ни, хдмда кабул к,илинувчи криптографик беркитилган маълумотларни ав-
томатик тарзда расшифровка килишни амалга ошириши мумкин. Бу хрлда
бундай экран OSI моделининг нафакат татбикий сатх,ида, балки такдимий
сатхдда хам ишлайди.
Татбикий сатх,
Татбикий сатх,
Татбикий сатх,
Тавдимий сатх,
Тавдимий сатх,
Сеанс сатхи
Сеанс сатхи шлюзи
Сеанс сатхи
Транспорт сатхи
Транспорт сатхи
Тармок сатхи
Тармок; сатхи
Канал сатхи
Канал сатхи
Физик сатх,
Физик сатх,
7.5-
расм. OSI моделининг алощда сатуларида ишлайдиган тармоцлараро
экранлар тури
Сеанс сатхд шлюзи ишлашида OSI моделининг транспорт ва тармок,
сатхдарини камраб олади. Экранловчи маршрутизатор
хабарлар пакетини
тахлиллашда уларнинг нафакат тармок,, балки транспорт сатхи
сарлавх,аларини хам текширади.
Юкррида келтирилган тармоклараро экранларнинг хиллари узининг
афзалликлари ва камчиликларига эга. Ишлатиладиган брандмауэрларнинг
купчилиги ёки татбик,ий шлюзлар, ёки экранловчи маршрутизаторлар
булиб, тармоклараро алоканинг тулик, хавфсизлигини таъминламайди.
Ишончли химояни эса фак,ат х,ар бири экранловчи маршрутизатор,
сеанс
сатхд шлюзи, хдмда татбикий шлюзни бирлаштирувчи тармоклараро экран-
ларнинг комплекси таъминлайди.
Экранловчи маршрутизатор
(screening router)
(пакетли фильтр (packet
filter)
деб хам аталади) хабарлар пакетини фильтрлашга аталган ва ички ва
ташки тармоклар орасида шаффоф алок,ани таъминлайди. У OSI моделининг
тармок, сатх,ида ишлайди, аммо узининг айрим функцияларини ба-жаришида
эталон моделининг транспорт сатхини х,ам к,амраб олиши мумкин.
кранлайдиган
шрутизатор
Маълумотларни утказиш
еки
бракка чикариш хусусидаги карор
фильтрлашнинг берилган коидаларига биноан хар бир пакет учун мустакил
кабул килинади. Кдрор кабул килишда тармок, ва транспорт сатхдари па-
кетларининг сарлавх,алари тахлил этилади (7.6-расм).
Хар бир пакетнинг IP- ва TCP/UDP - сарлавх,аларининг тахлилланув-
чи хршиялари сифатида куйидагилар ишлатилиши мумкин:
-
жунатувчи адреси;
-
кабул килувчи адреси;
-
пакет хили;
-
пакетни фрагментлаш байроги;
-
манба порти номери;
-
кабул килувчи порт номери.
Экранлайдиган
маршрутизатор
Пакетларни IP- ва TCP- (UDP-,
ICMP)
сарлавхдлари бўйича
фильтрлаш
7.6-
расм. Пакетли фильтрни ишлаш схемаси
Биринчи туртта параметр пакетнинг IP-сарлавхасига, кейингилари эса
ТСР-ёки UDP сарлавхасига тааллукди. Жунатувчи ва кабул килувчи адрес-
лари IP-адреслар хисобланади. Бу адреслар
пакетларни шакллантиришда
тулдирилади ва уни тармок, буйича узатганда узгармайди.
Пакет хили хршиясида тармок, сатх,ига мое келувчи ICMP протокол
коди ёки тахлилланувчи IP-пакет тааллукди булган транспорт сатх,и прото-
колининг (TCP ёки UDP) коди булади.
Пакетни фрагментлаш байроги IP-пакетлар фрагментлашининг борли-
ги ёки йуклигини аникдайди. Агар тах,лилланувчи пакет учун фрагментлаш
байроги урнатилган булса, мазкур пакет фрагментланган IP-пакетнинг кием
пакети хисобланади.
Хдмояланадиган
ички тармок;
Манба ва кабул килувчи портлари номерлари TCP ёки UDP драйвер
томонидан хар бир жунатилувчи хабар пакетларига кушилади ва жунатувчи
иловасини, хамда ушбу пакет аталган иловани
бир маънода идентифика-
циялайди. Портлар номерлари буйича фильтрлаш имконияти учуй юкрри
сатх, протоколларига порт номерларини ажратиш буйича тармокда кабул
килинган келишувни билиш л озим.
Хдр бир пакет ишланишида экранловчи маршрутизатор берилган
кридалар жадвалини, пакетнинг тулик, ассоциациясига мое келувчи кридани
топгунича, кетма-кет куриб чикади. Бу ерда ассоциация деганда берилган
пакет сарлавх,аларида курсатилган параметрлар мажмуи тушунилади. Агар
экранловчи маршрутизатор жадвалдаги кридаларнинг бирортасига хам мое
келмайдиган пакетни олса, у, хавфеизлик нуктаи назаридан, уни брака
чикаради.
Пакетли фильтрлар аппарат ва дастурий амалга оширилиши мумкин.
Пакетли фильтр
сифатида оддий маршрутизатор, хамда кирувчи ва чикувчи
пакетларни фильтрлашга мослаштирилган, серверда ишловчи дастурдан
фойдаланиш мумкин. Замонавий маршрутизаторлар хар бир порт билан
бир неча унлаб кридаларни боглаши ва киришда, хам чикишда пакетларни
фильтрлаши мумкин.
Пакетли фильтрларнинг камчилиги сифатида к,уйидагиларни
курсатиш мумкин. Улар хавфеизликнинг юкрри даражасини таъминламай-
ди, чунки фак,ат пакет сарлавх,аларини текширадилар ва купгина керакли
функцияларни мададламайди. Бу функцияларга, масалан, охирги узелларни
аутентификациялаш, хабарлар пакетларини криптографик беркитиш, х,амда
уларнинг яхлитлигини ва хакикийлигини текшириш киради. Пакетли
фильтрлар дастлабки адресларни алмаштириб к,уйиш ва хабарлар пакети
таркибини рухсатсиз узгартириш каби кенг тарк,алган тармок, хужумларига
заиф х,исобланадилар. Бу хил брандмауэрларни "алдаш" к,ийин
эмас -
фильтрлашга рухсат берувчи кридаларни крндирувчи пакет сарлавх,аларини
шакллантириш кифоя.
Аммо, пакетли фильтрларнинг амалга оширилишининг соддалиги,
юкрри унумдорлиги, дастурий иловалар учун шаффофлиги ва нархининг
пастлиги, уларнинг хдмма ерда тарк,алишига ва тармок, хавфсизлиги тизи-
мининг мажбурий элементи каби ишлатилишига имкон яратди.
Do'stlaringiz bilan baham: