|
TCP kirish uchun Windows xavfsizlik devorida port ochish
Пуск menyusidan Выполнить - ni tanlang , WF.msc yozing va OK tugmasini bosing.
Kengaytirilgan xavfsizlik bilan Брандмауэр Windows в режиме повышенной безопасности oynasining chap panelida Правила для входящих подключений -ni o'ng tugmasini bosing va harakatlar panelidan Создать правило -ni tanlang .
Тип правила dialog oynasida Порт -ni tanlang va Далее ga bosing .
Протокол и порты dialog oynasida TCP protokolini tanlang . Определенные локальные порты tanlang va ma'lumotlar bazasi mexanizmi misoli uchun port raqamini kiriting, masalan , standart misol uchun 1433 . Далее ni tanlang .
Действие dialog oynasida Разрешить соединение ni tanlang va Далее ga bosing .
Профиль dialog oynasida ma'lumotlar bazasi mexanizmiga ulanish uchun kompyuterlar uchun ulanish muhitini tavsiflovchi profillarni tanlang va Далее ga bosing .
Имя dialog oynasida qoida uchun nom va tavsifni kiriting va Готово tugmasini bosing
1.2 Tarmoqlararo ekranlarning asosiy komponentlari
Tarmoqlararo ekranlar tarmoqlararo aloqa xavfsizligini OSI modelining turli satxlarida madadlaydi. Bunda etalon modelning turli satxlarida bajariladigan ximoya funktsiyalari bir-biridan jiddiy farqlanadi. Shu sababli, tarmoqlararo ekranlar kompleksini, xar biri OSI modelining aloxida satxiga mo'ljallangan, bo'linmaydigan ekranlar majmui ko'rinishida tasavvur etish mumkin.
Ekranlar kompleksi ko'pincha etalon modelning tarmoq, seans, tatbiqiy satxlarida ishlaydi. Mos xolda, quyidagi bo'linmaydigan brandmauerlar farqlanadi (3.5-rasm).
ekranlovchi marshrutizator;
seans satxi shlyuzi (ekranlovchi transport);
tatbiqiy satx shlyuzi (ekranlovchi shlyuz).
T
armoqlarda ishlatiladigan protokollar (TCP/IP, SPX/IPX) OSI etalon modeliga batamom mos kelmaydi, shu sababli sanab o'tilgan ekranlar xili funktsiyalarini amalga oshirishda etalon modelining qo'shni satxlarini xam qamrab olishlari mumkin. Masalan, tatbiqiy ekran xabarlarning tashqi tarmoqqa uzatilishida ularni avtomatik tarzda shifrlashni, xamda qabul qilinuvchi kriptografik berkitilgan ma'lumotlarni avtomatik tarzda rasshifrovka qilishni amalga oshirishi mumkin. Bu xolda bunday ekran OSI modelining nafaqat tatbiqiy satxida, balki taqdimiy satxida xam ishlaydi.
3.5-rasm. OSI modelining alohida sathlarida ishlaydigan tarmoqlararo
Seans satxi shlyuzi ishlashida OSI modelining transport va tarmoq satxlarini qamrab oladi. Ekranlovchi marshrutizator xabarlar paketini taxlillashda ularning nafaqat tarmoq, balki transport satxi sarlavxalarini xam tekshiradi.
Yuqorida keltirilgan tarmoqlararo ekranlarning xillari o'zining afzalliklari va kamchiliklariga ega. Ishlatiladigan brandmauerlarning ko'pchiligi yoki tatbiqiy shlyuzlar, yoki ekranlovchi marshrutizatorlar bo'lib, tarmoqlararo aloqaning to'liq xavfsizligini ta'minlamaydi. Ishonchli ximoyani esa faqat xar biri ekranlovchi marshrutizator, seans satxi shlyuzi, xamda tatbiqiy shlyuzni birlashtiruvchi tarmoqlararo ekranlarning kompleksi ta'minlaydi.
Ekranlovchi marshrutizator (screening router) (paketli fil'tr (packet filter) deb xam ataladi) xabarlar paketini fil'trlashga atalgan va ichki va tashqi tarmoqlar orasida shaffof aloqani ta'minlaydi. U OSI modelining tarmoq satxida ishlaydi, ammo o'zining ayrim funktsiyalarini bajarishida etalon modelining transport satxini xam qamrab olishi mumkin.
