1.2. Lokal tarmoqlarda axborot himoyasini ta’minlash usullari va vositalari Hozirda ko'plab tarmoqlar Internet orqali ulangan. Shu sababli, bunday ulkan tizimning xavfsiz ishlashi uchun ma'lum xavfsizlik choralarini ko'rish zarurligi aniq, chunki deyarli har qanday kompyuter har qanday tashkilotning istalgan tarmog'iga kirish imkoniyatiga ega va jismoniy kirish imkoni bo'lmaganligi sababli xavf sezilarli darajada oshadi va kompyuterni buzish uchun talab qilinadi. Kompyuter xavfsizligi institutining yaqinda o'tkazgan tadqiqotiga ko'ra, tashkilotlarning 70 foizida xavfsizlik devorlari buzilgan va buzilganlik aniqlangan 60 foiz urinishlar ichki tarmoqlardan kelib chiqqan. Ushbu dalillarni inobatga olgan holda, bugungi kunda tarmoq xavfsizligi muammosi hal qilinmagan deb aytish mumkin, chunki kompaniyalarning aksariyat qismi xavfsizlik masalalarini hal qilmagan, buning natijasida ular moliyaviy zarar ko'rmoqda.
Tarmoq xavfsizligining asosiy ta'riflari Internetwork atamasi o'zaro bog'liq tarmoqlarning ko'pligini anglatadi. Birlashtirilgan tarmoqda har biri ma'lum ma'lumotlarni qayta ishlash va saqlash uchun mo'ljallangan maxsus maydonlar yaratiladi. Xavfsizlik maqsadida ushbu maydonlarni ajratish uchun xavfsizlik devori yoki xavfsizlik devori deb nomlangan maxsus qurilmalardan foydalaniladi. Ba'zi odamlar xavfsizlik devorlari yopiq tarmoqlarni umumiy tarmoqlardan ajratish uchun mo'ljallangan deb o'ylashadi, ammo bu har doim ham shunday emas. Ko'pincha, xavfsizlik devorlari yopiq tarmoq segmentlarini chegaralash uchun ham ishlatiladi. Odatda, xavfsizlik devorlari kamida uchta interfeysga ega, garchi ilgari amalga oshirishda ikkitasi ishlatilgan. Shu sababli, odatdagidek, uchta interfeysdan faqat ikkitasi asosan xavfsizlik devorlarida ishlatiladi. Uchta o'rnatilgan interfeysli xavfsizlik devoridan foydalanganda uchta alohida tarmoq zonasini yaratish mumkin. Ushbu sohalarning har biri quyida qisqacha tavsiflangan.
Internet tarmog'ining ichki zonasi ishonchli zonadir va yopiq tarmoqdagi qurilmalarning ishlashi uchun mo'ljallangan. Ushbu qurilmalar tashqi tarmoq (masalan, Internet) bilan ishlashda muayyan xavfsizlik qoidalariga bo'ysunadi. Biroq, amalda, ko'pincha xavfsizlik zonasidagi qismlarni ajratish uchun xavfsizlik devori ishlatiladi. Masalan, xavfsizlik devori yordamida siz biznes bo'linma tarmog'ini umumiy tarmoqdan ajratishingiz mumkin.
Internet tarmog'ining tashqi zonasi past ishonch zonasidir. Xavfsizlik devorining asosiy vazifasi ichki va DMZ qurilmalarini tashqi zonadagi qurilmalardan himoya qilishdir. Bundan tashqari, agar kerak bo'lsa, xavfsizlik devori tashqi zonadan DMZ-dagi qurilmalarga xavfsiz selektiv kirish uchun sozlanishi mumkin. Favqulodda vaziyatlarda xavfsizlik devorini tashqi zonadan ichki zonaga kirishni ta'minlash uchun sozlash mumkin. Biroq, ushbu harakatlarga alohida holatlarda murojaat qilish kerak, chunki tashqi zonadan ichki zonaga kirish xavfsiz holatga keltirilgan demilitarizatsiya qilingan zonaga kirishdan ancha xavfli. Demilitarizatsiya qilingan zona (DMZ) - bu tashqi tarmoqdan foydalanuvchilarga odatda kirish imkoni bo'lgan izolyatsiya qilingan tarmoq (yoki tarmoqlar).
Xavfsizlik devori tashqi zonadan ichki yoki DMZ ga kirishni ta'minlash uchun tuzilgan bo'lishi kerak.
DMZ-ga kirish uchun ruxsatlarning yaratilishi kompaniyaga tashqi foydalanuvchilar uchun kompaniya tomonidan taqdim etilayotgan ma'lumot va xizmatlarga xavfsiz kirishni tashkil etish imkonini beradi. Shunday qilib, ushbu maydon tashqi foydalanuvchilarni xavfsiz ichki maydonga kirishiga yo'l qo'ymasdan ishlashga imkon beradi.
Demilitarizatsiya qilingan zonani tashkil etadigan tugunlar yoki serverlar odatda bastion xostlar deb nomlanadi. Bu yerda bastion tugunlari deb operatsion tizimlarning yangi versiyalari ishlaydigan va barcha yangilanish modullari o'rnatiladigan tugunlar tushuniladi. Bastion tugunlaridan foydalanish tizimni buzishga nisbatan ancha chidamli qiladi, chunki ishlab chiqaruvchi xatolarni tuzatish va ilovaga qo'shimchalarni o'rnatish qobiliyatiga ega. Bundan tashqari, bastion tuguni faqat dasturning ishlashi uchun zarur bo'lgan xizmatlarni boshqarishi bilan farq qiladi.
Quyidagi rasmda xavfsizlik devoridan foydalanishda umumiy tarmoq tuzilishini ko'rsatadi.
Xavfsizlik devori quyidagi asosiy funktsiyalarni ta'minlashi kerak:
Tashqi zonadan ichki zonaga kirishni taqiqlash.
Tashqi zonadan demilitarizatsiya qilingan zonaga kirishni cheklash.
Ichkaridan tashqariga to'liq kirish.
Ichki zonadan demilitarizatsiya qilingan zonaga kirishni cheklash.
1.9-rasm. Xavfsizlik devori sxemasi
Shu bilan birga, ba'zi tarmoq dizaynlari ro'yxatdagi xavfsizlik devorlarining ba'zi yoki bir qismini istisno qilishi mumkin. Masalan, SMTP xabarlarini tashqi zonadan ichki zonaga etkazib berishni ta'minlashimiz kerak. Agar DMZ-da SMTP-server yoki SMTP-xabarlarni uzatish uchun imkoniyatlar bo'lmasa, SMTP-paketlar to'g'ridan-to'g'ri ichki zonada joylashgan SMTP-serverga yuborilishini ta'minlashingiz kerak.
Ushbu yondashuv ushbu sohadagi ishlarning xavfsizligini sezilarli darajada kamaytiradi. Boshqa bir istisno, ichki zonadan tashqi zonaga barcha ma'lumotlar oqimining taqiqlanishi bo'ladi. Muayyan dasturdan (portdan) foydalanish bo'yicha cheklovlar alohida IP-manzillar, subnetslar yoki butun ichki tarmoq darajasida o'rnatilishi mumkin. Ma'lumotlar oqimini ichki tarmoqdan tashqi tarmoqqa boshqarishning yana bir usuli bu URL manzillari bo'yicha filtrlashdir.
