Tarmoqlararo ekran — bu tizim, umumiy tarmoqni ikki qismga ajratib, tarmoqlararo himoya vazifasini utaydi va ma’lumotlar paketining chegaradan utish shartlarini amalga oshiradigan koidalar to’plami hisoblanadi.
Odatda tarmoqlararo ekran ichki tarmoqlarni global tarmoqlardan, ya’ni Internetdan himoya qiladi. SHuni aytish kerakki, tarmoqlararo ekran nafaqat Internetdan, balki korporativ tarmoqlardan ham himoya qilish kobiliyatiga egadir. Har qanday tarmoqlararo ekran ichki tarmoqlarni to’liq himoya qila oladi deb bo’lmaydi.
Ruxsat etilmagan tarmoqlararo foydalanishga qarshi ta’sir koʻrsatish uchun tarmoqlararo ekran ichki tarmoq hisoblanuvchi tashkilotning himoyalanuvchi tarmogʻi va tashqi gʻanim tarmoq orasida joylanishi lozim (7.1-rasm). Bunda bu tarmoqlar orasidagi barcha aloqa faqat tarmoqlararo ekran orqali amalga oshirilishi lozim.
7.1-rasm. Tarmoqlararo ekranni ulash sxemasi
Tashkiliy nuqtai nazaridan tarmoqlararo ekran himoyalanuvchi tarmoq tarkibiga kiradi. Ichki tarmoqning koʻpgina uzellarini birdaniga himoyalovchi tarmoqlararo ekran quyidagi ikkita vazifani bajarishi kerak:
tashqi (himoyalanuvchi tarmoqqa nisbatan) foydalanuvchilarning korporativ tarmoqning ichki resurslaridan foydalanishini chegaralash. Bunday foydalanuvchilar qatoriga tarmoqlararo ekran himoyalovchi ma’lumotlar bazasining serveridan foydalanishga urinuvchi sheriklar, masofadagi foydalanuvchilar, xakerlar, hatto kompaniyaning xodimlari kiritilishi mumkin;
himoyalanuvchi tarmoqdan foydalanuvchilarning tashqi resurslardan foydalanishlarini chegaralash. Bu masalaning echilishi, masalan, serverdan xizmat vazifalari talab etmaydigan foydalanishni tartibga solishga imkon beradi.
6.2 Tarmoqlararo ekran tuzilmasi Hozirda ishlab chiqarilayotgan tarmoqlararo ekranlarning tavsiflariga asoslangan holda, ularni quyidagi asosiy alomatlari boʻyicha turkumlash mumkin:
OSI modeli sathlarida ishlashi boʻyicha:
protokol holatini nazoratlash (Stateful inspection);
vositachilar modullari asosida (proxy);
Bajarilishi boʻyicha:
apparat-dasturiy;
dasturiy;
Ulanish sxemasi boʻyicha;
tarmoqni umumiy himoyalash sxemasi;
- tarmoq segmentlari himoyalanuvchi berk va tarmoq segmentlari himoyalanmaydigan ochiq sxema;
- tarmoqning berk va ochiq segmentlarini alohida himoyalovchi sxema.
Trafiklarni filtrlash. Axborot oqimlarini filtrlash ularni ekran orqali, ba’zida qandaydir oʻzgartirishlar bilan, oʻtkazishdan iborat. Filtrlash qabul qilingan xavfsizlik siyosatiga mos keluvchi, ekranga oldindan yuklangan qoidalar asosida amalga oshiriladi. Shu sababli tarmoqlararo ekranni axborot oqimlarini ishlovchi filtrlar ketma - ketligi sifatida tasavvur etish qulay (7.2-rasm).
7.2-rasm. Tarmoqlararo ekran tuzilmasi
Filtrlarning har biri quyidagi harakatlarni bajarish orqali filtrlashning alohida qoidalarini izohlashga atalgan:
Axborotni izohlanuvchi qoidalardagi berilgan mezonlar boʻyicha tahlillash, masalan, qabul qiluvchi va joʻnatuvchi adreslari yoki ushbu axborot atalgan ilova xili boʻyicha.
