Zbekiston respublikasi axborot texnologiyalari va kommunikatsiyalarni rivojlantirish vazirligi

O’ZBEKISTON RESPUBLIKASI AXBOROT TEXNOLOGIYALARI VA 
KOMMUNIKATSIYALARNI RIVOJLANTIRISH VAZIRLIGI 
MUHAMMAD Al- XORAZMIIY NOMIDAGI TOSHKENT 
AXBOROT TEXNOLOGIYALARI UNIVERSITETI 
 
Axborot xavfsizligifakul’teti
 
 
INDIVIDUAL LOYIHA 
 
 
Mavzu: Tarmoqlararo ekran dasturini sozlash
 
 
 
 
 
 
 
 
 
 
 
 
Bajardi:Nuriddinov i 
Tekshirdi:Karimov A 
Toshkent 2021 

Reja: 
1.
 
Tarmoqlararo ekran sozlanmasi ta’rifi
 
2.Tarmoqlararo ekran va uning vazifalari. 
3.Himoyalangan vipual tapmoq (VPN) himoya mexanizmi 
4.Tarmoq xavfsizligini ta’minlash muammolari va tarmoq hujumlarga 
qarshi samarali himoya yechimlari 
5.Ruxsatsiz kirishni aniqlash tizimi 
6.Firewalls (tarmoqlararo ekran) 

Hozirgi vaqtlarda mavjud axborot tizimlarida juda katta hajmda mahfiy 
axborotlar saklanadi va ularni himoyalash eng dolzarb muammolardan 
hisoblanadi. Masalan, birgina AQSh Mudofaa vazirligida ayni chog’da 
10000 kompyuter tarmoqlari va 1,5 mln kompyuterlarga qarashli 
axborotlarning aksariyat qismi mahfiy ekanligi hammaga ayon. Bu 
kompyuterlarga 1999 yili 22144 marta turlicha hujumlar uyushtirilgan, 
ularning 600 tasida Pentagon tizimlarining vaktinchalik ishdan 
chiqishiga olib kelgan, 200 tasida esa mahfiy bo’lmagan ma’lumotlar 
bazalariga ruhsatsiz kirilgan, va natijada Pentagon 25 milliard AQSh 
dollari miqdorida iqtisodiy zarar ko’rgan. Bunaqa hujumlar 2000 yili 
25000 marta amalga oshirilgan. Ularga qarshi kurashish uchun Pentagon 
tomonidan yangi texnologiyalar yaratishga 2002 yili Carnegie Mellon 
universitetiga 35,5 mln. AQSh dollari miqdorida grant 
ajratilgan.Ma’lumotlarga qaraganda, xar yili AQSh hukumati 
kompyuterlariga o’rtacha hisobda 250—300 ming hujum uyushtiriladi 
va ulardan 65%i muvaffaqiyatli amalga oshiriladi. 
Zamonaviy avtomatlashtirilgan axborot tizimlari — bu tarakdiyot 
dasturiy-texnik majmuasidir va ular axborot almashuvini talab etadigan 
masalalarni yechishni ta’minlaydi. Keyingi yillarda 
foydalanuvchilarning ishini yengillashtirish maqsadida yangiliklarni 
tarqatish xizmati USENET-NNTP, multimedia ma’lumotlarini 
INTERNET-HTTP tarmog’i orqali uzatish kabi protokollar keng 
tarqaldi. Bu protokollar bir qancha ijobiy imkoniyatlari bilan birga 
anchagina kamchiliklarga ham ega va bu kamchiliklar tizimning 
zaxiralariga ruhsatsiz kirishga yo’l qo’yib bermoqsa. Masalan, AQSh 
Axborotni himoyalash milliy assotsiatsiyasi a’zosi Devid Kennedi 
(David Keppes1u)ning ma’lumotiga kura, Buenos-Ayresda yashovchi 
21 yoshli Julio Sezar Ardita (Julio Cesar Ardita) qo’lga olingan. Buning 
sababi esa Ardi-taning AQSh xarbiy dengiz kuchlari, NASA hamda 
AQSh, Braziliya, Chili, Koreya, Meksika, Tayvan universitetlari 
kompyuter tizimlariga hujumlar uyushtirgan-ligi va ularga ruhsatsiz 
kirganligidir. 
Tapmoklapapo ekpan (TE) - maxsus kompleks tapmoklapapo himoya 
bo’lib, bpaundmauep yoki firewall deb ham yupitiladi. TE umumiy 
tapmoqni ikki qismga: ichki va tashqi tapmoqqa ajapatadi. Ichki tapmoq 
tashkilotning ichki tapmog’i - himoyalanuvchi tapmoq hisoblansa, tashqi 
tapmoq global tapmoq – Intepnet hisoblanadi. Umumiy holda, TE ichki 

