Tarmoqlararo ekranlarni ulashning asosiy sxemalari




Download 2,72 Mb.
Pdf ko'rish
bet108/191
Sana18.11.2023
Hajmi2,72 Mb.
#101187
1   ...   104   105   106   107   108   109   110   111   ...   191
Bog'liq
axborot xavfsizligi222

Tarmoqlararo ekranlarni ulashning asosiy sxemalari. Korporativ tarmoqni 
global tarmoqlarga ulaganda himoyalanuvchi tarmoqning global tarmoqdan va 
global tarmoqning himoyalanuvchi tarmoqdan foydalanishini cheklash, hamda 
ulanuvchi tarmoqdan global tarmoqning masofadan ruxsatsiz foydalanishidan 
himoyalashni ta’minlash lozim. Bunda tashkilot o‘zining tarmog‘i va uning 
komponentlari xususidagi axborotni global tarmoq foydalanuvchilaridan bekitishga 
manfaatdor. Masofadagi foydalanuvchilar bilan ishlash himoyalanuvchi tarmoq 
resurslaridan foydalanishning qat’iy cheklanishini talab etadi. 
Tashkilotdagi korporativ tarmoq tarkibida ko‘pincha himoyalanishning turli 
sathli birnecha segmentlarga ega bo‘lishi ehtiyoji tug‘iladi: 
- bemalol foydalaniluvchi segmentlar (masalan, reklama WWW-serverlari); 
- foydalanish chegaralangan segmentlar (masalan, tashkilotning masofadagi 
uzellari xodimlarining foydalanishi uchun); 
- yopiq segmentlar (masalan, tashkilotning moliya lokal qism tarmog‘i) 
Tarmoqlararo ekranlarni ulashda turli sxemalardan foydalanish mumkin. Bu 
sxemalar himoyalanuvchi tarmoq ishlashi sharoitiga, hamda ishlatiladigan 
brandmauerlarning tarmoq interfeyslari soniga va boshqa xarakteristikalariga 


230 
bog‘liq. Tarmoqlararo ekranni ulashning quyidagi sxemalari keng tarqalgan: 
- ekranlovchi marshrutizatordan foydalanilgan himoya sxemalari; 
- lokal tarmoqni umumiy himoyalash sxemalari; 
- himoyalanuvchi yopiq va himoyalanmaydigan ochiq kismtarmoqli 
sxemalar; 
- yopiq va ochiq qism tarmoqlarni alohida himoyalovchi sxemalar. 
Ekranlovchi marshrutizatordan foydalanilgan himoya sxemasi. 
Paketlarni filtrlashga asoslangan tarmoqlararo ekran keng tarqalgan va 
amalga oshirilishi oson. U himoyalanuvchi tarmoq va bo‘lishi mumkin bo‘lgan 
G‘anim ochiq tarmoq orasida joylashgan ekranlovchi marshrutizatordan iborat 
(8.10-rasm). 
Ekranlovchi marshrutizator (paketli filtr) kiruvchi va chiquvchi paketlarni 
ularning adreslari va portlari asosida blokirovka qilish va filtrlash uchun 
konfigurasiyalangan. 
Himoyalanuvchi tarmoqdagi kompyuterlar Internetdan to‘g‘ridan-to‘g‘ri 
foydalana oladi, Internetning ulardan foydalanishining ko‘p qismi esa blokirovka 
qilinadi. Umuman, ekranlovchi marshrutizator yuqorida tavsiflangan himoyalash 
siyosatidan istalganini amalga oshirishi mumkin. Ammo, agar marshrutizator 
paketlarni manba porti va kirish yo‘li va chiqish yo‘li portlari nomeri bo‘yicha 
filtrlamasa, "oshkora ruxsat etilmagani man qilingan" siyosatini amalga oshirish 
qiyinlashadi.
Paketlarni filtrlashga asoslangan tarmoqlararo ekranning kamchiliklari 
quyidagilar: 
- filtrlash qoidalarining murakkabligi; ba’zi hollarda bu qoidalar majmui 
Ekranlovchi marshrutizator 
Ochiq tashqi 
tarmoq 
Himoyalanadigan 
ichki tarmoq 
8.10-rasm. Tarmoqlararo ekran – ekranlovchi marshrutizator 


231 
bajarilmasligi mumkin; 
- filtrlash qoidalarini to‘liq testlash mumkin emasligi; bu tarmoqni 
testlanmagan xujumlardan himoyalanmasligiga olib keladi; 
- xodisalarni ro‘yxatga olish imkoniyatining yo‘qligi; natijada ma’murga 
mashrutizatorning xujumga duch kelganligini va obro‘sizlantirilganligini aniqlash 
qiyinlashadi. 
Lokal tarmoqni umumiy himoyalash sxemalari. Bitta tarmoq interfeysli 
brandmauerlardan foydalanilgan himoyalash sxemalari (8.11-rasm) xavfsizlik va 
konfigurasiyalashning qulayligi nuqtai nazaridan samarasiz hisoblanadi. Ular ichki 
va tashqi tarmoqlarni fizik ajratmaydilar, demak, tarmoqlararo aloqaning ishonchli 
himoyasini ta’minlay olmaydilar.
Lokal tarmoqni umumiy himoyalash sxemasi eng oddiy echim bo‘lib, unda 
brandmauer lokal tarmoqni tashqi G‘anim tarmoqdan butunlay ekranlaydi (8.12-
rasm). Marshrutizator va brandmauer orasida faqat bitta yo‘l bo‘lib, bu yo‘l orqali 
butun trafik o‘tadi. Brandmauerning ushbu varianti "oshkora ruxsat etilmagani man 
qilingan" prinsipiga asoslangan himoyalash siyosatini amalga oshiradi. Odatda 
marshrutizator shunday sozlanadiki, brandmauer tashqaridan ko‘rinadigan yagona 
mashina bo‘ladi. 
Ochiq tashqi 
tarmoq 
Himoyalnadigan 
ichki tarmoq 
8.11- rasm. Bitta tarmoq interfeysli firewall yordamida lokal tarmoqni himoyalash 
Tarmoqlararo 
ekran 
Ochiq serverlar 
Marshrutizator 
Marshrutizator 


232 
Lokal tarmoq tarkibidagi ochiq serverlar ham tarmoqlararo ekranlar 
tomonidan himoyalanadi. Ammo, tashqi tarmoq foydalana oladigan serverlarni 
himoyalanuvchi lokal tarmoqlarning boshqa resurslari bilan birlashtirish 
tarmoqlararo aloqa xavfsizligini jiddiy pasaytiradi. 
Tarmoqlararo 
ekran 
foydalanadigan 
xostga 
foydalanuvchilarni 
kuchaytirilgan autentifikatsiyalash uchun dastur o‘ranatilishi mumkin. 

Download 2,72 Mb.
1   ...   104   105   106   107   108   109   110   111   ...   191




Download 2,72 Mb.
Pdf ko'rish

Bosh sahifa
Aloqalar

    Bosh sahifa



Tarmoqlararo ekranlarni ulashning asosiy sxemalari

Download 2,72 Mb.
Pdf ko'rish