|
Shaxsiy va taqsimlangan tarmoq ekranlaru Oxirgi bir necha yil mobaynida korporativ tarmoq tuzilmasida ma’lum o'zgarishlar sodir bo'ldi. Agar ilgari bunday tarmoq chegaralarini aniq belgilash mumkin bo'lgan bo'Isa, hozirda bu mumkin emas. Yaqindayoq bunday chegara barcha marshrutizatorlar yoki boshqa qurilmalar (masalan, modemlar) orqali o'tar va ular yordamida tashqi tarmoqlarga chiqilar edi. Ammo hozirda tarmoqlararo ekran orqali himoyalanuvchi tarmoqning to'la hu quqli egasi - himoyalanuvchi perimetr tashqarisidagi xodim hisoblanadi. Bunday xodimlar sirasiga uydagi yoki mehnat safaridagi xodimlar kiradi. Shubhasiz, ularga ham himoya zarur. Ammo barcha an’anaviy tarmoqlararo ekranlar shunday qurilganki, himoyalanuvchi foydala nuvchilar va resurslar ulaming himoyasida korporativ yoki lokal tar moqning ichki tomonida bo'lishlari shart. Bu esa mobil foydalanu vchilar uchun mumkin emas.
Bu muammoni yechish uchun quyidagi yondashishlar taklif etilgan:
taqsimlangan tarmoqlararo ekranlardan (distributed firewall) foy dalanish;
virtual xususiy tarmoq VPNIar imkoniyatidan foydalanish. Taqsimlangan tarmoqlararo ekran tarmoqning alohida kom-
pyuterini himoyalovchi markazdan boshqariluvchi tarmoq miniekranlar majmuidir.
Taqsimlangan brandmauerlaming qator funksiyalari (masalan, markazdan boshqarish, xavfsizlik siyosatini tarqatish) shaxsiy foy dalanuvchilar uchun ortiqcha bo'lganligi sababli, taqsimlangan brand-mauerlar modifikatsiyalandi. Yangi yondashish shaxsiy tarmoqli ek-ranlash texnologiyasi nomini oldi. Bunda tarmoqli ekran himoyalanu vchi shaxsiy kompyuterda o'matiladi. Kompyuteming shaxsiy ekrani (personal firewall) yoki tarmoqli ekranlash tizimi deb ataluvchi bunday ekran, boshqa barcha tizimli himoyalash vositalariga bog'liq bo'lmagan
holda butun chiquvchi va kiruvchi trafikni nazoratlaydi. Alohida kom-pyuterni ekranlashda tarmoq servisdan foydalanuvchanlik madadlanadi, ammo tashqi faollikning yuklanishi pasayadi. Matijada, shu tariqa hi-moyalanuvchi kompyuter ichki servislarining zaifligi pasayadi, chunki chetki niyati buzuq odam oldin, himoyalash vositalari sinchiklab va qat’iy konfiguratsiyalangan, ekranni bosib o‘tishi lozim.
Taqsimlangan tarmoqlararo ekranning shaxsiy ekrandan asosiy farqi-taqsiinlangan tarmoqlararo ekranda markazdan boshqarish funksi-yasining borligi. Agar shaxsiy tarmoqli ekranlar ular o'rnatilgan kom pyuter orqali boshqarilsa (uy sharoitida qo'llanishga juda mos), taqsim langan tarmoqlararo ekranlar tashkilotning bosh ofisida o‘matilgan boshqarishning umumiy konsoli tomonidan boshqarilishi mumkin.
Korporativ tarmoq ruxsatsiz foydalanishdan haqiqatan ham hi moyalangan hisoblanadi, qachonki uning Internetdan kirish nuqtasida himoya vositalari hamda tashkilot lokal tarmog'i fragmentlarini, korpo rativ serverlarini va alohida kompyuterlar xavfsizligini ta’minlovchi yechimlar mavjud bo'Isa. Taqsimlangan yoki shaxsiy tarmoqlararo ek ran asosidagi yechimlar alohida kompyuterlar, korporativ serverlar va tashkilot lokal tarmoq fragmentlari xavfsizligini ta’minlashni a’lo dara-jada bajaradi.
Taqsimlangan tarmoqlararo ekranlar, an’anaviy tarmoqlararo ek-ranlardan farqli ravishda, qo‘shimcha dasturiy ta’minot bo‘lib, xususan korporativ serverlarni, masalan, Intemet-serverlami ishonchli himoya-lashi mumkin. Korporativ tarmoqni himoyalashning oqilona yechimi - himoyalash vositasini 11 himoya qiluvchi serveri bilan bir platformada joylashtirishdir. 6.16-rasmda korporativ serverlarni taqsimlangan tarmo qlararo ekranlar yordamida himoyalash sxemasi keltirilgan.
An’anaviy va taqsimlangan tarmoqlararo ekranlarni quyidagi ko'rsatkichlari bo'yicha taqqoslaylik.
Samaradorlik. An’anaviy brandmauer ko'pincha tarmoq perimetri bo'yicha joylashtiriladi, ya’ni u himoyaning bir qatlamini ta’minlaydi xolos. Agar bu yagona qatlam buzilsa, tizim harqanday hujumga bar-dosh beraolmaydi. Shaxsiy brandmauer operatsion tizimning yadro sathida ishlaydi va barcha kiruvchi va chiquvchi paketlami tekshirib korporativ serverlarni ishonchli himoyalaydi.
Web - server
server
(Commutator
Web - server
6 .16 -rasm . T a q sim la n g a n ta rm o q la ra ro ekra n la r y o r d a m id a k o rp o ra tiv se rv e r - la rn i him oyalsh .
O'rnatilishining osonligi. An’anaviy brandmauer korporativ tarmoq konfiguratsiyasining bo‘limi sifatida o‘rnatilishi lozim. Taqsimlangan brandmauer dasturiy ta’minot bo'lib, sanoqli daqiqalarda o‘matiladi va olib tashlanadi.
Boshqarish. An’anaviy brandmauer tarmoq ma’muri tomonidan boshqariladi. Taqsimlangan brandmauer tarmoq ma’muri yoki lokal tarmoq foydalanuvchisi tomonidan boshqarilishi mumkin.
Unumdorlik. An’anaviy brandmauer tarmoqlararo almashishni ta’minlovchi qurilma bo‘lib, unumdoroigi (paket/daqiqa bo‘yicha) belgi langan chegaralanishga ega. U bir-biri bilan kommutatsiyalanuvchi ma-halliy tarmoq orqali bog'langan o‘suvchi server parklari uchun to‘g‘ri kelmaydi. Taqsimlangan brandmauer qabul qilingan xavfsizlik siyosa-tiga ziyon yetkazmasdan server parklarini o‘sishiga imkon beradi.
Narxi. An’anaviy brandmauer, odatda, funksiyalari belgilangan narxi yetarlicha yuqori tizim hisoblanadi. Brandmaueming taqsimlangan mahsulotlari dasturiy ta’minot bo‘lib, an’anaviy tarmoqlararo ekranlar narxining 1/5 yoki 1/10 gateng.
VII bob. HIMOYALANGAN VIRTUAL XUSUSIY
Do'stlaringiz bilan baham: |
