|
Tarmoqlararo ekranlarni ulashning asosiy sxemalari. Korporativ tarmoqni
global tarmoqlarga ulaganda ximoyalanuvchi tarmoqning global tarmoqdan va
global tarmoqning ximoyalanuvchi tarmoqdan foydalanishini chegaralash, xamda
ulanuvchi tarmoqdan global tarmoqning masofadan ruxsatsiz foydalanishidan
ximoyalashni ta`minlash lozim. Bunda tashkilot o`zining tarmog`i va uning
komponentlari xususidagi axborotni global tarmoq foydalanuvchilaridan
berkitishga
manfaatdor.
Masofadagi
foydalanuvchilar
bilan
ishlash
ximoyalanuvchi tarmoq resurslaridan foydalanishning qat`iy chegaralanishini talab
etadi.
Tashkilotdagi korporativ tarmoq tarkibida ko`pincha ximoyalanishning turli
satxli birnechi segmentlarga ega bo`lishi extiyoji tug`iladi:
- bemalol foydalaniluvchi segmentlar (masalan, reklama WWW-serverlari);
- foydalanish chegaralangan segmentlar (masalan, tashkilotning masofadagi
uzellari xodimlarining foydalanishi uchun);
- yopiq segmentlar (masalan, tashkilotning moliya lokal qism tarmog`i)
Tarmoqlararo ekranlarni ulashda turli sxemalardan foydalanish mumkin. Bu
sxemalar ximoyalanuvchi tarmoq ishlashi sharoitiga, xamda ishlatiladigan
brandmauerlarning tarmoq interfeyslari soniga va boshqa xarakteristikalariga
bog`liq. Tarmoqlararo ekranni ulashning quyidagi sxemalari keng tarqalgan:
- ekranlovchi marshrutizatordan foydalanilgan ximoya sxemalari;
- lokal tarmoqni umumiy ximoyalash sxemalari;
- ximoyalanuvchi yopiq va ximoyalanmaydigan ochiq kism tarmoqli
sxemalar;
83
- yopiq va ochiq qism tarmoqlarni aloxida ximoyalovchi sxemalar.
Ekranlovchi marshrutizatordan foydalanilgan ximoya sxemasi.
Paketlarni fil`trlashga asoslangan tarmoqlararo ekran keng tarqalgan va
amalga oshirilishi oson. U ximoyalanuvchi tarmoq va bo`lishi mumkin bo`lgan
g`anim ochiq tarmoq orasida joylashgan ekranlovchi marshrutizatordan iborat
(3.10-rasm).
Ekranlovchi marshrutizator (paketli fil`tr) kiruvchi va chiquvchi paketlarni
ularning adreslari va portlari asosida blokirovka qilish va fil`trlash uchun
konfiguratsiyalangan.
Ximoyalanuvchi tarmoqdagi komp`yuterlar Internetdan to`g`ridan-to`g`ri
foydalanaoladi, Internetning ulardan foydalanishining ko`p qismi esa blokirovka
qilinadi. Umuman, ekranlovchi marshrutizator yuqorida tavsiflangan ximoyalash
siyosatidan istalganini amalga oshirishi mumkin. Ammo, agar marshrutizator
paketlarni manba porti va kirish yo`li va chiqish yo`li portlari nomeri bo`yicha
fil`trlamasa, "oshkora ruxsat etilmagani man qilingan" siyosatini amalga oshirish
qiyinlashadi.
Paketlarni fil`trlashga asoslangan tarmoqlararo ekranning kamchiliklari
quyidagilar:
- fil`trlash qoidalarining murakkabligi; ba`zi xollarda bu qoidalar majmui
bajarilmasligi mumkin;
Ekranlovchi marshrutizator
Ochiq tashqi
Himoyalanadigan
ichki tarmoq
3.10-rasm. Tarmoqlararo ekran – ekranlovchi marshrutizator
84
- fil`trlash qoidalarini to`liq testlash mumkin emasligi; bu tarmoqni
testlanmagan xujumlardan ximoyalanmasligiga olib keladi;
- xodisalarni ruyxatga olish imkoniyatining yo`qligi; natijada ma`murga
mashrutizatorning xujumga duch kelganligini va obro`sizlantirilganligini aniqlash
qiyinlashadi.
Lokal tarmoqni umumiy ximoyalash sxemalari. Bitta tarmoq interfeysli
brandmauerlardan foydalanilgan ximoyalash sxemalari (3.11-rasm) xavfsizlik va
konfiguratsiyalashning qulayligi nuqtai nazaridan samarasiz xisoblanadi. Ular
ichki va tashqi tarmoqlarni fizik ajratmaydilar, demak, tarmoqlararo aloqaning
ishonchli ximoyasini ta`minlay olmaydilar.
Ochiq tashqi
Himoyalanadigan
ichki tarmoq
3.11-rasm. Bitta tarmoq interfeysli firewall yordamida lokal tarmoqni
himoyalash
Tarmoqlararo ekran
Ochiq serverlar
Marshrutizator
Marshrutizator
85
Lokal tarmoqni umumiy ximoyalash sxemasi eng oddiy echim bo`lib, unda
brandmauer lokal tarmoqni tashqi g`anim tarmoqdan butunlay ekranlaydi (3.12-
rasm).
Marshrutizator va brandmauer orasida faqat bitta yo`l bo`lib, bu yo`l orqali
butun trafik o`tadi. Brandmauerning ushbu varianti "oshkora ruxsat etilmagani man
qilingan" printsipiga asoslangan ximoyalash siyosatini amalga oshiradi. Odatda
marshrutizator shunday sozlanadiki, brandmauer tashqaridan ko`rinadigan yagona
mashina bo`ladi.
Lokal tarmoq tarkibidagi ochiq serverlar xam tarmoqlararo ekranlar
tomonidan ximoyalanadi. Ammo, tashqi tarmoq foydalanaoladigan serverlarni
ximoyalanuvchi lokal tarmoqlarning boshqa resurslari bilan birlashtirish
tarmoqlararo aloqa xavfsizligini jiddiy pasaytiradi.
Tarmoqlararo
ekran
foydalanadigan
xostga
foydalanuvchilarni
kuchaytirilgan autentifikatsiyalash uchun dastur o`ranatilishi mumkin.
Ochiq tashqi
tarmoq
Himoyalanadigan
ichki tarmoq
3.12-rasm. Lokal tarmoqni umumiy himoyalash sxemasi
Marshrutizator
Tarmoqlararo
ekran
86
Do'stlaringiz bilan baham: |
