194
8.3 – rasm.
Brandmauerlar turlari:
Paketli filtr yoki saralovchi filtrlar;
Ilova shlyuzlar yoki proksi-serverlar.
Ushbu himoya tarmoq qurilmalarini qoʻllash himoyalash siyosati va
tashkilotda tatbiq etilgan qoidalar toʻplamiga bogʻliq boʻladi.
8.4- rasm. Ilova – shlyuz
darajasi
8.4. Tarmoqlararo ekranning paketlarni filtrlash qoidalari
Avtomatlashtirilgan tizimlarda tarmoq texnologiyalari asosida ishlovchi
ilovalardan keng foydalanish, texnologiyalarining rivojlanishi
tarmoq resurslari
himoyasiga va xavfsizligini taʻminlash bilan bogʻliq avval maʻlum boʻlmagan
195
yangi koʻrinishdagi xavfsizlik muammolarni koʻndalang qoʻymoqda. Ushbu
muammolar sabab zamonaviy kompyuter tizimlari va tarmoqlarida himoyaning
birlamchi tashkil etuvchisi sifatida apparat-dasturiy yyechimga ega boʻlgan
tarmoqlararo ekran texnologiyasidan keng foydalanilmoqda.
Shu sababli tarmoqlararo ekran asosida tarmoq trafigini filtrlash jarayonida
foydalaniladigan maxsus filtrlash qoidalari guruhini sozlashni va qoʻllashni toʻgʻri
tashkil etish, tarmoq trafigi bilan bogʻliq xavfsizlik muammolarini bartaraf etishda
eng ishonchli yyechimlaridan biri ekanligini koʻrsatmoqda.
Tarmoq
trafigini filtrlash, tarmoqdagi turli sathlarida amalga oshirilishi
mumkin. Har bir sathga maʻlum bir filtrlash qoidalari guruhi mos keladi. Har bir
guruhning filtrlash qoidalari joriy sath bogʻlanishiga mos protokol paketlarining
sarlavha parametrlari beriladi.
Shunday qilib, tarmoqlararo ekranda paketlar sarlavhasining
tarkibiy qismi
boʻlgan maʻlumotlar asosida paketli filtrlash amalga oshitriladi.
Tarmoqlararo ekranda quyidagi qoidalar guruhi mavjud:
MAC-qoida – Ethernet kadrlar sathidagi filtrlash qoidalari;
ARP-qoida – ARP va RARP paketlarini filtrlash qoidalari;
IP-qoida – IPv4 protokoli paketlarini filtrlash qoidalari.
IP-qoidalarida TCP, UDP va ICMP paketlarini qayta ishlash uchun
qoʻshimcha paketlar mavjud. Bu guruhga qisqa tarmoq hujumlarini
qaytarish, abonentlarni bloklash va boshqalar uchun oʻziga xos
vaqtinchalik IP-qoidalar ham kiradi;
IPX-qoida – IPX paketlarini filtrlash qoidalari;
AP-qoida – amaliy sath filtrlash qoidalari.
Qoidalarni tuzishda qoidani maʻlum
vaqt intervaliga va VLAN
identifikatoriga bogʻlashga imkon beruvchi ―VLAN-guruhlar va “Vaqt
intervallari” maxsus tuzilmalaridan foydalaniladi.
Har qanday filtrlash qoidasi quyidagicha koʻrinishda boʻladi:
196
IF (qoidalar parametri) – THEN (qoidalar harakati), yaʻni paketning yetib
kelgan sarlavhasi qoida parametrlariga toʻgʻri kelsa, paketga qoidada koʻrsatilgan
harakat qoʻllanilishi lozim.
Bunda paket ustida quyidagi harakatlar amalga oshirilishiga yoʻl qoʻyiladi:
oʻtkazish‖ (accept) – chiquvchi filtrlash interfeysiga yoki filtrlashning
keyingi sathiga (MAC-qoidalar uchun) paketni uzatadi;
yuborish‖ (pass) – keyingi filtrlash sathlarini aylanib oʻtgan
holda
chiquvchi filtrlash interfeysiga paketni uzatadi (tarmoqlararo ekran ichida);
oʻchirish‖ (drop) – paketni keyingi oʻtishiga taʻqiq qoʻyish.
Paketli filtrlash rejimida paketlarni qayta ishlash 2 bosqichda amalga
oshiriladi:
1) MAC-qoidalar boʻyicha filtrlash;
2) Keyingi sath qoidalari boʻyicha filtrlash (ARP, IP va IPX-qoidalari).
Birinchi navbatda tarmoqlararo ekranni filtrlovchi interfeysi tomonidan qabul
qilingan har bir paketni filtrlash MAC-qoidalariga muvofiq Ethernet kadrlar
sathida ishlanadi. Agar paketga paket oʻchirilishi belgilangan qoida qoʻllanilsa,
unda paket hech qaerga uzatilmasdan, uni qayta ishlash toʻxtatiladi. Agar paketga
paketni oʻtkazish belgilangan qoidasi qoʻllanilsa, unda bu paket uni oʻtkazish yoki
oʻchirish toʻgʻrisidagi soʻnggi qaror qabul qiluvchi filtrlashning
keyingi sathiga
beriladi. Agar paketga yuborish qoidasi qoʻllanilsa, unda bu paketni filtrlash
protsedurasi toʻxtatiladi va paket chiquvchi interfeysga beriladi.
Filtrlashning
keyingi
sathida
paketga
joriy
Ethernet-kadrda
inkapsulyasiyalanuvchi protokol toifasiga bogʻliq holda ARP, IP yoki IPX-
qoidalarning mos keluvchi holatlaridan biri qoʻllaniladi.
Do'stlaringiz bilan baham: 
