|
6.3-rasm. Parol bo'yichafoydatfanuvchini autentifikatsiyalash sxemasi.
Ishonchli organ, masalan, kalitlarni taqsimlash markazi tomonidan beriluvchi raqamli sertifikatlarni ishlatish ham qulay va ishonchli. Ko'pgina vositachi dasturlar shunday ishlab chiqiladiki, foydalanuvchi faqat tarmoqlararo ekran bilan ishlash seansining boshida autentifikatsi-yalansin. Bundan keyin ma’mur belgilangan vaqt mobaynida undan qo'shimcha autentifikatsiyalanish talab etilmaydi.
Tarmoqlararo ekranlar tarmoqdan foydalanishni boshqarishni markazlashtirishlari mumkin. Demak, ular kuchaytirilgan autentifikatsi yalash dasturlari va qurilmalarini o'matishga munosib joy hisoblanadi. Garchi kuchaytirilgan autentifikatsiya vositalari har bir xostda ishlatil-ishi mumkin boMsa-da, ulaming tarmoqlararo ekranlarda joylashtirish qulay. Kuchaytirilgan autentifikatsiyalash choralaridan foydalanuvchi tarmoqlararo ekranlar bo'lmasa, Telnet yoki FTP kabi ilovalaming au-
tentifikatsiyalanmagan trafigi tarmoqning ichki tizimlariga to‘g‘ridan-to‘g‘ri o‘tishi mumkin.
Qator tarmoqlararo ekranlar autentifikatsiyalashning keng tarqalgan usullaridan biri - Kerberosni madadlaydi. Odatda, aksariyat tijorat tar moqlararo ekranlar autentifikatsiyalashning turli sxemalarini madad laydi. Bu esa tarmoq xavfsizligi ma’muriga o‘zining sharoitiga qarab eng maqbul sxemani tanlash imkonini beradi.
Ichki tarmoq adreslarini translatsiyalash. Ko‘pgina hujumlami amalga oshirishda niyati buzuq odamga qurbonining adresini bilish kerak boMadi. Bu adreslarni hamda butun tarmoq topologiyasini berkit-ish uchun tarmoqlararo ekranlar eng muhim vazifani - ichki tarmoq adreslarini translatsiyalashni bajaradi (6.4-rasm).
Bu funksiya ichki tarmoqdan tashqi tarmoqqa uzatiluvchi barcha paketlarga nisbatan bajariladi. Bunday paketlar uchun jo'natuvchi kom-pyuterlarning IP-adreslari bitta «ishonchli» IP adresga avtomatik tarzda o'zgartiriladi.
Ichki tarmoq adreslarini translatsiyalash ikkita usul-dinamik va sta-tik usullarda amalga oshirilishi mumkin. Dinamik usulda adres uzelga tarmoqlararo ekranga murojaat onida ajratiladi. Ulanish tugallanganidan so‘ng adres bo‘shaydi va uni korporativ tarmoqning boshqa uzeli ish-latishi mumkin. Statik usulda uzel adresi barcha chiquvchi paketlar uza-tiladigan tarmoqlararo ekranning bitta adresiga doimo bogManadi. Tar moqlararo ekranning IP-adresi tashqi tarmoqqa tushuvchi yagona faol IP-adresga aylanadi. Natijada, ichki tarmoqdan chiquvchi barcha paket lar tarmoqlararo ekrandan jo‘natilgan boMadi. Bu avtorizatsiyalangan ichki tarmoq va xavfli boMishi mumkin boMgan tashqi tarmoq orasida to‘g‘ridan-to‘g‘ri aloqani istisno qiladi.
Bunday yondashishda ichki tarmoq topologiyasi tashqi foydalanuv-chilardan yashiringan, demak, ruxsatsiz foydalanish masalasi qiyin-lashadi. Adreslami translatsiyalash tarmoq ichida tashqi tarmoq, ma salan, Intemetdagi adreslash bilan kelishilmagan adreslashning xususiy tizimiga ega boMishiga imkon beradi. Bu ichki tarmoqning adres ma-konini kengaytirish va tashqi adres tanqisligi muammosini samarali yechadi.
M arshrutizator
184.56.5.12
Tarmoqlararo
ekran
183.157.3.212 (Commutator
183.157.3.210^=^ 183.157.3.201
183.157.3.110 183.157.3.105
6.4-rasm. Tarmoq adreslarini translatsiyalash.
Hodisalami qaydlash, hodisalarga reaksiya ko 'rsatish hamda qa-
ydlangan axborotni tahlillash va hisobotlami generatsiyalash tarmoq lararo ekranlaming muhim vazifalari hisoblanadi. Korporativ tarmoqni himoyalash tizimining jiddiy elementi sifatida tarmoqlararo ekran bar cha harakatlami ro‘yxatga olish imkoniyatiga ega. Bunday harakatlarga nafaqat tarmoq paketlarini o‘tkazib yuborish yoki blokirovka qilish, balki xavfsizlik ma’muri tomonidan foydalanishni chegaralash qoidasini o‘zgartirish va h. ham taalluqli. Bunday ro‘yxatga olish zaruriyat tug‘Uganda (xavfsizlik mojarosi paydo boMganida yoki sud instansiya-lariga yoki ichki tergov uchun dalillami yig‘ishda) yaratiluvchi jumal-larga murojaat etishga imkon beradi.
Shubhali hodisalar (alarm) xususidagi signallami qaydlash tizimi to‘g“ri sozlanganida tarmoqlararo ekran o‘zi yoki tarmoq hujumga duchor bo lganligi yoki zondlanganligi to'g‘risidagi batafsil axborotni berishi mumkin. Tarmoqdan foydalanish va uning zondlanganligining isboti statistikasini yig‘ish qator sabablarga ko‘ra muhimdir. Avvalo, tarmoqlararo ekranning zondlanishga va hujumlarga bardoshligini aniq bilish zarur va tarmoqlararo ekranni himoyalash tadbirlarining adekvat-
ligini aniqlash lozim. Undan tashqari, tarmoqdan foydalanish statistikasi tarmoq asbob-uskunalariga va dasturlariga talablarni ifodalash maqsadida xavf-xatarni taqiqlash va tahlillashda dastlabki ma’lumotlar sifatida muhim hisoblanadi.
Ko‘pgina tarmoqlararo ekranlar statistikani qaydlovchi, yig‘uvchi va tahlillovchi quvvatli tizimga ega. Mijoz va server adresi, foydalanu vchilar identifikatori, seans vaqtlari, ulanish vaqtlari, uzatilgan va qabul qilingan ma’lumotlar soni, ma’mur va foydalanuvchilar harakatlari bo‘yicha hisob olib borilishi mumkin. Hisob tizimlari statistikani tahlil-lashga imkon beradi va ma’murlarga batafsil hisobotlarni taqdim etadi. Tarmoqlararo ekranlar maxsus protokollardan foydalanib, ma’lum hodisalar to‘g‘risida real vaqt rejimida masofadan xabar berishni bajar-ishi mumkin.
Ruxsatsiz harakatlarni qilishga urinishlarni aniqlanishiga boMadigan majburiy reaksiya sifatida ma’muming xabari, ya’ni ogoh-lantiruvchi signallarni berish belgilanishi lozim. Hujum qilinganligi aniqlanganda ogohlantiruvchi signallarni yuborishga qodir boMmagan tarmoqlararo ekranni tarmoqlararo himoyaning samarali vositasi deb boMmaydi.
Do'stlaringiz bilan baham: | 
