|
namunaviy sxemasi.
Marshrutizatorlar asosida VPNlarni qurishda esda tutish lozimki, bunday
yondashishning o‘zi kompaniyaning umumiy axborot xavfsizligini ta’minlash
muammosini hal etmaydi, chunki barcha ichki axborot resurslar baribir tashqaridan
xujum qilish uchun ochiq qoladi. Bu resurslarni himoyalash uchun, odatda, chegara
marshrutizatorlaridan keyin joylashgan tarmoqlararo ekranlardan foydalaniladi.
Cisco 1720 VPN Access Router marshrutizatori katta bo‘lmagan va o‘rtacha
korxonalarda himoyalangan foydalanishini tashkil etishga atalgan.
Bu marshrutizator Internet va intratarmoqlardan foydalanishni tashkil etishga zarur
bo‘lgan imkoniyatlarni ta’minlaydi va Cisco IOS dasturiy ta’minot asosidagi virtual
xususiy tarmoqlarni tashkil etish vazifala-rini madadlaydi. Cisco IOS operatsion
tizimi ma’lumotlarni himoyalash, xizmat sifatini boshqarish va yuqori ishonchililikni
ta’minlash bo‘yicha VPN vazifalarining juda keng to‘plamini ta’minlaydi.
Cisco 1720 marshrutizatori ma’lumotlar himoyasining quyidagi va-zifalarini
bajaradi:
-
tarmotslararo ekranlash.
Cisco IOS Firewall komponenta lokal tarmoqlarni
xujumlardan himoyalaydi.
Foydalanishning kontekstli nazo-rati
CBAC (Context-
based access control) funksiyasi ma’lumotlarni dina-mik yoki xolatlarga asoslangan,
ilovalar bo‘yicha differensiallangan filtrlashni bajaradi. Bu funksiya samarali
tarmoqlararo ekranlash uchun juda muhim hisoblanadi. Cisco IOS Firewall
komponenta qator boshqa foy-dali vazifalarni ham, xususan, "xizmat qilishdan voz
kechish" kabi xujum-larni aniqlash va oldini olish, Javami blokirovka etish, audit va
vaqtning real masshtabida ogohlantirishlarni tarqatish vazifalarini ba-jaradi.
-
shifrlash.
IPSec protokolidagi DES va Triple DES shifrlash algo-ritmlarini
madadlash ma’lumotlarni konfidensialligi va yaxlitligini va ma’lumotlar manbaini
autentifikatsiyalashni (ma’lumotlar global tarmoqdan o‘tganidan so‘ng) ta’minlash
maqsadida ishonchli va standart shifrlaydi.
-
tunnellash.
Tunnellashning IPSec, GRE (Generic Routing Encapsulation),
L2F va L2TP standartlari ishlatiladi. L2F va L2TP standartlari masofadagi
foydalanuvchilarning korxona lokal tarmog‘ida o‘rnatilgan Cisco 1720
marshrutizatorgacha virtual tunnel o‘tkazganlarida ishlatiladi. Bunday qo‘llanishda
korxonada masofadan foydalanish serveriga ehtiyoj qolmaydi va shaharlararo yoki
xalqaro qo‘ng‘iroqlar uchun to‘lovi tejaladi.
-
kurilmalarni autentifikatsiyalash va kalitlarni boshsarish.
IPSec katta
tarmoqlarda ma’lumotlar va qurilmalarni masshtablanuvchi autenti-fikatsiyalashni
ta’minlovchi kalitlarni boshqarish protokoli IKE, raqamli sertifikatlar X.509
versiya 3, sertifikatlarni boshqaruvchi pro-tokol CEP, hamda Verisign va Entrust
kompaniya sertifikat serverlari ma-dadlanadi.
-
VPNmtm mijoz dasturiy ta’minoti.
IPSec va L2TP protokolla-rining standart
versiyalari bilan ishlovchi harqanday mijoz Cisco IOSbilan o‘zaro aloqa qilishi
mumkin.
-
foydalanuvchilarni autentifikatsiyalash.
Buning uchun PAP, CHAP
protokllari, TACACS+ va RADIUS tizimlari, foydalanish tokenlari ka-bi
vositalardan foydalanilida.
Virtual himoyalangan tarmoqlar nafaqat ma’lumotlarni himoyalash, balki
himoyalashning yuqori saviyasi QoSmi (Quality of Service) ta’minla-shi lozim.