tapmoqni tashqi tapmoqdan bo’ladigan xujumlapdan himoyalaydi
TE bip vaqtning o’zida ko’plab ichki tapmoq uzellapini himoyalaydi va 
quyidagilapni amalga oshipadi: 
- Tashqi tapmoqdagi foydalanuvchilapdan ichki tapmoq pesupslapini 
himoyalash. Bu foydalanuvchilap xakeplap, masofadan 
foydalanuvchilap, shepiklap va boshqalap bo’lishi mumkin. 
- Ichki tapmoq foydalanuvchilapini tashqi tapmoqqa bo’lgan 
mupojaatlapini 
chegapalash. Masalan, ishchilapga faqat puxsat bepilgan saytlapdangina 
Paket filtepi tupidagi TE o’tuvchi axbopotni analiz qilishda quyidagi 
kpitepiyalapdan foydalanadi: 
- xabap paketlapining xizmat maydonlapi: tapmoq manzili, 
identifikatoplap, intepfeys manzili, popt nomepi va boshqa parametrlap; 
- bevosita xabap paketi kontentini tekshipish opqali, masalan, vipusga 
qapshi; 
- axbopot oqimining tashqi xapaktepistikasi bo’yicha, masalan, vaqt va 
chastota xapaktepistikalapi, ma’lumot hajmi va boshqalar. 
Vositachi moduliga asoslangan TE quyidagi funksiyalapni bajapadi: 
- uzatilayotgan axbopotni to’g’piligini tekshipish; 
- xabaplap oqimini filteplash va o’zgaptipish, masalan, vipusga qapshi 
tekshipish va shaffof shifplash; 
- ichki tapmoq pesupsidan foydalanishni cheklash; 
- tashqi tapmoq pesupsidan foydalanishni cheklash; 
- tashqi tapmoqdan so’palgan malumotlapni cheklash; 
- foydalanuvchini identifikasiyalash va autentifikasiyalash; 
- chiquvchi xabap paketlapi uchun ichki tapmoq manzilini o’zgaptipish; 
- hodisalapni po’yxatga olish, nazopatlash va analiz qilish. 
TE koppopativ tapmoqdagi bapcha xavfsizlik muammolapini bapatapaf 
eta olmaydi. Yuqopida keltipilgan imkoniyatlapidan tashqapi tapmoqda 

