Toshkent axborot texnologiyalari universiteti nukus filiali kompyuter injiniringi fakulteti

Tarmoqlararo ekranlarni ulashning asosiy sxemalari

Download 1,5 Mb.

Pdf ko'rish

bet	40/48
Sana	30.12.2021
Hajmi	1,5 Mb.
	#91480

1 ... 36 37 38 39 40 41 42 43 ... 48

Bog'liq
malumotlar uzatishda qollaniladigan tarmoqlararo ekran tahlili

Tarmoqlararo ekranlarni ulashning asosiy sxemalari. Korporativ tarmoqni
global  tarmoqlarga  ulaganda  ximoyalanuvchi  tarmoqning  global  tarmoqdan  va
global  tarmoqning  ximoyalanuvchi  tarmoqdan  foydalanishini  chegaralash,  xamda
ulanuvchi  tarmoqdan  global  tarmoqning  masofadan  ruxsatsiz  foydalanishidan
ximoyalashni  ta`minlash  lozim.  Bunda  tashkilot  o`zining  tarmog`i  va  uning
komponentlari  xususidagi  axborotni  global  tarmoq  foydalanuvchilaridan
berkitishga
manfaatdor.
Masofadagi
foydalanuvchilar
bilan
ishlash
ximoyalanuvchi tarmoq resurslaridan foydalanishning qat`iy chegaralanishini talab
etadi.
Tashkilotdagi korporativ tarmoq tarkibida ko`pincha ximoyalanishning turli
satxli birnechi segmentlarga ega bo`lishi extiyoji tug`iladi:
- bemalol foydalaniluvchi segmentlar (masalan, reklama WWW-serverlari);
- foydalanish chegaralangan segmentlar (masalan, tashkilotning masofadagi
uzellari xodimlarining foydalanishi uchun);
- yopiq segmentlar (masalan, tashkilotning moliya lokal qism tarmog`i)
Tarmoqlararo ekranlarni ulashda turli sxemalardan foydalanish mumkin. Bu
sxemalar  ximoyalanuvchi  tarmoq  ishlashi  sharoitiga,  xamda  ishlatiladigan
brandmauerlarning  tarmoq  interfeyslari  soniga  va  boshqa  xarakteristikalariga
bog`liq. Tarmoqlararo ekranni ulashning quyidagi sxemalari keng tarqalgan:
- ekranlovchi marshrutizatordan foydalanilgan ximoya sxemalari;
- lokal tarmoqni umumiy ximoyalash sxemalari;
-  ximoyalanuvchi  yopiq  va  ximoyalanmaydigan  ochiq  kism  tarmoqli
sxemalar;

83
- yopiq va ochiq qism tarmoqlarni aloxida ximoyalovchi sxemalar.
Ekranlovchi marshrutizatordan foydalanilgan ximoya sxemasi.
Paketlarni  fil`trlashga  asoslangan  tarmoqlararo  ekran  keng  tarqalgan  va
amalga  oshirilishi  oson.  U  ximoyalanuvchi  tarmoq  va  bo`lishi  mumkin  bo`lgan
g`anim  ochiq  tarmoq  orasida  joylashgan  ekranlovchi  marshrutizatordan  iborat
(3.10-rasm).
Ekranlovchi  marshrutizator  (paketli  fil`tr)  kiruvchi  va  chiquvchi  paketlarni
ularning  adreslari  va  portlari  asosida  blokirovka  qilish  va  fil`trlash  uchun
konfiguratsiyalangan.
Ximoyalanuvchi  tarmoqdagi  komp`yuterlar  Internetdan  to`g`ridan-to`g`ri
foydalanaoladi,  Internetning  ulardan  foydalanishining  ko`p  qismi  esa  blokirovka
qilinadi.  Umuman,  ekranlovchi  marshrutizator  yuqorida  tavsiflangan  ximoyalash
siyosatidan  istalganini  amalga  oshirishi  mumkin.  Ammo,  agar  marshrutizator
paketlarni  manba  porti  va  kirish  yo`li  va  chiqish  yo`li  portlari  nomeri  bo`yicha
fil`trlamasa,  "oshkora  ruxsat  etilmagani  man  qilingan"  siyosatini  amalga  oshirish
qiyinlashadi.
Paketlarni  fil`trlashga  asoslangan  tarmoqlararo  ekranning  kamchiliklari
quyidagilar:
-  fil`trlash  qoidalarining  murakkabligi;  ba`zi  xollarda  bu  qoidalar  majmui
bajarilmasligi mumkin;
Ekranlovchi marshrutizator