Cisco 1720 marshrutizatori QoSmi quyidagi boshqarish mexa-nizmlarini
madadlaydi:
-
foydalanishning kelishilgan tezligi CAR
(Committed Access Rate) ilovalar
yoki foydalanuvchilar bazisida quiydagi uchta muhim vazifani bajaradi:
•
trafik turini turkumlaydi;
•
berilgan ilovaga ruxsat etilgan o‘tkazish qobiliyatining maksimal
darajasini o‘rnatadi;
•
trafikning har bir turi ustivorligini belgilaydi;
-
siyosat asosida marshrutlash
(Policy Routing) ham trafikni tur-kumlaydi va
ustivorlaydi hamda trafikning qaysi turini marshrutizator-ning mos chiqish yo‘li
portiga jo‘natish lozimligini hal etadi;
-
mulohazali odilona navbat
WFQ (Weighted Fair Queneing) trafik-ni
hisobga olgan holda maqbul javob vaqtini ta’minlaydi;
-
protokol RSVP
ilovalarga yo‘lning boshidan oxirigacha kafolat-langan
o‘tkazish qobiliyatini rezervlashga imkon beradi.
Marshrutizatorning moslashuvchanligi modulli konstruksiya va ikki-ta slotda
o‘rnatiluvchi interfeys WAN-kartalari to‘plami orqali ta’min-lanadi. Cisco 1720
modelida Cisco 1600, 2800, va 3600 modellarda ishlati-ladigan WAN-kartalardan
foydalaniladi.
Kompaniya 3Com VPN texnologiyani amalga oshirishda boshidan stan-
dartlarni ko‘zga tutgan edi. VPN ni madadlash uning NetBuilder II, Super Stack II
NetBuilder marshrutizatorlariga Office Connect Net Builder Platform larida
o‘rnatilgan.
3 Com kompaniyasi PPTP va L2TP protokollarni madadlovchi masofa-dan
foydalaniluvchi konsentratorlarni yirik ishlab chiqaruvchilaridan biridir. 3Com
kompaniyasining VPN tarmoqlari IPSec bilan birga ishla-tiladi va tashqi kataloglar,
jumladan Novell NDS va Windows NT Directory Serviceslar bilan o‘zaro aloqa
qilish uchun ishlab chiqilgan.
Kompaniya Web-texnologiyaga asoslangan va VPN yuklanganligini na-
zoratlashga, hamda yuz beruvchi xodisalar asosida statistika va axborotni yig‘ishga
atalgan dasturiy ilova Transcend Ware Secure VPN Manager ni ham ishlab chiqdi.
Undan tashqari 3Com kriptohimoyalangan tunnellarni osongina yaratishga imkon
beruvchi Web asosidagi instrumentariyni ishlab chiqaradi.
Internet Devices kompaniyasining Fort Knox marshrutizatorlarida tez-lik va
quvvat uyg‘unlashgan. Undagi tarmoqni himoyalashni ta’minlashga yo‘naltirilgan
IP-trafikni ishlash vazifalari ruyxatining kengligi uning afzalligidir. Fort Knox
marshrutizatori tarmoqlararo ekran reji-mida ishlashi, NAT standarti bo‘yicha
adreslarni translyasiyalashi, xav-fsizlik siyosatini boshqarishi, Web-sahifalar va
DNS jadval yozuvlarini keshlashi, auditni bajarishi mumkin. Odatda Fort Knox
korporativ tarmoq chegarasida, korporativ tarmoqni global tarmoq bilan ulovchi
marshrutiza-tordan keyin o‘rnatiladi. Demak, u boshqa lokal tarmoqlar bilan VPN-
aloqani o‘rnatish va tarmoqlararo ekranlar kabi foydalanishni nazorat-lashning turli
qoidalarini shakllantirishi mumkin. Fort Knoxda NAT ad-reslarini translyasiyalash
funksiyasining mavjudligi, unga ichki IP-adreslarni berkitish va marshrutizatorlar
trafigini qayta yo‘naltirish imkonini beradi. Bu korporativ tarmoq ma’murlarini
VPNni qurishda marshrutizatorlarni yangidan konfiguratsiyalashdan ozod etadi. Fort
Knox funksiyalari to‘plamining kengligiga qaramay uning narxi oddiy marshru-
tizator narxiga teng.
Do'stlaringiz bilan baham: | 
