182
17.7-rasm. Tarmoq topologiyasi
Nazorat savollari
1. Tarmoqlararo ekranni funksiyalarini tushuntiring?
2. ASA firewallining qanday
funksional imkoniyatlari
mavjud?
3. ASA da NATqanday sozlanadi?
4. Cisco AVC nima?
5. IPSdan NGIPS nimasi bilan afzal?
16-LABORATORIYA ISHI
TARMOQ MARSHRUZATORIDA DMZ NI OʻRNATISH
Ishdan maqsad. Tarmoq marshruzatorida DMZni oʻrnatish
ko`nikmalarini hosil qilish.
Nazariy qism
Tarmoq xavfsizligi boʻyicha mutaxassislar potensial zararni
hali aniqlanmagan zaifliklarini oldini olish uchun choralar koʻrishlari
kerak. Buning uchun ideal yechim - bu bitta muhim server internetdan
"koʻrinmaydigan" boʻlishi kerak, lekin internetdan butunlay ajralib
qolish imkonsizdir. Biz xizmatning funksionalligi va uning xavfsizligi
oʻrtasida oqilona kelishuvni oʻrnatishimiz kerak.
Internetga ulangan koʻpgina kompaniyalar oʻzlarining pochta
serverlariga ega, ular bir xil turdagi boshqa pochta serverlaridan
pochta xabarlarini qabul qilishadi.
Ushbu serverga internetning
183
istalgan joyidan ulanish uchun kirish kerak boʻlishi kerak, chunki
SMTP protokoli
(Simple Mail Transport Protocol) yordamida
kompaniyaning serveriga toʻgʻridan-toʻgʻri ulanish orqali kelgan
keyingi xatni kim yuborishini taxmin qilish mumkin emas. Bir
tomondan, pochta serveri xavfsizligini ta'minlash kerak, ya'ni
ruxsatsiz ulanishlarni
iloji boricha cheklash lozim, boshqa tomondan
esa internetdan imkon qadar koʻproq foydalanishiga imkoniyat
yaratish kerak. Aniqlanishsiz ulanishlarni qabul qilishi kerak boʻlgan
serverlar odatda "umumiy" deb nomlanadi, ya'ni global tarmoqning
har qanday foydalanuvchisi uchun kirish mumkin.
Umumiy
serverlarini oʻz ichiga olgan qurilish tizimlariga yondashuv ichki
serverlarga asoslangan tizimlarni yaratish yondashuvidan farq qilishi
kerak. Bu serverning ochiqligi sababli yuzaga keladigan oʻziga xos
xatarlar tomonidan belgilanadi.
Serverlarning ochiqligi bilan bogʻliq muammolarni hal qilish
uchun marshrutizatordagi paketlarni filtrlash qoidalari va aniq
belgilangan
tarmoq
xavfsizligi
siyosati
orqali
umumiy
foydalaniladigan serverlar va lokal tarmoqni ajratishdan iborat boʻlgan
kompleks yondashuv mavjud. Ichki va
umumiy tarmoqlarni ajratish
uchun
tarmoq
xavfsizligi
mutaxassislari
tomonidan
keng
qoʻllaniladigan tasdiqlangan yechim mavjud - Demilitarizatsiya
qilingan Zona (DMZ). Ushbu yechimning mohiyati serverlarning
birortasidan lokal tarmoqqa ulanishlarni nazoratsiz oʻrnatishga imkon
bermasligi uchun umumiy serverlarning tarmoqda joylashuvi. Hatto
buzgʻunchi ulardan birini boshqara oladigan boʻlsa ham, masalan,
dasturiy ta'minotda yangi zaiflikdan foydalangan holda,
u ichki
tarmoqqa nazoratsiz kira olmaydi. Bunday yechimning mohiyati
umumiy serverlarni lokal tarmoqdan deyarli butunlay ajratib
qoʻyishdan iborat, ammo faqat ushbu serverlardan kelib chiqadigan
ulanishlar uchun, chunki bu ulanishlar boshqaruvni qoʻlga olgan
buzgʻunchi tomonidan boshqarilishi mumkin.
Shu bilan birga,
serverlarning oʻzi ham internetdan, ham lokal tarmoqdan boshlangan
ulanishlar uchun ochiq boʻlishi kerak.
Demilitarizatsiya qilingan zona orqali korporativ tarmoqqa
kirib borishini himoya qilish uchun tarmoqlararo ekran ishlatiladi.
Dasturiy va apparat ta'minot tarmoqlararo ekranlari mavjud. Dasturiy
ta’minot uchun alohida mashina kerak. Aparat tarmoqlararo ekranini
184
oʻrnatish uchun uni tarmoqqa ulash
va minimal konfiguratsiyani
sozlash kerak. Odatda, dasturiy ta'minot ekranlari tarmoqlarni himoya
qilish uchun ishlatiladi, bu yerda tarmoq kengligi egiluvchanligini
taqsimlash va foydalanuvchilar uchun protokollar yordamida trafikni
cheklash bilan bogʻliq koʻplab sozlamalarni oʻrnatishga hojat
qolmaydi.
Agar tarmoq katta boʻlsa
va yuqori ishlash talab etilsa,
qoʻshimcha tarmoqlararo ekranlarini ishlatish yanada foydali boʻladi.
Koʻpgina hollarda, bitta emas, balki ikkita tarmoqlararo ekranlarini
ishlatiladi - biri DMZni tashqi ta'sirlardan himoya qiladi,
ikkinchisi
uni korporativ tarmoqning ichki qismidan ajratib turadi(16.1-rasm).
Tashkilot tarmogʻi qismtarmoqlardan iborat va shunga koʻra,
tashqaridan ham, ichkaridan ham kirishga muhtoj boʻlgan serverlar bir
xil tarmoqda (DMZ yoki demilitarizatsiya zonasi deb ham ataladi),
foydalanuvchilar va lokal manbalar esa turli qismtarmoqlarda
joylashgan. Ushbu topologiya bilan DMZdagi serverlar Internetdan,
boshqasi lokal tarmoqdan tarmoqlararo ekran bilan ajratilishi kerak.
Shu bilan birga, "tashqi tomondan" kerakli resurslarga kirish tashqi
tarmoqlararo ekranda amalga oshirilishi kerak.
