Kafedrasi mudiri B. E. Elmurodova

Download 2,06 Mb.

bet	11/25
Sana	23.07.2022
Hajmi	2,06 Mb.
	#844722

1 ... 7 8 9 10 11 12 13 14 ... 25

Bog'liq
BMII

1.3 Tarmoqlararo ekranlar asosidagi tarmoq ximoyasining sxemalari

Ekspert satxi shlyuzi. Tatbiqiy satx shlyuzining foydalanuvchilar uchun shaffofligining yo'qligi va tarmoqlararo aloqa o'rnatilishida o'tkazish qobiliyatining susayishi kabi jiddiy kamchiliklarini bartaraf etish maqsadida paketlarni fil'trlashning yangi texnologiyasi ishlab chiqilgan. Bu texnologiyani ba'zida ulanish xolatini nazoratlashli fil'trlash (stateful inspection) yoki
ekspert satxidagi fil'trlash deb yuritishadi. Bunday fil'trlash paketlar xolatini ko'p satxli taxlillashning maxsus usullari (SMLT) asosida amalga oshiriladi.
Ushbu gibrid texnologiya tarmoq satxida paketlarni ushlab qolish va undan ulanishni nazorat qilishda ishlatiluvchi tatbiqiy satx axborotini chiqarib olish orqali ulanish xolatini kuzatishga imkon beradi.
Ishlashi asosini ushbu texnologiya tashkil etuvchi tarmoqlararo ekran ekspert satx brandmaueri deb yuritiladi. Bunday brandmauerlar o'zida ekranlovchi marshrutizatorlar va tatbiqiy satx shlyuzlari elementlarini uyg'unlashtiradi. Ular xar bir paket tarkibini berilgan xavfsizlik siyosatiga muvofiq baxolaydilar.
Shunday qilib ekspert satxidagi brandmauerlar quyidagilarni nazoratlashga imkon beradi:

mavjud qoidalar jadvali asosida xar bir uzatiluvchi paketni;
xolatlar jadvali asosida xar bir sessiyani;
ishlab chiqilgan vositachilar asosida xar bir ilovani.

Ekspert satx tarmoqlararo ekranlarining afzalliklari sifatida ularning foydalanuvchilar uchun shaffofligini, axborot oqimini ishlashining yuqori tezkorligini xamda ular orqali o'tuvchi paketlarning IP-adreslarini o'zgartirmasligini ko'rsatish mumkin. Oxirgi afazallik. IP-adresdan foydalanuvchi tatbiqiy satxning xar qanday protokolining bunday brandmauerlardan xech qanday o'zgarishsiz yoki maxsus dasturlashsiz birga ishlay olishini anglatadi.
Bunday brandmauerlarning avtorizatsiyalangan mijoz va tashqi tarmoq komp'yuteri orasida to'g'ridan-to'g'ri ulanishga yo'l qo'yishi, ximoyaning unchalik yuqori bo'lmagan darajasini ta'minlaydi. Shu sababli amalda ekspert satxini fil'trlash texnologiyasidan kompleks brandmauerlar ishlashi samaradorligini oshirishda foydalaniladi. Ekspert satxning fil'trlash texnologiyasini ishlatuvchi kompleks brandmauerlarga misol tariqasida Fire Wall- 1 va ON Guardlarni ko'rsatish mumkin.
1.3 Tarmoqlararo ekranlar asosidagi tarmoq ximoyasining sxemalari
Tarmoqlararo aloqani samarali ximoyalash uchun brandmauer tizimi to'g'ri o'rnatilishi va konfiguratsiyalanishi lozim. Ushbu jarayon quyidagilarni o'z ichiga oladi:

tarmoqlararo aloqa siyosatini shakllantirish;
brandmauerni ulash sxemasini tanlash va parametrlarini sozlash.

Tarmoqlararo aloqa siyosatini shakllantirish. Tarmoqlararo aloqa siyosatini shakllantirishda quyidagilarni aniqlash lozim:

tarmoq servislaridan foydalanish siyosati;
tarmoqlararo ekran ishlashi siyosati.

Tarmoq servislaridan foydalanish siyosati ximoyalanuvchi komp'yuter tarmoqning barcha servislarini taqdim etish, xamda ulardan foydalanish qoidalarini belgilaydi. Ushbu siyosat doirasida tarmoq ekrani orqali taqdim etiluvchi barcha servislar va xar bir servis uchun mijozlarning joiz adreslari berilishi lozim. Undan tashqari, foydalanuvchilar uchun qachon va qaysi foydalanuvchilar qaysi servisdan va qaysi komp'yuterda foydalanishlarini tavsiflovchi qoidalar ko'rsatilishi lozim. Foydalanish usullariga chegaralashlar xam beriladi. Bu chegaralashlar foydalanuvchilarning Internetning man etilgan servislaridan aylanma yo'l orqali foydalanishlariga yo'l qo'ymaslik uchun zarur. Foydalanuvchilar va komp'yuterlarni autentifikatsiyalash qoidalari, xamda tashkilot lokal tarmog'i tashqarisidagi foydalanuvchilarning ishlash sharoitlari aloxida belgilanishi lozim.
Tarmoqlararo ekran ishlashi siyosatida tarmoqlararo aloqani boshqarishning brandmauer ishlashi asosidagi bazaviy printsipi beriladi. Bunday printsiplarning quyidagi ikkitasidan biri tanlanishi mumkin:

oshkora ruxsat etilmagani man qilingan;
oshkora man etilmaganiga ruxsat berilgan.

