lanuvchi tarmoqning to‘la huquqli egasi
- himoyalanuvchi perimetr
tashqarisidagi xodim hisoblanadi. Bunday xodimlar sirasiga uydagi
yoki mehnat safaridagi xodimlar kiradi. Shubxasiz, ularga ham hi-
moya zarur. Ammo barcha an’anaviy tarmoqlararo ekranlar shunday
qurilganki, himoyalanuvchi foydalanuvchilar va resurslar ulaming
himoyasida korporativ yoki lokal tarmoqning ichki tomonida bo‘-
lishlari shart. Bu esa mobil foydalanuvchilar uchun mumkin emas.
Bu muammoni yechish uchun quyidagi yondashishlar taklif
etilgan:
- taqsimlangan tarmoqlararo ekranlardan (distributed firewall)
foydalanish;
- virtual xususiy tarmoq VPNlar imkoniyatidan foydalanish.
Taqsimlangan tarmoqlararo ekran tarmoqning alohida kom-
pyuterini himoyalovchi markazdan boshqariluvchi tarmoq mini-ek-
ranlar majmuidir.
Taqsimlangan brandmauerlaming qator funksiyalari (masalan,
markazdan boshqarish, xavfsizlik siyosatini tarqatish) shaxsiy foy
dalanuvchilar uchun ortiqcha bo'lganligi sababli, taqsimlangan
brandmauerlar modifikatsiyalandi. Yangi yondashish
shaxsiy tar-
moqli ekranlash texnologiyasi nomini oldi. Bunda tarmoqli ekran
himoyalanuvchi shaxsiy kompyuterda o ‘matiladi.
Kompyuteming
shaxsiy ekrani (personal firewall) yoki tarmoqli ekranlash tizimi deb
ataluvchi bunday ekran, boshqa barcha tizimli himoyalash vosita-
lariga bogMiq bo‘lmagan holda, butun chiquvchi va kiruvchi trafikni
nazoratlaydi. Alohida kompyutemi ekranlashda tarmoq servisdan
foydalanuvchanlik madadlanadi, ammo tashqi faollikning yuklanishi
pasayadi.
Natijada, shu tariqa himoyalanuvchi kompyuter ichki ser-
vislarining zaifligi pasayadi, chunki chetki niyati buzuq odam avval
himoyalash vositalarini, sinchiklab, qat’iy konfiguratsiyalangan ek-
ranni bosib o‘tishi lozim.
Taqsimlangan tarmoqlararo ekranning
shaxsiy ekrandan asosiy
farqi - taqsimlangan tarmoqlararo ekranda markazdan boshqarish
funksiyasining borligi. Agar shaxsiy tarmoqli ekranlar ular o‘ma-
tilgan kompyuter orqali boshqarilsa (uy sharoitida qoMlanishga juda
mos), taqsimlangan tarmoqlararo ekranlar tashkilotning bosh ofisida
o ‘matilgan boshqarishning umumiy konsoli tomonidan boshqarilishi
mumkin.
2 2 2
Korporativ tarmoq ruxsatsiz foydalanishdan haqiqatan ham hi-
moyalangan hisoblanadi, qachonki uning Intemetdan kirish nuqta-
sida himoya vositalari hamda tashkilot lokal tarmog'i fragmentlari-
ni, korporativ serverlarini va alohida kompyuterlar xavfsizligini ta’-
minlovchi yechimlar mavjud boisa. Taqsimlangan yoki
shaxsiy tar-
moqlararo ekran asosidagi yechimlar alohida kompyuterlar, kor
porativ serverlar va tashkilot lokal tarmoq fragmentlari xavfsizligini
ta’minlashni a’lo darajada bajaradi.
8.16-rasm. Taqsimlangan tarmoqlararo ekranlar yordamida
korporativ serverlami himoyalash.
Taqsimlangan tarmoqlararo ekranlar, an’anaviy tarmoqlararo
ekranlardan farqli ravishda, qo‘shimcha dasturiy ta’minot boTib,
xususan,
korporativ
serverlami,
masalan
Intemet-serverlami
ishonchli himoyalashi mumkin. Korporativ tarmoqni himoyalash-
ning oqilona yechimi - himoyalash vositasini u himoya qiluvchi ser
ved bilan bir platformada joylashtirishdir. 8.16-rasmda
korporativ
223
serverlami taqsimlangan tarmoqlararo ekranlar yordamida himoya-
lash sxemasi keltirilgan.
An’anaviy va taqsimlangan tarmoqlararo ekranlar quyidagi
ko‘rsatkichlari bo‘yicha taqqoslanadi.
Samaradorlik. An’anaviy brandmauer ko’pincha tarmoq peri-
metri bo‘yicha joylashtiriladi, ya’ni u himoyaning bir qatlamini ta’-
minlaydi xolos. Agar bu yagona qatlam buzilsa, tizim har qanday
hujumga bardosh bera olmaydi. Taqsimlangan brandmauer operat-
sion tizimning yadro sathida ishlaydi hamda
barcha kiruvchi va chi-
quvchi paketlami tekshirib, korporativ serverlami ishonchli himoya-
laydi.
O'rnatilishining osonligi. A n’anaviy brandmauer korporativ
tarmoq konfiguratsiyasining boTimi sifatida o ’matilishi lozim. Taq
simlangan brandmauer dasturiy ta’minot boTib, sanoqli daqiqalarda
o'matiladi va olib tashlanadi.
Boshqarish. A n’anaviy brandmauer tarmoq ma’muri tomoni-
dan boshqariladi. Taqsimlangan brandmauer tarmoq ma’muri yoki
lokal tarmoq foydalanuvchisi tomonidan boshqarilishi mumkin.
Unumdorlik. An’anaviy brandmauer tarmoqlararo almashishni
ta’minlovchi qurilma bo’lib, unumdorligi paket/daqiqa bo’yicha bel-
gilangan cheklashga ega. U bir-biri bilan kommutatsiyalanuvchi ma-
halliy tarmoq orqali bog’langan o ’suvchi server parklari uchun to‘-
g‘ri kelmaydi. Taqsimlangan brandmauer
qabul qilingan xavfsizlik
siyosatiga ziyon yetkazmasdan server parklarini o ’sishiga imkon
beradi.
Narxi. A n’anaviy brandmauer, odatda funksiyalari belgilangan,
narxi yetarlicha yuqori tizim hisoblanadi. Brandmaueming taqsim
langan mahsulotlari dasturiy ta’minot bo‘lib, an’anaviy tarmoqlar
aro ekranlar narxining 1/5 yoki 1/10 ga teng.
2 2 4