ISA - Изучаем ISA Server | icuwa, web сервер, proxy сервер

Фильтрация уровня приложения (Application-layer filtering, ALF) осуществляется прикладными шлюзами, которые также называются прикладными прокси. Брандмауэры с фильтрацией уровня приложения работают на уровне приложения модели OSI и могут анализировать содержимое данных, например адрес URL, содержащийся в HTTP-сообщении, или команду, содержащуюся в FTP-сообщении. Иногда эффективнее бывает фильтрация пакетов, основанная на информации, содержащейся в самих данных. Фильтры пакетов и фильтры уровня канала не используют содержимое информационного потока при принятии решений о фильтрации, но это можно сделать с помощью фильтрации уровня приложения. Фильтр уровня приложения работает на верхнем уровне сетевой модели — уровне приложения. Фильтры уровня приложения могут использовать информацию из заголовка пакета, а также содержимого данных и информации о пользователе. Администраторы могут использовать фильтрацию уровня приложения для контроля доступа на основе идентичности пользователя и/или на основе конкретной задачи, которую пытается осуществить пользователь. В фильтрах уровня приложения можно установить правила на основе отдаваемых приложением команд. Например, администратор может запретить конкретному пользователю скачивать файлы на конкретный компьютер с помощью FTP или разрешить пользователю размещать файлы через FTP на том же самом компьютере. Это возможно, потому что в зависимости от того, получает ли пользователь файлы с сервера или размещает их там, используются различные команды. Многие эксперты в области брандмауэров считают прикладные шлюзы наиболее безопасными среди всех технологий фильтрации, потому что используемые в них критерии охватывают больший диапазон, чем другие методы. Иногда хакеры пишут вредоносные программы, в которых используется адрес порта авторизованного приложения, например порта 53 (адрес службы DNS). Фильтр пакетов или фильтр уровня канала не смогут распознать, что это фальсифицированный DNSзапрос или ответ, и пропустят его. Фильтр уровня приложения способен проанализировать содержимое пакета и определить, что его не следует пропускать. Но в этом типе фильтрации также есть свои недостатки. Самая большая проблема состоит в том, что для каждой службы Интернета должен быть определен отдельный прикладной шлюз, поддерживаемый брандмауэром, а это создает дополнительную работу по конфигурированию.