«tarmoq xavfsizligi» fanidan 1-Mustaqil ishi Mavzu

Download 73,06 Kb.

Sana	01.07.2022
Hajmi	73,06 Kb.
	#727270

Bog'liq
T1

ЗОНАЛЬНЫЙ МЕЖСЕТЕВОЙ ЭКРАН

O’ZBEKISTON RESPUBLIKASI AXBOROT
TEXNOLOGIYALARI VA KOMMUNIKATSIYALARINI RIVOJLANTIRISH VAZIRLIGI

MUHAMMAD AL-XORAZMIY NOMIDAGI
TOSHKENT AXBOROT TEXNOLOGIYALARI UNIVERSITETI SAMARQAND FILIALI

“KOMPYUTER INJINIRINGI” FAKULTETI

“Axborot xavfsizligi” KAFEDRASI
«TARMOQ XAVFSIZLIGI»
fanidan

1-Mustaqil ishi

Mavzu: Zonali siyosatga asoslangan tarmoqlararo ekran.
Bajardi: Pardayev Alijon Tekshirdi:Uzakova M
Guruh: 3-kurs 101-19

SAMARQAND – 2021-2022

Mavzu:Zonali siyosatga asoslangan tarmoqlararo ekran.
Reja.

Zonaga asoslangan xavfsizlik devoir.
Zona juftlarini aniqlang (zona-juft).
ACLlar siyosati.
Zona-juft – trafikni.

1.ZFW (Zonaga asoslangan xavfsizlik devori) eski interfeysga asoslangan model o'rniga zonaga asoslangan modeldan foydalanadi. ZFW dan foydalanganda holatni tekshirish (CBAC) buyruqlari ishlatilmaydi. ZFW va CBAC routerda bir vaqtning o'zida ishlatilishi mumkin, lekin turli interfeyslarda. Hududlar tarmoq xavfsizligi chegaralarini o'rnatadi, ya'ni ular sizning tarmog'ingizning boshqa qismiga oqib o'tadigan trafikni cheklovchi siyosatlar bilan ruxsat etilgan chegarani belgilaydi. CBAC-dan farqli o'laroq, trafik aniq bloklanmaguncha so'zsiz ruxsat etiladi, ZFWda, sukut bo'yicha, bir zonadan boshqasiga harakatlanish taqiqlanadi. Xavfsizlik devori kirishni boshqarish ro'yxati (ACL) asosida trafikka ruxsat berish yoki blokirovka qilish to'g'risida qaror qabul qiladi, ya'ni trafik ruxsat etilgan bo'lishi uchun ro'yxatda tegishli yozuv bo'lishi kerak . Bundan tashqari, Cisco IOS-ning o'ziga xos xususiyati shundaki, xavfsizlik devori imkoniyatlari to'g'ridan-to'g'ri marshrutizatorda mavjud bo'lib, siz Cisco ASA yoki Juniper SRX kabi maxsus xavfsizlik devorlarini o'rnatishingiz shart emas.

