Shaxsiy va taqsimlangan tarmoq ekranlari. Oxirgi bir necha yil mobaynida korporativ tarmoq tuzilmasida ma`lum o`zgarishlar sodir bo`ldi. Agar ilgari bunday tarmoq chegaralarini aniq belgilash mumkin bo`lgan bo`lsa, xozirda bu mumkin emas. Yaqindayoq bunday chegara barcha marshrutizatorlar yoki boshqa qurilmalar (masalan, modemlar) orqali o`tar va ular yordamida tashqi tarmoqlarga chiqilar edi. Ammo xozirda tarmoqlararo ekran orqali ximoyalanuvchi tarmoqning to`la xuquqli egasi – ximoyalanuvchi perimetr tashqarisidagi xodim xisoblanadi. Bunday xodimlar sirasiga uydagi yoki mexnat safaridagi xodimlar kiradi. Shubxasiz, ularga xam ximoya zarur. Ammo barcha an`anaviy tarmoqlararo ekranlar shunday qurilganki, ximoyalanuvchi foydalanuvchilar va resurslar ularning ximoyasida korporativ yoki lokal tarmoqning ichki tomonida bo`lishlari shart. Bu esa mobil foydalanuvchilar uchun mumkin emas.
90
Bu muammoni echish uchun quyidagi yondashishlar taklif etilgan:
taqsimlangan tarmoqlararo ekranlardan (distributed firewall) foydalanish;
virtual xususiy tarmoq VPNlar imkoniyatidan foydalanish.
Taqsimlangan tarmoqlararo ekran tarmoqning aloxida komp`yuterini ximoyalovchi markazdan boshqariluvchi tarmoq mini-ekranlar majmuidir.
Taqsimlangan brandmauerlarning qator funktsiyalari (masalan markazdan boshqarish, xavfsizlik siyosatini tarqatish) shaxsiy foydalanuvchilar uchun ortiqcha bo`lganligi sababli, taqsimlangan brandmauerlar modifikatsiyalandi. Yangi yondashish shaxsiy tarmoqli ekranlash texnologiyasi nomini oldi. Bunda tarmoqli ekran ximoyalanuvchi shaxsiy komp`yuterda o`rnatiladi. Komp`yuterning shaxsiy ekrani (personal firewall) yoki tarmoqli ekranlash tizimi deb ataluvchi bunday ekran, boshqa barcha tizimli ximoyalash vositalariga bog`liq bo`lmagan xolda butun chiquvchi va kiruvchi trafikni nazoratlaydi. Aloxida komp`yuterni ekranlashda tarmoq servisdan foydalanuvchanlik madadlanadi, ammo tashqi faollikning yuklanishi pasayadi. Natijada, shu tariqa ximoyalanuvchi komp`yuter ichki servislarining zaifligi pasayadi, chunki chetki niyati buzuq odam oldin, ximoyalash vositalari sinchiklab va qat`iy konfiguratsiyalangan, ekranni bosib o`tishi lozim.
Taqsimlangan tarmoqlararo ekranning shaxsiy ekrandan asosiy farqi-taqsimlangan tarmoqlararo ekranda markazdan boshqarish funktsiyasining borligi. Agar shaxsiy tarmoqli ekranlar ular o`rnatilgan komp`yuter orqali boshqarilsa (uy sharoitida qo`llanishga juda mos), taqsimlangan tarmoqlararo ekranlar tashkilotning bosh ofisida o`rnatilgan boshqarishning umumiy konsoli tomonidan boshqarilishi mumkin.
Korporativ tarmoq ruxsatsiz foydalanishdan xaqiqatan xam ximoyalangan xisoblanadi, qachonki uning Internetdan kirish nuqtasida ximoya vositalari xamda tashkilot lokal tarmog`i fragmentlarini, korporativ serverlarini va aloxida komp`yuterlar xavfsizligini ta`minlovchi echimlar mavjud bo`lsa. Taqsimlangan
91
yoki shaxsiy tarmoqlararo ekran asosidagi echimlar aloxida komp`yuterlar, korporativ serverlar va tashkilot lokal tarmoq fragmentlari xavfsizligini ta`minlashni a`lo darajada bajaradi.
Taqsimlangan tarmoqlararo ekranlar, an`anaviy tarmoqlararo ekranlardan farqli ravishda, qo`shimcha dasturiy ta`minot bo`lib, xususan korporativ serverlarni, masalan Internet-serverlarni ishonchli ximoyalashi mumkin. Korporativ tarmoqni ximoyalashning oqilona echimi – ximoyalash vositasini u ximoya qiluvchi serveri bilan bir platformada joylashtirishdir. 7.16-rasmda korporativ serverlarni taqsimlangan tarmoqlararo ekranlar yordamida ximoyalash sxemasi keltirilgan.
Web - сервер
Marshrutizator
Web - сервер
Kommutator
Web - сервер
3.16 -rasm. Taqsimlangan tarmoqlararo ekranlar yordamida korporativ serverlarni himoyalash
92
An`anaviy va taqsimlangan tarmoqlararo ekranlarni quyidagi ko`rsatkichlari bo`yicha taqqoslaylik.Samaradorlik. An`anaviy brandmauer ko`pincha tarmoq perimetrii bo`yicha joylashtiriladi, ya`ni u ximoyaning bir qatlamini ta`minlaydi xolos.
Agar bu yagona qatlam buzilsa, tizim xarqanday xujumga bardosh beraolmaydi. Shaxsiy brandmauer operatsion tizimning yadro satxida ishlaydi va barcha kiruvchi va chiquvchi paketlarni tekshirib korporativ serverlarni ishonchli ximoyalaydi.
O`rnatilishining osonligi. An`anaviy brandmauer korporativ tarmoq konfiguratsiyasining bo`limi sifatida o`rnatilishi lozim. Taqsimlangan brandmauer dasturiy ta`minot bo`lib, sanoqli daqiqalarda o`rnatiladi va olib tashlanadi.
Boshqarish. An`anaviy brandmauer tarmoq ma`muri tomonidan boshqariladi. Taqsimlangan brandmauer tarmoq ma`muri yoki lokal tarmoq foydalanuvchisi tomonidan boshqarilishi mumkin.
Unumdorlik. An`anaviy brandmauer tarmoqlararo almashishni ta`minlovchi qurilma bo`lib, unumdoroigi (paket/daqiqa bo`yicha) belgilangan chegaralanishga ega. U bir-biri bilan kommutatsiyalanuvchi maxalliy tarmoq orqali bog`langan o`suvchi server parklari uchun to`g`ri kelmaydi. Taqsimlangan brandmauer qabul qilingan xavfsizlik siyosatiga ziyon etkazmasdan server parklarini o`sishiga imkon beradi.
Narxi. An`anaviy brandmauer, odatda funktsiyalari belgilangan, narxi etarlicha yuqori tizim xisoblanadi. Brandmauerning taqsimlangan maxsulotlari dasturiy ta`minot bo`lib, an`anaviy tarmoqlararo ekranlar narxining 1/5 yoki 1/10 ga teng.
93
XULOSA
Uchinchi bo`limda quyidagi masalalar ko`rilgan:
tarmoqlararo ekranlarning ishlash xususiyatlari va ulash sxemalari;
tarmoqlararo ekranlarning asosiy komponentlari;
Do'stlaringiz bilan baham: |