Перенаправление трафика: что это такое, где и как применяется
Узнать большеКаждая компания должна обеспечивать безопасность локального информационного периметра и стабильное соединение между устройствами, организовывать беспроблемный доступ в интернет для работников, контролировать весь циркулирующий трафик. Эти задачи можно решить с помощью устройств типа Gateway (шлюзов веб-безопасности). Разберемся, что это за продукты, какими они бывают, как функционируют и для чего применяются.
Что такое Gateway (шлюзы)
Это специализированные инструменты, предназначенные для организации взаимодействия сетевых устройств или разнородных сетей. Они могут быть как аппаратными, так и программными. Решения первого типа представляют собой физическое оборудование (например, маршрутизатор), которое включает в себя уже и весь комплект необходимого железа, и ПО. Этот вариант подойдет, если в инфраструктуре изначально не было никаких решений класса Gateway (шлюз). Программные решения могут устанавливаться на уже имеющееся оборудование, но это требует специальных навыков администраторов. К тому же у программных решений в силу несовместимости с некоторыми аппаратными решениями может отсутствовать ряд функций.
Типы шлюзов (Gateway):
- Сетевой шлюз — определенная точка сети (узел), служащая «порталом» в другую сеть, работает на нижних уровнях сетевой модели (L3-L4). Пример такого шлюза: сервер, который контролирует циркуляцию трафика между внутренней сетью и глобальной.
- Интернет-шлюз для предприятий — устройство, главной задачей которого является работа с трафиком на уровне приложений (L7), чаще всего по протоколу HTTP(S). Такие решения часто используются для распределения и ограничения пользовательского доступа к тем или иным веб-ресурсам.
- Промежуточный Gateway (шлюз) — маршрутизатор или операционная система, поддерживающие цепочки туннелей.
Также существует шлюзы, обеспечивающие соединение между областями сетей, использующих разные типы протоколов. Часто в их роли выступают свитчи, коммутаторы и маршрутизаторы.
Протоколы связи, используемые в Gateway (шлюзах)
Шлюзы работают с разными типами протоколов, поэтому остановимся на самых распространенных.
TCP/IP
Полное название протокола — Transmission Control Protocol / Internet Protocol. Это модель связи, которая широко эксплуатируется в интернете и помогает упорядочить обмен данными. Ее ключевые функции: передача данных между устройствами, как отдельными конечными точками, так и серверами.
TCP/IP диктуют правила связи между устройствами и позволяют обмениваться информацией сетям, использующим разные технологии передачи данных на более высоких уровнях сетевой модели. И главное достоинство таких протоколов — отсутствие зависимости от особенностей аппаратного обеспечения.
HTTP
Это протокол Hypertext Transfer Protocol текстового формата, который умеет передавать различные файлы: документы, видео, картинки и т.д. Он работает на прикладном уровне модели OSI и позволяет приложениям пересылать друг другу данные. Этот инструмент клиент-серверного взаимодействия часто используется в Gateway (шлюзах) и заложен в основу обмена сведениями в интернет-пространстве.
FTP
Протокол File Transfer Protocol часто применяется Gateway (шлюзами) и на первый взгляд по функциональным возможностям очень похож на HTTP, но заточен под файлы большого размера. Он тоже необходим для передачи данных разных форматов, например, изображений, файлов и программ, видеороликов и т.д.
Защищенные HTTPS и FTPS
File Transfer Protocol + SSL — вариант FTP, который поддерживает криптографическое шифрование передаваемых данных, как и усовершенствованная версия HTTP — HyperText Transfer Protocol Secure, которая позволяет шифровать информацию и тем самым снижать риск ее перехвата.
SOCKS — сетевой протокол сеансового уровня модели OSI, который позволяет пересылать пакеты от клиента к серверу через прокси-сервер прозрачно и без добавления собственных данных.
Сетевые технологии Gateway шлюзов
Чаще всего используется одна из четырех технологий:
- VPN — технология, с помощью которой можно безопасно пользоваться интернетом. Благодаря виртуальной частной сети Virtual Private Network создается засекреченное соединение между пользовательским устройством и сервером VPN. В процессе сеанса реальные IP-координаты остаются «за кадром», то есть нигде не фигурируют.
- LAN — локальная сеть, то есть объединение нескольких различных устройств (не обязательно компьютеров). Технология Local Area Network Gateway шлюзов будет полезна в небольших офисах, учебных компьютерных классах и т.д.
- WAN — технология шлюзов, позволяющая организовывать соединения для хранилищ и приложений, офисов, центров обработки информации и т.д. Она называется глобальной вычислительной сетью, поскольку в отличие от Local Area Network подразумевает выход за пределы одного здания. То есть Wide Area Network объединяет устройства из разных местоположений.
- WLAN — технология Gateway шлюзов Wireless LAN, которая позволяет строить беспроводные локальные сети. Обмен данными в них происходит через радиоэфиры. Пример такой технологии — Wi-Fi.
Применение Gateway (шлюзов)
Ключевые задачи шлюзов:
- Защита локальных сетей от угроз из глобальной. Она обеспечивается двумя путями: благодаря шифрованию трафика и прохождению информации через прокси-серверы. Таким образом удается предотвратить случаи неправомерного доступа с внешних веб-ресурсов. С этой целью применяются брандмауэры, и решения класса SWG (Secure Web Gateway).
- Сохранение конфиденциальности. «Промежуточное звено» между внутренней и внешней сетями позволяет предотвратить случаи перехвата данных при передаче, блокирует утечки.
- Создание стабильной домашней или офисной сети. Gateway (шлюзы) умеют кэшировать данные и отсекать трафик, поэтому способствуют регулярному соединению, на качество которого практически не влияют внешние факторы.
Помимо этого, Gateway (шлюзы) могут входить в экосистему облачных вычислений и играть важную роль в оркестрации сервисов и управлении взаимодействиями между ними.
Пример надежного многофункционального шлюза SWG — Solar webProxy. Он умеет разграничивать доступ к веб-ресурсам, используя встроенный категоризатор, фильтровать информацию и блокировать сомнительные пакеты данных за счет межсетевого экрана. В основе инструмента лежат прямой и обратный прокси, которые позволяют проверять трафик HTTPS и контролировать доступ удаленных пользователей к внутренним ресурсам компании.
