Tarmoqlararo ekranlarni ulashning asosiy sxemalari. Korporativ tarmoqni global tarmoqlarga ulaganda ximoyalanuvchi tarmoqning global tarmoqdan va global tarmoqning ximoyalanuvchi tarmoqdan foydalanishini chegaralash, xamda ulanuvchi tarmoqdan global tarmoqning masofadan ruxsatsiz foydalanishidan ximoyalashni ta`minlash lozim. Bunda tashkilot o`zining tarmog`i va uning komponentlari xususidagi axborotni global tarmoq foydalanuvchilaridan
berkitishga manfaatdor. Masofadagi foydalanuvchilar bilan ishlash ximoyalanuvchi tarmoq resurslaridan foydalanishning qat`iy chegaralanishini talab etadi.
Tashkilotdagi korporativ tarmoq tarkibida ko`pincha ximoyalanishning turli satxli birnechi segmentlarga ega bo`lishi extiyoji tug`iladi:
bemalol foydalaniluvchi segmentlar (masalan, reklama WWW-serverlari);
foydalanish chegaralangan segmentlar (masalan, tashkilotning masofadagi uzellari xodimlarining foydalanishi uchun);
yopiq segmentlar (masalan, tashkilotning moliya lokal qism tarmog`i)
Tarmoqlararo ekranlarni ulashda turli sxemalardan foydalanish mumkin. Bu sxemalar ximoyalanuvchi tarmoq ishlashi sharoitiga, xamda ishlatiladigan brandmauerlarning tarmoq interfeyslari soniga va boshqa xarakteristikalariga bog`liq. Tarmoqlararo ekranni ulashning quyidagi sxemalari keng tarqalgan:
ekranlovchi marshrutizatordan foydalanilgan ximoya sxemalari;
lokal tarmoqni umumiy ximoyalash sxemalari;
ximoyalanuvchi yopiq va ximoyalanmaydigan ochiq kism tarmoqli sxemalar;
83
- yopiq va ochiq qism tarmoqlarni aloxida ximoyalovchi sxemalar.
Ekranlovchi marshrutizatordan foydalanilgan ximoya sxemasi.
Paketlarni fil`trlashga asoslangan tarmoqlararo ekran keng tarqalgan va amalga oshirilishi oson. U ximoyalanuvchi tarmoq va bo`lishi mumkin bo`lgan g`anim ochiq tarmoq orasida joylashgan ekranlovchi marshrutizatordan iborat
Himoyalanadigan
ichki tarmoq
Ochiq tashqi
Ekranlovchi marshrutizator
3.10-rasm. Tarmoqlararo ekran – ekranlovchi marshrutizator
(3.10-rasm).
Ekranlovchi marshrutizator (paketli fil`tr) kiruvchi va chiquvchi paketlarni ularning adreslari va portlari asosida blokirovka qilish va fil`trlash uchun konfiguratsiyalangan.
Ximoyalanuvchi tarmoqdagi komp`yuterlar Internetdan to`g`ridan-to`g`ri foydalanaoladi, Internetning ulardan foydalanishining ko`p qismi esa blokirovka qilinadi. Umuman, ekranlovchi marshrutizator yuqorida tavsiflangan ximoyalash siyosatidan istalganini amalga oshirishi mumkin. Ammo, agar marshrutizator paketlarni manba porti va kirish yo`li va chiqish yo`li portlari nomeri bo`yicha fil`trlamasa, "oshkora ruxsat etilmagani man qilingan" siyosatini amalga oshirish qiyinlashadi.
Paketlarni fil`trlashga asoslangan tarmoqlararo ekranning kamchiliklari quyidagilar:
fil`trlash qoidalarining murakkabligi; ba`zi xollarda bu qoidalar majmui bajarilmasligi mumkin;
84
fil`trlash qoidalarini to`liq testlash mumkin emasligi; bu tarmoqni testlanmagan xujumlardan ximoyalanmasligiga olib keladi;
xodisalarni ruyxatga olish imkoniyatining yo`qligi; natijada ma`murga mashrutizatorning xujumga duch kelganligini va obro`sizlantirilganligini aniqlash qiyinlashadi.
Lokal tarmoqni umumiy ximoyalash sxemalari. Bitta tarmoq interfeysli brandmauerlardan foydalanilgan ximoyalash sxemalari (3.11-rasm) xavfsizlik va konfiguratsiyalashning qulayligi nuqtai nazaridan samarasiz xisoblanadi. Ular ichki va tashqi tarmoqlarni fizik ajratmaydilar, demak, tarmoqlararo aloqaning ishonchli ximoyasini ta`minlay olmaydilar.
Tarmoqlararo ekran
Himoyalanadigan
Marshrutizator Marshrutizator
Ochiq serverlar
3.11-rasm. Bitta tarmoq interfeysli firewall yordamida lokal tarmoqni
himoyalash
85
Lokal tarmoqni umumiy ximoyalash sxemasi eng oddiy echim bo`lib, unda
brandmauer lokal tarmoqni tashqi g`anim tarmoqdan butunlay ekranlaydi (3.12-
Tarmoqlararo
-
Ochiq tashqi
|
ekran
|
Himoyalanadigan
|
|
tarmoq
Marshrutizator
3.12-rasm. Lokal tarmoqni umumiy himoyalash sxemasi
rasm).
Marshrutizator va brandmauer orasida faqat bitta yo`l bo`lib, bu yo`l orqali butun trafik o`tadi. Brandmauerning ushbu varianti "oshkora ruxsat etilmagani man qilingan" printsipiga asoslangan ximoyalash siyosatini amalga oshiradi. Odatda marshrutizator shunday sozlanadiki, brandmauer tashqaridan ko`rinadigan yagona mashina bo`ladi.
Lokal tarmoq tarkibidagi ochiq serverlar xam tarmoqlararo ekranlar tomonidan ximoyalanadi. Ammo, tashqi tarmoq foydalanaoladigan serverlarni ximoyalanuvchi lokal tarmoqlarning boshqa resurslari bilan birlashtirish tarmoqlararo aloqa xavfsizligini jiddiy pasaytiradi.
Tarmoqlararo ekran foydalanadigan xostga foydalanuvchilarni kuchaytirilgan autentifikatsiyalash uchun dastur o`ranatilishi mumkin.
86
Do'stlaringiz bilan baham: |