Ruza. Tarmoqlar va tarmoqlararo axborotlarni himoyalash usullari va vositalari

22-MA’RUZA. TARMOQLAR VA TARMOQLARARO AXBOROTLARNI 
HIMOYALASH USULLARI VA VOSITALARI 
Mahalliy tarmoqlarda axborotni himoya qilishning quyi darajasi texnologiyalari: 
xavfsizlik devorlari
. Xavfsizlik devori (xavfsizlik devori, xavfsizlik devori) tarmoqning 
bir qismini boshqasidan ajratib turadigan va ma'lumotlarni bir qismdan ikkinchisiga 
o'tkazish qoidalarini amalga oshiradigan apparat va dasturiy xavfsizlik devori 
tizimidir. Chegara mahalliy korporativ tarmoq va tashqi Internet tarmoqlari yoki 
mahalliy taqsimlangan tarmoqning turli qismlari o'rtasidagi qismdir. Ekran joriy 
trafikni filtrlaydi, ba'zi ma'lumotlar paketlarini uzatadi va boshqalarni filtrlaydi.
Faervol (ME) tarmoq himoyasining asosiy komponentlaridan biridir. Internet Internet 
Protocol (Internet Security Protocol - IPSec) bilan bir qatorda ME ishonchli 
foydalanuvchi autentifikatsiyasini va ruxsatsiz kirishdan himoya qilishni ta'minlovchi 
eng muhim himoya vositalaridan biridir. E'tibor bering, tarmoqlarning axborot 
xavfsizligi bilan bog'liq muammolarning aksariyati aloqa echimlarining UNIX OT ga 
"bobosi" bog'liqligi bilan bog'liq - ochiq platformaning xususiyatlari va UNIX 
dasturlash muhiti ma'lumotlar almashinuvi protokollari va axborot xavfsizligi 
siyosatini amalga oshirishga ta'sir ko'rsatdi. . Natijada, bir qator Internet xizmatlari va 
tarmoq protokollari to'plami (Transmission Control Protocol / Internet Protocol - TCP 
/ IP) himoyada "bo'shliqlar" ga ega [Levin M., 2001]. 
Ushbu xizmatlar va protokollarga quyidagilar kiradi: 
-xizmat tarmoq nomlar (Domen nomlari serveri - DNS); 
-WWW jahon tarmog'iga kirish; 
-elektron pochta dasturi Pochta yuborish; 
-Telnet masofaviy terminali emulyatsiya xizmati; 
-Oddiy pochta uzatish protokoli (SMTP) 
-Fayl uzatish protokoli; 
-grafik oynalash tizimi X Windows. 
ME sozlamalari, ya'ni. ma'lumotlar paketlarini uzatish yoki filtrlash to'g'risidagi 
qaror tarqatilgan tarmoq topologiyasiga va qabul qilingan axborot xavfsizligi siyosatiga 
bog'liq. Shu munosabat bilan xavfsizlik devorini amalga oshirish siyosati ichki tarmoq 
resurslariga kirish qoidalarini belgilaydi. Ushbu qoidalar ikkita umumiy tamoyilga 
asoslanadi - aniq ruxsat etilmagan hamma narsani taqiqlash va aniq taqiqlanmagan 
hamma narsaga ruxsat berish. Birinchi printsipdan foydalanish foydalanuvchilarga 
kamroq imkoniyatlar beradi va tarmoq o'zaro ta'sirining qat'iy belgilangan sohasini 
qamrab oladi. Ikkinchi tamoyilga asoslangan siyosat yumshoqroq, lekin koʻp 
hollarda bu unchalik maʼqul emas, chunki u foydalanuvchilarga DOEni “aylanib 
oʻtish” va taqiqlangan xizmatlardan nostandart portlar (User Data Protocol – UDP) 
orqali foydalanish uchun koʻproq imkoniyatlar beradi. xavfsizlik siyosati bilan 
taqiqlanmagan.
ME funksionalligi axborot xavfsizligini joriy etishning quyidagi 
bo'limlarini qamrab oladi: 
-filtrlash qoidalarini o'rnatish; 
-ichki tarmoqlarga kirishni boshqarish; 
`ˆÌi`Ê܈̅Ê̅iÊ`i“œÊÛiÀȜ˜ÊœvÊ
˜vˆÝÊ*ÀœÊ* Ê `ˆÌœÀÊ
/œÊÀi“œÛiÊ̅ˆÃʘœÌˆVi]ÊۈÈÌ\Ê
ÜÜÜ°ˆVi˜ˆ°Vœ“É՘œVŽ°…Ì“

-tarmoq darajasida filtrlash; 
-dastur darajasida filtrlash; 
-tarmoq autentifikatsiya vositalari; 
-jurnal va buxgalteriya hisobi. 
