По­сред­ни­ки при­клад­но­го уровня

По­сред­ни­ки при­клад­но­го уров­ня (application-level proxy), часто на­зы­ва­е­мые proxy-сер­ве­ра­ми, кон­тро­ли­ру­ют и филь­тру­ют ин­фор­ма­цию на при­клад­ном уровне иерар­хии OSI (см. Ри­су­нок 4). По­сред­ни­ки раз­ли­ча­ют по под­дер­жи­ва­е­мым про­то­ко­лам при­клад­но­го уров­ня: чем их боль­ше, тем до­ро­же про­дукт. Наи­бо­лее часто под­дер­жи­ва­ют­ся служ­бы Web (HTTP), ftp, SMTP, POP3/IMAP, NNTP, Gopher, telnet, DNS, RealAudio/RealVideo. Когда кли­ент внут­рен­ней сети об­ра­ща­ет­ся, на­при­мер, к сер­ве­ру Web, то его за­прос по­па­да­ет к по­сред­ни­ку Web (или пе­ре­хва­ты­ва­ет­ся им). По­след­ний уста­нав­ли­ва­ет связь с сер­ве­ром от имени кли­ен­та, а по­лу­чен­ную ин­фор­ма­цию пе­ре­да­ет кли­ен­ту. Для внеш­не­го сер­ве­ра по­сред­ник вы­сту­па­ет в ка­че­стве кли­ен­та, а для внут­рен­не­го кли­ен­та — в ка­че­стве сер­ве­ра Web. Ана­ло­гич­но по­сред­ник может ра­бо­тать и в слу­чае внеш­не­го кли­ен­та и внут­рен­не­го сервера.

Ри­су­нок 4. По­сред­ни­ки при­клад­но­го уров­ня опе­ри­ру­ют на при­клад­ном уровне.

По­сред­ни­ки при­клад­но­го уров­ня де­лят­ся на про­зрач­ные (transparent) и непро­зрач­ные. Про­зрач­ные по­сред­ни­ки неви­ди­мы для кли­ен­тов и сер­ве­ров: кли­ент об­ра­ща­ет­ся к сер­ве­ру самым обыч­ным об­ра­зом, а по­сред­ник пе­ре­хва­ты­ва­ет за­прос и дей­ству­ет от лица кли­ен­та. Осо­бой по­пу­ляр­но­стью поль­зу­ют­ся про­зрач­ные по­сред­ни­ки для сер­ви­са Web, их неред­ко уста­нав­ли­ва­ют про­вай­де­ры Internet в целях по­вы­ше­ния про­из­во­ди­тель­но­сти ра­бо­ты и сни­же­ния на­груз­ки на гло­баль­ные ка­на­лы связи за счет кэ­ши­ро­ва­ния информации.

В слу­чае непро­зрач­ных по­сред­ни­ков кли­ент­скую си­сте­му тре­бу­ет­ся явным об­ра­зом на­стро­ить на ра­бо­ту с по­сред­ни­ком (на­при­мер, при ис­поль­зо­ва­нии непро­зрач­но­го по­сред­ни­ка Web в оп­ци­ях на­строй­ки бра­у­зе­ров необ­хо­ди­мо ука­зать IP-ад­рес по­сред­ни­ка и при­сво­ен­ный ему порт TCP). Непро­зрач­ные по­сред­ни­ки хо­ро­ши там, где тре­бу­ет­ся стро­гая аутен­ти­фи­ка­ция при входе во внут­рен­нюю сеть или на вы­хо­де из нее, осо­бен­но для служб, не под­дер­жи­ва­ю­щих шиф­ро­ва­ние па­ро­лей. Обыч­но это служ­бы telnet и ftp, при этом за­дей­ству­ет­ся си­сте­ма од­но­ра­зо­вых па­ро­лей (One-Time Password, OTP) (более по­дроб­но о си­сте­мах OTP см. в ста­тье «Уда­лен­ное управ­ле­ние се­те­вы­ми ОС» в LAN №5 за 1999 г.).

Ри­су­нок 5. Уста­нов­ле­ние со­еди­не­ния telnet с сер­ве­ром tn.​anywhere.​com,  на­хо­дя­щим­ся за меж­се­те­вым экра­ном fw.anywhere.com.

На Ри­сун­ке 5 по­ка­зан ти­пич­ный при­мер ис­поль­зо­ва­ния telnet. Здесь кли­ент с по­мо­щью си­сте­мы OTP уста­нав­ли­ва­ет со­еди­не­ние с сер­ве­ром tn.​anywhere.​com, на­хо­дя­щим­ся за непро­зрач­ным по­сред­ни­ком fw.​anywhere.​com. Поль­зо­ва­тель сна­ча­ла дол­жен за­ре­ги­стри­ро­вать­ся на по­сред­ни­ке, со­об­щив для на­ча­ла свое имя, в ответ на ко­то­рое ему пе­ре­да­ет­ся вызов (673 jar564). С по­мо­щью каль­ку­ля­то­ра OTP поль­зо­ва­тель вы­чис­ля­ет затем па­роль­ную фразу, ко­то­рую и вво­дит в поле Password. Далее он со­об­ща­ет адрес сер­ве­ра, с ко­то­рым со­би­ра­ет­ся уста­но­вить со­еди­не­ние. Сле­ду­ет от­ме­тить, что ре­ги­стра­ции на сер­ве­ре tn.​anywhere.​com не тре­бу­ет­ся, по­сколь­ку меж­се­те­вой экран и дан­ный сер­вер ис­поль­зу­ют общую базу учет­ных за­пи­сей пользователей.