- himoyalanuvchi yopiq va himoyalanmaydigan ochiq qismtar-
moqli sxemalar;
- yopiq va ochiq qism tarmoqlami alohida himoyalovchi sxe
malar.
Ekranlovchi marshrutizatordan foydalanilgan himoya sxemasi.
Paketlami filtrlashga asoslangan tarmoqlararo ekran keng tar-
qalgan va amalga oshirilishi oson. U himoyalanuvchi tarmoq va bo‘-
lishi mumkin bo‘lgan g ‘anim ochiq tarmoq orasida joylashgan ek
ranlovchi marshrutizatordan iborat (8.10-rasm).
Ekranlovchi marshrutizator (paketli filtr) kiruvchi va chiquvchi
paketlami ulaming adreslari va portlari asosida blokirovka qilish va
filtrlash uchun konfiguratsiyalangan.
8.10-rasm. Tarmoqlararo ekran - ekranlovchi
marshmtizator.
Himoyalanuvchi tarmoqdagi kompyuterlar Intemetdan to‘g ‘ri-
dan-to‘g ‘ri
foydalana oladi, Intemetning ulardan foydalanishining
ko‘p qismi esa blokirovka qilinadi. Umuman, ekranlovchi marshru
tizator yuqorida tavsiflangan himoyalash siyosatidan istalganini
amalga oshirishi mumkin. Ammo, agar marshrutizator paketlami
manba porti, kirish va chiqish yoTi portlari nomeri bo‘yicha filtrla-
masa, "oshkora mxsat etilmagani man qilingan" siyosatini amalga
oshirish qiyinlashadi.
Paketlami filtrlashga asoslangan
tarmoqlararo ekranning kam-
chiliklari quyidagilar:
- filtrlash qoidalarining murakkabligi; ba’zi hollarda bu qoida-
lar majmui bajarilmasligi mumkin;
- filtrlash qoidalarini to‘liq testlash mumkin emasligi; bu tar-
moqni testlanmagan hujumlardan himoyalanmasligiga olib keladi;
21 6
- hodisalami ro‘yxatga olish imkoniyatining yo‘qligi; natijada
m a’murga mashrutizatoming hujumga duch kelganligini va obro‘-
sizlantirilganligini aniqlash qiyinlashadi.
Lokal tarmoqni umumiy himoyalash sxemalari. Bitta tarmoq
interfeysli brandmauerlardan foydalanilgan himoyalash sxemalari
(8.11-rasm) xavfsizlik va konfiguratsiyalashning qulayligi nuqtayi
nazaridan samarasiz hisoblanadi. Ular ichki va tashqi tarmoqlami
fizik ajratmaydilar, demak, tarmoqlararo aloqaning ishonchli hi-
moyasini ta’minlay olmaydilar.
Tarmoqlararo
ekran
Ochiq serverlar
8.11- rasm. Bitta tarmoq interfeysli
firewall yordamida lokal
tarmoqni himoyalash.
Lokal tarmoqni umumiy himoyalash sxemasi eng oddiy
yechim bo‘lib, unda brandmauer lokal tarmoqni tashqi g ‘anim tar-
moqdan butunlay ekranlaydi (8.12-rasm). Marshrutizator va brand
mauer orasida faqat bitta yo‘l b o iib , bu yo‘l orqali butun trafik
ottadi. Brandmaueming ushbu varianti "oshkora ruxsat etilmagani
man qilingan" prinsipiga asoslangan himoyalash siyosatini amalga
oshiradi. Odatda marshrutizator
shunday sozlanadiki, brandmauer
tashqaridan ko'rinadigan yagona mashina bo'ladi.
217
Lokal tarmoq tarkibidagi ochiq serverlar ham tarmoqlararo
ekranlar tomonidan himoyalanadi. Ammo, tashqi tarmoq foydalana
oladigan serverlami himoyalanuvchi lokal tarmoqlaming boshqa
resurslari bilan birlashtirish, tarmoqlararo
aloqa xavfsizligini jiddiy
pasaytiradi.
8.12-rasm. Lokal tarmoqni umumiy himoyalash sxemasi.
Tarmoqlararo ekran foydalanadigan xostga foydalanuvchilami
kuchaytirilgan autentifikatsiyalash uchun dastur o ‘matilishi mum-
kin.
