Tarmoqlararo ekranlarni ulashning asosiy sxemalari

230 
bog‘liq. Tarmoqlararo ekranni ulashning quyidagi sxemalari keng tarqalgan: 
- ekranlovchi marshrutizatordan foydalanilgan himoya sxemalari; 
- lokal tarmoqni umumiy himoyalash sxemalari; 
- himoyalanuvchi yopiq va himoyalanmaydigan ochiq kismtarmoqli 
sxemalar; 
- yopiq va ochiq qism tarmoqlarni alohida himoyalovchi sxemalar. 
Ekranlovchi marshrutizatordan foydalanilgan himoya sxemasi. 
Paketlarni filtrlashga asoslangan tarmoqlararo ekran keng tarqalgan va 
amalga oshirilishi oson. U himoyalanuvchi tarmoq va bo‘lishi mumkin bo‘lgan 
G‘anim ochiq tarmoq orasida joylashgan ekranlovchi marshrutizatordan iborat 
(8.10-rasm). 
Ekranlovchi marshrutizator (paketli filtr) kiruvchi va chiquvchi paketlarni 
ularning adreslari va portlari asosida blokirovka qilish va filtrlash uchun 
konfigurasiyalangan. 
Himoyalanuvchi tarmoqdagi kompyuterlar Internetdan to‘g‘ridan-to‘g‘ri 
foydalana oladi, Internetning ulardan foydalanishining ko‘p qismi esa blokirovka 
qilinadi. Umuman, ekranlovchi marshrutizator yuqorida tavsiflangan himoyalash 
siyosatidan istalganini amalga oshirishi mumkin. Ammo, agar marshrutizator 
paketlarni manba porti va kirish yo‘li va chiqish yo‘li portlari nomeri bo‘yicha 
filtrlamasa, "oshkora ruxsat etilmagani man qilingan" siyosatini amalga oshirish 
qiyinlashadi.
Paketlarni filtrlashga asoslangan tarmoqlararo ekranning kamchiliklari 
quyidagilar: 
- filtrlash qoidalarining murakkabligi; ba’zi hollarda bu qoidalar majmui 
Ekranlovchi marshrutizator 
Ochiq tashqi 
tarmoq 
Himoyalanadigan 
ichki tarmoq 
8.10-rasm. Tarmoqlararo ekran – ekranlovchi marshrutizator 

231 
bajarilmasligi mumkin; 
- filtrlash qoidalarini to‘liq testlash mumkin emasligi; bu tarmoqni 
testlanmagan xujumlardan himoyalanmasligiga olib keladi; 
- xodisalarni ro‘yxatga olish imkoniyatining yo‘qligi; natijada ma’murga 
mashrutizatorning xujumga duch kelganligini va obro‘sizlantirilganligini aniqlash 
qiyinlashadi. 
Lokal tarmoqni umumiy himoyalash sxemalari.
Bitta tarmoq interfeysli 
brandmauerlardan foydalanilgan himoyalash sxemalari (8.11-rasm) xavfsizlik va 
konfigurasiyalashning qulayligi nuqtai nazaridan samarasiz hisoblanadi. Ular ichki 
va tashqi tarmoqlarni fizik ajratmaydilar, demak, tarmoqlararo aloqaning ishonchli 
himoyasini ta’minlay olmaydilar.
Lokal tarmoqni umumiy himoyalash sxemasi eng oddiy echim bo‘lib, unda 
brandmauer lokal tarmoqni tashqi G‘anim tarmoqdan butunlay ekranlaydi (8.12-
rasm). Marshrutizator va brandmauer orasida faqat bitta yo‘l bo‘lib, bu yo‘l orqali 
butun trafik o‘tadi. Brandmauerning ushbu varianti "oshkora ruxsat etilmagani man 
qilingan" prinsipiga asoslangan himoyalash siyosatini amalga oshiradi. Odatda 
marshrutizator shunday sozlanadiki, brandmauer tashqaridan ko‘rinadigan yagona 
mashina bo‘ladi. 
Ochiq tashqi 
tarmoq 
Himoyalnadigan 
ichki tarmoq 
8.11- rasm. Bitta tarmoq interfeysli firewall yordamida lokal tarmoqni himoyalash 
Tarmoqlararo 
ekran 
Ochiq serverlar 
Marshrutizator 
Marshrutizator 

232 
Lokal tarmoq tarkibidagi ochiq serverlar ham tarmoqlararo ekranlar 
tomonidan himoyalanadi. Ammo, tashqi tarmoq foydalana oladigan serverlarni 
himoyalanuvchi lokal tarmoqlarning boshqa resurslari bilan birlashtirish 
tarmoqlararo aloqa xavfsizligini jiddiy pasaytiradi. 
Tarmoqlararo 
ekran 
foydalanadigan 
xostga 
foydalanuvchilarni 
kuchaytirilgan autentifikatsiyalash uchun dastur o‘ranatilishi mumkin. 

Download 2,7 Mb.

Do'stlaringiz bilan baham: