутизаторов и других устройств. Большинство администраторов используют CLG в сочетании с другими функциями; вот краткое сравнение с другими решениями для обеспечения безопасности и сегментации сети, включая фильтрацию пакетов, шлюзы уровня приложений, проверку состояния и программно-определяемые глобальные сети (SD-WAN).

Шлюзы на уровне канала и фильтрация пакетов

CLG обеспечивают специализированную фильтрацию пакетов с отслеживанием состояния, ориентированную на проверку и фильтрацию TCP/IP. Используйте простые функции фильтрации пакетов , чтобы активировать более общие правила безопасности, реализующие более широкий спектр мер безопасности с минимальным ущербом для пропускной способности данных. Правила фильтрации пакетов включают списки разрешенных и запрещенных пакетов (также известные как белые и черные списки ), закрытые порты и запрещенные протоколы.

Шлюзы уровня цепи и шлюзы уровня приложения

CLG проверяют связь TCP/IP и могут блокировать несанкционированную связь, но ограничивают фильтрацию на основе информации заголовка сеанса. Используйте шлюзы прикладного уровня (ALG), чтобы обеспечить проверку пакетов данных на прикладном уровне, которая может обнаруживать и блокировать вредоносные атаки и кражу конфиденциальных данных.

Шлюзы уровня цепи и проверка состояния

CLG используют специализированную проверку состояния в сочетании с функциями прокси-сервера для изоляции сети за CLG и выполнения специализированной проверки связи. Когда пропускная способность данных может допускать некоторое замедление, реализуйте более общие функции проверки состояния для защиты от более широкого спектра злонамеренных атак на протоколы и связь.

Шлюзы уровня цепи и SD-WAN

Некоторые администраторы будут использовать CLG для создания сегментов сети, изолированных и скрытых от остальной сети. Несмотря на свою эффективность, CLG могут быть неуклюжими в управлении. В более быстро меняющейся среде без необходимости проверки пакетов используйте технологию SD-WAN для более быстрой и эффективной централизации и автоматизации сегментации сети.

Итог: используйте CLG для быстрой безопасности

Шлюзы на уровне каналов быстро фильтруют пакетный трафик, чтобы сохранить высокоскоростную пропускную способность данных, но с ограниченной защитой безопасности. К счастью, эти возможности прекрасно вписываются в набор других функций и решений безопасности. Используйте CLG для повышения производительности других инструментов безопасности за счет быстрого уменьшения количества анализируемых пакетов для более глубокого и гораздо более медленного анализа.

Что такое шлюз уровня цепи?



Новости партнеров