Seans satxi shlyuzi, (ekranlovchi transport deb xam yuritiladi) virtual ulanishlarni nazoratlashga va tashqi tarmoq bilan o`zaro aloqa qilishda IP- adreslarni translyatsiyalashga atalgan. U OSI modelining seans satxida ishlaydi va ishlashi jarayonida etalon modelning transport va tarmoq satxlarini xam qamrab oladi. Seans satxi shlyuzining ximoyalash funktsiyalari vositachilik funktsiyalariga taalluqli.
Virtual ulanishlarning nazorati aloqani kvitirlashni kuzatishdan xamda o`rnatilgan virtual kanallar bo`yicha axborot uzatilishining nazoratlashdan iborat. Aloqani kvitirlashning nazoratida seans satxida shlyuz ichki tarmoq ishchi stantsiyasi va tashqi tarmoq komp`yuteri orasida virtual ulanishni kuzatib, so`ralayotgan aloqa seansining joizligini aniqlaydi.
Bunday nazorat TCP protokolining seans satxi paketlarining sarlavxasidagi axborotga asoslanadi. Ammo TCP-sarlavxalarni taxlillashda paketli fil`tr faqat manba va qabul qiluvchi portlarining nomerini tekshirsa, ekranlovchi transport aloqani kvirtirlash jarayoniga taalluqli boshqa xoshiyalarni taxlillaydi.
Aloqa seansiga so`rovning joizligini aniqlash uchun seans satxi shlyuzi quyidagi xarakatlarni bajaradi. Ishchi stantsiya (mijoz) tashqi tarmoq bilan bog`lanishni so`raganida, shlyuz bu so`rovni qabul qilib uning fil`trlashning bazaviy mezonlarni qanoatlantirishini, masalan server mijoz va u bilan assotsiatsiyalangan ismning IP-adresini aniqlay olishini tekshiradi. So`ngra shlyuz, mijoz ismidan xarakat qilib, tashqi tarmoq komp`yuteri bilan ulanishni o`rnatadi va TCP protokoli bo`yicha kvitirlash jarayonining bajarilishini kuzatadi.
Bu muolaja SYN (Sinxronlash) va ACK (Tasdiqlash) bayroqlari orqali belgilanuvchi TCP-paketlarni almashishdan iborat (3.7-rasm).
Tashqi tarmoq xosti
SYN (1000)
Ichki tarmoq ishchi stantsiyasi
SYN bayroq bilan belgilangan va tarkibida ixtiyoriy son, masalan 1000, bo`lgan TCP seansining birinchi paketi mijozning seans ochishga so`rovi xisoblanadi. Bu paketni olgan tashqi tarmoq komp`yuteri javob tariqasida ACK bayroq bilan belgilangan va tarkibida olingan paketdagidan bittaga katta (bizning xolda 1001) son bo`lgan paketni jo`natadi. Shu tariqa, mijozdan SYN paketi olinganligi tasdiqlanadi. So`ngra, teskari muolaja amalga oshiriladi: tashqi tarmoq komp`yuteri xam mijozga uzatiluvchi ma`lumotlar birinchi baytining tartib raqami bilan (masalan, 2000) SYN paketini jo`natadi, mijoz esa uni olganligini, tarkibida 2001 soni bo`lgan paketni uzatish orqali tasdiqlaydi. Shu bilan aloqani kvirtirlash jarayoni tugallanadi.
Seans satxi shlyuzi (3.8-rasm) uchun so`ralgan seans joiz xisoblanadi, qachonki aloqani kvirtirlash jarayoni bajarilishida SYN va ACK bayroqlar, xamda TCP-paketlari sarlavxalaridagi sonlar o`zaro mantiqiy bog`langan bo`lsa.
3.8-rasm. Seans sathi shlyuzi ishlash sxemasi
Ichki tarmoqning ichki stantsiyasi va tashqi tarmoqning komp`yuteri TCP seansining avtorizatsiyalangan qatnashchilari ekanligi xamda ushbu seansning joizligi tasdiqlanganidan so`ng shlyuz ulanishni o`rnatadi. Bunda shlyuz ulanishlarining maxsus jadvaliga mos axborotni (jo`natuvchi va qabul qiluvchi adreslari, ulanish xolati, ketma-ketlik nomeri xususidagi axborot va x.) kiritadi.
Shu ondan boshlab shlyuz paketlarni nusxalaydi va ikkala tomonga yo`naltirib, o`rnatilgan virtual kanal bo`yicha axborot uzatilishini nazorat qiladi. Ushbu nazorat jarayonida seans satxi shlyuzi paketlarni fil`trlamaydi. Ammo u uzatiluvchi axborot sonini nazorat qilishi va qandaydir chegaradan oshganida ulanishni uzishi mumkin. Bu esa, o`z navbatida, axborotning ruxsatsiz eksport qilinishiga to`siq bo`ladi. Virtual ulanishlar xususidagi qaydlash axborotining to`planishi xam mumkin.
Seans satxi shlyuzlarida virtual ulanishlarni nazoratlashda kanal vositachilari (pipe proxy) deb yuritiluvchi maxsus dasturlardan foydalaniladi. Bu
vositachilar ichki va tashqi tarmoqlar orasida virtual kanallarni o`rnatadi, so`ngra TCP/IP ilovalari generatsiyalagan paketlarning ushbu kanal orqali uzatilishini nazoratlaydi.
Kanal vositachilari TCP/IPning muayyan xizmatlariga mo`ljallangan. Shu sababli ishlashi muayyan ilovalarning vositachi-dasturlariga asoslangan tatbiqiy satx shlyuzlari imkoniyatlarini kengaytirishda seans satx shlyuzlaridan foydalanish mumkin.
Seans satxi shlyuzi tashqi tarmoq bilan o`zaro aloqada tarmoq satxi ichki adreslarini (IP-adreslarini) translyatsiyalashni xam ta`minlaydi. Ichki adreslarni translyatsiyalash ichki tarmoqdan tashqi tarmoqqa jo`natiluvchi barcha paketlarga nisbatan bajariladi.
Amalga oshirilishi nuqtai nazaridan seans satxi shlyuzi etarlicha oddiy va nisbatan ishonchli dastur xisoblanadi. U ekranlovchi marshrutizatorni virtual ulanishlarni nazoratlash va ichki IP-adreslarni translyatsiyalash funktsiyalari bilan to`ldiradi.
Seans satxi shlyuzining kamchiliklari – ekranlovchi marshrutizatorlarning kamchiliklariga o`xshash. Ushbu texnologiyaning yana bir jiddiy kamchiligi ma`lumotlar xoshiyalari tarkibini nazoratlash mumkin emasligi. Natijada, niyati buzuq odamlarga zarar keltiruvchi dasturlarni ximoyalanuvchi tarmoqqa uzatish imkoniyati tug`iladi. Undan tashqari, TCP-sessiyasining (TCP hijacking) ushlab qolinishida niyati buzuq odam xujumlarini xatto ruxsat berilgan sessiya doirasida amalga oshirishi mumkin.
Amalda aksariyat seans satx shlyuzlari mustaqil maxsulot bo`lmay, tatbiqiy satx shlyuzlari bilan komplektda taqdim etiladi.
Do'stlaringiz bilan baham: |