S. K. Ganiyev




Download 7,8 Mb.
Pdf ko'rish
bet145/249
Sana20.05.2024
Hajmi7,8 Mb.
#246687
1   ...   141   142   143   144   145   146   147   148   ...   249
Tatbiqiy sath shlyuzi
(ekranlovchi shlyuz
deb ham yuritiladi) 
OSI modelining tatbiqiy sathida ishlab, taqdimiy sathni ham qamrab 
oladi va tarmoqlararo aloqaning eng ishonchli himoyasini ta’min­
laydi. Tatbiqiy sath shlyuzining himoyalash funksiyalari, seans sathi 
shlyuziga o‘xshab, vositachilik funksiyalariga taalluqli. Ammo, tat­
biqiy sath shlyuzi seans sathi shlyuziga qaraganda himoyalashning 
ancha ko‘p funksiyalarini bajarishi mumkin:
- brandmauer orqali ulanishni o‘matishga urinishda foydala- 
nuvchilami identifikatsiyalash va autentifikatsiyalash;
- shlyuz orqali uzatiluvchi axborotning haqiqiyligini tekshirish;
- ichki va tashqi tarmoq resurslaridan foydalanishni cheklash;
- axborot oqimini filtrlash va o‘zgartirish, masalan, viruslami 
dinamik tarzda qidirish va axborotni shaffof shifrlash;
- hodisalami qaydlash, hodisalarga reaksiya ko‘rsatish hamda 
qaydlangan axborotni tahlillash va hisobotlami generatsiyalash;
- tashqi tarmoqdan so‘raluvchi ma’lumotlami keshlash.
Tatbiqiy sath shlyuzi funksiyalari vositachilik funksiyalariga
taalluqli bo‘lganligi sababli, bu shlyuz universal kompyuter hisob­
lanadi va bu kompyuterda har bir xizmat ko‘rsatiluvchi tatbiqiy pro- 
tokol (HTTP, FTP, SMTP, NNTP va h.) uchun bittadan vositachi 
dastur (ekranlovchi agent) ishlatiladi. TCP/IPning har bir xizmati- 
ning vositachi dasturi (applicationproxy) aynan shu xizmatga taal­
luqli xabarlami ishlashga va himoyalash funksiyalarini bajarishga 
mo‘ljallangan.
Tatbiqiy sath shlyuzi mos ekranlovchi agentlar yordamida 
kimvchi va chiquvchi paketlami ushlab qoladi, axborotni nusxalaydi 
va qayta jo ‘natadi, ya’ni ichki va tashqi tarmoqlar orasidagi 
to‘g‘ridan-to‘g‘ri ulanishni istisno qilgan holda, server-vositachi 
fimksiyasini bajaradi (8.9-rasm).
209

8.9-rasm. Tatbiqiy shlyuzning ishlash sxemasi.
Tatbiqiy sath shlyuzi ishlatadigan vositachilar seans sathi 
shlyuzlarining kanal vositachilaridan jiddiy farqlanadi. Birinchidan, 
tatbiqiy sath shlyuzlari muayyan ilovalar (dasturiy serverlar) bilan 
bog‘langan, ikkinchidan, ular OSI modelining tatbiqiy sathida xa­
barlar oqimini filtrlashlari mumkin.
Tatbiqiy sath shlyuzlari vositachi sifatida mana shu maqsadlar 
uchun maxsus ishlab chiqilgan TCP/IPning muayyan xizmatlarining 
dasturiy serverlari - HTTP, FTP, SMTP, NNTP va h. - serverlari- 
dan foydalanadi. Bu dasturiy serverlar brandmauerlarda rezident re- 
jimida ishlaydi va TCP/IPning mos xizmatlariga taalluqli himoya­
lash funksiyalarini amalga oshiradi. UDP trafigiga UDP-paketlar 
tarkibining maxsus translyatori xizmat ko‘rsatadi.
Ichki tarmoq ishchi serveri va tashqi tarmoq kompyuteri ora­
sida ikkita ulanish amalga oshiriladi: ishchi stansiyadan brand- 
mauergacha va brandmauerdan belgilangan joygacha. Kanal vosita­
chilaridan farqli holda, tatbiqiy sath shlyuzining vositachilari faqat 
o‘zlari xizmat qiluvchi ilovalar generatsiyalagan paketlami o‘tka- 
zadi. Masalan, HTTP xizmatining vositachi-dasturi faqat shu xizmat 
generatsiyalagan trafikni ishlaydi.
210

