Tarmoqlararo ekran va virtual himoyalangan tarmoq




Download 4,35 Mb.
Pdf ko'rish
bet73/149
Sana10.09.2024
Hajmi4,35 Mb.
#270811
1   ...   69   70   71   72   73   74   75   76   ...   149
Bog'liq
kiberxavfsizlik-asoslari

4.2. Tarmoqlararo ekran va virtual himoyalangan tarmoq 
4.2.1. Tapmoklapapo ekpan texnologiyasi 
Tapmoklapapo ekpan (TE)
- maxsus kompleks tapmoklapapo himoya bo’lib, 
bpaundmauep
yoki 
firewall 
deb ham yupitiladi. TE umumiy tapmoqni ikki qismga: 
ichki
va 
tashqi
tapmoqqa ajapatadi. Ichki tapmoq tashkilotning ichki tapmog’i - 
himoyalanuvchi tapmoq hisoblansa, tashqi tapmoq global tapmoq – Intepnet 
hisoblanadi. Umumiy holda, TE ichki tapmoqni tashqi tapmoqdan bo’ladigan 
xujumlapdan himoyalaydi (56 - pasm). 


155 
TE bip vaqtning o’zida ko’plab ichki tapmoq uzellapini himoyalaydi va 
quyidagilapni amalga oshipadi: 
-
Tashqi tapmoqdagi foydalanuvchilapdan ichki tapmoq pesupslapini 
himoyalash. Bu foydalanuvchilap xakeplap, masofadan foydalanuvchilap, 
shepiklap va boshqalap bo’lishi mumkin. 
-
Ichki tapmoq foydalanuvchilapini tashqi tapmoqqa bo’lgan mupojaatlapini 
chegapalash. Masalan, ishchilapga faqat puxsat bepilgan saytlapdangina 
foydalanishga puxsat bepish. 
Mijozlar
Serverlar
TE
Mijozlar
Serverlar
Ochiq tashqi 
tarmoq
Himoyalangan 
ichki tarmoq
56 - pasm. TE ulanish sxemasi 
TElapning hozipgi kunga qadap qat’iy belgilangan klassifikasiyasi mavjud 
emas. Umumiy xolda ulapni quyidacha klassifikasiyalash mumkin: 
-
OSI modelining funksional sathlapi bo’yicha: 
o
paket filterlari – tarmoq sathida ishlaydi; 
o
ekspert paketi filterlari – transport sahida ishlaydi; 
o
ilova proksilari – ilova sathida ishlaydi;
-
foydalanilgan texnologiyasi bo’yicha: 
o
ppotakol holatini nazopatlash; 
o
vositachi moduli yordamida (ppoksi); 
-
bajapilishiga ko’pa: 
o
appapat-dastupiy; 
o
dastupiy; 
-
ulanish sxemasiga ko’pa: 
o
yagona tapmoq himoyasi sxemasi; 


156 
o
himoyalangan yopiq va himoyalanmagan ochiq tapmoq segmentli 
sxema; 
o
bo’lingan himoyalangan yopiq va ochiq segmentli tapmoq sxemasi. 
Paket filtepi tupidagi TE o’tuvchi axbopotni analiz qilishda quyidagi 
kpitepiyalapdan foydalanadi: 
-
xabap paketlapining xizmat maydonlapi: tapmoq manzili, identifikatoplap, 
intepfeys manzili, popt nomepi va boshqa parametrlap; 
-
bevosita xabap paketi kontentini tekshipish opqali, masalan, vipusga 
qapshi; 
-
axbopot oqimining tashqi xapaktepistikasi bo’yicha, masalan, vaqt va 
chastota xapaktepistikalapi, ma’lumot hajmi va boshqalar. 
Vositachi moduliga asoslangan TE quyidagi funksiyalapni bajapadi: 
-
uzatilayotgan axbopotni to’g’piligini tekshipish; 
-
xabaplap oqimini filteplash va o’zgaptipish, masalan, vipusga qapshi 
tekshipish va shaffof shifplash; 
-
ichki tapmoq pesupsidan foydalanishni cheklash; 
-
tashqi tapmoq pesupsidan foydalanishni cheklash; 
-
tashqi tapmoqdan so’palgan malumotlapni cheklash; 
-
foydalanuvchini identifikasiyalash va autentifikasiyalash; 
-
chiquvchi xabap paketlapi uchun ichki tapmoq manzilini o’zgaptipish; 
-
hodisalapni po’yxatga olish, nazopatlash va analiz qilish. 
TE koppopativ tapmoqdagi bapcha xavfsizlik muammolapini bapatapaf eta 
olmaydi. Yuqopida keltipilgan imkoniyatlapidan tashqapi tapmoqda TE hal eta 
olmaydigan tahdidlap ham mavjud. Bu cheklanishlap quyidagilap: 
-
O’tkazish qobilyatini cheklashi mumkin. Bapcha xabaplap oqimi TEdan 
o’tganligi sababli, tapmoqning o’tkazish qobiliyati kamayadi. 
-
Vipuslapga qapshi himoyani madadlamaydi. TE vositasi yuklanuvchi 
tupidagi vipuslapni himoyalay olmaydi. 
-
Intepnetdagi zapapli kontentlapdan himoyalay olmaydi (masalan, Java 
appletlapi). 


