|
2.3. Tarmoqlar oralig’i ekranlari
Bugun ko`pgina kompaniyalar internetga lokal tarmoqqa ruxsat etilmagan murojaat qilishga to`sqinlik qiladigan maxsus dastur ta`minoti bilan ta`minlangan komp`yuterlar – brandmauerlar
( tarmoqlararo ekranlar
|
yoki
|
fire Wall) orqali
|
ulanmoqdalar.
|
|
|
|
Lokal
|
tarmoqda
|
brandmauerli
|
o`rnatilishning asosiy
|
sababi
|
uning har
|
doim
|
chaqirilmagan maexmonlardan himoya
|
qilinishidir. Yomon niyatli
|
odam
|
tomonidan
|
olingan
|
axborot
|
korxonaning
|
raqobatbardoshligini va
|
uning
|
klientlarini
|
ishonchini
|
jiddiy buzib
|
qo`yishi
|
mumkin. Ichki
|
tarmoqlar
|
uchun
|
eng
|
extimolli
|
xavflarni
|
bartaraf
|
etish
|
bo`yicha
|
bir
|
qator
|
masalalarni
|
brandmauerlar
|
hal
|
qilish
|
qobiliyatiga
|
egadirlar.
|
Komp`yuter
|
muxitidan
|
tashqarida yonmaydigan materiallardan va yong`inni tarqalishiga to`sqinlik
qiladigan devorni brandmauer (yoki fire Wall) deb ataladi. Komp`yuter
tarmog`i muxitida tarmoqlararo ekran figurali yong`indan yomon niyatli odamlarni ichki tarmoqqa, axborotni nusxalash, o`zgartirish yoki o`chirish uchun yoki bu tarmoqda ishlayotgan komp`yuterlar xotirasidan yoki hisoblash quvvatidan foydalanish uchun kirib olishga intilishi tushuniladi (2.3-rasm) .
Internet Tarmoqlararo
ekran
50
-
Tashkilotning
|
|
Tashkilotning
|
ichki tarmog`i
|
|
|
ichki tarmog`i
|
|
|
|
|
oxirgi tuguni
|
|
Tarmoqlararo ekranning
|
Tarmoqlararo ekranning
|
|
|
|
bosh tuguni
|
oxirgi tuguni
|
|
|
Ichki tarmoq Ички тармоқ
Tarmoq ekrani
Тармоқ экрани
Foydalanuvchi
51
2.3-rasm. Tarmoqlararo ekranni o`rnatish chizmasi
Tarmoqlararo ekran (TE) – tarmoqlararo himoya qilish tizimi bo`lib, u umumiy tarmoqni ikki va undan ortiq qismlarga ajratishga va ma`lumotlar paketlarini chegara orqali umumiy tarmoqning bir qismidan boshqa qismiga o`tish shartlarini aniqlaydigan qoidalar to`plamini amalga oshirishga imkon yaratadi. Qoidaga ko`ra, bu chegara korxonaning korporativ (lokal ) tarmog`i va Internet global tarmog`i o`rtasida o`tkaziladi, biroq uni korxonaning korporativ tarmog`i ichida ham o`tkazish mumkin. TE o`zi orqali har bir o`tayotgan paket uchun qarorni, uni o`tkazish kerakmi yoki tashlab yuborish kerakmi, qabul qilgan holda butun trafikni o`tkazadi. TE buni amalga oshira olish uchun u fil`trlashning qoidalar to`plamini aniqlab olishi kerak.
Tarmoqlararo ekranlarning asosiy tashkil etuvchilari. Tarmoqlararo ekranlarning ko`pchilik tashkil etuvchilarini quyidagi uchta toifadan bittasiga kiritish mumkin:
fil`trlovchi marshrutizatorlar;
tarmoq darajasidagi shlyuzlar;
amaliy darajadagi shlyuzlar.
Fil`trlovchi marshrutizator marshrutizator yoki serverda ishlaydigan dastur ko`rinishiga ega bo`lib, u kiruvchi va chiquvchi paketlarni fil`trlaydigan qilib tayyorlangan bo`ladi. Paketlarni fil`trlash paketlarning TSR va IP sarlavxalarida mavjud bo`lgan axborot asosida amalga oshiriladi.