Ikki interfeys o'zaro aloqada bo'lganda CBAC ishlatilishi kerak. ZFW bir nechta interfeyslar mavjud bo'lganda ishlatilishi kerak. CBAC-dan foydalanganda, marshrutizator tomonidan yaratilgan trafik sukut bo'yicha tekshirilmaydi. CBAC ning asosiy noqulayligi shundaki, siz har bir interfeysda transport tekshiruvi siyosatiga ega bo'lishingiz kerak, ya'ni CBAC har bir interfeys uchun qo'lda sozlangan. ZFW-da zonalarni o'rnatish va agar kerak bo'lsa, u erda interfeyslarni qo'shish kifoya. Agar sizda ko'p sonli interfeyslar mavjud bo'lsa, zonalarni sozlash har bir interfeysni sozlashdan ko'ra tezroq bo'ladi
Interfeysga asoslangan konfiguratsiya zonasiga asoslangan konfiguratsiya
Interfeysga kiruvchi va chiquvchi kirishni boshqarish Ikki yo'nalishda zonalar o'rtasida kirishni boshqarish
Ikkitadan ortiq interfeysli marshrutizatorlarni sozlash juda murakkab bo'lishi mumkin Ikki zonadan ortiq marshrutizatorlarni oson sozlash
Statusli kirish roʻyxatlaridan foydalanadi Sinfga asoslangan Cisco Common Classification Policy Language tilidan foydalanadi
Ilova darajasidagi tekshirish va nazorat qo'llab-quvvatlanmaydi Ilova darajasidagi tekshirish va nazorat qo'llab-quvvatlanadi
Ushbu protsedura ZFW ni sozlash uchun ishlatilishi mumkin. Harakatlar ketma-ketligi muhim emas, lekin baribir ba'zi harakatlar tartibda bajarilishi kerak. Masalan, interfeyslarni zonalarga belgilashdan oldin zonalarni aniqlash va sozlash kerak. Shuningdek, u sozlanmagan siyosat xaritasini bir juft zonaga qo'llamaydi. [to'rt]

Zonalarni (zona) aniqlang.

Zonalarga interfeyslarni tayinlash.
2.Zona juftlarini aniqlang (zona-juft).
Bir juft zonani kesib o'tishda siyosat qo'llaniladigan trafikni tavsiflovchi sinf xaritalarini belgilang.
Sinf xaritasi trafigida qanday harakat qilish kerakligini ko'rsatuvchi siyosat xaritalarini belgilang.
Juftlik zonalariga siyosat xaritalarini qo‘llang
Sinf xaritalari siyosatni amalga oshirish uchun trafikni belgilaydi. Trafik sinf xaritasida (sinf-xarita) [4] match buyrug'i yordamida tartiblanadi.

Kirish guruhi - kirishni boshqarish ro'yxati manba va maqsad IP manzili, manba va maqsad porti asosida trafikni filtrlashi mumkin.

Protokol - Transport qatlami protokollari (TCP, UDP va ICMP) va amaliy xizmatlar (masalan, DNS, HTTP va boshqalar).
Sinf xaritasi - bu boshqa sinf xaritasi ichiga joylashtirilgan qo'shimcha mos keladigan mezonlarni ifodalovchi pastki sinf xaritasi.
Yo'q - Not mezoni har qanday trafik, guruh, protokol yoki sinf xaritasi ishlatilishini bildiradi
Sinf xaritalarida mos keladigan mezonlarni qo'llash tartibini aniqlash uchun mos-har qanday yoki hammaga mos operatorlari qo'llaniladi. Agar moslik-har qanday tanlansa, trafik moslik mezonlaridan faqat bittasiga javob berishi kerak. Agar hammaga mos kelishi tanlansa, trafik barcha sinf xaritasi mezonlariga mos kelishi kerak. Avval aniqroq muvofiqlik mezonlari qo'llanilishi kerak, keyin esa umumiyroq.
class-map type inspect match-any [class-map_name]
match protocol http
match protocol tcp
Bu yerda trafik http muvofiqlik protokoliga moslashtiriladi va xizmatga xos HTTP tekshiruvlari orqali qayta ishlanadi. Agar siz chiziqlarni almashtirsangiz, u holda trafik tcp tekshiruvlari tomonidan qayta ishlanadi, ya'ni u oddiygina TCP trafiki sifatida tasniflanadi.

3.ACLlar siyosatni amalga oshirish uchun mos keladiganlarni topish uchun ishlatilishi mumkin. Agar ACL siyosat xaritasi bilan bog'langan sinf xaritasi uchun yagona mos mezon bo'lsa, u holda marshrutizator ro'yxat tomonidan ruxsat etilgan barcha trafik bo'yicha TCP yoki UDP tekshiruvini amalga oshiradi, ilovadan xabardor tekshiruvdan o'tishi kerak bo'lgan trafikni e'tiborsiz qoldiradi. Agar ilovadan xabardor bo'lgan tekshiruv mavjud bo'lsa, ACLda harakatga ruxsat berilgan yoki yo'qligidan qat'i nazar, harakatga ruxsat beriladi.

