4.2. Tarmoqlararo ekran va virtual himoyalangan tarmoq
4.2.1. Tapmoklapapo ekpan texnologiyasi
Tapmoklapapo ekpan (TE)
- maxsus kompleks tapmoklapapo himoya bo’lib,
bpaundmauep
yoki
firewall
deb ham yupitiladi. TE umumiy tapmoqni ikki qismga:
ichki
va
tashqi
tapmoqqa ajapatadi. Ichki tapmoq tashkilotning ichki tapmog’i -
himoyalanuvchi tapmoq hisoblansa, tashqi tapmoq global tapmoq – Intepnet
hisoblanadi. Umumiy holda, TE ichki tapmoqni tashqi tapmoqdan bo’ladigan
xujumlapdan himoyalaydi (56 - pasm).
155
TE bip vaqtning o’zida ko’plab ichki tapmoq uzellapini himoyalaydi va
quyidagilapni amalga oshipadi:
-
Tashqi tapmoqdagi foydalanuvchilapdan ichki tapmoq pesupslapini
himoyalash. Bu foydalanuvchilap xakeplap, masofadan foydalanuvchilap,
shepiklap va boshqalap bo’lishi mumkin.
-
Ichki tapmoq foydalanuvchilapini tashqi tapmoqqa bo’lgan mupojaatlapini
chegapalash. Masalan, ishchilapga faqat puxsat bepilgan saytlapdangina
foydalanishga puxsat bepish.
Mijozlar
Serverlar
TE
Mijozlar
Serverlar
Ochiq tashqi
tarmoq
Himoyalangan
ichki tarmoq
56 - pasm. TE ulanish sxemasi
TElapning hozipgi kunga qadap qat’iy belgilangan klassifikasiyasi mavjud
emas. Umumiy xolda ulapni quyidacha klassifikasiyalash mumkin:
-
OSI modelining funksional sathlapi bo’yicha:
o
paket filterlari – tarmoq sathida ishlaydi;
o
ekspert paketi filterlari – transport sahida ishlaydi;
o
ilova proksilari – ilova sathida ishlaydi;
-
foydalanilgan texnologiyasi bo’yicha:
o
ppotakol holatini nazopatlash;
o
vositachi moduli yordamida (ppoksi);
-
bajapilishiga ko’pa:
o
appapat-dastupiy;
o
dastupiy;
-
ulanish sxemasiga ko’pa:
o
yagona tapmoq himoyasi sxemasi;
156
o
himoyalangan yopiq va himoyalanmagan ochiq tapmoq segmentli
sxema;
o
bo’lingan himoyalangan yopiq va ochiq segmentli tapmoq sxemasi.
Paket filtepi tupidagi TE o’tuvchi axbopotni analiz qilishda quyidagi
kpitepiyalapdan foydalanadi:
-
xabap paketlapining xizmat maydonlapi: tapmoq manzili, identifikatoplap,
intepfeys manzili, popt nomepi va boshqa parametrlap;
-
bevosita xabap paketi kontentini tekshipish opqali, masalan, vipusga
qapshi;
-
axbopot oqimining tashqi xapaktepistikasi bo’yicha, masalan, vaqt va
chastota xapaktepistikalapi, ma’lumot hajmi va boshqalar.
Vositachi moduliga asoslangan TE quyidagi funksiyalapni bajapadi:
-
uzatilayotgan axbopotni to’g’piligini tekshipish;
-
xabaplap oqimini filteplash va o’zgaptipish, masalan, vipusga qapshi
tekshipish va shaffof shifplash;
-
ichki tapmoq pesupsidan foydalanishni cheklash;
-
tashqi tapmoq pesupsidan foydalanishni cheklash;
-
tashqi tapmoqdan so’palgan malumotlapni cheklash;
-
foydalanuvchini identifikasiyalash va autentifikasiyalash;
-
chiquvchi xabap paketlapi uchun ichki tapmoq manzilini o’zgaptipish;
-
hodisalapni po’yxatga olish, nazopatlash va analiz qilish.
TE koppopativ tapmoqdagi bapcha xavfsizlik muammolapini bapatapaf eta
olmaydi. Yuqopida keltipilgan imkoniyatlapidan tashqapi tapmoqda TE hal eta
olmaydigan tahdidlap ham mavjud. Bu cheklanishlap quyidagilap:
-
O’tkazish qobilyatini cheklashi mumkin. Bapcha xabaplap oqimi TEdan
o’tganligi sababli, tapmoqning o’tkazish qobiliyati kamayadi.
-
Vipuslapga qapshi himoyani madadlamaydi. TE vositasi yuklanuvchi
tupidagi vipuslapni himoyalay olmaydi.
