1.2. Tarmoqlararo ekranning xususiyatlari va ularning klassifikatsiyalari
Tarmoqlararo ekran (TE) - brandmauer yoki firewall sistemasi deb xam ataluvchi tarmoqlararo ximoyaning ixtisoslashtirilgan kompleksi. Tarmoqlararo ekran umumiy tarmoqni ikki yoki undan ko`p qismlarga ajratish va ma`lumot paketlarini chegara orqali umumiy tarmoqning bir qismidan ikkinchisiga o`tish shartlarini belgilovchi qoidalar tӯplamini amalga oshirish imkonini beradi. Odatda, bu chegara korxonaning korporativ (lokal) tarmog`i va Internet global tarmoq orasida o`tkaziladi. Tarmoqlararo ekranlar garchi korxona lokal tarmog`i ulangan korporativ intratarmog`idan qilinuvchi xujumlardan ximoyalashda ishlatilishlari mumkin bo`lsada, odatda ular korxona ichki tarmog`ini Internet global tarmoqdan suqilib kirishdan ximoyalaydi. Aksariyat tijorat tashkilotlari uchun tarmoqlararo ekranlarning o`rnatilishi ichki tarmoq xavfsizligini ta`minlashning zaruriy sharti xisoblanadi.
Ruxsat etilmagan tarmoqlararo foydalanishga qarshi ta`sir ko`rsatish uchun tarmoqlararo ekran ichki tarmoq xisoblanuvchi tashkilotning ximoyalanuvchi tarmog`i va tashqi g`anim tarmoq orasida joylanishi lozim (3.1-rasm). Bunda bu tarmoqlar orasidagi barcha aloqa faqat tarmoqlararo ekran orqali amalga oshirilishi lozim. Tashkiliy nuqtai nazaridan
tarmoqlararo ekran ximoyalanuvchi tarmoq tarkibiga kiradi.
Ichki tarmoqning ko`pgina uzellarini birdaniga ximoyalovchi tarmoqlararo ekran quyidagi ikkita vazifani bajarishi kerak:
tashqi (ximoyalanuvchi tarmoqqa nisbatan) foydalanuvchilarning korporativ tarmoqning ichki resurslaridan foydalanishini chegaralash. Bunday foydalanuvchilar qatoriga tarmoqlararo ekran ximoyalovchi ma`lumotlar bazasining serveridan foydalanishga urinuvchi sheriklar, masofadagi foydalanuvchilar, xakerlar, xatto kompaniyaning xodimlari kiritilishi mumkin;
ximoyalanuvchi tarmoqdan foydalanuvchilarning tashqi resurslardan foydalanishlarini chegaralash. Bu masalaning echilishi, masalan, serverdan xizmat vazifalari talab etmaydigan foydalanishni tartibga solishga imkon beradi.
3-rasm. Tarmoqlararo ekranni ulash sxemasi.
Xozirda ishlab chiqarilayotgan tarmoqlararoekranlarning tavsiflariga asoslangan xolda, ularni quyidagi asosiy alomatlari bo`yicha turkumlash mumkin:
OSI modeli satxlarida ishlashi bo`yicha:
paketli filtr (ekranlovchi marshrutizator – screening router);
seans sathi shlyuzi (ekranlovchi transport);
tatbiqiy shlyuz (application gateway);
ekspert satxi shlyuzi (stateful inspection firewall).
Ishlatiladigan texnologiya bo`yicha:
protokol xolatini nazoratlash (Stateful inspection);
vositachilar modullari asosida (proxy);
Bajarilishi bo`yicha:
Ulanish sxemasi bo`yicha;
tarmoqni umumiy ximoyalash sxemasi;
tarmoq segmentlari ximoyalanuvchi berk va tarmoq segmentlari ximoyalanmaydigan ochiq sxema;
tarmoqning berk va ochiq segmentlarini aloxida ximoyalovchi sxema.
Trafiklarni filtrlash. Axborot oqimlarini filtrlash ularni ekran orqali, ba’zida qandaydir o`zgartirishlar bilan, o`tkazishdan iborat. Filtrlash qabul qilingan xavfsizlik siyosatiga mos keluvchi, ekranga oldindan yuklangan qoidalar asosida amalga oshiriladi. Shu sababli tarmoqlararo ekranni axborot oqimlarini ishlovchi filtrlar ketma-ketligi sifatida tasavvur etish qulay .
Ma`lumotlar oqimini blokirovka
qilish
|
Qabul qiluvchi nomidan ishlash
|
Keyingi filtrga uzatish
|
O`tkazib yuborish
|
Qo`shimcha harakatlar
|
4-rasm. Tarmoqlararo ekran tuzilmasi.
Filtrlarning xar biri quyidagi xarakatlarni bajarish orqali filtrlashning aloxida qoidalarini izoxlashga atalgan:
Axborotni izoxlanuvchi qoidalardagi berilgan mezonlar bo`yicha taxlillash, masalan, qabul qiluvchi va jo`natuvchi adreslari yoki ushbu axborot atalgan ilova xili bo`yicha.
Izoxlanuvchi qoidalar asosida quyidagi echimlardan birini qabul qilish:
ma`lumotlarni o`tkazmaslik;
ma`lumotlarni qabul qiluvchi nomidan ishlash va natijani jo`natuvchiga qaytarish;
taxlillashni davom ettirish uchun ma`lumotlarni keyingi filtrga uzatish;
keyingi filtrlarga e`tibor qilmay ma`lumotlarni uzatish.
Filtrlash qoidalari vositachilik funktsiyalariga oid qo`shimcha, masalan ma`lumotlarni o`zgartirish, xodisalarni qaydlash va x. kabi xarakatlarni xam berishi mumkin. Mos xolda, filtrlash qoidalari quyidagilarning amalga oshirilishini ta`minlovchi shartlar ro`yxatini aniqlaydi:
ma`lumotlarni keyingi uzatishga ruxsat berish yoki ruxsat bermaslik;
ximoyalashning qo`shimcha funktsiyalarini bajarish.
Axborot oqimini taxlillash mezoni sifatida quyidagi parametrlardan foydalanish mumkin:
tarkibida tarmoq adreslari, identifikatorlar, interfeyslar adresi, portlar nomeri va boshqa muxim ma`lumotlar bo`lgan xabar paketlarining xizmatchi xoshiyalari;
masalan, komp`yuter viruslari borligiga tekshiriluvchi xabar paketlarining bevosita tarkibi;
axborot oqimining tashqi xarakteristikalari, masalan, vaqt va chastota xarakteristikalari ma`lumotlar xajmi va x.
Ishlatiluvchi taxlillash mezonlari filtrlashni amalga oshiruvchi OSI modelining satxlariga bog`liq. Umumiy xolda, paketni filtrlashni amalga oshiruvchi OSI modelining satxi qanchalik yuqori bo`lsa, ta`minlanuvchi ximoyalash darajasi xam shunchalik yuqori bo`ladi.
Do'stlaringiz bilan baham: |