S. K. Ganiyev, M. M. Karimov, K. A. Tashev

qolinishida niyati buzuq odam hujumlarini hatto ruxsat berilgan 
sessiya doirasida amalga oshirishi mumkin.
Amalda aksariyat seans sath shlyuzlari mustaqil mahsulot 
bo‘lmay, tatbiqiy sath shlyuzlari bilan komplektda taqdim etiladi.
Tatbiqiy sath shlyuzi (ekranlovchi shlyuz deb ham yuritiladi) 
OSI modelining tatbiqiy sathida ishlab, taqdimiy sathni ham qamrab 
oladi va tarmoqlararo aloqaning eng ishonchli himoyasini ta’min- 
laydi. Tatbiqiy sath shlyuzining himoyalash funksiyalari, seans sathi 
shlyuziga o ‘xshab, vositachilik funksiyalariga taalluqli. Ammo, tat­
biqiy sath shlyuzi seans sathi shlyuziga qaraganda himoyalashning 
ancha ko‘p funksiyalarini bajarishi mumkin:
- brandmauer orqali ulanishni o‘matishga urinishda foydala- 
nuvchilami identifikatsiyalash va autentifikatsiyalash;
- shlyuz orqali uzatiluvchi axborotning haqiqiyligini tekshirish;
- ichki va tashqi tarmoq resurslaridan foydalanishni cheklash;
- axborot oqimini filtrlash va o ‘zgartirish, masalan, viruslami 
dinamik tarzda qidirish va axborotni shaffof shifrlash;
- hodisalami qaydlash, hodisalarga reaksiya ko‘rsatish hamda 
qaydlangan axborotni tahlillash va hisobotlami generatsiyalash;
- tashqi tarmoqdan so‘raluvchi m a’lumotlami keshlash.
Tatbiqiy sath shlyuzi funksiyalari vositachilik funksiyalariga
taalluqli boTganligi sababli, bu shlyuz universal kompyuter hisob- 
lanadi va bu kompyuterda har bir xizmat ko'rsatiluvchi tatbiqiy pro- 
tokol (HTTP, FTP, SMTP, NNTP va h.) uchun bittadan vositachi 
dastur (ekranlovchi agent) ishlatiladi. TCP/IPning har bir xizmati- 
ning vositachi dasturi (applicationproxy) aynan shu xizmatga taal­
luqli xabarlami ishlashga va himoyalash funksiyalarini bajarishga 
moTjallangan.
Tatbiqiy sath shlyuzi mos ekranlovchi agentlar yordamida 
kiruvchi va chiquvchi paketlami ushlab qoladi, axborotni nusxalaydi 
va qayta jo ‘natadi, ya’ni ichki va tashqi tarmoqlar orasidagi 
to‘g‘ridan-to‘g‘ri ulanishni istisno qilgan holda, server-vositachi 
funksiyasini bajaradi (8.9-rasm).
2 0 9

8.9-rasm. Tatbiqiy shlyuzning ishlash sxemasi.
Tatbiqiy sath shlyuzi ishlatadigan vositachilar seans sathi 
shlyuzlarining kanal vositachilaridan jiddiy farqlanadi. Birinchidan, 
tatbiqiy sath shlyuzlari muayyan ilovalar (dasturiy serverlar) bilan 
bog‘langan, ikkinchidan, ular OSI modelining tatbiqiy sathida xa- 
barlar oqimini filtrlashlari mumkin.
Tatbiqiy sath shlyuzlari vositachi sifatida mana shu maqsadlar 
uchun maxsus ishlab chiqilgan TCP/IPning muayyan xizmatlarining 
dasturiy serverlari - HTTP, FTP, SMTP, NNTP va h. - serverlari- 
dan foydalanadi. Bu dasturiy serverlar brandmauerlarda rezident re- 
jimida ishlaydi va TCP/IPning mos xizmatlariga taalluqli himoya- 
lash funksiyalarini amalga oshiradi. UDP trafigiga UDP-paketlar 
tarkibining maxsus translyatori xizmat ko‘rsatadi.
Ichki tarmoq ishchi serveri va tashqi tarmoq kompyuteri ora- 
sida ikkita ulanish amalga oshiriladi: ishchi stansiyadan brand- 
mauergacha va brandmauerdan belgilangan joygacha. Kanal vosita­
chilaridan farqli holda, tatbiqiy sath shlyuzining vositachilari faqat 
o'zlari xizmat qiluvchi ilovalar generatsiyalagan paketlami o'tka- 
zadi. Masalan, HTTP xizmatining vositachi-dasturi faqat shu xizmat 
generatsiyalagan trafikni ishlaydi.
2 1 0