ME apparat va dasturiy ta'minot komponentlarini uchta toifadan biriga 
ajratish mumkin: filtrlash marshrutizatorlari, seans darajasidagi shlyuzlar va dastur 
darajasidagi shlyuzlar. ME ning ushbu komponentlari - har biri alohida va turli 
kombinatsiyalarda - ME ning asosiy imkoniyatlarini aks ettiradi va ularni bir-
biridan ajratib turadi.
Filtrlash marshrutizatori (Filter Router - FR) IP paketlarni 
paket sarlavhasi maydonlarining parametrlariga ko'ra filtrlaydi: manba IP manzili, 
maqsad IP manzili, manba TCP/UDP porti va maqsad TCP/UDP porti. Filtrlash 
ma'lum xostlar va/yoki portlar bilan ulanishlarni so'zsiz blokirovka qilishga 
qaratilgan - bu holda birinchi turdagi siyosat amalga oshiriladi.
Filtrlash qoidalarini 
shakllantirish juda murakkab masala, bundan tashqari, odatda qoidalarni va 
ularning bajarilishining to'g'riligini tekshirishning standartlashtirilgan vositalari 
mavjud emas. FR ning samarali xavfsizlikni amalga oshirish qobiliyati cheklangan, 
chunki OSI mos yozuvlar modelining tarmoq darajasida u odatda paketlarning IP 
sarlavhalarini tekshiradi. FR dan foydalanishning afzalliklari past narxni, 
qoidalarni shakllantirishda moslashuvchanlikni va paketlarni uzatishda biroz 
kechikishni o'z ichiga oladi. FR ning kamchiliklari juda jiddiy, ular batafsilroq 
muhokama qilinishi kerak:
ma'lum bir foydalanuvchining autentifikatsiyasi yo'q; 
yuqoridagi 
IP-manzil 
autentifikatsiyasini 
kerakli 
IP-manzil 
yordamida 
foydalanuvchi ma'lumotlarini tajovuzkor ma'lumotlari bilan almashtirish orqali 
"aylanib o'tish" mumkin;
ichki tarmoq tashqi tarmoqdan "ko'rinadi"; filtrlash 
qoidalarini tavsiflash va tekshirish qiyin, ular yuqori malakali ma'murlar va 
TCP/UDP protokollarini yaxshi bilishni talab qiladi;
FM ishining buzilishi ushbu 
ME orqasida turgan barcha kompyuterlarning to'liq xavfsizligiga olib keladi. 
Session Level Gateway (SLG) TCP ulanishining faol tarjimonidir. Shlyuz 
vakolatli mijozdan xizmatlar ko'rsatish uchun so'rovni qabul qiladi , so'ralgan 
seansning haqiqiyligini tekshiradi (Handshaking), tashqi tarmoqning manzil 
manzili bilan kerakli ulanishni o'rnatadi va ushbu aloqa seansi bo'yicha statistik 
ma'lumotlarni yaratadi. Ishonchli mijoz va tashqi xost sessiyaning "qonuniy" 
(vakolatli) ishtirokchilari ekanligini aniqlagandan so'ng, shlyuz paketlarni 
filtrlashsiz ikkala yo'nalishda ham uzatadi. Bunday holda, maqsad ko'pincha 
oldindan belgilanadi va ko'plab ma'lumot manbalari bo'lishi mumkin (birdan 
ko'pga ulanish) - bu, masalan, tashqi veb-resursdan foydalanishning odatiy holidir. 
Turli portlardan foydalanib, siz tarmoq resurslariga kirish huquqiga ega 
bo'lgan barcha foydalanuvchilarga bir vaqtning o'zida xizmat ko'rsatadigan turli xil 
ulanish konfiguratsiyalarini yaratishingiz mumkin. SLG ning muhim kamchiligi 
shundan iboratki, ulanish o'rnatilgandan so'ng paketlar mazmunini dastur 
darajasida tekshirmasdan faqat OSI modelining sessiya qatlamida filtrlanadi. 
Vakolatli tajovuzkor bunday shlyuz orqali zararli dasturlarni osongina tarqatishi 
mumkin. Shunday qilib, himoyani amalga oshirish asosan e'tirof etish 
(Handshaking) darajasida amalga oshiriladi.
