Tarmoqlararo aloqa siyosatini shakUantirish
Tarmoqlararo aloqa siyosatini shakllantirishda quyidagi lami
aniqlash lozim:
tarmoq servislaridan foydalanish siyosali;
tarmoqlararo ekran ishlashi siyosati.
Tarmoq servislaridan foydalanish siyosati himoyalanuvchi kom-pyuter tarmoqning barcha servislarini taqdim etish hamda ulardan foy dalanish qoidalarini belgilaydi. Ushbu siyosat doirasida tarmoq ekrani orqali taqdim etiluvchi barcha servislar va har bir servis uchun mi-jozlarning joiz adreslari berilishi lozim. Undan tashqari, foydalanu-vchilar uchun qachon va qaysi foydalanuvchilar qaysi servisdan va qavsi kompyuterda foydalanishlarini tavsiflovchi qoidalar ko'rsatilishi lozim. Foydalanish usullariga chegaralashlar ham beriladi. Bu chegaralashlar foydalanuvchilaming Internet ning man etilgan servislaridan aylanma yo‘l orqali foydalanishlariga yo‘l qo'ymaslik uchun zarur. Foydala nuvchilar va kompyuterlarni autentifikatsiyalash qoidalari hamda tash-kilot lokal tarmog'i tashqarisidagi foydalanuvchilaming ishlash sharoit-lari alohida belgilanishi lozim.
Tarmoqlararo ekran ishlashi siyosalida tarmoqlararo aloqani bosh-qarishning brandmauer ishlashi asosidagi bazaviy prinsipi beriladi. Bun day prinsiplaming quyidagi ikkitasidan bin tanlanishi mumkin:
oshkora ruxsat etilmagani man qilingan;
oshkora man etilmaganiga ruxsat berilgan.
«Oshkora ruxsat etilmagani man qilingan» prinsipi tanlanganida tarmoqlararo ekran shunday sozlanadiki, harqanday ruxsat etilmagan tarmoqlararo aloqalar blokirovka qilinadi. Ushbu prinsip axborot xavf-sizligining barcha sohalarida ishlatiluvchi foydalanishning mumtoz modeliga mos keladi. Bunday yondashish, imtiyozlarni minimal-lashtirish prinsipini adekvat amalga oshirishga imkon berishi sababli, xavfsizlik nuqtai nazaridan yaxshiroq hisoblanadi. Mohiyati bo'yicha «oshkora ruxsat etilmagani man qilingan» prinsipi bilmaslik zarar kelti-rishi faktini e’tirof etishdir. Ta’kidlash lozimki, ushbu prinsipga asosan ta’riflangan foydalanish qoidalari foydalanuvchilarga ma’lum noqulay-liklar tug'dirishi mumkin.
«Oshkora man etilmaganiga ruxsat berilgan» prinsipi tanlanganida tarmoqlararo ekran shunday sozlanadiki, faqat oshkora man etilgan tar moqlararo aloqalar blokirovka qilinadi. Bu holda, foydalanuvchilar to monidan tarmoq servislaridan foydalanish qulayligi oshadi, ammo tar-
moqlararo aloqa xavfsizligi pasayadi. Foydalanuvchilarning tarmoq-lararo ekranni chetlab o'tishlariga imkon tugMladi, masalan, ular siyosat man qilmagan (hatto siyosatda ko'rsatilmagan) yangi servislaridan foy-dalanishlari mumkin. Ushbu prinsip amalga oshirilishida ichki tarmoq xakerlarning hujumlaridan kamroq himoyalangan boMadi. Shu sababli, tarmoqlararo ekranlarni ishlab chiqaruvchilari odatda ushbu prinsipdan foydalanmaydilar.
Tarmoqlararo ekran simmetrik emas. Unga ichki tarmoqning tashqi tarmoqdan va aksincha foydalanishni chegaralovchi qoidalar alohida beriladi. Umumiy holda, tarmoqlararo ekranning ishi quyidagi ikkita guruh funksiyalami dinamik tarzda bajarishga asoslangan:
u orqali o‘tayotgan axborot oqimini filtrlash;
tarmoqlararo aloqa amalga oshirilishida vositachilik.
Oddiy tarmoqlararo ekranlar bu funksiyalaming birini bajarishga moMjallangan. Kompleks tarmoqlararo ekranlar himoyalashning ko‘rsatiigan funksiyalarining birgalikda bajarilishini ta’minlaydi.
Tarmoqlararo ekranlarni ulashning asosiy sxemalari Korporativ tarmoqni global tarmoqlarga ulaganda himoyalanuvchi tarmoqning global tarmoqdan va global tarmoqning himoyalanuvchi tarmoqdan foy-dalanishini chegaralash hamda ulanuvchi tarmoqdan global tarmoqning masofadan ruxsatsiz foydalanishidan himoyalashni ta’minlash lozim. Bunda tashkilot o'zining tarmogM va uning komponentlari xususidagi axborotni global tarmoq foydalanuvchilaridan berkitishga manfaatdor. Masofadagi foydalanuvchilar bilan ishlash himoyalanuvchi tarmoq re-surslaridan foydalanishning qat’iy chegaralanishini talab etadi.
Tashkilotdagi korporativ tarmoq tarkibida ko‘pincha himoya-lanishning turli sathli bir necha segmentlarga ega boMishi ehtiyoji tugMladi:
- bemalol foydalaniluvchi segmentlar (masalan, reklama WWW-serverlari);
foydalanish chegaralangan segmentlar (masalan, tashkilotning masofadagi uzellari xodimlarining foydalanishi uchun);
yopiq segmentlar (masalan, tashkilotning moliya lokal qism tar mogM).
Tarmoqlararo ekranlarni ulashda turli sxemalardan foydalanish mumkin. Bu sxemalar himoyalanuvchi tarmoq ishlashi sharoitiga hamda ishlatiladigan brandmauerlaming tarmoq interfeyslari soniga va boshqa xarakteristikalariga bogMiq. Tarmoqlararo ekranni ulashning quyidagi sxemalari keng tarqalgan:
ekranlovchi marshrutizatordan foydalanilgan himoya sxemalari;
lokal tarmoqni umumiy himoyalash sxemalari;
himoyalanuvchi yopiq va himoyalanmaydigan ochiq qism tarmo-qli sxemalar;
yopiq va ochiq qism tarmoqlami alohida himoyalovchi sxemalar. Ekranlovchi marshrutizatordan foydalanilgan himoya sxemasi. Paketlarni filtrlashga asoslangan tarmoqlararo ekran keng tarqalgan
va amalga oshirilishi oson. U himoyalanuvchi tarmoq va bo‘lishi mum kin bo‘lgan g‘anim ochiq tarmoq orasida joylashgan ekranlovchi mar shrutizatordan iborat (6.10-rasm).
Ekranlovchi marshrutizator (paketli filtr) kiruvchi va chiquvchi paketlarni ularning adresiari va portlari asosida blokirovka qilish va filtrlash uchun konfiguratsiyalangan.
Do'stlaringiz bilan baham: |