Application Proxy Erklärung - Versionsgeschichte

Thomas.will: /* Gateways auf Anwendungsebene */

2025-11-04T20:49:45Z

Gateways auf Anwendungsebene

Thomas.will am 1. Juli 2025 um 08:06 Uhr

2025-07-01T08:06:56Z

Thomas.will am 1. Juli 2025 um 08:05 Uhr

2025-07-01T08:05:11Z

Thomas.will: /* Gateways auf Anwendungsebene */

2022-08-30T12:26:55Z

Gateways auf Anwendungsebene

Thomas.will: /* Gateways auf Anwendungsebene */

2022-08-30T12:25:43Z

Gateways auf Anwendungsebene

Thomas.will: /* Gateways auf Anwendungsebene */

2022-08-30T12:25:28Z

Gateways auf Anwendungsebene

Thomas.will am 30. August 2022 um 12:01 Uhr

2022-08-30T12:01:26Z

Thomas.will: Die Seite wurde neu angelegt: „=Gateways auf Anwendungsebene= Im Gegensatz zu einem Circuit-Level-Gateway bedient ein Application-Level-Gateway nur ein Anwendungsprotokoll. Um diesen Punkt…“

2022-08-30T11:45:01Z

Die Seite wurde neu angelegt: „=Gateways auf Anwendungsebene= *Im Gegensatz zu einem Circuit-Level-Gateway bedient ein Application-Level-Gateway nur ein Anwendungsprotokoll. *Um diesen Punkt…“

Neue Seite

=Gateways auf Anwendungsebene=
*Im Gegensatz zu einem Circuit-Level-Gateway bedient ein Application-Level-Gateway nur ein Anwendungsprotokoll.
*Um diesen Punkt zu verdeutlichen, stellen Sie sich die Situation vor, in der der Paketfilter einer Firewall alle eingehenden Telnet- und FTP-Sitzungen blockiert, es sei denn, die Sitzungen werden von einem Bastion-Host (der ebenfalls Teil der Firewall-Konfiguration ist) beendet. Der Bastion-Host wiederum hostet ein Anwendungs-Gateway, das auf der Transport- (Leitungs-) oder Anwendungsschicht arbeitet. Die Situation ist in beiden Fällen etwas anders:

Wenn das Anwendungs-Gateway auf der Transportschicht arbeitet, muss ein Circuit-Level-Gateway (z. B. ein SOCKS-Server) auf dem Bastion-Host laufen.

Wenn das Anwendungs-Gateway auf der Anwendungsschicht arbeitet, gibt es grundsätzlich zwei Gateways oder Proxy-Server auf Anwendungsebene, die auf dem Bastion-Host ausgeführt werden müssen (d. h. ein Proxy-Server für Telnet und ein weiterer Proxy-Server für FTP).

In beiden Fällen muss ein Benutzer, der eine eingehende Verbindung zu einem Intranetserver herstellen möchte, seinen Telnet- oder FTP-Client mit dem Anwendungsgateway verbinden, das auf dem Bastion-Host ausgeführt wird. Das Anwendungs-Gateway wiederum würde dann den Benutzer authentifizieren und autorisieren. Im positiven Fall würde er eine sekundäre TCP-Verbindung zum Intranet-Server aufbauen und Anwendungsdaten zwischen den beiden TCP-Verbindungen hin und her leiten. Wenn das Anwendungs-Gateway ein Circuit-Level-Gateway wäre, würde es nicht in die Anwendungsdaten schauen, die es weiterleitet. Wenn das Anwendungs-Gateway jedoch ein Gateway auf Anwendungsebene wäre, würde es den Anwendungsdatenstrom untersuchen und vollständig steuern. Um das Abrufen interner Dateien von Systemen im Internet zu erschweren, könnte beispielsweise ein Gateway auf Anwendungsebene so konfiguriert werden, dass es die Verwendung des FTP-PUT-Befehls zulässt, aber die Verwendung des FTP-GET ablehnt Befehl. In ähnlicher Weise könnte ein Gateway auf Anwendungsebene für HTTP konfiguriert werden, um den Datenverkehr zu überprüfen und Java-Applets und ActiveX-Steuerelemente herauszufiltern, um interne Hosts vor Angriffen durch mobilen Code und Software zu schützen (diese Art der Filterung ist im Fall von Circuit- Level-Gateways).

*Aus Sicht des Clients erfordert die Interaktion mit einem Application Gateway einige zusätzliche Schritte.
*Im Allgemeinen erfordert die Verwendung eines Anwendungs-Gateways einige Anpassungen und Modifikationen entweder der Benutzerverfahren oder der Client-Software:
*Die Anpassung und Änderung der Benutzerprozeduren ist ein einfacher und unkomplizierter Ansatz zur Implementierung der Anwendungsgateway-Unterstützung
*Bei diesem Ansatz stellt der Benutzer zunächst eine Verbindung zum Application Gateway her und fordert dann den Aufbau einer zweiten Verbindung zum Server an. Ein wichtiger Vorteil besteht darin, dass die Anpassung der Benutzerverfahren im Allgemeinen keine Auswirkungen auf die Client-Software erfordert. Angesichts des umfangreichen Vorhandenseins von Client-Software ist dieser Ansatz attraktiv für die Implementierung des Internetzugangs (tatsächlich funktionierten die ersten Internet-Firewalls auf diese Weise). Der Hauptnachteil dieses Ansatzes besteht darin, dass der Benutzer für einen zusätzlichen Schritt geschult werden muss, um sich beim Proxy-Server anzumelden.