Gateway Daraja ilovalar (Application 
Layer Gateway - ALG). FR va SLG shlyuzlarining kamchiliklarini qoplash uchun 

Telnet va FTP va boshqalar kabi xizmatlarga ulanishda paketlarni filtrlash uchun 
ilovalar xavfsizlik devoriga o'rnatilgan. Bu ilovalar proksi-serverlar va xizmat 
ishlayotgan qurilma (host) deb ataladi. darajali shlyuz deb ataladi.ilovalar. Shlyuz 
vakolatli foydalanuvchi va tashqi xost o'rtasidagi bevosita o'zaro aloqani yo'q 
qiladi. Tarmoq seansini tuzatgandan so'ng, shlyuz uni to'xtatadi va so'ralgan 
xizmatni - Telnet, FTP, WWW yoki E-mailni amalga oshirish uchun vakolatli 
dasturni chaqiradi. Tarmoqda ulanish xizmatini olmoqchi bo'lgan tashqi 
foydalanuvchi avval ALG ga ulanadi, so'ngra xavfsizlik siyosatida ko'zda tutilgan 
protseduralardan o'tib, kerakli ichki tugunga (host) kirish huquqiga ega bo'ladi. Biz 
ushbu texnologiyaning aniq afzalliklarini ta'kidlaymiz:
vakolatli ilovalar faqat o'z 
doirasida ro'yxatdan o'tgan xizmatlarni chaqiradi, so'ralgan xizmat kontekstida 
axborot xavfsizligi talablariga javob bermaydigan barcha boshqalar bundan 
mustasno;
vakolatli ilovalar protokol filtrlashni ta'minlaydi - masalan, ba'zi ALGlar 
FTP ulanishini filtrlash va buyrug'ini bajarishni taqiqlash uchun 
sozlanishi mumkin, bu ma'lumotni anonim FTP serveriga o'tkazishga aniq ruxsat 
bermaydi;
amaliy qatlam shlyuzlari, qoida tariqasida, server tomonidan amalga 
oshirilgan harakatlarni maxsus jurnalga yozib oladi va kerak bo'lganda, tarmoq 
ma'muriga mumkin bo'lgan to'qnashuvlar va kirishga urinishlar haqida xabar 
beradi;
ichki tarmoq strukturasi Internetdan ko'rinmaydi, shlyuz kuchli 
autentifikatsiya va ro'yxatdan o'tishni amalga oshiradi, filtrlash qoidalari oddiy, 
chunki ekran faqat dastur qatlami shlyuziga mo'ljallangan dastur trafigiga ruxsat 
beradi, qolgan hamma narsani bloklaydi.
Amaliyot shuni ko'rsatadiki, dastur 
darajasida himoya qo'shimcha ravishda axborot xavfsizligi tizimida boshqa 
tekshiruvlarni amalga oshirishga imkon beradi - va bu xavfsizlik tizimida 
"teshiklari" bo'lgan tizimni "buzish" xavfini kamaytiradi.
Xavfsizlik devorlarini 
quyidagi asosiy xususiyatlarga bo'lish mumkin:
bajarilishi bo'yicha: dasturiy 
ta'minot va apparat-dasturiy ta'minot;
ishlatiladigan texnologiya bo'yicha: protokol 
holatini boshqarish (Stateful Inspection Protocol) yoki vositachi modullar 
yordamida (Proksi-server);
OSI (Open System Interconnection) mos yozuvlar 
modeli darajalarida ishlash bo'yicha: ekspert shlyuzlari, dastur, seans darajalari, 
paket filtri;
ulanish sxemasi bo'yicha: tarmoqni himoya qilishning yagona sxemasi; 
yopiq va himoyalanmagan ochiq tarmoq segmentlari bilan sxema; yopiq va ochiq 
tarmoq segmentlarini alohida himoya qilish sxemasi.
Shaklda . 30.16 da apparat va 
dasturiy yechimga asoslangan mahalliy tarmoqni himoya qilish varianti 
ko'rsatilgan - Cisco Systems kompaniyasining Cisco 2610 va PIX Firewall 520 
xavfsizlik devori [Sokolov A.V., Shangin V.F., 2002]. Ushbu modelning o'ziga xos 
xususiyati real vaqt rejimidagi maxsus OT bo'lib, yuqori ko'rsatkichlar adaptiv 
xavfsizlik algoritmi (Adaptive Security Algorithm - ASA) asosida amalga 
oshiriladi.