Brandmauerlar – paketli filtrlar

326 
Brandmauerlar turlari: 
− Paketli filtr yoki saralovchi filtrlar; 
− Ilova shlyuzlar yoki proksi-serverlar. 
Ushbu himoya tarmoq qurilmalarini qoʻllash himoyalash siyosati 
va tashkilotda tatbiq etilgan qoidalar toʻplamiga bogʻliq boʻladi. 
 
6.3.4- rasm. Ilova – shlyuz darajasi 
6.3.4. Tarmoqlararo ekranning paketlarni filtrlash qoidalari 
Avtomatlashtirilgan tizimlarda tarmoq texnologiyalari asosida 
ishlovchi ilovalardan keng foydalanish, texnologiyalarining rivojlanishi 
tarmoq resurslari himoyasiga va xavfsizligini taʻminlash bilan bogʻliq 
avval maʻlum boʻlmagan yangi koʻrinishdagi xavfsizlik muammolarni 
koʻndalang qoʻymoqda. Ushbu muammolar sabab zamonaviy 
kompyuter tizimlari va tarmoqlarida himoyaning birlamchi tashkil 
etuvchisi sifatida apparat-dasturiy yechimga ega boʻlgan tarmoqlararo 
ekran texnologiyasidan keng foydalanilmoqda.
Shu sababli tarmoqlararo ekran asosida tarmoq trafigini filtrlash 
jarayonida foydalaniladigan maxsus filtrlash qoidalari guruhini sozlashni 
va qoʻllashni toʻgʻri tashkil etish, tarmoq trafigi bilan bogʻliq xavfsizlik 
muammolarini bartaraf etishda eng ishonchli yyechimlaridan biri 
ekanligini koʻrsatmoqda.
Tarmoq trafigini filtrlash, tarmoqdagi turli sathlarida amalga 
oshirilishi mumkin. Har bir sathga maʻlum bir filtrlash qoidalari guruhi 
mos keladi. Har bir guruhning filtrlash qoidalari joriy sath bogʻlanishiga 
mos protokol paketlarining sarlavha parametrlari beriladi.

327 
Shunday qilib, tarmoqlararo ekranda paketlar sarlavhasining 
tarkibiy qismi boʻlgan maʻlumotlar asosida paketli filtrlash amalga 
oshitriladi.
Tarmoqlararo ekranda quyidagi qoidalar guruhi mavjud:
− MAC-qoida – Ethernet kadrlar sathidagi filtrlash qoidalari;
− ARP-qoida – ARP va RARP paketlarini filtrlash qoidalari;
− IP-qoida – IPv4 protokoli paketlarini filtrlash qoidalari. 
− IP-qoidalarida TCP, UDP va ICMP paketlarini qayta ishlash 
uchun qoʻshimcha paketlar mavjud. Bu guruhga qisqa tarmoq 
hujumlarini qaytarish, abonentlarni bloklash va boshqalar 
uchun oʻziga xos vaqtinchalik IP-qoidalar ham kiradi;
− IPX-qoida – IPX paketlarini filtrlash qoidalari; 
− AP-qoida – amaliy sath filtrlash qoidalari.
Qoidalarni tuzishda qoidani maʻlum vaqt intervaliga va VLAN 
identifikatoriga bogʻlashga imkon beruvchi ―VLAN-guruhlar va “Vaqt 
intervallari” maxsus tuzilmalaridan foydalaniladi.
Har qanday filtrlash qoidasi quyidagicha koʻrinishda boʻladi:
− IF (qoidalar parametri) – THEN (qoidalar harakati), yaʻni 
paketning yetib kelgan sarlavhasi qoida parametrlariga toʻgʻri kelsa, 
paketga qoidada koʻrsatilgan harakat qoʻllanilishi lozim.
− Bunda paket ustida quyidagi harakatlar amalga oshirilishiga yoʻl 
qoʻyiladi:
− oʻtkazish (accept) – chiquvchi filtrlash interfeysiga yoki 
filtrlashning keyingi sathiga (MAC-qoidalar uchun) paketni uzatadi;
− yuborish‖ (pass) – keyingi filtrlash sathlarini aylanib oʻtgan holda 
chiquvchi filtrlash interfeysiga paketni uzatadi (tarmoqlararo ekran 
ichida);
− oʻchirish‖ (drop) – paketni keyingi oʻtishiga taʻqiq qoʻyish.
Paketli filtrlash rejimida paketlarni qayta ishlash 2 bosqichda 
amalga oshiriladi:
1) MAC-qoidalar boʻyicha filtrlash;
2) Keyingi sath qoidalari boʻyicha filtrlash (ARP, IP va IPX-
qoidalari).
Birinchi navbatda tarmoqlararo ekranni filtrlovchi interfeysi 
tomonidan qabul qilingan har bir paketni filtrlash MAC-qoidalariga 
muvofiq Ethernet kadrlar sathida ishlanadi. Agar paketga paket 
oʻchirilishi belgilangan qoida qoʻllanilsa, unda paket hech qaerga 
uzatilmasdan, uni qayta ishlash toʻxtatiladi. Agar paketga paketni 

328 
oʻtkazish belgilangan qoidasi qoʻllanilsa, unda bu paket uni oʻtkazish 
yoki oʻchirish toʻgʻrisidagi soʻnggi qaror qabul qiluvchi filtrlashning 
keyingi sathiga beriladi. Agar paketga yuborish qoidasi qoʻllanilsa, unda 
bu paketni filtrlash protsedurasi toʻxtatiladi va paket chiquvchi 
interfeysga beriladi.
Filtrlashning keyingi sathida paketga joriy Ethernet-kadrda 
inkapsulyasiyalanuvchi protokol toifasiga bogʻliq holda ARP, IP yoki 
IPX-qoidalarning mos keluvchi holatlaridan biri qoʻllaniladi. 

Download 7,35 Mb.