|
УШ BOB. AXBOROTNIHIMOYALASHDA
TARMOQLARARO EKRANLARNING 0‘RNI
Tarmoqlararo ekranlarning ishlash xususiyatlari
Tarmoqlararo ekran (ТЕ) - brandnmuer yoki firewall sistemasi deb ham ataluvchi tarmoqlararo himoyaning ixtisoslashtirilgan kompleksi. Tarmoqlararo ekran umumiy tarmoqni ikki yoki undan ko‘p qismlarga ajratish va ma’lumot paketlarini chegara orqali umumiy tarmoqning bir qismidan ikkinchisiga o'tish shartlarini belgilovchi qoidalar to‘plamini amalga oshirish imkonini beradi. Odatda, bu chegara korxonaning korporativ (lokal) tarmog‘i va Internet global tarmoq orasida o‘tkaziladi. Tarmoqlararo ekranlar garchi korxona lokal tarmog‘i ulangan korporativ intratarmog‘idan qilinuvchi hujumlardan himoyalashda ishlatilishi mumkin bo‘lsa-da, odatda ular korxona ichki tarmog‘ini Internet global tarmoqdan suqilib kirishdan himoyalaydi. Aksariyat tijorat tashkilotlari uchun tarmoqlararo ekranlarning o‘rnatilishi, ichki tarmoq xavfsizligini ta’minlashning zaruriy sharti hisoblanadi.
Ruxsat etilmagan tarmoqlararo foydalanishga qarshi ta’sir ko‘rsatish uchun tarmoqlararo ekran ichki tarmoq hisoblanuvchi tashkilotning himoyalanuvchi tarmog'i va tashqi g‘anim tarmoq orasida joylanishi lozim (8.1-rasm). Bunda bu tarmoqlar orasidagi bar- cha aloqa faqat tarmoqlararo ekran orqali amalga oshirilishi lozim. Tashkiliy nuqtayi nazaridan tarmoqlararo ekran himoyalanuvchi tarmoq tarkibiga kiradi.
Ichki tarmoqning ko‘pgina uzellarini birdamga himoyalovchi tarmoqlararo ekran quyidagi ikkita vazifani bajarishi kerak:
- tashqi (himoyalanuvchi tarmoqqa nisbatan) foydalanuvchilar- ning korporativ tarmoqning ichki resurslaridan foydalanishini che- garalash. Bunday foydalanuvchilar qatoriga tarmoqlararo ekran himoyalovchi ma’lumotlar bazasining serveridan foydalanishga uri- nuvchi sheriklar, masofadagi foydalanuvchilar, xakerlar, hatto kom- paniyaning xodimlari kiritilishi mumkin;
- himoyalanuvchi tannoqdan foydalanuvchilarning tashqi re- surslardan foydalanishlarini chegaralash. Bu masalaning yechilishi, masalan, serv'erdan xizmat vazifalari talab etmaydigan foydalanishni tartibga solishga imkon beradi.
Ocliiq lashtji Himoyalanadigan ichki tamioq
8.1-rasm. Tarmoqlararo ekranni ulash sxemasi.
Hozirda ishlab chiqarilayotgan tarmoqlararo ekranlarning tav- siflariga asoslangan holda, ulami quyidagi asosiy alomatlari bo‘yi- cha turkumlash mumkin:
OS1 modeli sathlaridci ishlashi bo ‘yicha.
paketli filtr (ekranlovchi marshrutizator - screening router); -seans sathi shlyuzi (ekranlovchi transport);
-tatbiqiy satb shlyuzi (application gateway);
ekspert sathi shlyuzi (stateful inspection firewall). Ishlatiladigan texnologiya bo ‘yicha:
protokol holatini nazoratlash (Stateful inspection);
vositachilar modullari asosida (proxy);
Bajarilishi bo ‘yicha:
apparat-dasturiy;
dasturiy;
Ulanish sxemasi bo‘ydcha,
tarmoqni umumiy himoyalash sxemasi;
tarmoq segmentlari himoyalanuvchi berk va tarmoq segment- lari himoyalanmaydigan ochiq sxema;
- tarmoqning berk va ochiq segmentlarini alohida himoya- lovchi sxema.
Trafiklarni filtrlash. /Vxborot oqimlarini filtrlash, ularni ekran orqali, ba’zida qandaydir o‘zgartirishlar bilan o‘tkazishdan iborat. Filtrlash, qabul qilingan xavfsizlik siyosatiga mos keluvchi, ekranga oldindan yuklangan qoidalar asosida amalga oshiriladi. Shu sababli, tarmoqlararo ekranni axborot oqimlarini ishlovchi filtrlar ketma- ketligi sifatida tasawur etish qulay (8.2-rasm).
8.2-rasm. Tarmoqlararo ekran tuzilinasi.
Filtrlaming har biri quyidagi harakatlami bajarish orqali filtr- lashning alohida qoidalarini izohlashga atalgan:
Axborotni izohlanuvchi qoidalardagi berilgan mezonlar bo - yicha tahlillash, masalan, qabul qiluvchi va jo‘natuvchi adreslari yoki ushbu axborot atalgan ilova xili bo'yicha.
Izohlanuvchi qoidalar asosida quyidagi yechimlardan birini qabul qilish:
maTumotlarni o'tkazmaslik;
maTumotlarni qabul qiluvchi noinidan ishlash va natijani jo‘- natuvchiga qaytarish;
tahlillashni davom ettirish uchun ma’lumotlami keyingi filtrga uzatish;
keyingi filtrlarga e’tibor qilmay ma'lumotlami uzatish.
Filtrlash qoidalari vositachilik funksiyalariga oid qo’shimcha,
masalan, ma’lumotlami o'zgartirish, hodisalami qaydlash va h. kabi harakatlarni ham berishi mumkin. Mos holda, Filtrlash qoidalari qu- yidagilarning amalga oshirilishini ta’minlovchi shartlar ro’yxatini aniqlaydi:
ma’lumotlami keyingi uzatishga ruxsat berish yoki ruxsat bermaslik;
himoyalashning qo’shimcha funksiyalarini bajarish.
Axborot oqimini tahlillash mezom sifatida quyidagi parametr-
lardan foydalanish mumkin:
tarkibida tarmoq adreslari, identifikatorlar, interfeyslar adresi, portlar nomeri va boshqa munim ma’lumotlar bo’lgan xabar paket- larining xizmatchi hoshiyalari;
masalan, kompyuter viruslari borligiga tekshiriluvchi xabar paketlarining bevosita tarkibi;
axborot oqimining tashqi xarakteristikalari, masalan, vaqt va chastota xarakteristikalari ma’lumotlar hajmi va h.
Ishlatiluvchi tahlillash mezonlari filtrlashni amalga oshiruvchi OSI modelining sathlariga bog'liq. Umumiy holda, paketni filtrlash - ni amalga oshiruvchi OSI modelining sathi qanchalik yuqori bo‘lsa, ta’minlanuvchi himoyalash darajasi ham shunchalik yuqori bo’ladi.
Do'stlaringiz bilan baham: |
