mustaqil qabul qilinadi. Qaror qabul qilishda tarmoq va transport
sathlari paketlarining sarlavhalari tahlil etiladi (8.6-rasm).
8.6-rasm. Paketli filtming ishlash sxemasi.
Har bir paketning IP- va TCP/UDP - sarlavhalarining tahlil-
lanuvchi hoshiyalari sifatida quyidagilar ishlatilishi mumkin:
- jo ‘natuvchi adresi;
- qabul qiluvchi adresi;
- paket xili;
- paketni fragmentlash bayrog‘i;
- manba porti nomeri;
- qabul qiluvchi port nomeri.
Birinchi to‘rtta parametr paketning IP-sarlavhasiga, keyingilari
esa TCP-yoki UDP sarlavhasiga taalluqli. Jo‘natuvchi
va qabul
qiluvchi adreslari IP-adreslar hisoblanadi. Bu adreslar paketlami
shakllantirishda to‘ldiriladi va uni tarmoq bo‘yicha uzatganda
o‘zgarmaydi.
Paket xili hoshiyasida tarmoq sathiga mos keluvchi ICMP
protokol kodi yoki tahlillanuvchi IP-paket taalluqli bo‘lgan transport
sathi protokolining (TCP yoki UDP) kodi bo‘ladi.
Paketni fragmentlash bayrog‘i IP-paketlar fragmentlashining
borligi yoki yo‘qligini aniqlaydi. Agar
tahlillanuvchi paket uchun
fragmentlash bayrog‘i o‘matilgan bo‘lsa, mazkur paket fragment-
langan IP-paketning qismpaketi hisoblanadi.
Manba va qabul qiluvchi portlari nomerlari TCP yoki UDP
drayver tomonidan har bir jo'natiluvchi xabar paketlariga qo‘shiladi
va jo ‘natuvchi ilovasini hamda ushbu paket atalgan ilovani bir'
ma’noda identifikatsiyalaydi. Portlar nomerlari bo‘yicha filtrlash
204
imkoniyati uchun yuqori sath protokollariga
port nomerlarini ajra-
tish bo‘yicha tarmoqda qabul qilingan kelishuvni bilish lozim.
Har bir paket ishlanishida ekranlovchi marshrutizator berilgan
qoidalar jadvalini, paketning to‘liq assotsiatsiyasiga mos keluvchi
qoidani topgunicha, ketma-ket ko‘rib chiqadi. Bu yerda
assotsiatsiya
deganda, berilgan paket sarlavhalarida ko‘rsatilgan parametrlar maj-
mui tushuniladi. Agar ekranlovchi marshrutizator jadvaldagi qoida-
laming birortasiga ham mos kelmaydigan paketni olsa, u, xavfsizlik
nuqtayi nazaridan, uni yaroqsiz holga chiqaradi.
Paketli filtrlar apparat va dasturiy amalga oshirilishi mumkin.
Paketli filtr sifatida oddiy marshrutizator hamda kiruvchi va chiquv
chi paketlami filtrlashga moslashtirilgan, serverda ishlovchi dastur-
dan foydalanish mumkin. Zamonaviy marshmtizatorlar har bir port
bilan bir necha o‘nlab qoidalami bog‘lashi
va kirishda hamda
chiqishda paketlami filtrlashi mumkin.
Paketli filtrlaming kamchiligi sifatida quyidagilami ko‘rsatish
mumkin. Ular xavfsizlikning yuqori darajasini ta’minlamaydi, chun
ki faqat paket sarlavhalarini tekshiradi va ko‘pgina kerakli funksiya-
lami madadlamaydi. Bu funksiyalarga, masalan, oxirgi uzellami
autentifikatsiyalash, xabarlar paketlarini kriptografik bekitish hamda
ulaming yaxlitligini va haqiqiyligini tekshirish kiradi. Paketli filtrlar
dastlabki adreslami almashtirib qo‘yish va xabarlar paketi tarkibini
mxsatsiz o‘zgartirish kabi keng tarqalgan
tarmoq hujumlariga zaif
hisoblanadilar. Bu xil brandmauerlami "aldash" qiyin emas - filtr
lashga mxsat bemvchi qoidalami qondimvchi paket sarlavhalarini
shakllantirish kifoya.
Ammo, paketli filtrlaming amalga oshirilishining soddaligi,
yuqori unumdorligi, dasturiy ilovalar uchun shaffofligi va narxining
pastligi, ulaming hamma yerda tarqalishiga va tarmoq xavfsizligi
tizimining majburiy elementi kabi ishlatilishiga imkon yaratdi.