|
3.2. Tarmoqlararo ekranlarning asosiy komponentlari
Tarmoqlararo ekranlar tarmoqlararo aloqa xavfsizligini OSI modelining turli
satxlarida madadlaydi. Bunda etalon modelning turli satxlarida bajariladigan
67
ximoya funktsiyalari bir-biridan jiddiy farqlanadi. Shu sababli, tarmoqlararo
ekranlar kompleksini, xar biri OSI modelining aloxida satxiga mo`ljallangan,
bo`linmaydigan ekranlar majmui ko`rinishida tasavvur etish mumkin.
Ekranlar kompleksi ko`pincha etalon modelning tarmoq, seans, tatbiqiy
satxlarida ishlaydi. Mos xolda, quyidagi bo`linmaydigan brandmauerlar farqlanadi
(3.5-rasm).
- ekranlovchi marshrutizator;
- seans satxi shlyuzi (ekranlovchi transport);
- tatbiqiy satx shlyuzi (ekranlovchi shlyuz).
Tarmoqlarda ishlatiladigan protokollar (TCP/IP, SPX/IPX) OSI etalon
modeliga batamom mos kelmaydi, shu sababli sanab o`tilgan ekranlar xili
funktsiyalarini amalga oshirishda etalon modelining qo`shni satxlarini xam qamrab
olishlari mumkin. Masalan, tatbiqiy ekran xabarlarning tashqi tarmoqqa
uzatilishida ularni avtomatik tarzda shifrlashni, xamda qabul qilinuvchi
kriptografik berkitilgan ma`lumotlarni avtomatik tarzda rasshifrovka qilishni
amalga oshirishi mumkin. Bu xolda bunday ekran OSI modelining nafaqat tatbiqiy
satxida, balki taqdimiy satxida xam ishlaydi.
Tatbiqiy sath
Taqdimiy sath
Seans sathi
Transport sathi
Tarmoq sathi
Kanal sathi
Fizik sath
Tatbiqiy sath
Taqdimiy sath
Seans sathi
Transport sathi
Tarmoq sathi
Kanal sathi
Fizik sath
Tatbiqiy sath
Seans sathi shlyuzi
Ekranlaydigan
marshrutizator
3.5-rasm. OSI modelining alohida sathlarida ishlaydigan tarmoqlararo
ekranlar turi
68
Seans satxi shlyuzi ishlashida OSI modelining transport va tarmoq satxlarini
qamrab oladi. Ekranlovchi marshrutizator xabarlar paketini taxlillashda ularning
nafaqat tarmoq, balki transport satxi sarlavxalarini xam tekshiradi.
Yuqorida keltirilgan tarmoqlararo ekranlarning xillari o`zining afzalliklari
va kamchiliklariga ega. Ishlatiladigan brandmauerlarning ko`pchiligi yoki tatbiqiy
shlyuzlar, yoki ekranlovchi marshrutizatorlar bo`lib, tarmoqlararo aloqaning to`liq
xavfsizligini ta`minlamaydi. Ishonchli ximoyani esa faqat xar biri ekranlovchi
marshrutizator, seans satxi shlyuzi, xamda tatbiqiy shlyuzni birlashtiruvchi
tarmoqlararo ekranlarning kompleksi ta`minlaydi.
Ekranlovchi marshrutizator (screening router) (paketli fil`tr (packet filter)
deb xam ataladi) xabarlar paketini fil`trlashga atalgan va ichki va tashqi tarmoqlar
orasida shaffof aloqani ta`minlaydi. U OSI modelining tarmoq satxida ishlaydi,
ammo o`zining ayrim funktsiyalarini bajarishida etalon modelining transport
satxini xam qamrab olishi mumkin.
Ma`lumotlarni o`tkazish yoki brakka chiqarish xususidagi qaror
fil`trlashning berilgan qoidalariga binoan xar bir paket uchun mustaqil qabul
qilinadi. Qaror qabul qilishda tarmoq va transport satxlari paketlarining
sarlavxalari taxlil etiladi (3.6-rasm).
Xar bir paketning IP- va TCP/UDP – sarlavxalarining taxlillanuvchi
xoshiyalari sifatida quyidagilar ishlatilishi mumkin:
- jo`natuvchi adresi;
69
- qabul qiluvchi adresi;
- paket xili;
- paketni fragmentlash bayrog`i;
- manba porti nomeri;
- qabul qiluvchi port nomeri.
