канал
воситачилари
(pipe proxy)
деб юритилувчи махсус дастурлардан фойдала-
нилади. Бу воситачилар ички ва ташк,и тармоклар орасида виртуал канал-
ларни урнатади, сунгра ТСРЯР иловалари генерациялаган пакетларнинг
ушбу канал оркали узатилишини назоратлайди.
Канал воситачилари ТСРЯРнинг муайян хизматларига мулжалланган.
Шу сабабли ишлаши муайян иловаларнинг воситачи-дастурларига асослан-
ган татбикий сатх, шлюзлари имкониятларини кенгайтиришда сеанс сатх,
шлюзларидан фойдаланиш мумкин.
Сеанс сатхи шлюзи ташки тармок, билан узаро алок,ада тармок, сатх,и
ички адресларини (IP-адресларини) трансляциялашни х,ам таъминлайди.
Ички адресларни трансляциялаш ички тармокдан ташк,и тармок,к,а
жунатилувчи барча пакетларга нисбатан бажарилади.
Амалга оширилиши нуктаи назаридан сеанс сатх,и шлюзи етарлича
оддий ва нисбатан ишончли дастур хисобланади. У экранловчи маршрути-
заторни виртуал уланишларни назоратлаш ва ички IP-адресларни трансля-
циялаш функциялари билан тулдиради.
Сеанс сатх,и шлюзининг камчиликлари - экранловчи маршрутизатор-
ларнинг камчиликларига ухшаш. Ушбу технологиянинг яна бир жиддий
камчилиги маълумотлар хршиялари таркибини назоратлаш мумкин эмасли-
ги. Натижада, нияти бузук, одамларга зарар келтирувчи дастурларни
хдмояланувчи тармоккд узатиш имконияти тугилади. Ундан ташкари, ТСР-
сессиясининг (TCP hijacking) ушлаб крлинишида нияти бузук, одам хужум-
ларини хатто рухсат берилган сессия доирасида амалга ошириши мумкин.
Амалда аксарият сеанс сатх, шлюзлари мустакил махсулот булмай,
татбикий сатх, шлюзлари билан комплектда такдим этилади.
Татбщий сагщ шлюзи (экранловчи шлюз
деб хам юритилади) OSI
моделининг татбикий сатх,ида ишлаб, такдимий сатхни хам камраб олади ва
тармоклараро алоканинг энг ишончли химоясини таъминлайди. Татбикий
сатх, шлюзининг химоялаш функциялари, сеанс сатхи шлюзига ухшаб, во-
ситачилик функцияларига тааллукди. Аммо, татбикий сатх, шлюзи сеанс
сатхи шлюзига Караганда химоялашнинг анча куп функцияларини бажари-
ши мумкин:
-
брандмауэр орк,али уланишни урнатишга уринишда фойдаланувчи-
ларни идентификациялаш ва аутентификациялаш;
-
шлюз оркали узатилувчи ахборотнинг х,ак,икийлигини текшириш;
-
ички ва ташки тармок, ресурсларидан фойдаланишни чегаралаш;
-
ахборотлар окимини фильтрлаш ва узгартириш, масалан, вируслар-
ни динамик тарзда кидириш ва ахборотни шаффоф шифрлаш;
-
ходисаларни к,айдлаш, ходисаларга реакция курсатиш, х,амда
к,айдланган ахборотни тахлиллаш ва хисоботларни генерациялаш;
-
ташки тармокдан суралувчи маълумотларни кэшлаш.
Татбикий сатх, шлюзи функциялари воситачилик функцияларига
тааллукди булганлиги сабабли, бу шлюз универсал компьютер хисобланади
ва бу компьютерда хар бир хизмат курсатилувчи татбикий протокол
(HTTP, FTP, SMTP, NNTP
ва х,.) учун биттадан воситачи дастур (экранлов-
чи агент) ишлатилади. ТСРЯРнинг хар бир хизматининг воситачи дастури
(application proxy)
айнан шу хизматга тааллукди хабарларни ишлашга ва
химоялаш функцияларини бажаришга мулжалланган.
Татбикий сатх, шлюзи мое экранловчи агентлар ёрдамида кирувчи ва
чикувчи пакетларни ушлаб крлади, ахборотни нусхалайди ва кайта
жунатади, яъни ички ва ташки тармоклар орасидаги тугридан-тугри ула-
нишни истисно килган х,олда, сервер-воситачи функциясини бажаради (7.9-
расм).
Татбикий шлюз
Татбикий сатхда
хабарлар окимини
фильтрлаш
Web-
хизматининг воси-
тачиси (HTTP)
Файлларни узатиш хиз-
мати воситасчиси (FTP)
Электрон почта хизмати
воситачиси (SMTP,
POP3, IMAP4)
Янгиликлар
хизмати воситачиси
(NNTP)
Компьютерни масофадан
бопщариш хизмати воси-
тачиси (Telnet)
7.9-
расм. Татбиций шлюз ишлаш схемаси.
