Seans sathi shlyuzi, (ekranlovchi transport deb ham yuritiladi) virtual
ulanishlarni nazoratlashga va tashqi tarmoq bilan o‘zaro aloqa qilishda IP-
adreslarni translyatsiyalashga atalgan. U OSI modelining seans sathida ishlaydi va
ishlashi jarayonida etalon modelning transport va tarmoq sathlarini ham qamrab
oladi. Seans sathi shlyuzining himoyalash funksiyalari vositachilik funksiyalariga
taalluqli.
Virtual ulanishlarning nazorati aloqani kvitirlashni kuzatishdan hamda
o‘rnatilgan virtual kanallar bo‘yicha axborot uzatilishining nazoratlashdan iborat.
Aloqani kvitirlashning nazoratida seans sathida shlyuz ichki tarmoq ishchi
stansiyasi va tashqi tarmoq kompyuteri orasida virtual ulanishni kuzatib,
so‘ralayotgan aloqa seansining joizligini aniqlaydi.
Bunday nazorat TCP protokolining seans sathi paketlarining sarlavhasidagi
axborotga asoslanadi. Ammo TCP-sarlavhalarni taxlillashda paketli filtr faqat
manba va qabul qiluvchi portlarining nomerini tekshirsa, ekranlovchi transport
aloqani kvirtirlash jarayoniga taalluqli boshqa hoshiyalarni tahlillaydi.
Aloqa seansiga so‘rovning joizligini aniqlash uchun seans sathi shlyuzi
quyidagi harakatlarni bajaradi. Ishchi stansiya (mijoz) tashqi tarmoq bilan
bog‘lanishni so‘raganida, shlyuz bu so‘rovni qabul qilib uning filtrlashning
bazaviy mezonlarni qanoatlantirishini, masalan server mijoz va u bilan
assotsiasiyalangan ismning IP-adresini aniqlay olishini tekshiradi. So‘ngra shlyuz,
mijoz ismidan harakat qilib, tashqi tarmoq kompyuteri bilan ulanishni o‘rnatadi va
TCP protokoli bo‘yicha kvitirlash jarayonining bajarilishini kuzatadi.
Bu muolaja SYN (Sinxronlash) va ACK (Tasdiqlash) bayroqlari orqali
belgilanuvchi TCP-paketlarni almashishdan iborat (8.7-rasm).
SYN bayroq bilan belgilangan va tarkibida ixtiyoriy son, masalan 1000,
bo‘lgan TCP seansining birinchi paketi mijozning seans ochishga so‘rovi
hisoblanadi. Bu paketni olgan tashqi tarmoq kompyuteri javob tariqasida ACK
bayroq bilan belgilangan va tarkibida olingan paketdagidan bittaga katta (bizning
holda 1001) son bo‘lgan paketni jo‘natadi. Shu tariqa, mijozdan SYN paketi
olinganligi tasdiqlanadi. So‘ngra, teskari muolaja amalga oshiriladi: tashqi tarmoq
221
kompyuteri ham mijozga uzatiluvchi ma’lumotlar birinchi baytining tartib raqami
bilan (masalan, 2000) SYN paketini jo‘natadi, mijoz esa uni olganligini, tarkibida
2001 soni bo‘lgan paketni uzatish orqali tasdiqlaydi. Shu bilan aloqani kvirtirlash
jarayoni tugallanadi.
Seans sathi shlyuzi (8.8-rasm) uchun so‘ralgan seans joiz hisoblanadi,
qachonki aloqani kvirtirlash jarayoni bajarilishida SYN va ACK bayroqlar, hamda
TCP-paketlari sarlavhalaridagi sonlar o‘zaro mantiqiy bog‘langan bo‘lsa.
