142
kommutator
Kanal sathida ishlatiluvchi boshqariluvchi kommutatorlar,
masalan, MAC-adreslar, portlar va kadrlar sarlavhalaridan olingan
boshqa parametrlar asosida, trafikni filtrlash vazifasining bajarilishiga
imkon beradi. Boshqariluvchi kommutatorlarning afzalligi
sifatida
tarmoq qurilmalari guruhini ma’murlashning qulayligini, lokal tarmoq
unumdorligining oshishini ko‘rsatish mumkin. Funksionallikning
cheklanganligi, fizik rekonfiguratsiyalashning noqulayligi va MAC-
adresni almashtirish hujumiga zaifligi boshqariluvchi kommuta-
torlarning kamchiligi hisoblanadi.
Tarmoq sathining paket filtrlari va marshrutizatorlar IP-adres,
portlar, protokol turi va h. bo‘yicha filtrlash vazifasining bajarilishiga
imkon beradi. Tarmoq va transport sathlari funksionalliklarining
cheklanganligi va IP-adresni almashtirish hujumiga zaifligi
paket
filtrlarining kamchiligi hisoblanadi.
Seans sathining paket filtrlari, seansga mos filtrlash
parametrlarining katta sonini hisobga olgan holda, filtrlashni bajarishga
imkon beradi.
Vositachilar - oraliq tarmoq vositalari o‘ziga tegishli ulanishni
amalga oshirib, trafikni qo‘shimcha qurilmada ishlaydi. Bu o‘z
navbatida quyidagi vazifalarni bajarishga imkon beradi:
−
autentifikatsiyani;
−
mijozlar va serverlarning
asinxron muloqotini;
−
adreslarning translyatsiyasini va yashirishni;
−
tarmoq yukini qayta taqsimlash maqsadida adresni
o‘zgartirishni;
−
almashish unumdorligini oshirish maqsadida xeshlashni;
−
trafikni qaydlashni.
Ayni paytda, vositachilardan foydalanilganda, trafik qo‘shimcha
qurilmada takroriy ishlangani sababli, tarmoq perimetri bo‘yicha
istalgan unumdorlikni ta’minlash masalasini yechish talab etiladi.
Vositachi tomonidan amalga oshiriluvchi marshrutlash
texnologiyasiga alohida e’tibor berish lozim. Unga binoan tarmoq
adreslarining translyatsiyasi (Network Address Translation, NAT)
amalga oshiriladi, ya’ni hostning ichki adresi
vositachining shaxsiy
adresiga almashtiriladi. Boshqacha aytganda, NAT ichki tarmoq
adreslarini tashqi tomondan yashirish siyosatini amalga oshiradi va ichki
143
tarmoq uchun vositachiga bitta IP-adresni belgilash imkoniyatini
yaratadi. Adreslarni translyatsiyalash statik va dinamik tarzda
belgilanishi mumkin.
Seans sathidagi vositachilarga, yuqori
unumdorlikka, adreslarni
yashiruvchi samaradorli apparatga va TCP/UDP – trafikni ajratish
imkoniyatiga ega SOCKet Secure (SOCKS5) vositachisi taalluqli.
Tatbiqiy vositachi sifatida HTTP/HTTPS vositachilari va FTP vositachi
keng tarqalgan. Ushbu vositachilar tatbiqiy protokol kontenti bo‘yicha
filtrlashga imkon tug‘diradi.
Holat inspektorlari (seans sathining imkoniyati kengaytirilgan
filtrlari), seans sathidagi protokollar sarlavhalaridan olinuvchi
ma’lumotlar asosida, intelektual filtrlashni bajaradi. Bu yuqori sathlarda
filtrlash effektini olishga imkon beradi. Bunday tarmoqlararo ekranlar
vositachini o‘rnatishni talab qilmaydi. Shu sababli, tarmoq unumdorligi
pasaymaydi, ammo xavfsizlikning kerakli darajasi ta’minlanadi. Holat
inspektorining afzalligiga masshtablashning qulayligini ham qo‘shish
mumkin.
Amaliyotda axborot resurslarining tarmoqlararo himoyasini
ta’minlashda UTM (Unifield Threat Management)
qurilma
tushunchasini va keyingi avlod tarmoqlararo ekranlarini (Next
Generation, NG firewall) uchratish mumkin.
UTM – qurilma perimetrli himoyalash masalasining kompleks
yechimi hisoblanadi. Uning tarkibida tarmoqlararo ekranlash
modullaridan tashqari, suqilib kirishlarni aniqlash tizimlari, oqimli
antivirus, spamga qarshi yechim, kriptoshlyuz va h. mavjud bo‘lishi
mumkin.
NG firewall UTMga o‘xshash va portlar bo‘yicha filtrlash
texnikasini, suqilib kirishlardan ogohlantirish tizimlarini va ilovalar
sathida trafikni filtrlashni birlashtirish maqsadida yaratilgan.
Do'stlaringiz bilan baham: