|
Re’ja: 1 Dasturiy ta’minot himoyasi
|
| bet | 5/7 | | Sana | 23.09.2022 | | Hajmi | 31.36 Kb. | | #26314 |
Bog'liq 2 Axborotni ximoyalashning doimiy dasturiy aparat vositalari httpsmy.soliq.uzsearchtintin pdftin=631998062, Yuksak ma\'naviyatli yoshlarni tarbiyalashda O\'rta Osiyo allomala, gronert2004, 10.1021@ja01646a024, 1, SAMPLE TOPICS AND QUESTIONS(1), Elektron raqamli imzo, kurs ishi haqiqiy, savol 01, 1mustaqil ishi, portal.guldu.uz-3-mavzu MUSTAQIL O’ZBEKISTON RESPUBLIKASINING TASHKIL TOPISHI VA UNING TARIXIY AHAMIYATI, С Ў Р О В Н О М А, 4-amaliy ish, 3- lek Maǵlıwmat informaciya xızmetiXavfsizlik devori ikki yoki undan ortiq tarmoqlarni bogʻlovchi apparat va dasturiy taʼminotning kombinatsiyasi boʻlib, shuningdek, xavfsizlikni boshqarishning markaziy nuqtasi hisoblanadi. Faervollar dasturiy ta'minotda ham, apparat-dasturiy ta'minotda ham amalga oshirilishi mumkin. XXI asr boshlarida. Uskunaviy xavfsizlik devorlaridan foydalanishga e'tibor kuchaymoqda. Ular ixtisoslashtirilgan kompyuterlar bo'lib, odatda bajariladigan funktsiyalarga moslashtirilgan tarmoq operatsion tizimiga ega rafga o'rnatilgan.
Odatda tashkilotning korporativ tarmog‘i va Internet o‘rtasida butun dunyoning korporativ tarmoqqa kirishini to‘sib qo‘yish uchun xavfsizlik devori o‘rnatiladi. Darhol aytish kerakki, xavfsizlik devori korporativ elektron pochtani viruslardan himoya qila olmaydi - maxsus antivirus dasturlari bu maqsadga xizmat qiladi.
Foydalanuvchilarning keng doiradagi ehtiyojlarini qondirish uchun uchta turdagi xavfsizlik devori mavjud: tarmoq qatlami, dastur qatlami va ulanish qatlami. Har bir turdagi xavfsizlik devori korporativ tarmoqlarni himoya qilish uchun bir nechta turli yondashuvlardan foydalanadi. Eng yaxshi tanlovni amalga oshirish orqali siz xavfsizlik devoringizni yaxshiroq loyihalashingiz mumkin.
Tarmoq sathining xavfsizlik devori odatda paketlar manzillarini tekshiradigan va paketni korporativ tarmoqqa (dan) yo'naltirish yoki uni rad etish to'g'risida qaror qabul qiladigan router yoki maxsus kompyuterdir. Ma'lumki, paketlar boshqa ma'lumotlar bilan birga jo'natuvchi va qabul qiluvchining IP manzillarini o'z ichiga oladi. Siz, masalan, ma'lum bir xostdan barcha aloqalarni blokirovka qilish uchun tarmoq sathining xavfsizlik devorini sozlashingiz mumkin. Odatda, paketlar ba'zi xostlarning IP manzillari to'plamini o'z ichiga olgan fayl yordamida bloklanadi. Xavfsizlik devori (yoki marshrutizator) ushbu manzillarni manba yoki maqsad manzil sifatida ishlatadigan paketlarni bloklashi kerak. Shu kabi IP-manzilni o'z ichiga olgan paketni aniqlagandan so'ng, marshrutizator uni korporativ tarmoqqa kirishiga to'sqinlik qilib, rad etadi. Muayyan xostlarni blokirovka qilish ba'zan qora ro'yxat deb ataladi. Odatda, marshrutizator dasturi butun xostni qora ro'yxatga olish imkonini beradi, lekin ma'lum bir foydalanuvchini emas.