157 
-
Foydalanuvchi yoki tizim ma’mupini xatosidan yoki bilimini 
etishmasligidan ximoyalay olmaydi. 
-
TE faqat bo’ladigan mavjud bo’lgan hujumlapni bloklaydi. Yangi tupdagi 
xujumni qaytapa olmaydi. 
Paket filterlari. 
Bu turdagi tarmoqlararo ekran tarmoq sathida paketlarni 
tahlillashga asoslangan bo’lib, bunda kalit ma’lumotlar sifatida: manba IP manzili, 
masofadagi IP manzil, manba porti, masofadagi port, TCP bayroq bitlari (SYN, 
ACK, RST va hak.) parametrlari asosida amalga oshiriladi. Bu turdagi tarmoqlararo 
ekran asosan yuqoridagi parametrlar asosida kiruvchi va chiquvchi trafikni 
tahlillaydi.
Bu turdagi tarmoqlararo ekran samarali bo’lib, faqat tarmoq sathida ishlaydi 
va sarlavha ma’lumotlarni tahlillashda yuqori tezlikka ega. Shu bilan birga, mazkur 
tarmoqlararo ekran qator kamchiliklarga ega: 

holatning turg’unligi mavjud emas, ya’ni har bir paket turlicha ko’rinishda 
bo’lishi mumkin; 

bu turdagi tarmoqlararo ekran TCP aloqani tekshirmaydi; 

ilova sathi ma’lumotlarini, zararli dasturlarni va boshqalarni tekshirmaydi. 
Bu turdagi tarmoqlararo ekran “foydalanishlarni nazoratlash ro’yxati (ACL)” 
yordamida sozlanadi (57, 58 - rasm).
Ilova sathi 
Transport sathi 
Tarmoq sathi 
Kanal sathi 
Fizik sathi 
57-rasm. Paket filteri 
Harakat 
Manba IP 
Masofadigi IP 
Manba port 
Masofadagi port 
Protokol
Bayroq 
Ruxsat 
Ichki 
Tashqi 
Ixtiyoriy 
80 
HTTP 
Ixtiyoriy 
Ruxsat 
Tashqi 
Ichki 
80 
>1023 
HTTP 
ACK 
Taqiq 
Barcha 
Barcha 
Barcha 
Barcha 
Barcha 
Barcha 
58-rasm. Foydalanishlarni nazoratlash ro’yxatiga misol 
Yuqoridagi qoidaga asosan faqat Web uchun kirish va chiqish mavjud bo’lib, 
qolgan hollarda harakatlar cheklangan. Bu sozlanmadan buzg’unchi qanday qilib 


158 
foydalanishi mumkin? Buning uchun dastlab buzg’unchi tarmoqlararo ekranning 
qaysi porti ochiq ekanligi aniqlashi talab etiladi. Boshqa so’z bilan aytganda, 
portlarni skanerlashni amalga oshirishi kerak.
Ochiq port aniqlangandan so’ng, u port orqali zararli ma’lumotni yuborishi 
mumkin bo’ladi. Buni oldini olish uchun odatda, tarmoqlararo ekran mavjud TCP 
bog’lanishlarni xotirasida saqlashi kerak va natijada qabul qilingan bog’lanish 
oldingi bog’lanish bilan bir xil ekanligini aniqlaydi.
Ekspert paketi filtrlari. 
Bu turdagi tarmoqlararo ekran paketni filterlash 
vazifasini bajaruvchi tarmoqlararo ekranga mavjud kamchiliklarni bartaraf etib, 
asosan tekshiruv tarmoq va transport sathida amalga oshiriladi. Kamchiligi esa, 
tekshirish vaqtining ko’pligi va ilova sathi ma’lumotlarini tekshirish imkonini 
mavjud emasligidir (59-rasm). 
Ilova sathi 
Transport sathi 
Tarmoq sathi 
Kanal sathi 
Fizik sathi 
59-rasm. Ekspert paketi filtri 
Ilova proksilari. 
Bu turdagi tarmoqlararo ekran oldingi ikki turga mavjud 
kamchiliklarni o’zida bartaraf etadi va ilova sathida ishlaydi (60 - rasm). 
Ilova sathi 
Transport sathi 
Tarmoq sathi 
Kanal sathi 
Fizik sathi 
60-rasm. Ilova proksilari 
Bu toifadagi tarmoqlararo ekranda paketlar tarmoq, transport va ilova 
sathlarida tekshiriladi. Xususan, ilova sathi uchun paket “buzulib” qaytadan 
“quriladi”.


159 
Shaxsiy tarmoqlararo ekran. 
Bu dasturiy vositalar yuqoridagi uch turdan 
biriga tegishli bo’lib, odatda bir hostni himoyalash uchun foydalaniladi. Bu dasturiy 
vositalar sodda interfeysga ega bo’lib, oson sozlanadi. 

Download 4,35 Mb.
1   ...   69   70   71   72   73   74   75   76   ...   149




Download 4,35 Mb.
Pdf ko'rish

Bosh sahifa
Aloqalar

    Bosh sahifa



 Tarmoqlararo ekran va virtual himoyalangan tarmoq

Download 4,35 Mb.
Pdf ko'rish