326
Brandmauerlar turlari:
−
Paketli filtr yoki saralovchi filtrlar;
−
Ilova shlyuzlar yoki proksi-serverlar.
Ushbu himoya tarmoq qurilmalarini qoʻllash himoyalash siyosati
va tashkilotda tatbiq etilgan qoidalar toʻplamiga bogʻliq boʻladi.
6.3.4- rasm. Ilova – shlyuz darajasi
6.3.4. Tarmoqlararo ekranning paketlarni filtrlash qoidalari
Avtomatlashtirilgan tizimlarda tarmoq texnologiyalari asosida
ishlovchi ilovalardan keng foydalanish, texnologiyalarining rivojlanishi
tarmoq resurslari himoyasiga va xavfsizligini taʻminlash bilan bogʻliq
avval maʻlum boʻlmagan yangi koʻrinishdagi xavfsizlik muammolarni
koʻndalang qoʻymoqda. Ushbu
muammolar sabab zamonaviy
kompyuter tizimlari va tarmoqlarida himoyaning birlamchi tashkil
etuvchisi sifatida apparat-dasturiy yechimga ega boʻlgan tarmoqlararo
ekran texnologiyasidan keng foydalanilmoqda.
Shu sababli tarmoqlararo ekran asosida tarmoq trafigini filtrlash
jarayonida foydalaniladigan maxsus filtrlash qoidalari guruhini sozlashni
va qoʻllashni toʻgʻri tashkil etish, tarmoq trafigi bilan bogʻliq xavfsizlik
muammolarini bartaraf etishda eng ishonchli
yyechimlaridan biri
ekanligini koʻrsatmoqda.
Tarmoq trafigini filtrlash, tarmoqdagi turli sathlarida amalga
oshirilishi mumkin. Har bir sathga maʻlum bir filtrlash qoidalari guruhi
mos keladi. Har bir guruhning filtrlash qoidalari joriy sath bogʻlanishiga
mos protokol paketlarining sarlavha parametrlari beriladi.
327
Shunday qilib, tarmoqlararo ekranda paketlar sarlavhasining
tarkibiy qismi boʻlgan maʻlumotlar asosida paketli filtrlash amalga
oshitriladi.
Tarmoqlararo ekranda quyidagi qoidalar guruhi mavjud:
−
MAC-qoida – Ethernet kadrlar
sathidagi filtrlash qoidalari;
−
ARP-qoida – ARP va RARP paketlarini
filtrlash qoidalari;
−
IP-qoida – IPv4 protokoli paketlarini filtrlash qoidalari.
−
IP-qoidalarida TCP, UDP va ICMP paketlarini qayta ishlash
uchun qoʻshimcha paketlar mavjud. Bu guruhga qisqa tarmoq
hujumlarini qaytarish, abonentlarni bloklash va boshqalar
uchun oʻziga xos vaqtinchalik IP-qoidalar ham kiradi;
−
IPX-qoida – IPX paketlarini filtrlash qoidalari;
−
AP-qoida – amaliy sath filtrlash qoidalari.
Qoidalarni tuzishda qoidani maʻlum vaqt intervaliga va VLAN
identifikatoriga bogʻlashga imkon beruvchi ―VLAN-guruhlar va “Vaqt
intervallari” maxsus tuzilmalaridan foydalaniladi.
Har qanday filtrlash qoidasi quyidagicha koʻrinishda boʻladi:
−
IF (qoidalar parametri) – THEN (qoidalar harakati), yaʻni
paketning yetib kelgan sarlavhasi qoida parametrlariga toʻgʻri kelsa,
paketga qoidada koʻrsatilgan harakat qoʻllanilishi lozim.
−
Bunda paket ustida quyidagi harakatlar amalga oshirilishiga yoʻl
qoʻyiladi:
−
oʻtkazish (accept) – chiquvchi filtrlash interfeysiga yoki
filtrlashning keyingi sathiga (MAC-qoidalar uchun) paketni uzatadi;
−
yuborish‖ (pass) – keyingi filtrlash sathlarini aylanib oʻtgan holda
chiquvchi filtrlash interfeysiga paketni uzatadi (tarmoqlararo ekran
ichida);
−
oʻchirish‖ (drop) – paketni keyingi oʻtishiga taʻqiq qoʻyish.
Paketli filtrlash rejimida paketlarni qayta ishlash 2 bosqichda
amalga oshiriladi:
1) MAC-qoidalar boʻyicha
filtrlash;
2) Keyingi sath qoidalari boʻyicha filtrlash (ARP, IP va IPX-
qoidalari).
Birinchi navbatda tarmoqlararo ekranni filtrlovchi interfeysi
tomonidan qabul qilingan har bir paketni filtrlash MAC-qoidalariga
muvofiq Ethernet kadrlar sathida ishlanadi. Agar paketga paket
oʻchirilishi belgilangan qoida qoʻllanilsa,
unda paket hech qaerga
uzatilmasdan, uni qayta ishlash toʻxtatiladi. Agar paketga paketni
328
oʻtkazish belgilangan qoidasi qoʻllanilsa, unda bu paket uni oʻtkazish
yoki oʻchirish toʻgʻrisidagi soʻnggi qaror qabul qiluvchi filtrlashning
keyingi sathiga beriladi. Agar paketga yuborish qoidasi qoʻllanilsa, unda
bu paketni filtrlash protsedurasi toʻxtatiladi va paket chiquvchi
interfeysga beriladi.
Filtrlashning keyingi sathida paketga joriy Ethernet-kadrda
inkapsulyasiyalanuvchi protokol toifasiga bogʻliq
holda ARP, IP yoki
IPX-qoidalarning mos keluvchi holatlaridan biri qoʻllaniladi.