Шлюзы прикладного уровня
Шлюз прикладного уровня исключает прямое взаимодействие между авторизованным клиентом и внешним хостом. Шлюз фильтрует все входящие и исходящие пакеты на прикладном уровне.
По сравнению с работающими в обычном режиме, при котором прикладной трафик пропускается непосредственно к внутренним хостам, шлюзы прикладного уровня имеют ряд преимуществ. Главное заключается в невидимости структуры защищаемой сети из глобальной сети Internet, Имена внутренних систем можно не сообщать внешним системам через DNS, поскольку шлюз прикладного уровня может быть единственным хостом, имя которого будет известно внешним системам.
Недостаткам шлюзов уровня приложений является относительно низкая производительность по сравнению с фильтрующими маршрутизаторами.
Межсетевой экран может защитить вас, от несанкционированной передачи данных с вашего компьютера или приема вашим компьютером пакетов, обработка которых может привести к его блокировке. Он может предупредить вас о попытках использовать ресурсы вашего компьютера, о которых вы не знали, помочь вам узнать, какие ресурсы ваш компьютер предоставляет другим компьютерам в Internet, а также предоставить вам средства контроля, за тем, кто устанавливает соединение с вашим компьютером или с кем устанавливает соединение ваш компьютер.
Если с функцией пакетного фильтра часто справляется маршрутизатор, а proxy-сервера не предназначены для защиты локальной сети (а только для изоляции ее от глобальной сети), то мощные межсетевые экраны (firewall) специально построены для защиты и только для защиты сетей. Они, как правило, включают в себя все перечисленные ранее элементы: пакетные фильтры с их набором правил фильтрации, набор proxy прикладного уровня и еще средства анализа входящих приложений. Анализ включает поиск специальных команд относящимся, например, к FTP-сервисам. Эти команды, попадая к вам в процессе скачивания вами файла, в FTP-сеансе позволяют атакующему попасть к вам на компьютер или в сеть и порезвиться там. Межсетевые экраны, такие как CheckPoint FireWall-1 позволяют «на лету» вылавливать вирусы, производить идентификацию сторонних пользователей, шифрование и дешифрацию трафика и блокировать выполнение JavaScript-сценариев и ActivX-приложений.
Прокси-сервер
«Рroxy-сервер» не является классическим Firewall (огненной стеной), поскольку защита сети не входит в его функции. Сеть защищена своей изоляцией от Internet. А «proxy-сервер» позволяет пользователям этой изолированной сети выходить в Internet, используя единственный подключенный компьютер. Есть и еще одно объяснение концепции «proxy-серверов».
Proxy-серверы разрывают прямое соединение между клиентом и сервером, при этом все внутренние IP-адреса сети отображаются на один - единственный «надежный» IP-адрес. Злоумышленнику известен только этот адрес, поэтому атаки с подменой адресов становятся невозможны. Любой прокси - сервер состоит из множества специфических посредников для конкретных приложений. Он состоит: из посредника HTTP для страниц Web, посредника ftp, посредника SMTP/POP для электронной почты; посредника NNTP для серверов новостей, посредника RealAudio/Real-Video и т. д. Каждый из этих посредников принимает пакеты только тех служб, для копирования, передачи и фильтрации которых он создан.