Masalan, ACL 101,
access-list 101 permit ip any any
Bu erda ma'lum bir zona juftiga qo'llaniladigan transport har ikki yo'nalishda ham ruxsat etiladi.

Masalan,
Hududdagi xavfsizlik devori - bu xavfsizlik devorining rivojlangan usuli. Holatli xavfsizlik devori manba IP-manzillari, maqsad IP-manzillari, manba port raqami, maqsad port raqamining holati to'g'risidagi ma'lumotlar bazasini saqlaydi. Shu munosabat bilan faqat javoblarga ruxsat beriladi, 1-jild, p. E. Agar trafik tarmoq ichidan hosil bo'lsa, u holda faqat tarmoqdan tashqaridan keladigan javoblarga (tarmoq trafigidan) ruxsat beriladi.

Cisco IOS routerini ikkita usulda xavfsizlik devori sifatida sozlash mumkin:

CBAC-dan foydalanish: kirish ro'yxatini yarating va uni interfeyslarga qo'llang, qaysi trafikga ruxsat berish yoki rad etish kerakligini va qaysi yo'nalishda ekanligini eslang. Bu administrator uchun qo'shimcha xarajatlarga ega.

Hududdagi xavfsizlik devoridan foydalanish.
Shartlar:

Zona. Zona - bu bir xil ishonch darajalariga ega qurilmalarni o'z ichiga olgan mantiqiy maydon. Hudud yaratilgandan so'ng, zonaga interfeys tayinlanadi. Odatiy bo'lib, bir zonadan ikkinchisiga transport ruxsat etilmaydi.

Misol uchun, avval biz ichki chaqirilgan zonani yaratamiz, keyin fa0/0 router interfeysi biz ichkarida chaqiradigan eng ishonchli tarmoqda bo'lsa, u holda fa0/0 ichki tayinlanadi
4.Zona-juft - trafikni (qaysi turdagi trafikni) belgilaydigan siyosatni belgilaydi, keyin qanday harakatlar qilish kerak (tekshirish rad etilgan, ruxsat etilgan). Keyin biz ushbu siyosatni bir nechta zonalarga qo'llashimiz kerak. Zona-juft har doim bir tomonlama bo'ladi. Agar biz uni ikki tomonlama qilishni istasak, yana bir juft zona yaratishimiz kerak.
Misol uchun, biz ichki tarmoqdan tashqi tarmoqqa trafikni ruxsat berishni xohlaymiz, keyin biz zona juftligini yaratishimiz kerak. Agar biz tekshirish harakatini tanlagan bo'lsak, agar trafik ichki tarmoqdan kelib chiqsa, javobga tarmoqdan tashqaridan ruxsat beriladi (holatni filtrlash).
Endi, agar biz tashqi trafik tarmoq ichiga kirishini xohlasak, alohida zonalar juftligini yaratishimiz kerak. Ushbu zona juftligi, agar trafik tashqi tarmoqdan kelib chiqsa, ichki tarmoqqa kirishga imkon beradi.

O'z-o'zidan zona - Routerning o'zi uchun mo'ljallangan trafik, uni qaysi qurilma yuborganidan qat'i nazar, o'z-o'zidan zona deb ataladi. Router tomonidan ishlab chiqarilgan trafik uy zonasi trafiki deb ataladi. Routerga ketayotgan trafik o'z zonasiga ketayotgan trafik hisoblanadi. Odatiy bo'lib, o'z hududingizga yoki hududingizdan harakatlanishga ruxsat beriladi, lekin siz buni amaldagi siyosatlarga muvofiq o'zgartirishingiz mumkin.

Zone-based firewall

ЗОНАЛЬНЫЙ МЕЖСЕТЕВОЙ ЭКРАН

Hududga asoslangan xavfsizlik devori

Download 73,06 Kb.

Do'stlaringiz bilan baham: