443
Hisoblash tarmog‘i ma’muri, tashkilotda amalda bo‘lgan qoidalarga tayanish
bilan tarmoqlararo ekran ni konfiguratsiyalaydi. Siyosat foydalanuvchining ishlash
jadalligi va ma’lumotlarni uzatish polosasini sarflanishining aktivligi, shuningdek
tashkilotda amalda bo‘lgan xavfsizlik mulohazalarini hisobga olishi mumkin. 33.1-
jadvalda tashkilotda amalda bo‘lishi mumkin bo’lgan bir qator siyosatlar sanab
o‘tilgan, shuningdek ular paketli filtr yordamida potensial ishlatilishi mumkinligi
tavsiflangan. Masalan, agar kompaniya uning web-serveri initsializatsiyalaydigan
TCP-ulanishlardan tashqari, boshqa hech qanday kirish TCP-ulanishlarni qabul
qilishni istamaydi, u holda bunday tarmoq tarmoqlararo ekran i web-serverning 80-
porti va IP-adresi ko‘rsatilganlardan tashqari, barcha kirish TCP SYN
segmentlarini to‘sib qo‘yishi mumkin. Agar tashkilot, uning foydalanuvchilari
internetga ulanish polosasini radio-ilovalar bilan to‘liq
egallashini istamasa, u
holda tarmoqlararo ekran butun keraksiz UDP-trafikni to‘sib qo‘yadi (chunki
Internet-radio ko‘pincha UDP protokoli bo‘yicha translyatsiya qilinadi). Agar
tashkilot
jinoyatchilar
borishi mumkin bo‘lgan o‘z ichki tarmog‘ini
trassalashtirilishini oldini olishga intilsa, u holda u korporativ tarmoqning
tashqarisiga yo‘naltiriladigan tugagan TTL qiymatli barcha ICMP-xabarlarni
(hayot vaqti oldindan belgilangan) to‘sib qo‘yishi mumkin.
Filtrlash siyosati asosida adreslar va portlar raqamlari kombinatsiyalari ham
yotishi mumkin. Masalan, filtrlovchi marshrutizator faqat ro’yxatda ko‘rsatilgan
ko‘plab IP-adreslardan chiqadigan yoki bu ro‘yxatdan adreslarga yo‘naltiriladigan
Telnet-deytagrammalarni (23-portga boradigan) uzatishi mumkin. Bunday siyosat
faqat ruxsat etilgan adreslar ro‘yxatiga kiritilgan xostlardan-xostlarga Telnet-
ulanishlarni o‘rnatilishiga ruxsat etadi. Afsuski, tashqi
adreslar asosida siyosatni
qurishda adreslari spufingga uchragan deytagrammalardan himoyalanish mumkin
emas.
Filtlash TCP ASK biti o‘rnatilganligi belgisi bo‘yicha ham amalga
oshirilishi mumkin. Agar tashkilot o‘z ichki mojozlariga tashqi serverlarga
ulanishga ruxsat berishni, lekin bir vaqtda tashqi mijozlarga tashkilotning ichki
444
serverlariga ulanishga ruxsat bermaslikni rejalashtirsa,
bunday usul juda foydali
bo‘ladi. Har bir TCP-ulanishda birinchi segmentda ASK-bit nolga o‘rnatilgan, u
holda ulanish doirasida barcha qolgan segmentlar 1 ga o‘ratilgan. Mos ravishda,
agar tashkilotda tashqi mijozlar va ichki serverlar orasida ulanishlarga yo‘l
qo‘ymaslik talab qilinsa, u holda tizim ASK-biti 0 qiymatga ega bo‘lgan barcha
kirish segmentlarini oddiy filtrlashi kerak bo‘ladi. Bunday siyosat tashqaridan
o‘rnatiladigan barcha TCP-ulanishlarni to‘sib qo‘yadi, lekin korporativ tarmoqning
ichidan initsializatsiyalanadigan ulanishlarga ruxsat etadi.
Tarmoqlararo ekran qoidalari marshrutizatorlarda ulanishni nazorat qilish
ro‘yxatlari
yordamida ishlatiladi, binobarin, marshrutizator interfeysi o‘z
qoidalariga ega. 222.22/16 tashkilot uchun ulanishni nazorat qilish ro‘yxatiiga
misol 33.2-jadvalda keltirilgan.
33.2-jadval
Marshrutizator interfeysi uchun ulanishni nazorat qilish ro‘yxati
Amal
Dastlabki
adres
Oxirgi
adres
Protokol
Dastlabki
port
Oxirgi
port
Bayroq
biti
Ruxsat
etish
222.22/16 Tashqi
222.22/1
6
TCP
>1023
80
Istalgan
Ruxsat
etish
Tashqi
222.22/16
222.22/1
6
TCP
80
>1023
ASK
Ruxsat
etish
222.22/16 Tashqi
222.22/1
6
UDP
>1023
53
—
Ruxsat
etish
Tashqi
222.22/16
222.22/1
6
UDP
53
>1023
—
Ta’qiqlas
h
Barcha
Barcha
Barcha
Barcha
Barcha Barcha
Qoidalar bu interfeys orqali yuqoridan pastga o‘tadigan har bir
deytagrammada qo‘llaniladi. Birinchi ikkita qoidalar birgalikda
foydalanuvchilarga
Internet bo‘ylab sayr qilishga imkon beradi. Birinchi qoida yuborilishi 80-portli
paketga tashkilotni tark etishga imkon beradi. Ikkinchi qoida dastlabki 80-portli va
445
o‘rnatilgan ASK-bitli istalgan paket, tashkilotning tarmog‘iga kira olishini
kafolatlaydi. E’tibor bering, agar tashqi manba ichki xostilan TCP-ulanishni
o‘rnatishga urinsa, hatto agar jo‘natuvchi yoki qabul qiluvchi porti 80-port
hisoblansada, bunday ulanish to‘sib qo‘yiladi. Ikkinchi ikkita qoidalar birgalikda
DNS-paketlarga tashkilot tarmog‘iga kirishga va uni tark etishga imkon beradi.
Umuman olganda yetarlicha qat’iy ulanishni nazorat qilish ro‘yxati, biinchidan
tashkilotdan
chiqadigan Internet-trafikdan, ikkinchidan DNS-trafikdan tashqari
butun trafikni to‘sib qo‘yadi. “Packet Filtering for Firewall Systems” hujjatda
namunaviy tarmoq, amaliy masalalaridagi qator keng tarqalgan illatlardan
qochishga imkon beradigan port/protokol prinsipi bo‘yicha tavsiya etiladigan
filtrlash variantlari ro‘yxati berilgan.
