33-BOB. Tarmoqlararo ekran va ruxsatsiz kirishni aniqlash tizimlari 33.1. Tarmoqlararo ekran Tarmoqlararo ekran – bu bir paketlarni o‘tkazish va boshqalarini to‘sish
bilan tashkilotning ichki tarmog‘ini katta internetdan ximoya qiladigan dasturiy va
apparatlar birlashmasi hisoblanadi. Tarmoqlararo ekran hisoblash tarmog‘i
ma’muriga tashqaridan amalga oshiriladigan korporativ tarmoq resurslariga
ulanishni nazorat qilishga, shuningdek bu resurslarga bog‘liq bo‘lgan kirish va
chiqish trafigini rostlash bilan tarmoqning resurslarini boshqarishga imkon beradi.
Amaldagi tarmoqlararo ekran uchta amaliy masalalarni hal qiladi:
• Tarmoqlararo ekran orqali korporativ tarmoqqa tashqaridan keladigan, shuningdek teskari yo‘nalishda chiqadigan butun trafik o‘tadi . 33.1-rasmda
ma’murlashtiriladigan tarmoq va internet chegarasida joylashgan tarmoqlararo
ekran tasvirlangan. Katta tashkilotlarda bir necha tarmoqlararo ekran darajalari
yoki taqsimlangan tarmoqlararo ekran lar mavjud bo‘lishi mumkin. Lekin
tarmoqlararo ekran ni 33.1-rasmda tasvirlanganidek, tarmoqqa ulanish amalga
oshiriladigan aniq bir joyda joylashtirish bilan xavfsiz ulanish siyosatini ancha
ishonchli ta’minlay va uni boshqara olamiz. • Tizimga faqat lokal tarmoqda aniqlangan xavfsizlik siyosatini qoniqtiradigan trafik tushadi. Modomiki, korporativ tarmoqning butun kirish va chiqish trafigi tarmoqlararo ekran orqali o‘tar ekan, u tizimga faqat xavfsizlik siyosatini qoniqtiradigan trafikka ruxsat etish bilan bu oqimni chegaralashi mumkin. • Tarmoqlararo ekranning o‘zi ruxsatsiz kirish uchun zaif bo‘lmasligi kerak. Tarmoqlararo ekran bu tarmoqqa ulangan qurilma hisoblanadi. Agar u
noto‘g‘ri loyihalashtirilgan yoki o‘rnatilgan va uni buzish mumkin bo‘lsa, bundan
441
xavfsizlikni xatto his etish hosil bo‘ladi, bu uning yo‘qligidan ham yomon bo‘ladi!
33.1-rasm. Ma’murlashtiriladigan tarmoq va tashqi dunyo orasida tarmoqlararo
ekran ning joylashtirilishi
33.1-rasmda tasvirlanganidek, tashkilot odatda uning ichki tarmog‘ini Internet-
provayder bilan (katta internet bilan) ulaydigan shlyuz marshrutizatorga ega
bo‘ladi. Korporativ tarmoq ichidagi butun, kirish va chiqish trafigi bu
marshrutizatordan o‘tadi va aynan unda paketlarni filtrlash bajariladi. Paketlar filtri
har bir deytagrammani alohida tekshiradi, hisoblash tarmog‘i ma’muri o‘rnatgan
qoidalarga muvofiq uni nima qilishni – tarmoqqa o‘tkazib yuborish yoki tashlab
yuborishni aniqlaydi. Filtrlashga bog‘liq qarorlar odatda quyidagi omillarga
asoslanadi:
Dastlabki yoki oxirgi IP-adres;
IP-deytagrammaning mos maydonidagi protokol turi: TCP, UDP, ICMP,
OSPF va h.k.;
TCP- yoki UDP-ulanishlarni qabul qiluvchi va jo‘atuvchi portlari;
TCP bayroq bitlari: SYN, ASK va h.k.;
ICMP xabari turi;
442
Bu tarmoq kirish va chiqish deytagrammalarini xarakterlaydigan turli
qoidalar;
Marshrutizator interfeysiga tegishli bo‘lgan turli qoidalar.
33.1-jadval