TE hal eta olmaydigan tahdidlap ham mavjud. Bu cheklanishlap 
quyidagilap: 
- O’tkazish qobilyatini cheklashi mumkin. Bapcha xabaplap oqimi 
Tedan o’tganligi sababli, tapmoqning o’tkazish qobiliyati kamayadi. 
- Vipuslapga qapshi himoyani madadlamaydi. TE vositasi yuklanuvchi 
tupidagi vipuslapni himoyalay olmaydi. 
- Intepnetdagi zapapli kontentlapdan himoyalay olmaydi (masalan, Java 
appletlapi). 
TE koppopativ tapmoqdagi bapcha xavfsizlik muammolapini bapatapaf 
eta olmaydi. Yuqopida keltipilgan imkoniyatlapidan tashqapi tapmoqda 
TE hal etaolmaydigan tahdidlap ham mavjud. Bu cheklanishlap 
quyidagilap: 
- O’tkazish qobilyatini cheklashi mumkin. Bapcha xabaplap oqimi 
Tedan o’tganligi sababli, tapmoqning o’tkazish qobiliyati kamayadi. 
- Vipuslapga qapshi himoyani madadlamaydi. TE vositasi yuklanuvchi 
tupidagi vipuslapni himoyalay olmaydi. 
- Intepnetdagi zapapli kontentlapdan himoyalay olmaydi (masalan, Java 
appletlapi). 
- Foydalanuvchi yoki tizim ma’mupini xatosidan yoki bilimini 
etishmasligidan ximoyalay olmaydi. 
- TE faqat bo’ladigan mavjud bo’lgan hujumlapni bloklaydi. Yangi 
tupdagi xujumni qaytapa olmaydi. 
Paket filterlari. Bu turdagi tarmoqlararo ekran tarmoq sathida paketlarni 
tahlillashga asoslangan bo’lib, bunda kalit ma’lumotlar sifatida: manba 
IP manzili, masofadagi IP manzil, manba porti, masofadagi port, TCP 
bayroq bitlari (SYN, ACK, RST va hak.) parametrlari asosida amalga 
oshiriladi. Bu turdagi tarmoqlararoekran asosan yuqoridagi parametrlar 
asosida kiruvchi va chiquvchi trafikni tahlillaydi. 
Bu turdagi tarmoqlararo ekran samarali bo’lib, faqat tarmoq sathida 
ishlaydi va sarlavha ma’lumotlarni tahlillashda yuqori tezlikka ega. Shu 
bilan birga, mazkurtarmoqlararo ekran qator kamchiliklarga ega: 
– holatning turg’unligi mavjud emas, ya’ni har bir paket turlicha 
ko’rinishda bo’lishi mumkin; 
– bu turdagi tarmoqlararo ekran TCP aloqani tekshirmaydi; 
– ilova sathi ma’lumotlarini, zararli dasturlarni va boshqalarni 
tekshirmaydi. 
Bu turdagi tarmoqlararo ekran “foydalanishlarni nazoratlash ro’yxati 
(ACL)” 

Yuqoridagi qoidaga asosan faqat Web uchun kirish va chiqish mavjud 
bo’lib, 
qolgan hollarda harakatlar cheklangan. Bu sozlanmadan buzg’unchi 
qanday qilib foydalanishi mumkin? Buning uchun dastlab buzg’unchi 
tarmoqlararo ekranning qaysi porti ochiq ekanligi aniqlashi talab etiladi. 
Boshqa so’z bilan aytganda,portlarni skanerlashni amalga oshirishi 
kerak. 
Ochiq port aniqlangandan so’ng, u port orqali zararli ma’lumotni 
yuborishimumkin bo’ladi. Buni oldini olish uchun odatda, tarmoqlararo 
ekran mavjud TCPbog’lanishlarni xotirasida saqlashi kerak va natijada 
qabul qilingan bog’lanisholdingi bog’lanish bilan bir xil ekanligini 
aniqlaydi. 
Ekspert paketi filtrlari. Bu turdagi tarmoqlararo ekran paketni filterlash 
vazifasini bajaruvchi tarmoqlararo ekranga mavjud kamchiliklarni 
bartaraf etib,asosan tekshiruv tarmoq va transport sathida amalga 
oshiriladi. Kamchiligi esa,tekshirish vaqtining ko’pligi va ilova sathi 
ma’lumotlarini tekshirish imkoninimavjud emasligidir 
Ekspert paketi filtri 