"Oshkora ruxsat etilmagani man qilingan" printsipi tanlanganida tarmoqlararo ekran shunday sozlanadiki, xarqanday ruxsat etilmagan tarmoqlararo aloqalar blokirovka qilinadi. Ushbu printsip axborot xavfsizligining barcha soxalarida ishlatiluvchi foydalanishning mumtoz modeliga mos keladi. Bunday yondashish, imtiyozlarni minimallashtirish printsipini adekvat amalga oshirishga imkon berishi sababli, xavfsizlik nuqtai nazaridan yaxshiroq xisoblanadi. Moxiyati bo'yicha "oshkora ruxsat etilmagani man qilingan" printsipi bilmaslik zarar keltirishi faktini e'tirof etishdir. Ta'kidlash lozimki, ushbu printsipga asosan ta'riflangan foydalanish qoidalari foydalanuvchilarga ma'lum noqulayliklar tug' dirishi mumkin.
"Oshkora man etilmaganiga ruxsat berilgan" printsipi tanlanganida tarmoqlararo ekran shunday sozlanadiki, faqat oshkora man etilgan tarmoqlararo aloqalar blokirovka qilinadi. Bu xolda, foydalanuvchilar tomonidan tarmoq servislaridan foydalanish qulayligi oshadi, ammo tarmoqlararo aloqa xavfsizligi pasayadi. Foydalanuvchilarning tarmoqlararo ekranni chetlab o'tishlariga imkon tug'iladi, masalan ular siyosat man qilmagan (xatto siyosatda ko'rsatilmagan) yangi servislaridan foydalanishlari mumkin. Ushbu printsip amalga oshirilishida ichki tarmoq xakerlarning xujumlaridan kamroq ximoyalangan bo'ladi. Shu sababli, tarmoqlararo ekranlarni ishlab chiqaruvchilari odatda ushbu printsipdan foydalanmaydilar.
Tarmoqlararo ekran simmetrik emas. Unga ichki tarmoqning tashqi tarmoqdan va aksincha foydalanishni chegaralovchi qoidalar aloxida beriladi. Umumiy xolda, tarmoqlararo ekranning ishi quyidagi ikkita gurux funktsiyalarni dinamik tarzda bajarishga asoslangan:

u orqali o'tayotgan axborot oqimini fil'trlash;
tarmoqlararo aloqa amalga oshirilishida vositachilik.

Oddiy tarmoqlararo ekranlar bu funktsiyalarning birini bajarishga mo'ljallangan. Kompleks tarmoqlararo ekranlar ximoyalashning ko'rsatilgan funktsiyalarining birgalikda bajarilishini ta'minlaydi.
Tarmoqlararo ekranlarni ulashning asosiy sxemalari. Korporativ tarmoqni global tarmoqlarga ulaganda ximoyalanuvchi tarmoqning global tarmoqdan va global tarmoqning ximoyalanuvchi tarmoqdan foydalanishini chegaralash, xamda ulanuvchi tarmoqdan global tarmoqning masofadan ruxsatsiz foydalanishidan ximoyalashni ta'minlash lozim. Bunda tashkilot o'zining tarmog'i va uning komponentlari xususidagi axborotni global tarmoq foydalanuvchilaridan berkitishga manfaatdor. Masofadagi foydalanuvchilar bilan ishlash ximoyalanuvchi tarmoq resurslaridan foydalanishning qat'iy chegaralanishini talab etadi.
Tashkilotdagi korporativ tarmoq tarkibida ko'pincha ximoyalanishning turli satxli birnechi segmentlarga ega bo'lishi extiyoji tug'iladi:

bemalol foydalaniluvchi segmentlar (masalan, reklama WWW-serverlari);
foydalanish chegaralangan segmentlar (masalan, tashkilotning masofadagi uzellari xodimlarining foydalanishi uchun);
yopiq segmentlar (masalan, tashkilotning moliya lokal qism tarmog'i)

Tarmoqlararo ekranlarni ulashda turli sxemalardan foydalanish mumkin. Bu sxemalar ximoyalanuvchi tarmoq ishlashi sharoitiga, xamda ishlatiladigan brandmauerlarning tarmoq interfeyslari soniga va boshqa xarakteristikalariga bog'liq. Tarmoqlararo ekranni ulashning quyidagi sxemalari keng tarqalgan:

ekranlovchi marshrutizatordan foydalanilgan ximoya sxemalari;
lokal tarmoqni umumiy ximoyalash sxemalari;
ximoyalanuvchi yopiq va ximoyalanmaydigan ochiq kism tarmoqli sxemalar;
yopiq va ochiq qism tarmoqlarni aloxida ximoyalovchi sxemalar.

Download 2,06 Mb.

Do'stlaringiz bilan baham:

1 ... 7 8 9 10 11 12 13 14 ... 25