–rasm. Parol` bo`yicha foydalanuvchini autentifikatsiyalash sxemasi
Autentifikatsiyalashning ishonchliroq usuli – bir marta ishlatiluvchi parollardan foydalanishdir. Bir martali parollarni generatsiyalashda apparat va
dasturiy vositalardan foydalaniladi. Apparat vositalari komp`yuterning slotiga o`rnatiluvchi qurilma bo`lib, uni ishga tushirish uchun foydalanuvchi qandaydir maxfiy axborotni bilishi zarur. Masalan, smart-karta yoki foydalanuvchi tokeni axborotni generatsiyalaydi va bu axborotni xost an`anaviy parol o`rnida ishlatadi. Smart-karta yoki token xostning apparat va dasturiy ta`minoti bilan birga ishlashi sababli, generatsiyalanuvchi parol xar bir seans uchun noyob bo`ladi.
Ishonchli organ, masalan kalitlarni taqsimlash markazi tomonidan beriluvchi raqamli sertifikatlarni ishlatish xam qulay va ishonchli. Ko`pgina vositachi dasturlar shunday ishlab chiqiladiki, foydalanuvchi faqat tarmoqlararo ekran bilan ishlash seansining boshida autentifikatsiyalansin. Bundan keyin ma`mur belgilangan vaqt mobaynida undan qo`shimcha autentifikatsiyalanish talab etilmaydi.
Tarmoqlararo ekranlar tarmoqdan foydalanishni boshqarishni markazlashtirishlari mumkin. Demak, ular kuchaytirilgan autentifikatsiyalash dasturlari va qurilmalarini o`rnatishga munosib joy xisoblanadi. Garchi kuchaytirilgan autentifikatsiya vositalari xar bir xostda ishlatilishi mumkin bo`lsada, ularning tarmoqlararo ekranlarda joylashtirish qulay. Kuchaytirilgan autentifikatsiyalash choralaridan foydalanuvchi tarmoqlararo ekranlar bo`lmasa, Telnet yoki FTP kabi ilovalarning autentifikatsiyalanmagan trafigi tarmoqning ichki tizimlariga to`g`ridan-to`g`ri o`tishi mumkin.
Qator tarmoqlararo ekranlar autentifikatsiyalashning keng tarqalgan usullaridan biri – Kerberosni madadlaydi. Odatda, aksariyat tijorat tarmoqlararo ekranlar autentifikatsiyalashning turli sxemalarini madadlaydi. Bu esa tarmoq xavfsizligi ma`muriga o`zining sharoitiga qarab eng maqbul sxemani tanlash imkonini beradi.
Ichkitarmoqadreslarinitranslyatsiyalash.Ko`pgina xujumlarni amalga oshirishda niyati buzuq odamga qurbonining adresini bilish kerak bo`ladi. Bu adreslarni xamda butun tarmoq topologiyasini berkitish uchun tarmoqlararo ekranlar eng muxim vazifani – ichki tarmoq adreslarini translyatsiyalashni bajaradi (3.4-rasm).
Marshrutizator
Bu funktsiya ichki tarmoqdan tashqi tarmoqqa uzatiluvchi barcha paketlarga nisbatan bajariladi. Bunday paketlar uchun jo`natuvchi komp`yuterlarning IP- adreslari bitta "ishonchli" IP adresga avtomatik tarzda o`zgartiriladi.
Ichki tarmoq adreslarini translyatsiyalash ikkita usul-dinamik va statik usullarda amalga oshirilishi mumkin. Dinamik usulda adres uzelga tarmoqlararo ekranga murojaat onida ajratiladi. Ulanish tugallanganidan so`ng adres bo`shaydi va uni korporativ tarmoqning boshqa uzeli ishlatishi mumkin. Statik usulda uzel adresi barcha chiquvchi paketlar uzatiladigan tarmoqlararo ekranning bitta adresiga doimo bog`lanadi. Tarmoqlararo ekranning IP-adresi tashqi tarmoqqa tushuvchi yagona faol IP-adresga aylanadi. Natijada, ichki tarmoqdan chiquvchi barcha paketlar tarmoqlararo ekrandan jo`natilgan bo`ladi. Bu avtorizatsiyalangan ichki tarmoq va xavfli bo`lishi mumkin bo`lgan tashqi tarmoq orasida to`g`ridan-to`g`ri aloqani istisno qiladi.