Ichki tarmoqning ichki stansiyasi va tashqi tarmoqning kompyuteri TCP
seansining avtorizasiyalangan qatnashchilari ekanligi hamda ushbu seansning
Ochiq tashqi
tarmoq
Himoyalanadigan
ichki tarmoq
Seans sathi shlyuzi
8.8-rasm. Seans sathi shlyuzining ishlash sxemasi
Kanal
vositachilari
Ichki adreslarni
translatsiyalash
Tashqi tarmoq
xosti
Ichki tarmoq
ishchi stansiyasi
Aktiv taraf
Passiv taraf
SYN (1000)
ACK (1001), SYN (2000)
ACK (2001)
ACK, ma’lumotlar
Ulanish
o’rnatilgan
Ulanish
o’rnatilgan
8.7–rasm. TCP protokoli bo’yicha aloqani kvitirlash sxemasi.
222
joizligi tasdiqlanganidan so‘ng shlyuz ulanishni o‘rnatadi. Bunda shlyuz
ulanishlarining maxsus jadvaliga mos axborotni (jo‘natuvchi va qabul qiluvchi
adreslari, ulanish holati, ketma-ketlik nomeri xususidagi axborot va h.) kiritadi.
Shu ondan boshlab shlyuz paketlarni nusxalaydi va ikkala tomonga
yo‘naltirib, o‘rnatilgan virtual kanal bo‘yicha axborot uzatilishini nazorat qiladi.
Ushbu nazorat jarayonida seans sathi shlyuzi paketlarni filtrlamaydi. Ammo u
uzatiluvchi axborot sonini nazorat qilishi va qandaydir chegaradan oshganida
ulanishni uzishi mumkin. Bu esa, o‘z navbatida, axborotning ruxsatsiz eksport
qilinishiga to‘siq bo‘ladi. Virtual ulanishlar xususidagi qaydlash axborotining
to‘planishi ham mumkin.
Seans sathi shlyuzlarida virtual ulanishlarni nazoratlashda
kanal
vositachilari (pipeproxy) deb yuritiluvchi maxsus dasturlardan foydalaniladi. Bu
vositachilar ichki va tashqi tarmoqlar orasida virtual kanallarni o‘rnatadi, so‘ngra
TCP/IP ilovalari generatsiyalagan paketlarning ushbu kanal orqali uzatilishini
nazoratlaydi.
Kanal vositachilari TCP/IPning muayyan xizmatlariga mo‘ljallangan. Shu
sababli ishlashi muayyan ilovalarning vositachi-dasturlariga asoslangan tatbiqiy
sath shlyuzlari imkoniyatlarini kengaytirishda seans sath shlyuzlaridan foydalanish
mumkin.
Seans sathi shlyuzi tashqi tarmoq bilan o‘zaro aloqada tarmoq sathi ichki
adreslarini (IP-adreslarini) translyatsiyalashni ham ta’minlaydi. Ichki adreslarni
translyatsiyalash ichki tarmoqdan tashqi tarmoqqa jo‘natiluvchi barcha paketlarga
nisbatan bajariladi.
Amalga oshirilishi nuqtai nazaridan seans sathi shlyuzi yetarlicha oddiy va
nisbatan ishonchli dastur hisoblanadi. U ekranlovchi marshrutizatorni virtual
ulanishlarni nazoratlash va ichki IP-adreslarni translyatsiyalash funksiyalari bilan
to‘ldiradi.
Seans sathi shlyuzining kamchiliklari – ekranlovchi marshrutizatorlarning
kamchiliklariga o‘xshash. Ushbu texnologiyaning yana bir jiddiy kamchiligi
ma’lumotlar hoshiyalari tarkibini nazoratlash mumkin emasligi. Natijada, niyati
223
buzuq odamlarga zarar keltiruvchi dasturlarni himoyalanuvchi tarmoqqa uzatish
imkoniyati tug‘iladi. Undan tashqari, TCP-sessiyasining (TCPhijacking) ushlab
qolinishida niyati buzuq odam xujumlarini hatto ruxsat berilgan sessiya doirasida
amalga oshirishi mumkin.
Amalda aksariyat seans sath shlyuzlari mustaqil mahsulot bo‘lmay, tatbiqiy
sath shlyuzlari bilan komplektda taqdim etiladi.