Der andere Ansatz zur Implementierung von Anwendungs-Gateway-Unterstützung besteht darin, die Client-Software anzupassen und zu modifizieren (ähnlich dem Prozess der ˜ ˜ Socketsifizierung eines Clients). Der Hauptvorteil dieses Ansatzes besteht darin, dass er Benutzern beim Zugriff auf das Internet und beim Durchqueren von Firewall-Systemen Transparenz bieten kann. Der Hauptnachteil besteht jedoch darin, dass offensichtlich Änderungen an der Client-Software erforderlich sind. Dies ist nicht immer möglich und selten einfach zu bewerkstelligen.

Beachten Sie, dass beide Ansätze schwerwiegende Nachteile haben, da sie eine Anpassung und Modifikation entweder der Benutzerprozeduren oder der Client-Software erfordern. Welcher Ansatz einfacher ist, hängt von der Anwendung, ihrer Verfügbarkeit im Quellcode und der Organisation ab, die die Anwendung verwendet. [fünfzehn]

Vor diesem Hintergrund wäre es schön, eine Firewall zu haben, die alle Software-Modifikationen, die für die Application-Gateway-Unterstützung erforderlich sind, in der Firewall vorhält. In diesem Fall müssten weder die Benutzerprozeduren noch die Client-Software entsprechend angepasst oder modifiziert werden. Diese Idee hat zur Entwicklung transparenter Firewalls geführt.

Kurz gesagt, eine transparente Firewall ist so konfiguriert, dass sie das Netzwerksegment der Firewall auf ausgehende TCP-Verbindungen überwacht und diese Verbindungen autonom im Namen des Clients weiterleitet. Beachten Sie jedoch, dass die Transparenz nicht unbedingt in beide Richtungen gegeben ist. Tatsächlich wird Inbound-Transparenz selten benötigt oder verwendet, da sich Benutzer normalerweise an einem Firewall-System authentifizieren müssen. Beachten Sie auch, dass eine transparente Firewall immer noch erfordert, dass alle Nachrichten

@@ Zeile 1: / Zeile 1: @@
 =Gateways auf Anwendungsebene=
-*Im Gegensatz zu einem Circuit-Level-Proxy bedient ein Application-Level-proxy nur ein Anwendungsprotokoll.
-*Das bedeutet das eine Application Proxy das Anwendungsprotokoll verstehten muss.
+*Ein Application-Level-Gateway (ALG) arbeitet auf der Anwendungsschicht (OSI-Schicht 7).
-*Aus Sicht des Clients erfordert die Interaktion mit ihm einige zusätzliche Schritte.
+*Im Gegensatz zu einem Circuit-Level-Gateway ist ein Application-Level-Gateway auf ein bestimmtes Anwendungsprotokoll spezialisiert (z. B. HTTP, FTP, SMTP oder DNS).
-*Im Allgemeinen erfordert die Verwendung eines ihm einige Anpassungen
+*Es versteht den Aufbau und die Semantik des jeweiligen Protokolls und kann dadurch gezielt Inhalte analysieren, filtern oder umschreiben.
-*Die kann über eine Modifikationen entweder der Benutzerverhaltens oder der Client-Software erfolgen
+*Diese tiefe Protokollkenntnis ermöglicht eine sehr feingranulare Kontrolle, erfordert jedoch mehr Rechenleistung und Anpassung auf Client- oder Serverseite.
-*Die Anpassung und Änderung der Benutzerprozeduren ist ein einfacher und unkomplizierter Ansatz zur Implementierung der Anwendungsgateway-Unterstützung
-*Bei diesem Ansatz stellt der Benutzer zunächst eine Verbindung zum Application Gateway her und fordert dann den Aufbau einer zweiten Verbindung zum Server an.
+==Funktionsweise==
-*Der Hauptnachteil dieses Ansatzes besteht darin, dass der Benutzer für einen zusätzlichen Schritt geschult werden muss, um sich beim Proxy-Server anzumelden.
+*Ein Application-Level-Gateway vermittelt Anwendungsdaten zwischen Client und Server.
-*Der andere Ansatz zur Implementierung von Anwendungs-Gateway-Unterstützung besteht darin, die Client-Software anzupassen und zu modifizieren
+*Der Client kommuniziert direkt mit dem Gateway, nicht mit dem Zielserver.
-*Der Hauptvorteil dieses Ansatzes besteht darin, dass er Benutzern beim Zugriff auf das Internet und beim Durchqueren von Firewall-Systemen Transparenz bieten kann.
+*Das Gateway prüft und verarbeitet die Daten auf Anwendungsebene und stellt im Anschluss eine zweite Verbindung zum Zielsystem her.
-*Der Hauptnachteil besteht jedoch darin, dass offensichtlich Änderungen an der Client-Software erforderlich sind.
+*So kann das Gateway z. B. schädliche Kommandos filtern, Befehle umschreiben oder die Sitzung überwachen.
-*Dies ist nicht immer möglich und selten einfach zu bewerkstelligen.
+*Da das Protokoll vollständig interpretiert wird, können auch Sicherheitsfunktionen wie Virenscan, URL-Filter oder Inhaltsprüfung integriert werden.
-*Ein Alternative ist der Transparente Proxy
-*Die Firewall leitet die Pakete an einen Proxy weiter und der übernimmt dann die Vermittelung.
+==Client-Interaktion==
-*Der Benutzer merkt nichts.
+*Die Nutzung eines Application-Level-Gateways kann eine Anpassung des Benutzerverhaltens oder der Client-Software erfordern.

