185
ulanadi. Amalda, DMZ umumiy tarmoq manzillari bilan alohida
qismtarmoq sifatida amalga oshiriladi(16.2-rasm), bunda jismoniy
yoki VLAN (Virtual Local Area Network)
texnologiyasidan
foydalangan holda, korxonaning lokal tarmogʻidan ajratiladi.
Intranet (LAN)
Router (WAN)
DMZ
16.2-rasm. Yagona tarmoqlararo ekranli DMZ arxitekturasi
Ommaviy serverlari tomonidan ichki tarmoqqa ulanish
urinishlarini filtrlash marshrutizatordagi paketli filtr yordamida
amalga oshiriladi.
Marshrutizatorning oʻzi ommaviy serverlaridan biri sifatida
koʻrib chiqilishi kerak va unga nisbatan
xavfsizlik siyosati ommaviy
serverlarida qoʻllanilishi kerak. Va shuni yodda tutish kerakki, agar
marshrutizator buzilgan boʻlsa, hech qanday DMZ siyosati yordam
bermaydi – ya’ni kraker sizning ichki tarmogʻingizga kirish huquqiga
ega boʻladi. Shunday qilib, umumiy tarmoqni qurishda marshrutizator
xavfsizligiga alohida e'tibor berishingiz kerak.
Ushbu tarmoq dizayni bilan barcha ommaviy serverlar alohida
DMZ segmentida oʻrnatiladi. Shu bilan birga, ommaviy serverlarning
internet va lokal tarmoq bilan
aloqasi faqat ulanishlarni
moslashuvchan boshqarishingiz mumkin boʻlgan marshrutizator orqali
amalga oshiriladi.
Ikkinchi variantni amalga oshirishda uning kamchiliklariga
e'tibor
qaratish
lozim.
Avvalo,
bu
umumiy
tarmoqning
ishonchliligining pasayishiga olib keladi. Agar server osilib qolsa yoki
qayta ishga tushirilsa, DMZda joylashgan resurslar foydalanuvchilar
uchun vaqtincha mavjud boʻlmaydi. Masalan,
agar sizning
186
tarmogʻingizda bitta pochta serveri boʻlsa va u DMZda joylashgan
boʻlsa, u holda tarmoqlararo ekranni oʻchirib qoʻysangiz, u ishlamay
qoladi va pochta mijozidagi foydalanuvchilar ulanishga oid xato
xabarlarini qabul qilishni boshlaydilar.
Natijada, tizim ma'muriga
tarmoqning ishlamay qolishi toʻgʻrisida qoʻngʻiroqlar va shikoyatlar
oqimi paydo boʻldi.
Bitta serverdan foydalanishning yana bir kamchiligi shundaki, u
ishlamay
qolganda,
almashtirishga
sarflagan
barcha
vaqtda
tashkilotning lokal tarmogʻi deyarli ishlamay qoladi.
Ushbu topologiyaning eng muhim kamchiligi, agar tajovuzkor
serverga kirishni uddalasa, u DMZga ham, lokal tarmoqqa ham kirish
huquqiga ega boʻladi.
Agar
ikkita
tarmoqlararo
ekran
ishlatilsa,
unda
bu
kamchiliklarning barchasi qisman yoki toʻliq yoʻq qilinishi mumkin.
Agar ulardan bittasi bir necha daqiqa ichida ishlamay qolsa, serverga
boshqa tarmoq kartasini qoʻshish
va sozlamalarga tegishli
oʻzgartirishlar kiritish orqali "a" variantidan tarmoq "b" variantiga
aylantirilishi mumkin. Bundan tashqari, ikkita tarmoqlararo ekrandan
foydalanish orqali tarmoq xavfsizligi yaxshilanadi. Masalan, agar
tajovuzkor WAN va DMZ ga ulangan serverga kirib olishga muvaffaq
boʻlsa, u holda lokal tarmoq resurslari unga mavjud boʻlmaydi.