Agar qandaydir ilovada o ‘zining vositachisi boim asa, tatbiqiy 
sathdagi shlyuz bunday ilovani ishlay olmaydi va u blokirovka qili- 
nadi. Masalan, agar tatbiqiy sathdagi shlyuz faqat HTTP, FTP va 
Telnet vositachi-dasturlaridan foydalansa, u faqat shu xizmatlarga 
tegishli paketlami ishlaydi va qolgan xizmatlaming paketlarini 
blokirovka qiladi.
Tatbiqiy sath shlyuzi vositachilari, kanal vositachilaridan farqli 
holda, ishlanuvchi maTumotlar tarkibini tekshirishni ta’minlaydi. 
Ular o ’zlari xizmat ko‘rsatadigan tatbiqiy sath protokollaridagi ko- 
mandalaming alohida xillarini va xabarlardagi axborotlami filtrlash- 
lari mumkin.
Tatbiqiy sath shlyuzini sozlashda va xabarlarni filtrlash qoida- 
larini tavsiflashda quyidagi parametrlardan foydalaniladi: servis no- 
mi, undan foydalanishning joiz vaqt oralig‘i, ushbu servisga bog'liq 
xabar tarkibiga cheklashlar, servis ishlatadigan kompyuterlar, foyda- 
lanuvchi identifikatori, autentifikatsiyalash sxemalari va h.
Tatbiqiy sath shlyuzi quyidagi afzalliklarga ega:
- aksariyat vositachilik funksiyalarini bajara olishi tufayli lokal 
tarmoq himoyasining yuqori darajasini ta’minlaydi;
- ilovalar sathida himoyalash ko’pgina qo’shimcha tekshirish- 
lami amalga oshirishga imkon beradi, natijada dasturiy ta’minot 
kamchiliklariga asoslangan muvaffaqiyatli hujumlar o ’tkazish ehti- 
molligi kamayadi;
- tatbiqiy sath shlyuzining ishga layoqatligi buzilsa, boTinuv- 
chi tarmoqlar orasida paketlaming to‘ppa-to‘g‘ri o ’tishi blokirovka 
qilinadi, natijada rad qilinishi tufayli himoyalanuvchi tarmoqning 
xavfsizligi pasaymaydi.
Tatbiqiy sath shlyuzining kamchiliklariga quyidagilar kiradi:
- narxining nisbatan yuqoriligi;
- brandmaueming o ‘zi hamda uni o ’matish va konfiguratsiya- 
lash muolajasi yetarlicha murakkab;
- kompyuter platformasi unumdorligiga va resurslari hajmiga 
qo’yiladigan talablaming yuqoriligi;
- foydalanuvchilar uchun shaffoflikning yo’qligi va tarmoqlar- 
aro aloqa o ‘matilishida o ’tkazish qobiliyatining susayishi.
Oxirgi kamchilikka batafsil to’xtalamiz. Vositachilar server va 
mijoz orasida paketlar uzatilishida oraliq rolini bajaradi. Avval vosi-
211

tachi bilan ulanish o ‘matiladi, so‘ngra vositachi adresat bilan ula- 
nishni yaratish yoki yaratmaslik xususida qaror qabul qiladi. Mos 
holda tatbiqiy sath shlyuzi ishlashi jarayonida har qanday ruxsat 
etilgan ulanishni qaytalaydi. Natijada foydalanuvchilar uchun shaf- 
foflik yo‘qoladi va ulanishga xizmat qilishga qo‘shimcha harajat 
sarflanadi.
Tatbiqiy sath shlyuzining foydalanuvchilar uchun shaffofligi- 
ning yo‘qligi va tannoqlararo aloqa o'matilishida o ‘tkazish qobili- 
yatining susayishi kabi jiddiy kamchiliklarini bartaraf etish maqsa- 
dida paketlami filtrlashning yangi texnologiyasi ishlab chiqilgan. Bu 
texnologiyani ba’zida ulanish holatini nazoratlashli filtrlash (state- 
fulinspection) yoki ekspert sathidagi Jiltrlash deb yuritishadi. Bun- 
day filtrlash paketlar holatini ko‘p sathli tahlillashning maxsus usul- 
lari (SMLT) asosida amalga oshiriladi.
Ushbu gibrid texnologiya tarmoq sathida paketlami ushlab qo- 
lish va undan ulanishni nazorat qilishda ishlatiluvchi tatbiqiy sath 
axborotini chiqarib olish orqali ulanish holatini kuzatishga imkon 
beradi.
Ishlashi asosini ushbu texnologiya tashkil etuvchi tarmoqlararo 
ekran ekspert sath hrandmaueri deb yuritiladi. Bunday brandmauer- 
lar o ‘zida ekranlovchi marshrutizatorlar va tatbiqiy sath shlyuzlari 
elementlarini uyg‘unlashtiradi. Ular har bir paket tarkibini berilgan 
xavfsizlik siyosatiga muvofiq baholaydilar.
Shunday qilib, ekspert sathidagi brandmauerlar quyidagilami 
nazoratlashga imkon beradi:
- mavjud qoidalar jadvali asosida har bir uzatiluvchi paketni;
- holatlar jadvali asosida har bir sessiyani;
- ishlab chiqilgan vositachilar asosida har bir ilovani.
Ekspert sath tarmoqlararo ekranlarining afzalliklari sifatida
ulaming foydalanuvchilar uchun shaffofligini, axborot oqimini ish- 
lashining yuqori tezkorligini hamda ular orqali o ‘tuvchi paket- 
larning IP-adreslarini o‘zgartirmasligini ko‘rsatish mumkin. Oxirgi 
afzallik: IP-adresdan foydalanuvchi tatbiqiy sathning har qanday 
protokolining bunday brandmauerlardan hech qanday o ‘zgarishsiz 
yoki maxsus dasturlashsiz birga ishlay olishini anglatadi.
Bunday brandmauerlaming avtorizatsiyalangan mijoz va tashqi 
tarmoq kompyuteri orasida tolg ‘ridan-to‘g‘ri ulanishga yo‘l qo‘-
212

yishi, himoyaning unchalik yuqori boMmagan darajasini ta’min- 
laydi. Shu sababli, amalda ekspert sathini filtrlash texnologiyasidan 
kompleks brandmauerlar ishlashi samaradorligini oshirishda foyda- 
laniladi. Ekspert sathning filtrlash texnologiyasini ishlatuvchi komp­
leks brandmauerlarga misol tariqasida FireWall-1 va ON Guardlami 
ko‘rsatish mumkin.

Download 10,28 Mb.