|
Tatbiqiy satx shlyuzi (ekranlovchi shlyuz deb xam yuritiladi) OSI modelining tatbiqiy satxida ishlab, taqdimiy satxni xam qamrab oladi va tarmoqlararo aloqaning eng ishonchli ximoyasini ta`minlaydi. Tatbiqiy satx shlyuzining ximoyalash funktsiyalari, seans satxi shlyuziga o`xshab, vositachilik
funktsiyalariga taalluqli. Ammo, tatbiqiy satx shlyuzi seans satxi shlyuziga qaraganda ximoyalashning ancha ko`p funktsiyalarini bajarishi mumkin:
brandmauer orqali ulanishni o`rnatishga urinishda foydalanuvchilarni identifikatsiyalash va autentifikatsiyalash;
shlyuz orqali uzatiluvchi axborotning xaqiqiyligini tekshirish;
ichki va tashqi tarmoq resurslaridan foydalanishni chegaralash;
axborotlar oqimini fil`trlash va o`zgartirish, masalan, viruslarni dinamik tarzda qidirish va axborotni shaffof shifrlash;
xodisalarni qaydlash, xodisalarga reaktsiya ko`rsatish, xamda qaydlangan axborotni taxlillash va xisobotlarni generatsiyalash;
tashqi tarmoqdan so`raluvchi ma`lumotlarni keshlash.
Tatbiqiy satx shlyuzi funktsiyalari vositachilik funktsiyalariga taalluqli bo`lganligi sababli, bu shlyuz universal komp`yuter xisoblanadi va bu komp`yuterda xar bir xizmat ko`rsatiluvchi tatbiqiy protokol (HTTP, FTP, SMTP, NNTP va x.) uchun bittadan vositachi dastur (ekranlovchi agent) ishlatiladi. TCP/IPning xar bir xizmatining vositachi dasturi (application proxy) aynan shu xizmatga taalluqli xabarlarni ishlashga va ximoyalash funktsiyalarini bajarishga mo`ljallangan.
Tatbiqiy satx shlyuzi mos ekranlovchi agentlar yordamida kiruvchi va chiquvchi paketlarni ushlab qoladi, axborotni nusxalaydi va qayta jo`natadi, ya`ni ichki va tashqi tarmoqlar orasidagi to`g`ridan-to`g`ri ulanishni istisno qilgan xolda, server-vositachi funktsiyasini bajaradi (3.9-rasm).
3.9-rasm. Tatbiqiy shlyuz ishlash sxemasi.
Tatbiqiy satx shlyuzi ishlatadigan vositachilar seans satxi shlyuzlarining kanal vositachilaridan jiddiy farqlanadi. Birinchidan, tatbiqiy satx shlyuzlari muayyan ilovalar (dasturiy serverlar) bilan bog`langan, ikkinchidan ular OSI modelining tatbiqiy satxida xabarlar oqimini fil`trlashlari mumkin.
Tatbiqiy satx shlyuzlari vositachi sifatida mana shu maqsadlar uchun maxsus ishlab chiqilgan TCP/IPning muayyan xizmatlarining dasturiy serverlari – HTTP, FTP, SMTP, NNTP va x. – serverlaridan foydalanadi. Bu dasturiy serverlar brandmauerlarda rezident rejimida ishlaydi va TCP/IPning mos xizmatlariga taalluqli ximoyalash funktsiyalarini amalga oshiradi. UDP trafigiga UDP-paketlar tarkibining maxsus translyatori xizmat ko`rsatadi.
Ichki tarmoq ishchi serveri va tashqi tarmoq komp`yuteri orasida ikkita ulanish amalga oshiriladi: ishchi stantsiyadan brandmauergacha va brandmauerdan belgilangan joygacha. Kanal vositachilaridan farqli xolda, tatbiqiy satx shlyuzining vositachilari faqat o`zlari xizmat qiluvchi ilovalar generatsiyalagan paketlarni o`tkazadi. Masalan, HTTP xizmatining vositachi-dasturi faqat shu xizmat generatsiyalagan trafikni ishlaydi.
Agar qandaydir ilovada o`zining vositachisi bo`lmasa, tatbiqiy satxdagi shlyuz bunday ilovani ishlay olmaydi va u blokirovka qilinadi. Masalan, agar tatbiqiy satxdagi shlyuz faqat HTTP, FTP va Telnet vositachi-dasturlaridan foydalansa, u faqat shu xizmatlarga tegishli paketlarni ishlaydi va qolgan xizmatlarning paketlarini blokirovka qiladi.
Tatbiqiy satx shlyuzi vositachilari, kanal vositachilaridan farqli xolda, ishlanuvchi ma`lumotlar tarkibini tekshirishni ta`minlaydi. Ular o`zlari xizmat ko`rsatadigan tatbiqiy satx protokollaridagi komandalarning aloxida xillarini va xabarlardagi axborotlani fil`trlashlari mumkin.
Tatbiqiy satx shlyuzini sozlashda va xabarlarni fil`trlash qoidalarini tavsiflashda quyidagi parametrlardan foydalaniladi: servis nomi, undan foydalanishning joiz vaqt oralig`i, ushbu servisga bog`liq xabar tarkibiga chegaralashlar, servis ishlatadigan komp`yuterlar, foydalanuvchi identifikatori, autentifikatsiyalash sxemalari va x.
Tatbiqiy satx shlyuzi quyidagi afzalliklarga ega:
aksariyat vositachilik funktsiyalarini bajara olishi tufayli lokal tarmoq ximoyasining yuqori darajasini ta`minlaydi;
ilovalar satxida ximoyalash ko`pgina qo`shimcha tekshirishlarni amalga oshirishga imkon beradi, natijada dasturiy ta`minot kamchiliklariga asoslangan muvaffaqiyatli xujumlar o`tkazish extimolligi kamayadi;
tatbiqiy satx shlyuzining ishga layoqatligi buzilsa, bo`linuvchi tarmoqlar orasida paketlarning to`ppa-to`g`ri o`tishi blokirovka qilinadi, natijada, rad qilinishi tufayli ximoyalanuvchi tarmoqning xavfsizligi pasaymaydi.
Tatbiqiy satx shlyuzining kamchiliklariga quyidagilar kiradi:
narxining nisbatan yuqoriligi;
brandmauerning o`zi, xamda uni o`rnatish va konfiguratsiyalash muolajasi etarlicha murakkab;
komp`yuter platformasi unumdorligiga va resurslari xajmiga quyiladigan talablarning yuqoriligi;
foydalanuvchilar uchun shaffoflikning yo`qligi va tarmoqlararo aloqa o`rnatilishida o`tkazish qobiliyatining susayishi.
Oxirgi kamchilikka batafsil tuxtalamiz. Vositachilar server va mijoz orasida paketlar uzatilishida oraliq rolini bajaradi. Avval vositachi bilan ulanish o`rnatiladi, so`ngra vositachi adresat bilan ulanishni yaratish yoki yaratmaslik xususida qaror qabul qiladi. Mos xolda tatbiqiy satx shlyuzi ishlashi jarayonida xar qanday ruxsat etilgan ulanishni qaytalaydi. Natijada foydalanuvchilar uchun shaffoflik yo`qoladi va ulanishga xizmat qilishga qo`shimcha xarajat sarflanadi.
Do'stlaringiz bilan baham: |