Izohlanuvchi qoidalar asosida quyidagi echimlardan birini qabul qilish:
ma’lumotlarni oʻtkazmaslik;
ma’lumotlarni qabul qiluvchi nomidan ishlash va natijani joʻnatuvchiga qaytarish;
tahlillashni davom ettirish uchun ma’lumotlarni keyingi filtrga uzatish;
keyingi filtrlarga e’tibor qilmay ma’lumotlarni uzatish.
Filtrlash qoidalari vositachilik funktsiyalariga oid qoʻshimcha, masalan ma’lumotlarni oʻzgartirish, xodisalarni qaydlash va h. kabi harakatlarni ham berishi mumkin. Mos holda, filtrlash qoidalari quyidagilarning amalga oshirilishini ta’minlovchi shartlar roʻyxatini aniqlaydi:
ma’lumotlarni keyingi uzatishga ruxsat berish yoki ruxsat bermaslik;
himoyalashning qoʻshimcha funktsiyalarini bajarish.
Axborot oqimini tahlillash mezoni sifatida quyidagi parametrlardan foydalanish mumkin:
tarkibida tarmoq adreslari, identifikatorlar, interfeyslar adresi, portlar nomeri va boshqa muhim ma’lumotlar boʻlgan xabar paketlarining xizmatchi xoshiyalari;
masalan, kompyuter viruslari borligiga tekshiriluvchi xabar paketlarining bevosita tarkibi;
axborot oqimining tashqi xarakteristikalari, masalan, vaqt va chastota xarakteristikalari ma’lumotlar hajmi va h.
Ishlatiluvchi tahlillash mezonlari filtrlashni amalga oshiruvchi OSI modelining sathlariga bogʻliq. Umumiy holda, paketni filtrlashni amalga oshiruvchi OSI modelining sathi qanchalik yuqori boʻlsa, ta’minlanuvchi himoyalash darajasi ham shunchalik yuqori boʻladi.
Ma’lumotlarni oʻtkazish yoki brakka chiqarish xususidagi qaror filtrlashning berilgan qoidalariga binoan har bir paket uchun mustaqil qabul qilinadi. Qaror qabul qilishda tarmoq va transport sathlari paketlarining sarlavhalari tahlil etiladi (7.6-rasm).
Har bir paketning IR- va ТСР/ UDP - sarlavhalarining tahlillanuvchi hoshiyalari sifatida quyidagilar ishlatilishi mumkin:
joʻnatuvchi adresi;
qabul qiluvchi adresi;
paket hili;
paketni fragmentlash bayrogʻi;
manba porti nomeri;
qabul qiluvchi port nomeri.
7.6-rasm. Paketli filtrni ishlash sxemasi
Birinchi toʻrtta parametr paketning IR-sarlavhasiga, keyingilari TSR yoki UDP sarlavhasiga taalluqli. Joʻnatuvchi va qabul qiluvchi adreslari IR-adreslar hisoblanadi. Bu adreslar paketlarni shakllantirishda toʻldiriladi va uni tarmoq boʻyicha uzatganda oʻzgarmaydi. Paket xili hoshiyasida tarmoq sathiga mos keluvchi ISMR protokol kodi yoki tahlillanuvchi IR-paket taalluqli boʻlgan transport sathi protokolining (TSR yoki UDP) kodi boʻladi. Paketni fragmentlash bayrogʻi IR-paketlar fragmentlashining borligi yoki yoʻqligini aniqlaydi.
Nazorat savollari Tarmoqlararo ekranni vazifazi nima?
Tarmoqlararo ekran tushunchasi boshqa adabiyotlarda boshqacha nima deb yuritiladi ?
3.Tarmoq servislariga kirish siyosati printsiplarini aytib bering ?
Tarmoqlararo ekranning asosiy komponentlarini tushuntirib bering ?
