Seans satxi shlyuzi, (ekranlovchi transport deb xam yuritiladi) virtual ulanishlarni nazoratlashga va tashqi tarmoq bilan o`zaro aloqa qilishda IP-adreslarni translyatsiyalashga atalgan. U OSI modelining seans satxida ishlaydi va ishlashi jarayonida etalon modelning transport va tarmoq satxlarini xam qamrab oladi. Seans satxi shlyuzining ximoyalash funktsiyalari vositachilik funktsiyalariga taalluqli.
Virtual ulanishlarning nazorati aloqani kvitirlashni kuzatishdan xamda o`rnatilgan virtual kanallar bo`yicha axborot uzatilishining nazoratlashdan iborat. Aloqani kvitirlashning nazoratida seans satxida shlyuz ichki tarmoq ishchi stantsiyasi va tashqi tarmoq komp`yuteri orasida virtual ulanishni kuzatib, so`ralayotgan aloqa seansining joizligini aniqlaydi.
Bunday nazorat TCP protokolining seans satxi paketlarining sarlavxasidagi axborotga asoslanadi. Ammo TCP-sarlavxalarni taxlillashda paketli fil`tr faqat manba va qabul qiluvchi portlarining nomerini tekshirsa, ekranlovchi transport aloqani kvirtirlash jarayoniga taalluqli boshqa xoshiyalarni taxlillaydi.
Aloqa seansiga so`rovning joizligini aniqlash uchun seans satxi shlyuzi quyidagi xarakatlarni bajaradi. Ishchi stantsiya (mijoz) tashqi tarmoq bilan bog`lanishni so`raganida, shlyuz bu so`rovni qabul qilib uning fil`trlashning bazaviy mezonlarni qanoatlantirishini, masalan server mijoz va u bilan assotsiatsiyalangan ismning IP-adresini aniqlay olishini tekshiradi. So`ngra shlyuz, mijoz ismidan xarakat qilib, tashqi tarmoq komp`yuteri bilan ulanishni o`rnatadi va TCP protokoli bo`yicha kvitirlash jarayonining bajarilishini kuzatadi.
Bu muolaja SYN (Sinxronlash) va ACK (Tasdiqlash) bayroqlari orqali belgilanuvchi TCP-paketlarni almashishdan iborat (3.7-rasm).
-
Tashqi tarmoq
|
|
Ichki tarmoq ishchi
|
xosti
|
SYN (1000)
|
stantsiyasi
|
72
SYN bayroq bilan belgilangan va tarkibida ixtiyoriy son, masalan 1000, bo`lgan TCP seansining birinchi paketi mijozning seans ochishga so`rovi xisoblanadi. Bu paketni olgan tashqi tarmoq komp`yuteri javob tariqasida ACK bayroq bilan belgilangan va tarkibida olingan paketdagidan bittaga katta (bizning xolda 1001) son bo`lgan paketni jo`natadi. Shu tariqa, mijozdan SYN paketi olinganligi tasdiqlanadi. So`ngra, teskari muolaja amalga oshiriladi: tashqi tarmoq komp`yuteri xam mijozga uzatiluvchi ma`lumotlar birinchi baytining tartib raqami bilan (masalan, 2000) SYN paketini jo`natadi, mijoz esa uni olganligini, tarkibida 2001 soni bo`lgan paketni uzatish orqali tasdiqlaydi. Shu bilan aloqani kvirtirlash jarayoni tugallanadi.
Seans satxi shlyuzi (3.8-rasm) uchun so`ralgan seans joiz xisoblanadi, qachonki aloqani kvirtirlash jarayoni bajarilishida SYN va ACK bayroqlar, xamda TCP-paketlari sarlavxalaridagi sonlar o`zaro mantiqiy bog`langan bo`lsa.
73
-
|
Seans sathi shlyuzi
|
|
|
Ichki
|
|
|
adreslarni
|
|
|
translyatsiyalash
|
Himoyalanadigan
|
Ochiq tashqi
|
|
ichki tarmoq
|
Kanal
|
|
|
|
3.8-rasm. Seans sathi shlyuzi ishlash sxemasi
Ichki tarmoqning ichki stantsiyasi va tashqi tarmoqning komp`yuteri TCP seansining avtorizatsiyalangan qatnashchilari ekanligi xamda ushbu seansning joizligi tasdiqlanganidan so`ng shlyuz ulanishni o`rnatadi. Bunda shlyuz ulanishlarining maxsus jadvaliga mos axborotni (jo`natuvchi va qabul qiluvchi adreslari, ulanish xolati, ketma-ketlik nomeri xususidagi axborot va x.) kiritadi.