Ochiq tashqi

Himoyalanadigan
ichki tarmoq
3.10-rasm. Tarmoqlararo ekran – ekranlovchi marshrutizator

84
-  fil`trlash  qoidalarini  to`liq  testlash  mumkin  emasligi;  bu  tarmoqni
testlanmagan xujumlardan ximoyalanmasligiga olib keladi;
-  xodisalarni  ruyxatga  olish  imkoniyatining  yo`qligi;  natijada  ma`murga
mashrutizatorning  xujumga  duch  kelganligini  va  obro`sizlantirilganligini  aniqlash
qiyinlashadi.
Lokal  tarmoqni  umumiy  ximoyalash  sxemalari.  Bitta  tarmoq  interfeysli
brandmauerlardan  foydalanilgan  ximoyalash  sxemalari  (3.11-rasm)  xavfsizlik  va
konfiguratsiyalashning  qulayligi  nuqtai  nazaridan  samarasiz  xisoblanadi.  Ular
ichki  va  tashqi  tarmoqlarni  fizik  ajratmaydilar,  demak,  tarmoqlararo  aloqaning
ishonchli ximoyasini ta`minlay olmaydilar.

Ochiq tashqi

Himoyalanadigan
ichki tarmoq
3.11-rasm. Bitta tarmoq interfeysli firewall yordamida lokal tarmoqni
himoyalash
Tarmoqlararo ekran
Ochiq serverlar
Marshrutizator
Marshrutizator

85

Lokal tarmoqni umumiy ximoyalash sxemasi eng oddiy echim bo`lib, unda
brandmauer  lokal  tarmoqni  tashqi  g`anim  tarmoqdan  butunlay  ekranlaydi  (3.12-
rasm).

Marshrutizator va brandmauer orasida faqat bitta yo`l bo`lib, bu yo`l orqali
butun trafik o`tadi. Brandmauerning ushbu varianti "oshkora ruxsat etilmagani man
qilingan"  printsipiga  asoslangan  ximoyalash  siyosatini  amalga  oshiradi.  Odatda
marshrutizator  shunday  sozlanadiki, brandmauer  tashqaridan  ko`rinadigan  yagona
mashina bo`ladi.
Lokal  tarmoq  tarkibidagi  ochiq  serverlar  xam  tarmoqlararo  ekranlar
tomonidan  ximoyalanadi.  Ammo,  tashqi  tarmoq  foydalanaoladigan  serverlarni
ximoyalanuvchi  lokal  tarmoqlarning  boshqa  resurslari  bilan  birlashtirish
tarmoqlararo aloqa xavfsizligini jiddiy pasaytiradi.
Tarmoqlararo
ekran
foydalanadigan
xostga
foydalanuvchilarni
kuchaytirilgan autentifikatsiyalash uchun dastur o`ranatilishi mumkin.

Ochiq tashqi
tarmoq

Himoyalanadigan
ichki tarmoq
3.12-rasm. Lokal tarmoqni umumiy himoyalash sxemasi
Marshrutizator

Tarmoqlararo
ekran

Download 1,5 Mb.

Do'stlaringiz bilan baham:

1 ... 36 37 38 39 40 41 42 43 ... 48