Routerga kelgan paket elektron pochta xabarini, HTTP (veb-sahifaga kirish), ftp (faylni jo'natish yoki yuklab olish imkoniyati) kabi xizmatlarga so'rovni yoki hatto tizimga kirish uchun telnet so'rovini o'z ichiga olishi mumkin. korporativ tizim ( masofaviy kirishkompyuterga). Tarmoq sathi marshrutizatori har bir so'rov turini taniydi va ma'lum bir javobni bajaradi. Misol uchun, marshrutizator Internet foydalanuvchilariga tashkilotning veb-sahifalarini ko'rish imkonini beradigan dasturlashtirilishi mumkin, lekin korporativ serverga yoki undan fayllarni uzatish uchun ftp-dan foydalanishga ruxsat bermaydi.
To'g'ri o'rnatilgan va sozlangan tarmoq sathining xavfsizlik devori foydalanuvchilar uchun juda tez va shaffof bo'ladi. Albatta, qora ro'yxatga kiritilgan foydalanuvchilar uchun marshrutizator o'z nomiga (xavfsizlik devori) kiruvchi tashrif buyuruvchilarni yo'q qilish samaradorligiga mos keladi.
Qoida tariqasida, marshrutizatorlar tegishli dasturiy ta'minot bilan birga keladi. Routerni dasturlash uchun ixtisoslashtirilgan faylga tegishli qoidalar kiritiladi, ular yo'riqchiga har bir kiruvchi paketni qanday qayta ishlash kerakligini aytadi.
Ilova sathidagi xavfsizlik devori odatda proksi-server deb nomlanuvchi dasturiy ta'minot bilan ishlaydigan tarmoq xostidir. Proksi-server - bu ikki tarmoq orasidagi trafikni boshqaradigan dastur. Ilova sathidagi xavfsizlik devoridan foydalanilganda korporativ tarmoq va internet jismonan ulanmagan. Bir tarmoqdan keladigan trafik hech qachon boshqasidan keladigan trafik bilan aralashmaydi, chunki ularning kabellari uzilgan. Proksi-serverning vazifasi paketlarning ajratilgan nusxalarini bir tarmoqdan ikkinchisiga o'tkazishdir. Ushbu turdagi xavfsizlik devori ulanishni ishga tushirishning kelib chiqishini samarali ravishda maskalaydi va korporativ tarmoqni ushbu tarmoqdan ma'lumot olishga urinayotgan Internet foydalanuvchilaridan himoya qiladi.
Proksi-serverlar tarmoq protokollarini tushunadilar, shuning uchun siz bunday serverni sozlashingiz va korporativ tarmoq tomonidan taqdim etilgan xizmatlar to'plamini o'rnatishingiz mumkin.
Ilova darajasidagi proksi-serverni o'rnatishda foydalanuvchilar proksi rejimini qo'llab-quvvatlaydigan mijoz dasturlaridan foydalanishlari kerak.
Shunday qilib, dastur sathining xavfsizlik devorlari xostga kiradigan trafik turi va miqdorini nazorat qilish imkonini beradi. Ular korporativ tarmoq va Internet o'rtasida kuchli jismoniy to'siqni ta'minlaydi va shuning uchun xavfsizlikni kuchaytirish talab qilinadigan vaziyatlarda yaxshi tanlovdir. Biroq, dastur paketlarni tahlil qilishi va kirishni boshqarish qarorlarini qabul qilishi kerakligi sababli, dastur darajasidagi xavfsizlik devorlari tarmoq samaradorligini kamaytirishi mumkin. Agar siz bunday xavfsizlik devoridan foydalanishni rejalashtirmoqchi bo'lsangiz, proksi-serverni sozlash uchun eng tezkor kompyuterdan foydalanishingiz kerak.
