Oʼzbekiston respublikаsi аxborot vа kommunikаtsion texnologiyalаrini rivojlаntirish vаzirligi

xavfsizlik devorlari - IDS / IPS tarmoqni himoya qilishning ancha yuqori darajasini 
ta'minlaydi. 
IDS 1960-yillarda General Electric kompaniyasining kompyuter boʻlimida 
(keyinchalik Honeywell Information Systems boʻldi ) Charlz Baxman tomonidan 
ishlab chiqilgan boʻlib, u 1973 yilda Hisoblash mashinalari assotsiatsiyasidan 
Tyuring mukofotini olgan. Dasturiy taʼminot chiqarildi. 1964 yilda GE 235 
kompyuteri uchun. 1965 yilga kelib Weyerhaeuser Lumber mijozi uchun tarmoq 
versiyasi ishlamoqda edi. 
IDS bilan ilovalarni ishlatish yoki amalga oshirish oson emas edi, chunki u 
o'sha paytda mavjud bo'lgan apparat yordamida ishlashni maksimal darajada 
oshirish uchun mo'ljallangan edi. Biroq, bu zaiflik uning kuchliligi edi, chunki IDS 
tipidagi ma'lumotlar bazalarini mohirona amalga oshirish, masalan, British 
Telecom'ning ulkan CSS loyihasi (yiliga 10 milliarddan ortiq tranzaksiyalarga 
xizmat ko'rsatadigan IDMS ma'lumotlar bazasi) terabayt o'lchamdagi ma'lumotlar 
bazalarida tengsiz bo'lgan unumdorlik darajasini ko'rsatadi. barcha relyatsion 
ma'lumotlar bazasini amalga oshirish orqali. Charlz Baxmanning innovatsion dizayn 
ishi yirik tijorat operatsiyalari uchun eng zamonaviy ilovalarni topishda davom 
etmoqda. 
Internet-provayder xavfsizligi ( IPS ) teglari domen nomini ro'yxatga oluvchi 
tomonidan domen nomini ro'yxatga olish xizmati va tegishli domen nomlari tizimi 
(DNS) xizmatlarini boshqarish uchun ishlatiladi. IPS yorlig'i BB davlat kodidagi 
yuqori darajali domenda domenlarni ro'yxatdan o'tkazuvchi har bir ro'yxatga 
oluvchiga qo'llaniladigan va domen nomlarini bir ro'yxatga oluvchidan boshqasiga 
o'tkazish uchun talab qilinadigan yorliqdir.
IPS yorlig'ining asl ma'nosi “Nominet UK “ ning o'tmishdoshi Nomlash 
qo'mitasi bilan yaratilganidan keyin yo'qolgan deb hisoblangan ; keng tarqalgan 
bo'lib, u Internet Provayderi Xavfsizlik yorlig'ini anglatadi . 

IPS yorlig'i atamasining o'zi “Nominet UK” tomonidan eskirgan deb 
hisoblanadi va endi oddiygina teg deb ataladi 
Shu bilan birga, Internet-provayderning boshlang'ich yozuvida xato bo'lgan 
deb hisoblagan dastlabki internet sanoati bilan shug'ullanuvchilarning yozuvlari ham 
bor.Tijoriy internetning dastlabki yillarida domenlarni ro'yxatdan o'tkazish uchun 
mas'ul bo'lgan asosiy organlar provayderlar bo'lgan, noma'lum kichik tizim 
administratori tomonidan yaratilgan. Matn xatosini yaratgan muhandisning shaxsi 
maʼlum, lekin hozircha internetda uning shaxsiga havola qilinmagan. 
Domen nomini bir ro'yxatga oluvchidan boshqasiga o'tkazish uchun asl 
ro'yxatga oluvchi IPS tegini yangi ro'yxatga oluvchining tegiga o'zgartirishi kerak. 
Domen nomi egalari tez-tez, lekin har doim emas, tegishli domen boshqaruv 
panellarida bu tegni o'zlari o'zgartirishi mumkin. 
IDS va Firewall ham tarmoq xavfsizligi bilan shug‘ullansada, IDS xavfsizlik 
devoridan farq qiladi, buning sababi, xavfsizlik devorlari ularni to‘xtatish uchun 
hujumlarni ko‘rib chiqadi. Xavfsizlik devori kirishlarni oldini olish uchun tarmoqlar 
orasidagi ulanishni cheklaydi va tarmoq ichidagi hujumni bildirmaydi. IDS sodir 
bo‘lganidan keyin shubhali hujumni baholaydi va signalni signallaydi. IDS 
shuningdek, tizim ichida yuzaga kelgan hujumlarni ham kuzatib boradi. Tarmoqqa 
asoslangan kirishni himoyalash tizimi xavfsizlik devorining soddalashtirilgan 
filtrlash qoidalari e'tiborga olinmasligi uchun mo‘ljallangan zararli paketlarni ham 
aniqlay oladi.
IDS xavfsizlik devori yoki yaxshi antivirus dasturini almashtirish emas. IDS 
sizning tizimingizda maxsus yoki tarmoq xavfsizligini oshirish uchun standart 
xavfsizlik mahsulotlari (antivirus va xavfsizlik devori kabi) bilan birgalikda 
foydalanish uchun vosita sifatida qaralishi kerak. 

IDS,IPS a Firewall rasmda ifodalanishi 
Himoyani qayerda qo'llash kerak? 
Agar siz tarmoqqa himoya o'rnatishga qaror qilsangiz, u IDS / IPS, UTM yoki 
NGFW bo'ladimi, uni qaerga qo'yish kerakligi haqida savol tug'iladi. Avvalo, bu 
tanlangan tizim turiga bog'liq. Shunday qilib, PIDSni xavfsizlik devori oldiga, 
tarmoq ichiga qo'yish mantiqiy emas va NGFW bir vaqtning o'zida barcha 
elementlarni o'z ichiga oladi, shuning uchun uni istalgan joyga joylashtirish 
mumkin. 
Tarmoqning ichki qismidan xavfsizlik devori oldida hujumni aniqlash tizimi 
o'rnatilishi mumkin. Bunday holda, IDS barcha trafikni tahlil qilmaydi, faqat 
xavfsizlik devori tomonidan bloklanmaganlarni tahlil qiladi. Bu mantiqiy: nima 

uchun bloklangan ma'lumotlarni tahlil qilish kerak. Bundan tashqari, tizimdagi 
yukni kamaytiradi.
IDS ham tarmoqning tashqi chetiga, xavfsizlik devoridan keyin 
joylashtiriladi. Bunday holda, u keraksiz WAN shovqinini filtrlaydi, shuningdek, 
tarmoqni tashqaridan xaritalash imkoniyatidan himoya qiladi. Ushbu tartibga solish 
bilan tizim 4 dan 7 gacha bo'lgan tarmoq qatlamlarini boshqaradi va imzo turiga 
tegishli. Ushbu joylashtirish noto'g'ri pozitivlar sonini kamaytiradi.
Yana bir keng tarqalgan amaliyot - muhimlik ustuvorligi bo'yicha tarmoqni 
himoya qilish uchun muhim joylarda hujumni aniqlash tizimining bir nechta 
nusxalarini o'rnatish. Shubhali harakatni aniqlash uchun tarmoq ichida IDS 
o'rnatishga ham ruxsat beriladi. 
O'rnatish joyi sizning IDS talablariga, mavjud imkoniyatlarga va tarmoq hajmiga 
qarab tanlanishi kerak. 
IDS,IPS a Firewall rasmda ifodalanishi 
IDS, IPS va Firewallning solishtirma tahlili 

Download 314,21 Kb.