225
generatsiyalagan trafikni ishlaydi.
Agar qandaydir ilovada o‘zining vositachisi bo‘lmasa, tatbiqiy sathdagi
shlyuz bunday ilovani ishlay olmaydi va u blokirovka qilinadi. Masalan, agar
tatbiqiy sathdagi shlyuz faqat HTTP, FTP va Telnet vositachi-dasturlaridan
foydalansa, u faqat shu xizmatlarga tegishli paketlarni
ishlaydi va qolgan
xizmatlarning paketlarini blokirovka qiladi.
Tatbiqiy sath shlyuzi vositachilari, kanal vositachilaridan farqli holda,
ishlanuvchi ma’lumotlar tarkibini tekshirishni ta’minlaydi. Ular o‘zlari xizmat
ko‘rsatadigan tatbiqiy sath protokollaridagi komandalarning alohida xillarini va
xabarlardagi axborotlani filtrlashlari mumkin.
Tatbiqiy sath shlyuzini sozlashda va xabarlarni
filtrlash qoidalarini
tavsiflashda quyidagi parametrlardan foydalaniladi: servis nomi, undan
foydalanishning joiz vaqt oralig‘i, ushbu servisga bog‘liq xabar tarkibiga
cheklashlar, servis ishlatadigan kompyuterlar,
foydalanuvchi identifikatori,
autentifikatsiyalash sxemalari va h.
Tatbiqiy sath shlyuzi quyidagi afzalliklarga ega:
- aksariyat vositachilik funksiyalarini bajara olishi tufayli lokal tarmoq
himoyasining yuqori darajasini ta’minlaydi;
- ilovalar sathida himoyalash ko‘pgina qo‘shimcha tekshirishlarni amalga
oshirishga imkon beradi, natijada dasturiy ta’minot kamchiliklariga asoslangan
muvaffaqiyatli xujumlar o‘tkazish ehtimolligi kamayadi;
- tatbiqiy sath shlyuzining
ishga layoqatligi buzilsa, bo‘linuvchi tarmoqlar
orasida paketlarning to‘ppa-to‘g‘ri o‘tishi blokirovka qilinadi, natijada, rad
qilinishi tufayli himoyalanuvchi tarmoqning xavfsizligi pasaymaydi.
Tatbiqiy sath shlyuzining kamchiliklariga quyidagilar kiradi:
- narxining nisbatan yuqoriligi;
- brandmauerning o‘zi, hamda uni o‘rnatish va konfigurasiyalash muolajasi
yetarlicha
murakkab;
- kompyuter platformasi unumdorligiga va resurslari hajmiga quyiladigan
talablarning yuqoriligi;
226
- foydalanuvchilar uchun shaffoflikning yo‘qligi va tarmoqlararo aloqa
o‘rnatilishida o‘tkazish qobiliyatining susayishi.
Oxirgi kamchilikka batafsil tuxtalamiz. Vositachilar server va mijoz orasida
paketlar uzatilishida oraliq rolini bajaradi. Avval vositachi bilan ulanish o‘rnatiladi,
so‘ngra vositachi adresat bilan ulanishni yaratish yoki yaratmaslik xususida qaror
qabul qiladi. Mos holda tatbiqiy sath shlyuzi ishlashi jarayonida har qanday ruxsat
etilgan ulanishni qaytalaydi. Natijada foydalanuvchilar uchun shaffoflik yo‘qoladi
va ulanishga xizmat qilishga qo‘shimcha harajat sarflanadi.
Tatbiqiy sath shlyuzining foydalanuvchilar uchun shaffofligining yo‘qligi va
tarmoqlararo aloqa o‘rnatilishida o‘tkazish qobiliyatining susayishi kabi jiddiy
kamchiliklarini bartaraf etish maqsadida paketlarni filtrlashning yangi
texnologiyasi ishlab chiqilgan. Bu texnologiyani ba’zida
ulanish xolatini
nazoratlashli filtrlash (statefulinspection) yoki
ekspert sathidagi filtrlash deb
yuritishadi. Bunday filtrlash paketlar holatini ko‘p sathli tahlillashning maxsus
usullari (SMLT) asosida amalga oshiriladi.
Ushbu gibrid texnologiya tarmoq sathida paketlarni ushlab qolish va undan
ulanishni nazorat qilishda ishlatiluvchi tatbiqiy sath axborotini chiqarib olish orqali
ulanish holatini kuzatishga imkon beradi.
Ishlashi asosini ushbu texnologiya tashkil
etuvchi tarmoqlararo ekran
ekspert sath brandmaueri deb yuritiladi. Bunday brandmauerlar o‘zida ekranlovchi
marshrutizatorlar va tatbiqiy sath shlyuzlari elementlarini uyg‘unlashtiradi. Ular
har bir paket tarkibini berilgan xavfsizlik siyosatiga muvofiq baholaydilar.
Shunday qilib ekspert sathidagi brandmauerlar quyidagilarni nazoratlashga
imkon beradi:
- mavjud qoidalar jadvali asosida har bir uzatiluvchi paketni;
- holatlar jadvali asosida har bir sessiyani;
- ishlab chiqilgan vositachilar asosida har bir ilovani.
Ekspert sath tarmoqlararo ekranlarining afzalliklari sifatida ularning
foydalanuvchilar uchun shaffofligini, axborot
oqimini ishlashining yuqori
tezkorligini
hamda
ular
orqali
o‘tuvchi
paketlarning
IP-adreslarini
227
o‘zgartirmasligini ko‘rsatish mumkin. Oxirgi afzallik. IP-adresdan foydalanuvchi
tatbiqiy sathning har qanday protokolining bunday brandmauerlardan hech qanday
o‘zgarishsiz yoki maxsus dasturlashsiz birga ishlay olishini anglatadi.
Bunday brandmauerlarning avtorizasiyalangan mijoz va tashqi tarmoq
kompyuteri orasida to‘g‘ridan-to‘g‘ri ulanishga yo‘l qo‘yishi, himoyaning unchalik
yuqori bo‘lmagan darajasini ta’minlaydi. Shu sababli amalda ekspert sathini
filtrlash texnologiyasidan kompleks brandmauerlar ishlashi samaradorligini
oshirishda foydalaniladi. Ekspert sathning filtrlash
texnologiyasini ishlatuvchi
kompleks brandmauerlarga misol tariqasida FireWall-1 va ON Guardlarni
ko‘rsatish mumkin.