Ulanish darajasidagi xavfsizlik devori dastur darajasidagi xavfsizlik devoriga o'xshaydi - ikkalasi ham proksi-serverdir. Biroq, ulanish darajasidagi xavfsizlik devori mijoz uchun proksi rejimini qo'llab-quvvatlaydigan maxsus ilovalardan foydalanishni talab qilmaydi.
Ulanish darajasidagi xavfsizlik devori mijoz va server o'rtasida har bir ilovadan xizmat haqida hech narsa bilishni talab qilmasdan aloqa o'rnatadi.
Ulanish darajasidagi xavfsizlik devorining afzalligi shundaki, u keng toifadagi protokollar uchun xizmatni taqdim etadi, amaliy qatlam xavfsizlik devori esa har bir xizmat turi uchun ulanish qatlami proksi-serverini talab qiladi. Shunday qilib, masalan, HTTP, ftp yoki telnet uchun ulanish darajasidagi xavfsizlik devoridan foydalangan holda, hech qanday maxsus choralar ko'rish yoki ilovalarga o'zgartirish kiritishning hojati yo'q - siz shunchaki mavjud dasturiy ta'minotdan foydalanishingiz mumkin. Ulanish darajasidagi xavfsizlik devorlarining yana bir foydali xususiyati shundaki, siz faqat bitta Mediation Server bilan ishlashingiz mumkin, bu bir nechta serverlarni ro'yxatdan o'tkazish va kuzatishdan ko'ra osonroqdir.
Xavfsizlik devorini yaratganingizda, korporativ tarmog'ingiz orqali qanday trafikka ruxsat berishni xohlayotganingizni aniqlashingiz kerak. Yuqorida ta'kidlab o'tilganidek, siz tanlangan paketlarni filtrlaydigan yo'riqnoma tanlashingiz mumkin yoki tarmoqdagi asosiy kompyuterda ishlaydigan ba'zi turdagi proksi-dasturlardan foydalanishingiz mumkin. O'z navbatida, xavfsizlik devori arxitekturasi ushbu ikkala konfiguratsiyani ham o'z ichiga olishi mumkin. Boshqacha qilib aytadigan bo'lsak, siz ham router, ham proksi-serverni xavfsizlik devoriga integratsiyalash orqali korporativ tarmog'ingiz xavfsizligini maksimal darajada oshirishingiz mumkin.
Xavfsizlik devori arxitekturasining uchta eng mashhur turi mavjud:
ikki tomonlama asosiy xavfsizlik devori;
asosiy xavfsizlik devorini filtrlash;
subnet filtrlovchi xavfsizlik devori.
Filtrlovchi asosiy xavfsizlik devori va filtrlovchi quyi tarmoq xavfsizlik devori router va proksi-server kombinatsiyasidan foydalanadi.
Ikki tomonlama asosiy xavfsizlik devori oddiy, ammo juda xavfsiz konfiguratsiya bo'lib, unda bitta asosiy kompyuter korporativ tarmoq va Internet o'rtasida ajratuvchi chiziq vazifasini bajaradi. Asosiy kompyuter har bir tarmoqqa ulanish uchun ikkita alohida NIC-dan foydalanadi. Ikki tomonlama asosiy xavfsizlik devoridan foydalanib, kompyuterning marshrutlash imkoniyatlarini bloklashingiz kerak, chunki u ikkita tarmoqni bog'lamaydi. Ushbu konfiguratsiyaning kamchiliklaridan biri shundaki, siz beixtiyor ichki tarmoqqa kirishga ruxsat berishingiz mumkin.
Ikki tomonlama asosiy xavfsizlik devori dastur darajasidagi yoki ulanish darajasidagi vositachilik server dasturini bajarish orqali ishlaydi. Yuqorida aytib o'tilganidek, vositachi dasturi paketlarni bir tarmoqdan ikkinchisiga o'tkazishni boshqaradi. Ikki tomonlama (ikki tarmoqqa ulangan) bo'lgan xavfsizlik devori xosti ikkala tarmoqdagi paketlarni ko'radi, bu esa proksi-server dasturini ishga tushirish va tarmoqlar orasidagi trafikni boshqarish imkonini beradi.