Bunday yondashishda ichki tarmoq topologiyasi tashqi foydalanuvchilardan yashiringan, demak, ruxsatsiz foydalanish masalasi qiyinlashadi. Adreslarni translyatsiyalash tarmoq ichida tashqi tarmoq, masalan Internetdagi adreslash bilan kelishilmagan adreslashning xususiy tizimiga ega bo`lishiga imkon beradi. Bu ichki tarmoqning adres makonini kengaytirish va tashqi adres tanqisligi muammosini samarali echadi.
Xodisalarni qaydlash, xodisalarga reaktsiya ko`rsatish, xamda qaydlanganaxborotnitaxlillashvaxisobotlarnigeneratsiyalashtarmoqlararo ekranlarning muxim vazifalari xisoblanadi. Korporativ tarmoqni ximoyalash tizimining jiddiy elementi sifatida tarmoqlararo ekran barcha xarakatlarni ro`yxatga olish imkoniyatiga ega. Bunday xarakatlarga nafaqat tarmoq paketlarini o`tkazib yuborish yoki blokirovka qilish, balki xavfsizlik ma`muri tomonidan foydalanishni qoidasini o`zgartirish va x. xam taalluqli. Bunday ruyxatga olish zaruriyat tug`ilganda (xavfsizlik mojarosi paydo bo`lganida yoki sud instantsiyalariga yoki ichki tergov uchun dalillarni yig`ishda) yaratiluvchi jurnallarga murojaat etishga imkon beradi.
Shubxali xodisalar (alarm) xususidagi signallarni qaydlash tizimi to`g`ri sozlanganida tarmoqlararo ekran yoki tarmoq xujumga duchor bo`lganligi yoki zondlanganligi to`g`risidagi batafsil axborotni berishi mumkin. Tarmoqdan foydalanish va uning zondlanganligining isboti statistikasini yig`ish qator sabablarga ko`ra muximdir. Avvalo. tarmoqlararo ekranning zondlanishga va xujumlarga bardoshligini aniq bilish zarur va tarmoqlararo ekranni ximoyalash tadbirlarining adekvatligini aniqlash lozim. Undan tashqari, tarmoqdan foydalanish statistikasi tarmoq asbob-uskunalariga va dasturlariga talablarni ifodalash maqsadida xavf-xatarni tadqiqlash va taxlillashda dastlabki ma`lumotlar sifatida muxim xisoblanadi.
Ko`pgina tarmoqlararo ekranlar statistikani qaydlovchi, yig`uvchi va taxlillovchi quvvatli tizimga ega. Mijoz va server adresi, foydalanuvchilar identifikatori, seans vaqtlari, ulanish vaqtlari, uzatilgan va qabul qilingan ma`lumotlar soni, ma`mur va foydalanuvchilar xarakatlari bo`yicha xisob olib borilishi mumkin. Xisob tizimlari statistikani taxlillashga imkon beradi va ma`murlarga batafsil xisobotlarni taqdim etadi. Tarmoqlararo ekranlar maxsus protokollardan foydalanib, ma`lum xodisalar to`g`risida real vaqt rejimida masofadan xabar berishni bajarishi mumkin.
Ruxsatsiz xarakatlarni qilishga urinishlarni aniqlanishiga bo`ladigan majburiy reaktsiya sifatida ma`murning xabari, ya`ni ogoxlantiruvchi signallarni berish belgilanishi lozim. Xujum qilinganligi aniqlanganda ogoxlantiruvchi signallarni yuborishga qodir bo`lmagan tarmoqlararo ekranni tarmoklararo ximoyaning samarali vositasi deb bo`lmaydi.
