|
Firewallni amalga oshirish
|
bet | 10/17 | Sana | 24.05.2024 | Hajmi | 1,83 Mb. | | #252942 |
Bog'liq 14-M Kompyuter tarmoqlarida himoya tizimlari va vositlariFirewallni amalga oshirish.
Kompaniyaning ichki tarmog'i va Internet o'rtasida yagona xavfsizlik devoridan foydalanish xavfli bo'lishi mumkin, chunki agar xakerlar xavfsizlik devorini buzsa, ular ichki tarmoqqa to'liq kirish huquqiga ega. Ushbu xavfni kamaytirish uchun ko'pgina korporativ xavfsizlik devori topologiyalari mudofaa qatlamini qo'shish uchun keyingi bo'limda muhokama qilinadigan qurolsizlangan zonadan foydalanadi.
Demilitarizatsiya zonasi.
Demilitarizatsiya zonasi (DMZ) - bu kompaniya Internet foydalanuvchilariga taqdim etmoqchi bo'lgan resurslarni o'z ichiga olgan kichik tarmoq; ushbu sozlash kompaniyaning ichki tarmog'ida xavfsizlikni ta'minlashga yordam beradi. DMZ Internet va ichki tarmoq o'rtasida joylashgan va ba'zan "perimetr tarmog'i" deb ataladi. 2-rasmda tashqi foydalanuvchilar DMZ-dagi elektron pochta va veb-serverlarga qanday kirishlari mumkinligi ko'rsatilgan, ammo ichki tarmoq ushbu tashqi Internet foydalanuvchilaridan himoyalangan.
3-rasm Ichki tarmoqni himoya qiluvchi DMZ
E'tibor bering, Internet foydalanuvchilari xavfsizlik devoridan o'tmasdan DMZ-ga kirishlari mumkin. Yaxshiroq xavfsizlik strategiyasi tarmoqni sozlashda qo'shimcha xavfsizlik devorini o'rnatishdir (4-rasmga qarang).
4-rasm. DMZni himoya qilish uchun qo'shimcha xavfsizlik devoir
Foydalanuvchilar Internetdan ichki tarmoqqa kirishlari uchun ular ikkita xavfsizlik devoridan o'tishlari kerak. Ushbu sozlash, ehtimol, korporativ xavfsizlik devori topologiyasi uchun eng keng tarqalgan dizayndir.
Cisco Adaptive Security Appliance bilan xavfsizlik devorini tekshirish.
Xavfsizlik devori qanday ishlashini o'rganishning yaxshi usuli bu eng keng tarqalgan xavfsizlik devorlaridan birining konfiguratsiyasini ko'rib chiqishdir:
Cisco Adaptive Security Appliance (ASA) xavfsizlik devori. Cisco ASA Cisco PIX xavfsizlik devorini almashtirdi va ilg'or qo'shimchalar qo'shdi, tajovuzni aniqlash va oldini olish va yanada murakkab dastur qatlamini tekshirish kabi modulli xususiyatlar.
Keyingi bo'limlarda siz qanday xavfsizlik haqida tasavvurga ega bo'lish uchun ASA xavfsizlik devori uchun ba'zi konfiguratsiya buyruqlarini ko'rasiz. Mutaxassislar bilishi kerak. Siz tarmoq serverlarini segmentlash qoidalarini yaratish uchun ASA ni sozlash orqali o'tasiz, faqat bir nechta portlarda trafikka ruxsat beruvchi terminallar orqali ko’rib chiqishimiz mumkin.
ESLATMA
Cisco-da ASA ni sozlash bo'yicha darslar va kitoblar mavjud, shuning uchun bu bo'limdagi ma'lumotlar aysbergning faqat uchi.
|
| |