Shu ondan boshlab shlyuz paketlarni nusxalaydi va ikkala tomonga yo`naltirib, o`rnatilgan virtual kanal bo`yicha axborot uzatilishini nazorat qiladi. Ushbu nazorat jarayonida seans satxi shlyuzi paketlarni fil`trlamaydi. Ammo u uzatiluvchi axborot sonini nazorat qilishi va qandaydir chegaradan oshganida ulanishni uzishi mumkin. Bu esa, o`z navbatida, axborotning ruxsatsiz eksport qilinishiga to`siq bo`ladi. Virtual ulanishlar xususidagi qaydlash axborotining to`planishi xam mumkin.
Seans satxi shlyuzlarida virtual ulanishlarni nazoratlashda kanal vositachilari (pipe proxy) deb yuritiluvchi maxsus dasturlardan foydalaniladi. Bu
74
vositachilar ichki va tashqi tarmoqlar orasida virtual kanallarni o`rnatadi, so`ngra TCP/IP ilovalari generatsiyalagan paketlarning ushbu kanal orqali uzatilishini nazoratlaydi.
Kanal vositachilari TCP/IPning muayyan xizmatlariga mo`ljallangan. Shu sababli ishlashi muayyan ilovalarning vositachi-dasturlariga asoslangan tatbiqiy satx shlyuzlari imkoniyatlarini kengaytirishda seans satx shlyuzlaridan foydalanish mumkin.
Seans satxi shlyuzi tashqi tarmoq bilan o`zaro aloqada tarmoq satxi ichki adreslarini (IP-adreslarini) translyatsiyalashni xam ta`minlaydi. Ichki adreslarni translyatsiyalash ichki tarmoqdan tashqi tarmoqqa jo`natiluvchi barcha paketlarga nisbatan bajariladi.
Amalga oshirilishi nuqtai nazaridan seans satxi shlyuzi etarlicha oddiy va nisbatan ishonchli dastur xisoblanadi. U ekranlovchi marshrutizatorni virtual ulanishlarni nazoratlash va ichki IP-adreslarni translyatsiyalash funktsiyalari bilan to`ldiradi.
Seans satxi shlyuzining kamchiliklari – ekranlovchi marshrutizatorlarning kamchiliklariga o`xshash. Ushbu texnologiyaning yana bir jiddiy kamchiligi ma`lumotlar xoshiyalari tarkibini nazoratlash mumkin emasligi. Natijada, niyati buzuq odamlarga zarar keltiruvchi dasturlarni ximoyalanuvchi tarmoqqa uzatish imkoniyati tug`iladi. Undan tashqari, TCP-sessiyasining (TCP hijacking) ushlab qolinishida niyati buzuq odam xujumlarini xatto ruxsat berilgan sessiya doirasida amalga oshirishi mumkin.
Amalda aksariyat seans satx shlyuzlari mustaqil maxsulot bo`lmay, tatbiqiy satx shlyuzlari bilan komplektda taqdim etiladi.
Tatbiqiy satx shlyuzi (ekranlovchi shlyuz deb xam yuritiladi) OSI modelining tatbiqiy satxida ishlab, taqdimiy satxni xam qamrab oladi va tarmoqlararo aloqaning eng ishonchli ximoyasini ta`minlaydi. Tatbiqiy satx shlyuzining ximoyalash funktsiyalari, seans satxi shlyuziga o`xshab, vositachilik
75
funktsiyalariga taalluqli. Ammo, tatbiqiy satx shlyuzi seans satxi shlyuziga qaraganda ximoyalashning ancha ko`p funktsiyalarini bajarishi mumkin:
shlyuz orqali uzatiluvchi axborotning xaqiqiyligini tekshirish;
ichki va tashqi tarmoq resurslaridan foydalanishni chegaralash;
axborotlar oqimini fil`trlash va o`zgartirish, masalan, viruslarni dinamik tarzda qidirish va axborotni shaffof shifrlash;
xodisalarni qaydlash, xodisalarga reaktsiya ko`rsatish, xamda qaydlangan axborotni taxlillash va xisobotlarni generatsiyalash;
tashqi tarmoqdan so`raluvchi ma`lumotlarni keshlash.
Tatbiqiy satx shlyuzi funktsiyalari vositachilik funktsiyalariga taalluqli bo`lganligi sababli, bu shlyuz universal komp`yuter xisoblanadi va bu komp`yuterda xar bir xizmat ko`rsatiluvchi tatbiqiy protokol (HTTP, FTP, SMTP, NNTP va x.) uchun bittadan vositachi dastur (ekranlovchi agent) ishlatiladi. TCP/IPning xar bir xizmatining vositachi dasturi (application proxy) aynan shu xizmatga taalluqli xabarlarni ishlashga va ximoyalash funktsiyalarini bajarishga mo`ljallangan.
Tatbiqiy satx shlyuzi mos ekranlovchi agentlar yordamida kiruvchi va chiquvchi paketlarni ushlab qoladi, axborotni nusxalaydi va qayta jo`natadi, ya`ni ichki va tashqi tarmoqlar orasidagi to`g`ridan-to`g`ri ulanishni istisno qilgan xolda, server-vositachi funktsiyasini bajaradi (3.9-rasm).
-
Do'stlaringiz bilan baham: |