|
Xabarlar oqimini filtrlash va o'zgamnsh vositachi tomonidan qoidalarning berilgan to‘plami yordamida bajariladi. Bunda vosita- chi-dasturlarning ikki xili farqlanadi:
servis turini aniqlash uchun xabarlar oqimini tahlillashga mo’ljallangan ekranlovchi agentlar, masalan, FTP, HTTP, Telnet;
barcha xabarlar oqimini ishlovchi universal ekranlovchi agentlar, masalan, kompyuter viruslarini qidirib zararsizlantirishga yoki ma’lumotlami shaffof shifrlashga mo‘ljallangan agentlar.
Dasturiy vositachi unga keluvchi ma’lumotlar paketini tah- lillaydi vaagar qandaydir obyekt berilgan mezonlarga mos kelmasa, vositachi uning keyingi siljishini blokirovka qiladi yoki mos 0‘zgarishini, masalan, oshkor qilingan kompyuter viruslarni zarar- sizlantirishni bajaradi. Paketlar tarkibini tahlillashda ekranlovchi agentning o‘tuvchi faylli arxivlarni avtomatik tarzda ocha olishi muhim hisoblanadi
Foydalanuvchilami identifikatsiycilash va autentifikatsiyalash ba’zida oddiy identifikatorni (ism) va parolni taqdim etish bilan amalga oshiriladi (8.3-rasm). Ammo bu sxema xavfsizlik nuqtayi nazaridan zaif hisoblanadi, chunki parolni begona shaxs ushlab qolib, ishlatishi mumkin. Internet tarmog‘idagi ko’pgina mojarolar qisman an’anaviy ko‘p marta ishlatiluvchi parollarning zaifligidan kelib chiqqan.
Autentifikatsiyalashning ishonchliroq usuli - bir marta ishlatiluvchi parollardan foydalanishdir. Bir martali parollarni generatsiya- lashda apparat va dasturiy vositalardan foydalaniladi. Apparat vosi- talari kompyuterning slotiga o‘rnatiluvchi qurilma bo‘lib. uni ishga tushirish uchun foydalanuvchi qandaydir maxfiy axborotni bilishi zarur. Masalan, smart-karta yoki foydalanuvchi tokeni axborotni generatsiyalaydi va bu axborotni xost an’anaviy parol o‘rnida ish- latadi. Smart-karta yoki token xostning apparat va dasturiy ta'minoti bilan birga ishlashi sababli, generatsiyalanuvchi parol har bir seans uchun noyob boTadi.
Ishonchli organ, masalan, kalitlarni taqsimlash markazi tomo- nidan beriluvchi raqamli sertifikatlami ishlatish ham qulay va ishonchli. Ko‘pgina vositachi dasturlar shunday ishlab chiqiladiki, foydalanuvchi faqat tarmoqlararo ekran bilan ishlash seansining bo- shida autentifikatsiyalanadi. Bundan keym ma'mur belgilagan vaqt mobaynida undan qo'shimcha autentifikatsiyalanish talab etilmaydi.
Tarmoqlararo ekranlar tarmoqdan foydalanishni boshqarishni markazlashtirishlari mumkin. Demak, ular kuchaytirilgan autentifi- katsiyalash dasturlari va qurilmalarini o‘rnatishga munosib joy hisoblanadi. Garchi kuchaytirilgan autentifikatsiya vositalari har bir • xostda ishlatilishi mumkin bo‘lsa-da, ularning tarmoqlararo ekran- larda joylashtirish qulay. Kuchaytirilgan autentifikatsiyalash chora- laridan foydalanuvchi tarmoqlararo ekranlar bo‘lmasa, Telnet voki FTP kabi ilovalarning autentifikatsiyalanmagan trafigi tarmoqning ichki tizimlariga to‘g‘ridan-to‘g‘ri o‘tishi mumkin.
Qator tarmoqlararo ekranlar autentifikatsiyalashning keng tar- qalgan usullaridan biri - Kerberosni madadlaydi. Odatda, aksariyat tijorat tarmoqlararo ekranlar autentifikatsiyalashning turli sxemala- rini madadlaydi. Bu esa, tarmoq xavfsizligi ma’muriga o‘zining sha- roitiga qarab eng maqbul sxemani tanlash imkonini beradi.
198
rasm. Parol bo"yicha foydalanuvchmi autentifikatsiyalash
sxemasi.
Ichki tamioq adreslatini translyatsiyalash. Ko‘pgina hujumlar- ni amalga oshirishda niyati buzuq odamga qurbonining adresini bilish kerak bo'ladi. Bu adreslami hamda butun tarmoq topologiya- sini bekitish uchun tarmoqiararo ekranlar eng muhim vazifani - ichki tarmoq adreslarini translyatsiyalashni bajaradi (8.4-rasm).
Bu funksiya ichki tarmoqdan tashqi tarmoqqa uzatiluvchi bar- cha paketlarga nisbatan bajanladi. Bunday paketlar uchun jo‘na- tuvchi kompyuterlarning IP-adreslari bitta "ishonchli" IP-adresga avtomatik tarzda o‘zgartiriladi.
Ichki tarmoq adreslarini translyatsiyalash ikkita usul-dinamik va statik usullarda amalga oshirilishi mumkin. Dinamik usulda adres uzelga tarmoqiararo ekranga murojaat onida ajratiladi. Ulanish tugallanganidan so‘ng adres bo"shaydi va uni korporativ tarmoqning
199
Marshrutizator
183.157.3.110 183.157.3.105
boshqa uzeli ishlatishi mumkin. Statik usulda uzel adresi barcha chiquvchi paketlar uzatiladigan tarmoqlararo ekranning bitta adresi- ga doimo bogianadi. Tarmoqlararo ekranning IP-adresi tashqi tar- moqqa tushuvchi yagona faol IP-adresga aylanadi. Natijada, ichki tarmoqdan chiquvchi barcha paketlar tarmoqlararo ekrandan jo‘na- tilgan bo‘ladi. Bu avtorizatsiyalangan ichki tarmoq va xavfli bo'lishi mumkin bo‘lgan tashqi tarmoq orasida to‘g‘ridan-to‘g‘ri aloqani istisno qiladi.
rasm. Tarmoq adreslarini translatsiyalash.
Bunday yondashishda ichki tarmoq topologiyasi tashqi foyda- lanuvchilardan yashiringan, demak, ruxsatsiz foydalanish masalasi qiyinlashadi. Adreslami translyatsiyalash tarmoq ichida tashqi tarmoq, masalan, Internetdagi adreslash bilan kelishilmagan adreslash- ning xususiy tizimiga ega boTishiga imkon beradi. Bu ichki tarmoq-
200
ning adres makonini kengaytirish va tashqi adres tanqisligi muam- mosini samarali yechadi.
Do'stlaringiz bilan baham: |