Ma'lumotlarni o'tkazish yoki brakka chiqarish xususidagi qaror fil'trlashning berilgan qoidalariga binoan xar bir paket uchun mustaqil qabul qilinadi. Qaror qabul qilishda tarmoq va transport satxlari paketlarining sarlavxalari taxlil etiladi (3.6-rasm).
Xar bir paketning IP- va TCP/UDP - sarlavxalarining taxlillanuvchi xoshiyalari sifatida quyidagilar ishlatilishi mumkin:
jo'natuvchi adresi;
qabul qiluvchi adresi;
paket xili;
paketni fragmentlash bayrog'i;
manba porti nomeri;
qabul qiluvchi port nomeri.
3.6-rasm. Paketli fil'trni ishlash sxemasi
Birinchi to'rtta parametr paketning IP-sarlavxasiga, keyingilari esa TCP- yoki UDP sarlavxasiga taalluqli. Jo'natuvchi va qabul qiluvchi adreslari IP- adreslar xisoblanadi. Bu adreslar paketlarni shakllantirishda to'ldiriladi va uni tarmoq bo'yicha uzatganda o'zgarmaydi.
Paket xili xoshiyasida tarmoq satxiga mos keluvchi ICMP protokol kodi yoki taxlillanuvchi IP-paket taalluqli bo'lgan transport satxi protokolining (TCP yoki UDP) kodi bo'ladi.
Paketni fragmentlash bayrog'i IP-paketlar fragmentlashining borligi yoki yo'qligini aniqlaydi. Agar taxlillanuvchi paket uchun fragmentlash bayrog'i o'rnatilgan bo'lsa, mazkur paket fragmentlangan IP-paketning qism paketi xisoblanadi.
Manba va qabul qiluvchi portlari nomerlari TCP yoki UDP drayver tomonidan xar bir jo'natiluvchi xabar paketlariga qo'shiladi va jo'natuvchi ilovasini, xamda ushbu paket atalgan ilovani bir ma'noda identifikatsiyalaydi. Portlar nomerlari bo'yicha fil'trlash imkoniyati uchun yuqori satx protokollariga port nomerlarini ajratish bo'yicha tarmoqda qabul qilingan kelishuvni bilish lozim.
Xar bir paket ishlanishida ekranlovchi marshrutizator berilgan qoidalar jadvalini, paketning to'liq assotsiatsiyasiga mos keluvchi qoidani topgunicha, ketma-ket ko'rib chiqadi. Bu erda assotsiatsiya deganda berilgan paket sarlavxalarida ko'rsatilgan parametrlar majmui tushuniladi. Agar ekranlovchi marshrutizator jadvaldagi qoidalarning birortasiga ham mos kelmaydigan paketni olsa, u, xavfsizlik nuqtai nazaridan, uni braka chiqaradi.
Paketli fil'trlar apparat va dasturiy amalga oshirilishi mumkin. Paketli fil'tr sifatida oddiy marshrutizator, xamda kiruvchi va chiquvchi paketlarni fil'trlashga moslashtirilgan, serverda ishlovchi dasturdan foydalanish mumkin. Zamonaviy marshrutizatorlar xar bir port bilan bir necha o'nlab qoidalarni bog'lashi va kirishda, ham chiqishda paketlarni fil'trlashi mumkin.
Paketli fil'trlarning kamchiligi sifatida quyidagilarni ko'rsatish mumkin. Ular xavfsizlikning yuqori darajasini ta'minlamaydi, chunki faqat paket sarlavxalarini tekshiradilar va ko'pgina kerakli funktsiyalarni madadlamaydi. Bu funktsiyalarga, masalan, oxirgi uzellarni autentifikatsiyalash, xabarlar paketlarini kriptografik berkitish, xamda ularning yaxlitligini va xaqiqiyligini tekshirish kiradi. Paketli fil'trlar dastlabki adreslarni almashtirib qo'yish va xabarlar paketi tarkibini ruxsatsiz o'zgartirish kabi keng tarqalgan tarmoq xujumlariga zaif xisoblanadilar. Bu xil brandmauerlarni "aldash" qiyin emas - fil'trlashga ruxsat beruvchi qoidalarni qondiruvchi paket sarlavxalarini shakllantirish kifoya.
Ammo, paketli fil'trlarning amalga oshirilishining soddaligi, yuqori unumdorligi, dasturiy ilovalar uchun shaffofligi va narxining pastligi, ularning xamma erda tarqalishiga va tarmoq xavfsizligi tizimining majburiy elementi kabi ishlatilishiga imkon yaratdi.
Do'stlaringiz bilan baham: |
