|
XULOSA
Ikkinchi bo`limda quyidagi masalalar ko`rib o`tilgan:
o`zaro ochiq tizimlarning etalon modelini xavfsizlik arxitekturasi, axborot xavfsizligining xizmatlari va mexanizmlari;
axborot xavfsizligining dasturiy texnikaviy vositalarining tuzilishi;
tarmoqlar oraligi ekranlari va o`rnatish chizmasi, tarmoqlararo ekranlarning asosiy tashkil etuvchilari keltirilgan.
MA`LUMOT UZATISHDA QO`LLANILADIGAN TARMOQLARARO EKRAN TAXLILI
Tarmoqlararo ekran (TE) - brandmauer yoki firewall sistemasi deb xam ataluvchi tarmoqlararo ximoyaning ixtisoslashtirilgan kompleksi. Tarmoqlararo ekran umumiy tarmoqni ikki yoki undan ko`p qismlarga ajratish va ma`lumot paketlarini chegara orqali umumiy tarmoqning bir qismidan ikkinchisiga o`tish shartlarini belgilovchi qoidalar tӯplamini amalga oshirish imkonini beradi. Odatda, bu chegara korxonaning korporativ (lokal) tarmog`i va Internet global tarmoq orasida o`tkaziladi. Tarmoqlararo ekranlar garchi korxona lokal tarmog`i ulangan korporativ intratarmog`idan qilinuvchi xujumlardan ximoyalashda ishlatilishlari mumkin bo`lsada, odatda ular korxona ichki tarmog`ini Internet global tarmoqdan suqilib kirishdan ximoyalaydi. Aksariyat tijorat tashkilotlari uchun tarmoqlararo ekranlarning o`rnatilishi ichki tarmoq xavfsizligini ta`minlashning zaruriy sharti xisoblanadi.
Ruxsat etilmagan tarmoqlararo foydalanishga qarshi ta`sir ko`rsatish uchun tarmoqlararo ekran ichki tarmoq xisoblanuvchi tashkilotning ximoyalanuvchi tarmog`i va tashqi g`anim tarmoq orasida joylanishi lozim (3.1-rasm). Bunda bu tarmoqlar orasidagi barcha aloqa faqat tarmoqlararo ekran orqali amalga oshirilishi lozim. Tashkiliy nuqtai nazaridan
tarmoqlararo ekran ximoyalanuvchi tarmoq tarkibiga kiradi.
Ichki tarmoqning ko`pgina uzellarini birdaniga ximoyalovchi tarmoqlararo ekran quyidagi ikkita vazifani bajarishi kerak:
tashqi (ximoyalanuvchi tarmoqqa nisbatan) foydalanuvchilarning korporativ tarmoqning ichki resurslaridan foydalanishini chegaralash. Bunday
foydalanuvchilar qatoriga tarmoqlararo ekran ximoyalovchi ma`lumotlar bazasining serveridan foydalanishga urinuvchi sheriklar, masofadagi foydalanuvchilar, xakerlar, xatto kompaniyaning xodimlari kiritilishi mumkin;
ximoyalanuvchi tarmoqdan foydalanuvchilarning tashqi resurslardan foydalanishlarini chegaralash. Bu masalaning echilishi, masalan, serverdan xizmat vazifalari talab etmaydigan foydalanishni tartibga solishga imkon beradi.
3.1-rasm. Tarmoqlararo ekranni ulash sxemasi.
Xozirda ishlab chiqarilayotgan tarmoqlararoekranlarning tavsiflariga asoslangan xolda, ularni quyidagi asosiy alomatlari bo`yicha turkumlash mumkin:
OSI modeli satxlarida ishlashi bo`yicha:
paketli fil`tr (ekranlovchi marshrutizator – screening router);
seans satxi shlyuzi (ekranlovchi transport);
tatbiqiy shlyuz (application gateway);
ekspert satxi shlyuzi (stateful inspection firewall).
Ishlatiladigan texnologiya bo`yicha:
protokol xolatini nazoratlash (Stateful inspection);
vositachilar modullari asosida (proxy);
Bajarilishi bo`yicha:
Ulanish sxemasi bo`yicha;
tarmoqni umumiy ximoyalash sxemasi;
tarmoq segmentlari ximoyalanuvchi berk va tarmoq segmentlari ximoyalanmaydigan ochiq sxema;
tarmoqning berk va ochiq segmentlarini aloxida ximoyalovchi sxema.
Trafiklarni fil`trlash. Axborot oqimlarini fil`trlash ularni ekran orqali, ba`zida qandaydir o`zgartirishlar bilan, o`tkazishdan iborat. Fil`trlash qabul qilingan xavfsizlik siyosatiga mos keluvchi, ekranga oldindan yuklangan qoidalar asosida amalga oshiriladi. Shu sababli tarmoqlararo ekranni axborot oqimlarini ishlovchi fil`trlar ketma-ketligi sifatida tasavvur etish qulay (3.2-rasm).
Ma`lumotlar oqimini blokirovka
qilish
|
Qabul qiluvchi nomidan ishlash
|
Keyingi fil`trga uzatish
|
O`tkazib yuborish
|
Qo`shimcha harakatlar
|
3.2-rasm. Tarmoqlararo ekran tuzilmasi.
Fil`trlarning xar biri quyidagi xarakatlarni bajarish orqali fil`trlashning aloxida qoidalarini izoxlashga atalgan:
Axborotni izoxlanuvchi qoidalardagi berilgan mezonlar bo`yicha taxlillash, masalan, qabul qiluvchi va jo`natuvchi adreslari yoki ushbu axborot atalgan ilova xili bo`yicha.
Izoxlanuvchi qoidalar asosida quyidagi echimlardan birini qabul qilish:
ma`lumotlarni o`tkazmaslik;
ma`lumotlarni qabul qiluvchi nomidan ishlash va natijani jo`natuvchiga qaytarish;
taxlillashni davom ettirish uchun ma`lumotlarni keyingi fil`trga uzatish;
keyingi fil`trlarga e`tibor qilmay ma`lumotlarni uzatish.
Fil`trlash qoidalari vositachilik funktsiyalariga oid qo`shimcha, masalan ma`lumotlarni o`zgartirish, xodisalarni qaydlash va x. kabi xarakatlarni xam berishi mumkin. Mos xolda, fil`trlash qoidalari quyidagilarning amalga oshirilishini ta`minlovchi shartlar ro`yxatini aniqlaydi:
ma`lumotlarni keyingi uzatishga ruxsat berish yoki ruxsat bermaslik;
ximoyalashning qo`shimcha funktsiyalarini bajarish.
Axborot oqimini taxlillash mezoni sifatida quyidagi parametrlardan foydalanish mumkin:
tarkibida tarmoq adreslari, identifikatorlar, interfeyslar adresi, portlar nomeri va boshqa muxim ma`lumotlar bo`lgan xabar paketlarining xizmatchi xoshiyalari;
masalan, komp`yuter viruslari borligiga tekshiriluvchi xabar paketlarining bevosita tarkibi;
axborot oqimining tashqi xarakteristikalari, masalan, vaqt va chastota xarakteristikalari ma`lumotlar xajmi va x.
Ishlatiluvchi taxlillash mezonlari fil`trlashni amalga oshiruvchi OSI modelining satxlariga bog`liq. Umumiy xolda, paketni fil`trlashni amalga oshiruvchi OSI modelining satxi qanchalik yuqori bo`lsa, ta`minlanuvchi ximoyalash darajasi xam shunchalik yuqori bo`ladi.
Do'stlaringiz bilan baham: |
