|
Oʻzbekiston respublikasi oliy va oʻrta maxsus ta’lim vazirligi begbo’tayev
|
| bet | 208/216 | | Sana | 19.07.2024 | | Hajmi | 7,52 Mb. | | #267965 |
Bog'liq 5ffd2d83d9d2c (1) Brandmauerlar – paketli filtrlar
Brandmauerlar filtrlar sifatida toʻsiq qoʻyish/ruhsat etish uchun filtrlar sifatida sozlanishi mumkin, bunda: IP-manzillar; Domen nomlari; Portlar; Alohida soʻzlar va iboralar; Kirish/chiqish trafigini tahlil qilish yoʻli bilan.
6.3.3 – rasm. Brandmauerlar – paketli filtrlar
Brandmauerlar turlari:
Paketli filtr yoki saralovchi filtrlar;
Ilova shlyuzlar yoki proksi-serverlar.
Ushbu himoya tarmoq qurilmalarini qoʻllash himoyalash siyosati va tashkilotda tatbiq etilgan qoidalar toʻplamiga bogʻliq boʻladi.
6.3.4- rasm. Ilova – shlyuz darajasi
Tarmoqlararo ekranning paketlarni filtrlash qoidalari
Avtomatlashtirilgan tizimlarda tarmoq texnologiyalari asosida ishlovchi ilovalardan keng foydalanish, texnologiyalarining rivojlanishi tarmoq resurslari himoyasiga va xavfsizligini taʻminlash bilan bogʻliq avval maʻlum boʻlmagan yangi koʻrinishdagi xavfsizlik muammolarni koʻndalang qoʻymoqda. Ushbu muammolar sabab zamonaviy kompyuter tizimlari va tarmoqlarida himoyaning birlamchi tashkil etuvchisi sifatida apparat-dasturiy yechimga ega boʻlgan tarmoqlararo ekran texnologiyasidan keng foydalanilmoqda.
Shu sababli tarmoqlararo ekran asosida tarmoq trafigini filtrlash jarayonida foydalaniladigan maxsus filtrlash qoidalari guruhini sozlashni va qoʻllashni toʻgʻri tashkil etish, tarmoq trafigi bilan bogʻliq xavfsizlik muammolarini bartaraf etishda eng ishonchli yyechimlaridan biri ekanligini koʻrsatmoqda.
Tarmoq trafigini filtrlash, tarmoqdagi turli sathlarida amalga oshirilishi mumkin. Har bir sathga maʻlum bir filtrlash qoidalari guruhi mos keladi. Har bir guruhning filtrlash qoidalari joriy sath bogʻlanishiga mos protokol paketlarining sarlavha parametrlari beriladi.
Shunday qilib, tarmoqlararo ekranda paketlar sarlavhasining tarkibiy qismi boʻlgan maʻlumotlar asosida paketli filtrlash amalga oshitriladi.
Tarmoqlararo ekranda quyidagi qoidalar guruhi mavjud:
MAC-qoida – Ethernet kadrlar sathidagi filtrlash qoidalari;
ARP-qoida – ARP va RARP paketlarini filtrlash qoidalari;
IP-qoida – IPv4 protokoli paketlarini filtrlash qoidalari.
IP-qoidalarida TCP, UDP va ICMP paketlarini qayta ishlash uchun qoʻshimcha paketlar mavjud. Bu guruhga qisqa tarmoq hujumlarini qaytarish, abonentlarni bloklash va boshqalar uchun oʻziga xos vaqtinchalik IP-qoidalar ham kiradi;
IPX-qoida – IPX paketlarini filtrlash qoidalari;
AP-qoida – amaliy sath filtrlash qoidalari.
Qoidalarni tuzishda qoidani maʻlum vaqt intervaliga va VLAN identifikatoriga bogʻlashga imkon beruvchi ―VLAN-guruhlar va “Vaqt intervallari” maxsus tuzilmalaridan foydalaniladi.
Har qanday filtrlash qoidasi quyidagicha koʻrinishda boʻladi:
IF (qoidalar parametri) – THEN (qoidalar harakati), yaʻni paketning yetib kelgan sarlavhasi qoida parametrlariga toʻgʻri kelsa, paketga qoidada koʻrsatilgan harakat qoʻllanilishi lozim.
Bunda paket ustida quyidagi harakatlar amalga oshirilishiga yoʻl qoʻyiladi:
oʻtkazish (accept) – chiquvchi filtrlash interfeysiga yoki filtrlashning keyingi sathiga (MAC-qoidalar uchun) paketni uzatadi;
yuborish‖ (pass) – keyingi filtrlash sathlarini aylanib oʻtgan holda chiquvchi filtrlash interfeysiga paketni uzatadi (tarmoqlararo ekran ichida);
oʻchirish‖ (drop) – paketni keyingi oʻtishiga taʻqiq qoʻyish.
Paketli filtrlash rejimida paketlarni qayta ishlash 2 bosqichda amalga oshiriladi:
MAC-qoidalar boʻyicha filtrlash;
Keyingi sath qoidalari boʻyicha filtrlash (ARP, IP va IPX- qoidalari).
Birinchi navbatda tarmoqlararo ekranni filtrlovchi interfeysi tomonidan qabul qilingan har bir paketni filtrlash MAC-qoidalariga muvofiq Ethernet kadrlar sathida ishlanadi. Agar paketga paket oʻchirilishi belgilangan qoida qoʻllanilsa, unda paket hech qaerga uzatilmasdan, uni qayta ishlash toʻxtatiladi. Agar paketga paketni
oʻtkazish belgilangan qoidasi qoʻllanilsa, unda bu paket uni oʻtkazish yoki oʻchirish toʻgʻrisidagi soʻnggi qaror qabul qiluvchi filtrlashning keyingi sathiga beriladi. Agar paketga yuborish qoidasi qoʻllanilsa, unda bu paketni filtrlash protsedurasi toʻxtatiladi va paket chiquvchi interfeysga beriladi.
Filtrlashning keyingi sathida paketga joriy Ethernet-kadrda inkapsulyasiyalanuvchi protokol toifasiga bogʻliq holda ARP, IP yoki IPX-qoidalarning mos keluvchi holatlaridan biri qoʻllaniladi.
|
| |