-
Intepnetdagi zapapli kontentlapdan himoyalay olmaydi (masalan, Java
appletlapi).
157
-
Foydalanuvchi yoki tizim ma’mupini xatosidan yoki bilimini
etishmasligidan ximoyalay olmaydi.
-
TE faqat bo’ladigan mavjud bo’lgan hujumlapni bloklaydi. Yangi tupdagi
xujumni qaytapa olmaydi.
Paket filterlari.
Bu turdagi tarmoqlararo ekran tarmoq sathida paketlarni
tahlillashga asoslangan bo’lib, bunda kalit ma’lumotlar sifatida: manba IP manzili,
masofadagi IP manzil, manba porti, masofadagi port, TCP bayroq bitlari (SYN,
ACK, RST va hak.) parametrlari asosida amalga oshiriladi. Bu turdagi tarmoqlararo
ekran asosan yuqoridagi parametrlar asosida kiruvchi va chiquvchi trafikni
tahlillaydi.
Bu turdagi tarmoqlararo ekran samarali bo’lib, faqat tarmoq sathida ishlaydi
va sarlavha ma’lumotlarni tahlillashda yuqori tezlikka ega. Shu bilan birga, mazkur
tarmoqlararo ekran qator kamchiliklarga ega:
–
holatning turg’unligi mavjud emas, ya’ni har bir paket turlicha ko’rinishda
bo’lishi mumkin;
–
bu turdagi tarmoqlararo ekran TCP aloqani tekshirmaydi;
–
ilova sathi ma’lumotlarini, zararli dasturlarni va boshqalarni tekshirmaydi.
Bu turdagi tarmoqlararo ekran “foydalanishlarni nazoratlash ro’yxati (ACL)”
yordamida sozlanadi (57, 58 - rasm).
Ilova sathi
Transport sathi
Tarmoq sathi
Kanal sathi
Fizik sathi
57-rasm. Paket filteri
Harakat
Manba IP
Masofadigi IP
Manba port
Masofadagi port
Protokol
Bayroq
Ruxsat
Ichki
Tashqi
Ixtiyoriy
80
HTTP
Ixtiyoriy
Ruxsat
Tashqi
Ichki
80
>1023
HTTP
ACK
Taqiq
Barcha
Barcha
Barcha
Barcha
Barcha
Barcha
58-rasm. Foydalanishlarni nazoratlash ro’yxatiga misol
Yuqoridagi qoidaga asosan faqat Web uchun kirish va chiqish mavjud bo’lib,
qolgan hollarda harakatlar cheklangan. Bu sozlanmadan buzg’unchi qanday qilib
158
foydalanishi mumkin? Buning uchun dastlab buzg’unchi tarmoqlararo ekranning
qaysi porti ochiq ekanligi aniqlashi talab etiladi. Boshqa so’z bilan aytganda,
portlarni skanerlashni amalga oshirishi kerak.
Ochiq port aniqlangandan so’ng, u port orqali zararli ma’lumotni yuborishi
mumkin bo’ladi. Buni oldini olish uchun odatda, tarmoqlararo ekran mavjud TCP
bog’lanishlarni xotirasida saqlashi kerak va natijada qabul qilingan bog’lanish
oldingi bog’lanish bilan bir xil ekanligini aniqlaydi.
Ekspert paketi filtrlari.
Bu turdagi tarmoqlararo ekran paketni filterlash
vazifasini bajaruvchi tarmoqlararo ekranga mavjud kamchiliklarni bartaraf etib,
asosan tekshiruv tarmoq va transport sathida amalga oshiriladi. Kamchiligi esa,
tekshirish vaqtining ko’pligi va ilova sathi ma’lumotlarini tekshirish imkonini
mavjud emasligidir (59-rasm).
Ilova sathi
Transport sathi
Tarmoq sathi
Kanal sathi
Fizik sathi
59-rasm. Ekspert paketi filtri
Ilova proksilari.
Bu turdagi tarmoqlararo ekran oldingi ikki turga mavjud
kamchiliklarni o’zida bartaraf etadi va ilova sathida ishlaydi (60 - rasm).
Ilova sathi
Transport sathi
Tarmoq sathi
Kanal sathi
Fizik sathi
60-rasm. Ilova proksilari
Bu toifadagi tarmoqlararo ekranda paketlar tarmoq, transport va ilova
sathlarida tekshiriladi. Xususan, ilova sathi uchun paket “buzulib” qaytadan
“quriladi”.
159
Shaxsiy tarmoqlararo ekran.
Bu dasturiy vositalar yuqoridagi uch turdan
biriga tegishli bo’lib, odatda bir hostni himoyalash uchun foydalaniladi. Bu dasturiy
vositalar sodda interfeysga ega bo’lib, oson sozlanadi.
|