Birinchi to`rtta parametr paketning IP-sarlavxasiga, keyingilari esa TCP-
yoki UDP sarlavxasiga taalluqli. Jo`natuvchi va qabul qiluvchi adreslari IP-
adreslar xisoblanadi. Bu adreslar paketlarni shakllantirishda to`ldiriladi va uni
tarmoq bo`yicha uzatganda o`zgarmaydi.
Paket xili xoshiyasida tarmoq satxiga mos keluvchi ICMP protokol kodi
yoki taxlillanuvchi IP-paket taalluqli bo`lgan transport satxi protokolining (TCP
yoki UDP) kodi bo`ladi.
Paketni fragmentlash bayrog`i IP-paketlar fragmentlashining borligi yoki
yo`qligini aniqlaydi. Agar taxlillanuvchi paket uchun fragmentlash bayrog`i
o`rnatilgan bo`lsa, mazkur paket fragmentlangan IP-paketning qism paketi
xisoblanadi.
Ochiq tashqi
Himoyalanadigan
ichki tarmoq
Ekranlaydigan
marshrutizator
Paketlarni IP- va TCP- (UDP-, ICMP)
sarlavhalari bo`yicha fil`trlash
3.6-rasm. Paketli fil`trni ishlash sxemasi
70
Manba va qabul qiluvchi portlari nomerlari TCP yoki UDP drayver
tomonidan xar bir jo`natiluvchi xabar paketlariga qo`shiladi va jo`natuvchi
ilovasini, xamda ushbu paket atalgan ilovani bir ma`noda identifikatsiyalaydi.
Portlar nomerlari bo`yicha fil`trlash imkoniyati uchun yuqori satx protokollariga
port nomerlarini ajratish bo`yicha tarmoqda qabul qilingan kelishuvni bilish lozim.
Xar bir paket ishlanishida ekranlovchi marshrutizator berilgan qoidalar
jadvalini, paketning to`liq assotsiatsiyasiga mos keluvchi qoidani topgunicha,
ketma-ket ko`rib chiqadi. Bu erda assotsiatsiya deganda berilgan paket
sarlavxalarida ko`rsatilgan parametrlar majmui tushuniladi. Agar ekranlovchi
marshrutizator jadvaldagi qoidalarning birortasiga ham mos kelmaydigan paketni
olsa, u, xavfsizlik nuqtai nazaridan, uni braka chiqaradi.
Paketli fil`trlar apparat va dasturiy amalga oshirilishi mumkin. Paketli fil`tr
sifatida oddiy marshrutizator, xamda kiruvchi va chiquvchi paketlarni fil`trlashga
moslashtirilgan, serverda ishlovchi dasturdan foydalanish mumkin. Zamonaviy
marshrutizatorlar xar bir port bilan bir necha o`nlab qoidalarni bog`lashi va
kirishda, ham chiqishda paketlarni fil`trlashi mumkin.
Paketli fil`trlarning kamchiligi sifatida quyidagilarni ko`rsatish mumkin.
Ular xavfsizlikning yuqori darajasini ta`minlamaydi, chunki faqat paket
sarlavxalarini tekshiradilar va ko`pgina kerakli funktsiyalarni madadlamaydi. Bu
funktsiyalarga, masalan, oxirgi uzellarni autentifikatsiyalash, xabarlar paketlarini
kriptografik berkitish, xamda ularning yaxlitligini va xaqiqiyligini tekshirish
kiradi. Paketli fil`trlar dastlabki adreslarni almashtirib qo`yish va xabarlar paketi
tarkibini ruxsatsiz o`zgartirish kabi keng tarqalgan tarmoq xujumlariga zaif
xisoblanadilar. Bu xil brandmauerlarni "aldash" qiyin emas - fil`trlashga ruxsat
beruvchi qoidalarni qondiruvchi paket sarlavxalarini shakllantirish kifoya.
Ammo, paketli fil`trlarning amalga oshirilishining soddaligi, yuqori
unumdorligi, dasturiy ilovalar uchun shaffofligi va narxining pastligi, ularning
71
xamma erda tarqalishiga va tarmoq xavfsizligi tizimining majburiy elementi kabi
ishlatilishiga imkon yaratdi.
Do'stlaringiz bilan baham: |