Filtrlash aniq bir xost – komp`yuterlar bilan ishonchsiz yoki raqib deb xisoblangan tarmoqlarning va xost – komp`yuterlarning aniq adreslari aloqalarini bloklash uchun turli ko`rinishda amalga oshirish mumkin. Masalan, ichki tarmoq ba`zi bir tizimlardan tashqari barcha xost-komp`yuterlar bilan barcha ichki ulanishlarni bloklashi mumkin. Bu tizimlar uchun faqatgina ma`lum bir
52
servislargina ruxsat etilishi mumkin. (SMTP bitta tizim uchun, TELNET yoki FTP-boshqa tizim uchun)
(2.4-rasm)
SMTP trafik
-
Internet
|
Fil`trlovchi
|
|
|
marshrutizator
|
2.4-rasm. SMTP va TELNET trafikni fil`trlash chizmasi
Fil`trlovchi marshrutizatorlarning ijobiy sifatlariga quyidagilarni kiritish mumkin:
nisbatan yuqori bo`lmagan narxi;
fil`trlash qoidalarini aniqlashdagi moslashuvchanlik;
paketlarni o`tishida unchalik katta bo`lmagan ushlanib qolishlar. Fil`trlovchi marshrutizatorlarning kamchiliklari quyidagilar:
ichki tarmoq Internet tarmog`idan ko`rinib turadi (marshrutlanadi);
53
- paketlarni fil`trlash qoidalarini yozib chiqish qiyin. Buning uchun TSR va IP texnologiyalarini juda yaxshi bilish talab etiladi;
- paketlarni fil`trlashda tarmoqlararo ekranni ishlash qobiliyati buzilganda barcha komp`yuterlar undan keyin, to`liq himoya qilinmagan yoki murojaat qilib bo`lmaydigan bo`lib qoladi;
xujum qiladigan tizim IP adresini ishlatib o`zini boshqa tizim kabi
ko`rsatadi.
Tarmoq darajasidagi shlyuzni ba`zida tarmoq adreslarini namoyish qilish tizimi yoki OSI modelining seansli darajasi shlyuzi deb ataladi. Bunday shlyuz mualliflashtirilgan klient va tashqi xost- komp`yuter o`rtasidagi to`g`ridan - to`g`ri o`zaro ta`sirni inkor etadi.
Tarmoq darajadagi shlyuz ishongan klientni aniq bir xizmatlarga so`rovini qabul qiladi va so`roqlangan seansni mumkin ekanligini tekshirgandan keyin tashqi xost-komp`yuter bilan ulanishni o`rnatadi.
Paketlarni nusxalash va qayta yo`naltirish uchun tarmoq xizmatchilari deb ataladigan maxsus ilovalar qo`llaniladi, chunki ular ikki tarmoq o`rtasida virtual zanjir yoki kanalni o`rnatadilar. Keyin esa TCP/IP ilovalari bilan xosil qilinayotgan paketlarga bu kanal bo`yicha o`tishga ruxsat beradi. Aslida esa tarmoq darajasidagi ko`pchilik shlyuzlar mustaqil maxsulotlar hisoblanmaydi, balki amaliy darajadagi shlyuzlar bilan birgalikda etkazib beriladi.
Amaliy darajadagi shlyuz. Fil`trlovchi marshrutizatorlarga xos bo`lgan bir qator kamchiliklarni bartaraf etish uchun tarmoqlararo ekranlar TELNET va FTP turidagi qo`shimcha dastur vositalarini ishlatishi kerak. Bunday dastur vositalari vakolatli server (server- xizmatchilar), ular bajariladigan xost-komp`yuterlar esa amaliy darajadagi shlyuz deb ataladi. Amaliy darajadagi shlyuzlar amaliy trafik bevosita ichki xost – komp`yuterlarga o`tkazib yuboriladigan oddiy rejimga nisbatan bir qator jiddiy afzalliklarga ega:
54
internet global tarmog`idan himoya qilinayotgan tarmoq tuzilmasining ko`rinmasligi;
ishonchli qayd qilinishi;
- narx va samaradorlik o`rtasidagi optimal nisbati;
fil`trlashning oddiy qoidalari;
ko`p sonli tekshiruvlarni tashkil etish imkoniyati.
Amaliy darajadagi shlyuzlarning kamchiliklariga quyidagilar tegishlidir:
fil`trlovchi marshrutizatorlarga nisbatan birmuncha past unumdorligi;
fil`trlovchi marshrutizatorlarga nisbatan birmuncha yuqori narxdaligi.
XULOSA
Ikkinchi bo`limda quyidagi masalalar ko`rib o`tilgan:
- o`zaro ochiq tizimlarning etalon modelini xavfsizlik arxitekturasi, axborot xavfsizligining xizmatlari va mexanizmlari;
axborot xavfsizligining dasturiy texnikaviy vositalarining tuzilishi;
tarmoqlar oraligi ekranlari va o`rnatish chizmasi, tarmoqlararo ekranlarning asosiy tashkil etuvchilari keltirilgan.
55
Do'stlaringiz bilan baham: |