Agar qandaydir ilovada o‘zining vositachisi bo‘lmasa, tatbiqiy 
sathdagi shlyuz bunday ilovani ishlay olmaydi va u blokirovka qili- 
nadi. Masalan, agar tatbiqiy sathdagi shlyuz faqat HTTP, FTP va 
Telnet vositachi-dasturlaridan foydalansa, u faqat shu xizmatlarga 
tegishli paketlami ishlaydi va qolgan xizmatlaming paketlarini 
blokirovka qiladi.
Tatbiqiy sath shlyuzi vositachilari, kanal vositachilaridan farqli 
holda, ishlanuvchi ma’lumotlar tarkibini tekshirishni ta’minlaydi. 
Ular o‘zlari xizmat ko‘rsatadigan tatbiqiy sath protokollaridagi ko- 
mandalaming alohida xillarini va xabarlardagi axborotlami filtrlash- 
lari mumkin.
Tatbiqiy sath shlyuzini sozlashda va xabarlami filtrlash qoida- 
larini tavsiflashda quyidagi parametrlardan foydalaniladi: servis no- 
mi, undan foydalanishning joiz vaqt oralig‘i, ushbu servisga bog'liq 
xabar tarkibiga cheklashlar, servis ishlatadigan kompyuterlar, foyda­
lanuvchi identifikatori, autentifikatsiyalash sxemalari va h.
Tatbiqiy sath shlyuzi quyidagi afzalliklarga ega:
- aksariyat vositachilik funksiyalarini bajara olishi tufayli lokal 
tarmoq himoyasining yuqori darajasini ta’minlaydi;
- ilovalar sathida himoyalash ko‘pgina qo‘shimcha tekshirish- 
lami amalga oshirishga imkon beradi, natijada dasturiy ta’minot 
kamchiliklariga asoslangan muvaffaqiyatli hujumlar o‘tkazish ehti- 
molligi kamayadi;
- tatbiqiy sath shlyuzining ishga layoqatligi buzilsa, bo‘linuv- 
chi tarmoqlar orasida paketlaming to‘ppa-to‘g‘ri o‘tishi blokirovka 
qilinadi, natijada rad qilinishi tufayli himoyalanuvchi tarmoqning 
xavfsizligi pasaymaydi.
Tatbiqiy sath shlyuzining kamchiliklariga quyidagilar kiradi:
- narxining nisbatan yuqoriligi;
- brandmaueming o‘zi hamda uni o‘matish va konfiguratsiya- 
lash muolajasi yetarlicha murakkab;
- kompyuter platformasi unumdorligiga va resurslari hajmiga 
qo‘yiladigan talablaming yuqoriligi;
- foydalanuvchilar uchun shaffoflikning yo‘qligi va tarmoqlar­
aro aloqa o‘matilishida o‘tkazish qobiliyatining susayishi.
Oxirgi kamchilikka batafsil to‘xtalamiz. Vositachilar server va 
mijoz orasida paketlar uzatilishida oraliq rolini bajaradi. Avval vosi-
211

tachi bilan ulanish o‘matiladi, so‘ngra vositachi adresat bilan ula­
nishni yaratish yoki yaratmaslik xususida qaror qabul qiladi. Mos 
holda tatbiqiy sath shlyuzi ishlashi jarayonida har qanday ruxsat 
etilgan ulanishni qaytalaydi. Natijada foydalanuvchilar uchun shaf- 
foflik yo‘qoladi va ulanishga xizmat qilishga qo‘shimcha harajat 
sarflanadi.
Tatbiqiy sath shlyuzining foydalanuvchilar uchun shaffofligi- 
ning yo‘qligi va tarmoqlararo aloqa o‘matilishida o‘tkazish qobili- 
yatining susayishi kabi jiddiy kamchiliklarini bartaraf etish maqsa- 
dida paketlami filtrlashning yangi texnologiyasi ishlab chiqilgan. Bu 
texnologiyani ba’zida 

Download 7,8 Mb.
1   ...   141   142   143   144   145   146   147   148   ...   249




Download 7,8 Mb.
Pdf ko'rish