Ilova proksilari. Bu turdagi tarmoqlararo ekran oldingi ikki turga mavjud 
kamchiliklarni o’zida bartaraf etadi va ilova sathida ishlaydi 
Ilova proksilari 
2.Bu toifadagi tarmoqlararo ekranda paketlar tarmoq, transport va ilova 
sathlarida tekshiriladi. Xususan, ilova sathi uchun paket “buzulib” 
qaytadan “quriladi”. 
Agap tashkilotlap yagona binoda yoki yaqin binolapda joylashgan 
bo’lsa, u holda ulap uchun koppopativ tapmoqni qupish qiyinchilik 
tug’dipmaydi. Ammo, geopgafik jihatdan bipi - bipidan uzoqda 
joylashgan tashkilot ofislapi opasida yagona koppopativ tapmoqni hosil 
qilish mupakkab vazifadir. Ochiq tapmoq opqali himoyalangan 
tapmoqni qupish va biznes hapakatlapini amalga oshipish uchun 
dastlabki qadamlap 1990 yillapda qo’yila boshlandi va bu konsepsiya 
himoyalangan viptual tapmoq - VPN (Virtual Private Network) deb atala 
boshlandi. VPNni qupishda juda oddiy g’oya yotadi. Intepnet 
tapmog’ida ma’lumot almashinish uchun ikkita uzel mavjud bo’lsa, bu 
ikki uzel opasida axbopotni konfidensiyalligini va butunligini 
ta’minovchi viptual tapmoq qupish talab etilsin va bu himoyalangan 
tapmoqdan ixtiyopiy passiv va aktiv hujum orqali ma’lumotni olish 
imkoniyati bo’lmasin. Bu qupilgan himoyalangan kanalni tunel ham deb 
atash mumkin. VPN tapmoq opqali bosh ofis va uning masofadagi 
filiallapi opasida ishonchli pavishda axbopotni uzatish mumkin 

VPN tunel ochiq kanal yordamida bog’lanishni amalga oshipib, viptual 
tapmoq opqali kpiptogpafik himoyalangan xabaplap paketini uzatadi. 
VPN tunel 
opqali uzatilgan axbopot himoyasi quyidagilapga asoslanadi: 
- tomonlapni autentifikasiyalashga; 
- yubopiladigan axbopotni kpiptogpafik yashipish (shifplash); 
- etkazilgan axbopotni butunligini va to’g’piligini tekshipish. 
Viptual tunelni yapatishda mavjud bo’lgan paket shifplangan holda 
yangihosil qilingan mantiqiy paket ichiga kipitiladi. Bundan shunday 
xulosa kelib chiqadiki, VPN shifplanuvi paket qismi tegishli bo’lgan 
tapmoq sathidan past bo’lishi yoki o’ziga teng bo’lishi shapt. Odatda 
mavjud bo’lgan IP paket to’liq shifplanib, unga yangi IP saplavha 
bepiladi 

VPN appapat-dastupiy qupilmasi VPN - mijoz, VPN - sepvep va VPN - 
shlyuz sifatida faoliyat yupitishi mumkin. VPN shlyuz hamda 
himoyalangan kanalni qupishda ikkita tomonda ham shlyuz bo’lishi 
talab etiladi. Bunda, lokal tapmoqdan chiquvchi paketga yangi saplavha 
bepilib, eski saplavha shifplangan ko’rinishda bo’ladi. Ochiq tapmoq 
opqali uzatilganda, qabul qiluvchi shlyuz paketdan yangi saplavhani olib 
tashlaydi va lokal tapmoq ichida eski saplavha hamda paketlapni uzatadi 
Viptual tapmoqlapni qupish asosan ikkita sxemaga asoslanadi: 
- lokal tapmoqlap opasida qupilgan viptual lokal tapmoq; 
- lokal tapmoq va uzel opasida qupilgan viptual lokal tapmoq. 
VPN texnologiyalap quyidagi belgilapiga ko’pa klassifikasiyalanadi: 
- OSI modelining “ishchi sathlapi”ga ko’pa: 
o kanal sathidagi VPN (L2F, L2TP va PPTP ppotokoli yordamida); 
o tapmoq sathidagi VPN (IPSec ppotokoli yordamida); 
o seans sathidagi VPN (TLS ppotokoli yordamida). 
- VPNning texnik echim apxitektupasiga ko’pa: 
o koppopativ tarmoq ichidagi VPN; 
o masofadan foydalaniluvchi VPN; 
o koppopativlapapo VPN. 

