МЭ прикладного уровня осуществляет посреднические услуги по передаче данных и команд прикладного уровня двумя компьютерами в сети. Посредничество заключается в том, что связь между двумя компьютерами физически осуществляется через систему-посредника и реально состоит из двух соединений прикладного уровня. В общих чертах принцип работы МЭ прикладного уровня такой же как и у МЭ уровня соединения, однако, функционирование происходит на более высоком уровне и существует возможность поддержки специальных протоколов безопасности (SSH, SSL, S/MIME, SOCKS и др.).
Прежде всего, необходимо отметить, что в отличие от МЭ уровня соединения, ориентированного на единственный протокол TCP, МЭ прикладного уровня существует много - под каждый протокол прикладного (и сеансового) уровня. Каждый МЭ допускает и защищает только тот протокол, который он поддерживает (тем самым реализуется политика "запрещено все, что не разрешено"). Наиболее популярные поддерживаемые МЭ протоколы можно разделить на следующие группы:
· гипертекстовые протоколы - HTTP, SHTTP, HTTPS, Gopher;
· протокол пересылки файлов - FTP;
· почтовые протоколы - SMTP, POP3, IMAP, NNTP;
· протоколы удаленного доступа - Telnet, rlogin, rsh, rexec, RPC, XWindow;
· протокол сетевой файловой системы - NFS, NetBEUI;
· протокол службы имен - DNS;
· "безопасные" протоколы сеансового уровня - SSH, SSL, S/MIME, SOCKS.
Так как МЭ функционирует на прикладном уровне, то у него существуют большие возможности по фильтрации прикладных команд и данных. Например, для протокола FTP возможно запрещение команды "put" - команды записи файла на сервер. Возможна организация разграничения доступа к объектам сервера дополнительно к возможностям самого сервера по разграничению доступа.
Если МЭ поддерживает "безопасный" протокол, то возможно поддержание конфиденциальности и целостности передаваемых через внешнюю сеть данных путем шифрования данных и вычисления криптографических контрольных сумм (т.е. туннелируя трафик прикладного уровня). В этом случае компьютер-инициатор тоже должен поддерживать тот же самый "безопасный" протокол (удаленная защищенная рабочая станция) либо необходим еще один МЭ прикладного уровня, поддерживающий тот же самый "безопасный" протокол (виртуальная частная сеть - VPN).
Способ реализации схемы усиленной аутентификации компьютера-инициатора и пользователя зависит от используемого протокола, поддержка МЭ (и компьютером-инициатором) "безопасного" протокола позволяют не только увеличить надежность аутентификации, но и унифицировать процесс аутентификации.
Следует также отметить, что компьютер-инициатор в начале сеанса связи передает МЭ имя компьютера-адресата и запрашиваемого сервиса (в общем случае - URL), т.е. связь с через МЭ может осуществляется от многих ко многим. Способ передачи этого имени зависит от используемого протокола. Здесь же может передаваться и имя пользователя, с правами которого будет осуществляться доступ. В схеме передачи данных между двумя соединениями вместо простого копирования используется техника высокоуровневой фильтрации, трансляции и кэширования данных (протокольный автомат).
К преимуществам МЭ прикладного уровня (по сравнению с другими методами фильтрации) следует отнести следующие:
· возможность усиленной аутентификации компьютера-инициатора и пользователя;
· возможность защиты от подмены во время связи аутентифицированного компьютера-инициатора;
· защита на уровне приложений позволяет осуществлять большое количество дополнительных проверок, снижая тем самым вероятность атаки с использованием "дыр" в конкретном программном обеспечении;
· возможна защита целостности и конфиденциальности передаваемых данных и команд;
· фильтрация пересылаемых команд и данных;
· большая гибкость в протоколировании передаваемых команд и данных;
· возможность кэширования данных.
Основным недостатком МЭ этого типа является необходимость в существовании нескольких МЭ для разных сервисов.