Татбикий сатх, шлюзи ишлатадиган воситачилар сеанс сатхд шлюзла-
рининг канал воситачиларидан жиддий фаркданади. Биринчидан, татбикий
сатх, шлюзлари муайян иловалар (дастурий серверлар) билан богланган, ик-
кинчидан улар OSI моделининг татбикий сатх,ида хабарлар окимини
фильтрлашлари мумкин.
Татбик,ий сатх, шлюзлари воситачи сифатида мана шу максадлар учун
махсус ишлаб чикилган ТСРЯРнинг муайян хизматларининг дастурий сер-
верлари - HTTP, FTP, SMTP, NNTP ва x,. - серверларидан фойдаланади. Бу
дастурий серверлар брандмауэрларда резидент режимида ишлайди ва
ТСРЯРнинг мое хизматларига тааллукли х,имоялаш функцияларини амалга
оширади. UDP трафигига UDP-пакетлар таркибининг махсус транслятори
хизмат курсатади.
Ички тармок, ишчи сервери ва ташки тармок, компьютери орасида
иккита уланиш амалга оширилади: ишчи станциядан брандмауэргача ва
брандмауэрдан белгиланган жойгача. Канал воситачиларидан фаркли х,олда,
Хдмояланадиган
ички тармок.
татбикий сатх, шлюзининг воситачилари факат узлари хизмат килувчи ило-
валар генерациялаган пакетларни утказади. Масалан, HTTP хизматининг
воситачи-дастури факат шу хизмат генерациялаган трафикни ишлайди.
Агар кандайдир иловада узининг воситачиси булмаса, татбикий
сатхдаги шлюз бундай иловани ишлай олмайди ва у блокировка килинади.
Масалан, агар татбикий сатхдаги шлюз факат HTTP, FTP ва Telnet восита-чи-
дастурларидан фойдаланса, у факат шу хизматларга тегишли пакетларни
ишлайди ва крлган хизматларнинг пакетларини блокировка килади.
Татбикий сатх, шлюзи воситачилари, канал воситачиларидан фаркли
хрлда, ишланувчи маълумотлар таркибини текширишни таъминлайди. Улар
узлари хизмат курсатадиган татбикий сатх, протоколларидаги командалар-
нинг алохдда хилларини ва хабарлардаги ахборотлани фильтрлашлари мум-
кин.
Татбикий сатх, шлюзини созлашда ва хабарларни фильтрлаш
кридаларини тавсифлашда куйидаги параметрлардан фойдаланилади: сервис
номи, ундан фойдаланишнинг жоиз вакт оралиги, ушбу сервисга боглик, ха-
бар таркибига чегаралашлар, сервис ишлатадиган компьютерлар, фойдала-
нувчи идентификатори, аутентификациялаш схемалари ва х,.
Татбикий сатх, шлюзи куйидаги афзалликларга эга:
-
аксарият воситачилик функцияларини бажара олиши туфайли локал
тармок, х,имоясининг юк,ори даражасини таъминлайди;
-
иловалар сатх,ида х,имоялаш купгина к,ушимча текширишларни
амалга оширишга имкон беради, натижада дастурий таъминот камчиликла-
рига асосланган муваффакиятли хужумлар утказиш эх,тимоллиги камаяди;
-
татбик,ий сатх, шлюзининг ишга лаёкатлиги бузилса, булинувчи
тармокдар орасида пакетларнинг туппа-тугри утиши блокировка килинади,
натижада, рад килиниши туфайли химояланувчи тармок,нинг хавфсизлиги
пасаймайди.
Татбик,ий сатх, шлюзининг камчиликларига куйидагилар киради:
-
нархининг нисбатан юкррилиги;
-
брандмауэрнинг узи, х,амда уни урнатиш ва конфигурациялаш муо-
лажаси етарлича мураккаб;
-
компьютер платформаси унумдорлигига ва ресурслари хджмига
купиладиган талабларнинг юкррилиги;
-
фойдаланувчилар учун шаффофликнинг йуклиги ва тармоклараро
алока урнатилишида утказиш крбилиятининг сусайиши.
Охирги камчиликка батафсил тухталамиз. Воситачилар сервер ва ми-
жоз орасида пакетлар узатилишида оралик, ролини бажаради. Аввал восита-
чи билан уланиш урнатилади, сунгра воситачи адресат билан уланишни
яратиш ёки яратмаслик хусусида карор кабул к,илади. Мое хрлда татбикий
сатх, шлюзи ишлаши жараёнида хар кандай рухсат этилган уланишни
кайталайди. Натижада фойдаланувчилар учун шаффофлик йукрлади ва ула-
нишга хизмат килишга кушимча харажат сарфланади.
Do'stlaringiz bilan baham: |