Filtrlovchi asosiy xavfsizlik devori ikki tomonlama xavfsizlik devoriga qaraganda ko'proq xavfsizlikni ta'minlaydi. Routerni qo'shish va shu bilan asosiy kompyuterni Internetdan uzoqroqqa ko'chirish orqali juda samarali va ishlatish uchun qulay xavfsizlik devorini olish mumkin. Router Internetni korporativ tarmoqqa ulaydi va shu bilan birga u orqali o'tadigan paketlar turlarini filtrlaydi. Routerni faqat bitta asosiy kompyuterni ko'rish uchun sozlashingiz mumkin. Internetga ulanishni istagan korporativ tarmoq foydalanuvchilari buni faqat asosiy kompyuter orqali amalga oshirishlari kerak. Shunday qilib, ichki foydalanuvchilar uchun to'g'ridan-to'g'ri Internetga kirish mavjud, ammo tashqi foydalanuvchilarning kirishi asosiy kompyuter bilan cheklangan.
Subnet filtrlash xavfsizlik devori orasiga oraliq chekka tarmoqni kiritish orqali korporativ tarmoqni Internetdan yanada ajratib turadi. Subnet filtrlovchi xavfsizlik devorida asosiy kompyuter ushbu periferik tarmoqqa joylashtirilgan bo'lib, foydalanuvchilar ikkita alohida router orqali kirishlari mumkin. Ulardan biri korporativ tarmoq trafigini boshqaradi, ikkinchisi esa internet-trafikni boshqaradi.
Subnet filtrlash xavfsizlik devori juda samarali hujumlardan himoya qiladi. U asosiy kompyuterni alohida tarmoqqa ajratadi, bu esa asosiy kompyuterga muvaffaqiyatli hujum qilish ehtimolini kamaytiradi va korporativ tarmoqqa zarar yetkazish ehtimolini yanada kamaytiradi.
Yuqoridagilardan quyidagi xulosalar chiqarish mumkin.
1. Xavfsizlik devori bitta marshrutizator kabi oddiy yoki marshrutizatorlar tizimi va yaxshi himoyalangan xostlar kabi murakkab bo'lishi mumkin.
2. Korporativ tarmoq ichida uning alohida segmentlari uchun xavfsizlik choralarini oshirish uchun xavfsizlik devorlarini o'rnatishingiz mumkin.
3. Xavfsizlikni ta'minlashdan tashqari, kompyuter viruslarini aniqlash va kirib kelishining oldini olish kerak. Xavfsizlik devorlari buni qila olmaydi.
Xavfsizlik devorlaridan foydalanganda siz tizim dasturiy ta'minoti tomonidan taqdim etilgan himoyani kamaytirmasligingiz kerak. Masalan, "Febos" operatsion tizimi (OS) quyidagi funktsiyalarni bajaradi:
parol asosida foydalanuvchini identifikatsiyalash va autentifikatsiya qilish, so‘ngra uning vakolatiga muvofiq axborot resurslariga kirish huquqini berish;
ixtiyoriy va majburiy xavfsizlik siyosatiga muvofiq axborot resurslaridan foydalanishni nazorat qilish va boshqarish;
barcha ommaviy hodisalarni, tanqidiy vaziyatlarni, identifikatsiya qilish va autentifikatsiya qilishning muvaffaqiyatli va muvaffaqiyatsiz urinishlarini, axborot resurslariga kirish bo'yicha amalga oshirilgan va rad etilgan operatsiyalarni, sub'ektlar va ob'ektlarning xavfsizlik atributlaridagi o'zgarishlarni ro'yxatga olish va tekshirish;
mahalliy va masofaviy boshqaruv, xavfsizlik siyosatiga muvofiq foydalanuvchi ruxsatlarini boshqarish;
himoyalangan OS "Febos" ning himoya vositalari va tizim komponentlarining yaxlitligini nazorat qilish.
|
| |