Tatbiqiy sath shlyuzi ( ekranlovchi shlyuz deb ham yuritiladi) OSI
modelining tatbiqiy sathida ishlab, taqdimiy sathni ham qamrab oladi va
tarmoqlararo aloqaning eng ishonchli himoyasini ta’minlaydi. Tatbiqiy sath
shlyuzining himoyalash funksiyalari, seans sathi shlyuziga o‘xshab, vositachilik
funksiyalariga taalluqli. Ammo, tatbiqiy sath shlyuzi seans sathi shlyuziga
qaraganda himoyalashning ancha ko‘p funksiyalarini bajarishi mumkin:
- brandmauer orqali ulanishni o‘rnatishga urinishda foydalanuvchilarni
identifikasiyalash va autentifikatsiyalash;
- shlyuz orqali uzatiluvchi axborotning haqiqiyligini tekshirish;
- ichki va tashqi tarmoq resurslaridan foydalanishni cheklash;
- axborot oqimini filtrlash va o‘zgartirish, masalan, viruslarni dinamik tarzda
qidirish va axborotni shaffof shifrlash;
- xodisalarni qaydlash, xodisalarga reaksiya ko‘rsatish, hamda qaydlangan
axborotni taxlillash va hisobotlarni generatsiyalash;
- tashqi tarmoqdan so‘raluvchi ma’lumotlarni keshlash.
Tatbiqiy sath shlyuzi funksiyalari vositachilik funksiyalariga taalluqli
bo‘lganligi sababli, bu shlyuz universal kompyuter hisoblanadi va bu kompyuterda
har bir xizmat ko‘rsatiluvchi tatbiqiy protokol (HTTP, FTP, SMTP, NNTP va h.)
uchun bittadan vositachi dastur (ekranlovchi agent) ishlatiladi. TCP/IPning har bir
xizmatining vositachi dasturi (applicationproxy) aynan shu xizmatga taalluqli
xabarlarni ishlashga va himoyalash funksiyalarini bajarishga mo‘ljallangan.
Tatbiqiy sath shlyuzi mos ekranlovchi agentlar yordamida kiruvchi va
chiquvchi paketlarni ushlab qoladi, axborotni nusxalaydi va qayta jo‘natadi, ya’ni
ichki va tashqi tarmoqlar orasidagi to‘g‘ridan-to‘g‘ri ulanishni istisno qilgan holda,
224
server-vositachi funksiyasini bajaradi (8.9-rasm).
Tatbiqiy sath shlyuzi ishlatadigan vositachilar seans sathi shlyuzlarining
kanal vositachilaridan jiddiy farqlanadi. Birinchidan, tatbiqiy sath shlyuzlari
muayyan ilovalar (dasturiy serverlar) bilan bog‘langan, ikkinchidan ular OSI
modelining tatbiqiy sathida xabarlar oqimini filtrlashlari mumkin.
Tatbiqiy sath shlyuzlari vositachi sifatida mana shu maqsadlar uchun maxsus
ishlab chiqilgan TCP/IPning muayyan xizmatlarining dasturiy serverlari – HTTP,
FTP, SMTP, NNTP va h. – serverlaridan foydalanadi. Bu dasturiy serverlar
brandmauerlarda rezident rejimida ishlaydi va TCP/IPning mos xizmatlariga
taalluqli himoyalash funksiyalarini amalga oshiradi. UDP trafigiga UDP-paketlar
tarkibining maxsus translyatori xizmat ko‘rsatadi.
Ichki tarmoq ishchi serveri va tashqi tarmoq kompyuteri orasida ikkita
ulanish amalga oshiriladi: ishchi stansiyadan brandmauergacha va brandmauerdan
belgilangan joygacha. Kanal vositachilaridan farqli holda, tatbiqiy sath shlyuzining
vositachilari faqat o‘zlari xizmat qiluvchi ilovalar generatsiyalagan paketlarni
o‘tkazadi. Masalan, HTTP xizmatining vositachi-dasturi faqat shu xizmat
Ochiq tashqi
tarmoq
Himoyalanadigan
ichki tarmoq
8.9-rasm. Tatbiqiy shlyuzning ishlash sxemasi.
| 