@@ Zeile 7: / Zeile 7: @@
 *Die Anpassung und Änderung der Benutzerprozeduren ist ein einfacher und unkomplizierter Ansatz zur Implementierung der Anwendungsgateway-Unterstützung
 *Bei diesem Ansatz stellt der Benutzer zunächst eine Verbindung zum Application Gateway her und fordert dann den Aufbau einer zweiten Verbindung zum Server an.
 *Der Hauptnachteil dieses Ansatzes besteht darin, dass der Benutzer für einen zusätzlichen Schritt geschult werden muss, um sich beim Proxy-Server anzumelden.
 *Der andere Ansatz zur Implementierung von Anwendungs-Gateway-Unterstützung besteht darin, die Client-Software anzupassen und zu modifizieren

@@ Zeile 2: / Zeile 2: @@
 *Im Gegensatz zu einem Circuit-Level-Proxy bedient ein Application-Level-proxy nur ein Anwendungsprotokoll.
 *Das bedeutet das eine Application Proxy das Anwendungsprotokoll verstehten muss.
 *Aus Sicht des Clients erfordert die Interaktion mit ihm einige zusätzliche Schritte.
 *Im Allgemeinen erfordert die Verwendung eines ihm einige Anpassungen

@@ Zeile 3: / Zeile 3: @@
 *Das bedeutet das eine Application Proxy das Anwendungsprotokoll verstehten muss.
 *Ein SSH Server kann als Application Proxy agieren, genau wie es in der Regel Mail und Nameserver tun.
-*Aus Sicht des Clients erfordert die Interaktion mit einem Application Gateway einige zusätzliche Schritte.
+*Aus Sicht des Clients erfordert die Interaktion mit ihm einige zusätzliche Schritte.
-*Im Allgemeinen erfordert die Verwendung eines Anwendungs-Gateways einige Anpassungen
+*Im Allgemeinen erfordert die Verwendung eines ihm einige Anpassungen
-*Die kann über eineodifikationen entweder der Benutzerverfahren oder der Client-Software erfolgen
+*Die kann über eine Modifikationen entweder der Benutzerverhaltens oder der Client-Software erfolgen
 *Die Anpassung und Änderung der Benutzerprozeduren ist ein einfacher und unkomplizierter Ansatz zur Implementierung der Anwendungsgateway-Unterstützung
 *Bei diesem Ansatz stellt der Benutzer zunächst eine Verbindung zum Application Gateway her und fordert dann den Aufbau einer zweiten Verbindung zum Server an.

@@ Zeile 1: / Zeile 1: @@
 =Gateways auf Anwendungsebene=
 *Im Gegensatz zu einem Circuit-Level-Proxy bedient ein Application-Level-proxy nur ein Anwendungsprotokoll.
-*Das bedeutet das eine Application Proxy das Anwendungsprotokoll versteht.
+*Das bedeutet das eine Application Proxy das Anwendungsprotokoll verstehten muss.
 *Ein SSH Server kann als Application Proxy agieren, genau wie es in der Regel Mail und Nameserver tun.
 *Aus Sicht des Clients erfordert die Interaktion mit einem Application Gateway einige zusätzliche Schritte.

Application Proxy Erklärung - Versionsgeschichte

Thomas.will: /* Gateways auf Anwendungsebene */

Thomas.will am 1. Juli 2025 um 08:06 Uhr

Thomas.will am 1. Juli 2025 um 08:05 Uhr

Thomas.will: /* Gateways auf Anwendungsebene */

Thomas.will: /* Gateways auf Anwendungsebene */

Thomas.will: /* Gateways auf Anwendungsebene */

Thomas.will am 30. August 2022 um 12:01 Uhr

Thomas.will: Die Seite wurde neu angelegt: „=Gateways auf Anwendungsebene= *Im Gegensatz zu einem Circuit-Level-Gateway bedient ein Application-Level-Gateway nur ein Anwendungsprotokoll. *Um diesen Punkt…“

Thomas.will: Die Seite wurde neu angelegt: „=Gateways auf Anwendungsebene= Im Gegensatz zu einem Circuit-Level-Gateway bedient ein Application-Level-Gateway nur ein Anwendungsprotokoll. Um diesen Punkt…“