ГОСТ Р ИСО/МЭК 27033-4-2021. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 4. Обеспечение безопасности межсетевого взаимодействия с использованием шлюзов безопасности

9.4 Межсетевой экран уровня приложений

МЭ уровня приложений анализирует обмен данными по протоколу прикладного уровня. Например, МЭ уровня веб-приложений будет содержать правила, которые представляют корректную работу HTTP. Решение о том, разрешить ли HTTP-запрос или HTTP-ответ, может основываться как на состоянии HTTP-разговора (например, подходит ли этот ответ для ранее увиденного запроса?), так и на некотором конкретном шаблоне данных (например, присутствуют ли символы, характерные для атаки типа "SQL-инъекция"?).

Если МЭ уровня приложений должен функционировать при зашифрованной связи, такими средствами как SSL/TLS, то на МЭ уровня приложений должно быть исключено сквозное шифрование, чтобы он мог фильтровать данные приложения в открытом виде. Тогда МЭ уровня приложений должен управлять парой зашифрованных каналов связи между источником и получателем. Если целостность такого МЭ уровня приложений будет нарушена, то при доверии пользователей к защите на основе сквозного шифрования последствия будут особенно серьезными.

МЭ устраняют некоторые из угроз, описанных в разделе 7, например, несанкционированное использование ресурсов и активов организации, ограничивая доступ к приложению или компьютеру конечным набором определенных задач внутри самого прокси-сервера.

Использование МЭ уровня приложений поддерживает качественный контроль безопасности, поскольку обеспечивает осведомленность на уровне приложений о попытках соединения, проверяя все на самом высоком уровне стека протоколов. МЭ уровня приложений может быть реализован в составе прокси-сервера приложений, что может ускорить отклик и уменьшить дублирование трафика. Служба прокси-сервера приложений имеет полную видимость на уровне приложений и, соответственно, может заранее просматривать подробные сведения о каждом ранее предпринятом соединении и соответствующим образом реализовывать политики безопасности. Службы прокси-сервера приложений также имеют встроенную прокси-функцию - завершение клиентского соединения на шлюзе приложений и инициирование нового соединения с внутренней защищенной сетью. Работа прокси-сервера обеспечивает дополнительную безопасность, поскольку он разделяет внешнюю и внутреннюю системы и затрудняет использование уязвимостей внутренних систем организации злоумышленникам извне. Зашифрованные сквозные соединения не могут напрямую проходить через МЭ уровня приложений, но в МЭ уровня приложений они существуют в виде двух зашифрованных потоков с сообщением в открытом виде. Это делает МЭ уровня приложений особенно привлекательным в качестве цели атаки, с которой можно запускать атаки типа "человек посередине" на зашифрованные соединения.

Во многие МЭ уровня приложений встроены как традиционные службы прокси-сервера, так и возможности прокси-сервера, часто называемые "глубокой проверкой пакетов" или "контролем приложений". Они осведомлены о приложении и могут разрешать только определенные функции в приложении или применять дополнительные меры обеспечения ИБ (например, антивирусное сканирование файлов, передаваемых в приложении, или блокирование видеовызова в клиентах службы мгновенных сообщений).

Защищенные шлюзы, использующие прокси-сервер приложений, обеспечивают максимальную безопасность с единственным недостатком, заключающимся в том, что дополнительные средства защиты могут отрицательно влиять на производительность. Кроме того, для новых служб часто требуется время, прежде чем прокси-сервер станет доступным для них.