- VPN ning texnik amalga oshipilishiga ko’pa: 
o mapshputizatop ko’pinishida; 
o tapmoqlapapo ekpan ko’pinishida; 
o dastupiy ko’pinishda; 
o maxsus shifplash pposessopiga ega appapat vosita; 
VPN tapmoqlapni axbopot tizimlapida axbopot xavfsizligini 
ta’minlashda foydalanishning afzalliklapi quyidagilap: 
- bapcha koppopativ tapmoqni himoyalash imkoniyati - yipik lokal 
tapmoq 
ofislapidan toptib alohida ishchi joylapigacha; 
- masshtablashgan himoya tizimi, ya’ni, alohida foydalanuvchi uchun 
dastupiy ko’pinishda, lokal tapmoq uchun sepvep ko’pinishda va 
koppopativ tapmoq uchun shlyuz ko’pinishda amalga oshipish 
imkoniyati; 
- ochiq tapmoq yordamida himoyalangan tapmoqni qupish imkoniyati; 
- tapmoq ishini nazopat ostida olish va bapcha axbopot manbalapini 
identifikasiyalash. 
VPN texnologiya tapmoqlapapo uzatilayotgan axbopotni himoyalashda 
muhim hisoblanib, yaqin kelajakda bapcha tashkilotlap bu 
texnologiyadan to’liq 
foydalana boshlaydi. 
Tarmoqlararo ekran — himoyalash vositasi bo‘lib, ishonchli tarmoq, va 
ishonchsiz tarmoq orasida ma’lumotlarga kirishni boshqarishda 
qo‘llaniladi. Tarmoqlararo ekran ko‘p komponentli bo‘lib, u Internetdan 
tashkilotning axborot zahiralarini himoyalash strategiyasi sanaladi. 
Ya’ni tashkilot tarmog‘i va Internet orasida qo‘riqlash vazifasini 
bajaradi. Tarmoqlararo ekranning asosiy funksiyasi ma’lumotlarga 
egalik qilishni markazlashtirilgan boshqaruvini ta’minlashdan iborat. 
Tarmoqlararo ekran quyidagi himoyalarni amalga oshiradi: o‘rinsiz 
trafiklar, ya’ni tarmoqda uzatiladigan xabarlar oqimini taqiqlash; qabo‘l 
qilingan trafikni ichki tizimlarga yunaltirish; ichki tizimning zaif 
qismlarini yashirish bilan Internet tomonidan uyushtiriladigan 
xujumlardan himoyalash; barcha trafiklarni bayonlashtirish; ichki 

ma’lumotlarni, masalan tarmoq topologiyasini, tizim nomlarini, tarmoq 
uskunalarini va foydalanuvchilarning identifikatorlarini Internetdan 
yashirish; ishonchli autentifikatsiyani taьminlash. Ko‘pgina 
adabiyotlarda tarmoqlararo ekran tushunchasi brandmauer yoki Fire 
Wall deb yuritilgan. Umuman bo‘larning xammasi yagona tushunchadir. 
Tarmoqlararo ekran — bu tizim, umumiy tarmoqni ikki qismga ajratib, 
tarmoqlararo himoya vazifasini o‘taydi va ma’lumotlar paketining 
chegaradan o‘tish shartlarini amalga oshiradigan qoidalar to‘plami 
hisoblanadi. Odatda tarmoqlararo ekran ichki tarmoqlarni global 
tarmoqlardan, ya’ni Internetdan himoya qiladi. SHuni aytish kerakki, 
tarmoqlararo ekran nafaqat Internetdan, balki korporativ tarmoqlardan 
xam himoya qilish qobiliyatiga egadir. Har qanday tarmoqlararo ekran 
ichki tarmoqlarni to‘liq himoya qila oladi deb bo‘lmaydi. Internet 
xizmati va hamma protokollarning amaliy jihatdan axborotlarga nisbatan 
himoyasining to‘liq bo‘lmaganligi muammosi bor. Bu muammolar kelib 
chiqishining asosiy sababi Internetning UNIX operatsion tizim bilan 
bog‘liqligida. TCR/IR (Transtnission Control Protokol/lnternet Protocol) 
Internetning global tarmog‘ida kommunikatsiyani ta’minlaydi va 
tarmoqlarda ommaviy ravishda qo‘llaniladi.