Tarmoq xavfsizligini ta’minlovchi vositalar

5.1-jadval Tarmoqlararo ekran turlari
OSI modeli sathlari
Filtratsiya
texnologiyalari
Tarmoqlararo ekran
turlari
Tatbiqiy sath
Proksi
Tatbiqiy vositachi
Seans sathi
Proksi
Seans vositachisi
Paketlar inspektori
Holat inspektori
Paketlar filtrasiyasi
Dinamik filtr
Tarmoq sathi
Paketlar filtrasiyasi
Ekranlovchi
marshrutizator, paket
filtri
Kanal sathi
Trafikni segmentlash
Boshqariluvchi
(ekranlovchi)
kommutator
Kanal sathida ishlatiluvchi boshqariluvchi kommutatorlar, masalan, MAC-
adreslar, portlar va kadrlar sarlavhalaridan olingan boshqa parametrlar asosida,
trafikni filtrlash vazifasining bajarilishiga imkon beradi. Boshqariluvchi
kommutatorlarning afzalligi sifatida tarmoq qurilmalari guruhini ma’murlashning
qulayligini, lokal tarmoq unumdorligining oshishini ko‘rsatish mumkin.
Funksionallikning cheklanganligi, fizik rekonfiguratsiyalashning noqulayligi va
MACadresni almashtirish hujumiga zaifligi boshqariluvchi kommutatorlarning
kamchiligi hisoblanadi.
Tarmoq sathining paket filtrlari va marshrutizatorlar IP-adres, portlar,
protokol turi va h. bo‘yicha filtrlash vazifasining bajarilishiga imkon beradi.
Tarmoq va transport sathlari funksionalliklarining cheklanganligi va IP-adresni
almashtirish hujumiga zaifligi paket filtrlarining kamchiligi hisoblanadi.
Seans sathining paket filtrlari, seansga mos filtrlash parametrlarining katta
sonini hisobga olgan holda, filtrlashni bajarishga imkon beradi.
Vositachilar - oraliq tarmoq vositalari o‘ziga tegishli ulanishni amalga
oshirib, trafikni qo‘shimcha qurilmada ishlaydi. Bu o‘z navbatida quyidagi
vazifalarni bajarishga imkon beradi:
− autentifikatsiyani;
− mijozlar va serverlarning asinxron muloqotini;
− adreslarning translyatsiyasini va yashirishni;

−tarmoq yukini qayta taqsimlash maqsadida adresni o‘zgartirishni; −
almashish unumdorligini oshirish maqsadida xeshlashni;
− trafikni qaydlashni.
Ayni paytda, vositachilardan foydalanilganda, trafik qo‘shimcha qurilmada
takroriy ishlangani sababli, tarmoq perimetri bo‘yicha istalgan unumdorlikni
taminlash masalasini yechish talab etiladi.
Vositachi tomonidan amalga oshiriluvchi marshrutlash texnologiyasiga
alohida e’tibor berish lozim. Unga binoan tarmoq adreslarining translyatsiyasi
(Network Address Translation, NAT) amalga oshiriladi, ya’ni hostning ichki adresi
vositachining shaxsiy adresiga almashtiriladi. Boshqacha aytganda, NAT ichki
tarmoq adreslarini tashqi tomondan yashirish siyosatini amalga oshiradi va ichki
tarmoq uchun vositachiga bitta IP-adresni belgilash imkoniyatini yaratadi.
Adreslarni translyatsiyalash statik va dinamik tarzda belgilanishi mumkin.
Seans sathidagi vositachilarga, yuqori unumdorlikka, adreslarni yashiruvchi
samaradorli apparatga va TCP/UDP – trafikni ajratish imkoniyatiga ega SOCKet
Secure (SOCKS5) vositachisi taalluqli. Tatbiqiy vositachi sifatida HTTP/HTTPS
vositachilari va FTP vositachi keng tarqalgan. Ushbu vositachilar tatbiqiy protokol
kontenti bo‘yicha filtrlashga imkon tug‘diradi.
Holat inspektorlari (seans sathining imkoniyati kengaytirilgan filtrlari),
seans sathidagi protokollar sarlavhalaridan olinuvchi ma’lumotlar asosida,
intelektual filtrlashni bajaradi. Bu yuqori sathlarda filtrlash effektini olishga imkon
beradi. Bunday tarmoqlararo ekranlar vositachini o‘rnatishni talab qilmaydi. Shu
sababli, tarmoq unumdorligi pasaymaydi, ammo xavfsizlikning kerakli darajasi
ta’minlanadi. Holat inspektorining afzalligiga masshtablashning qulayligini ham
qo‘shish mumkin.
Amaliyotda axborot resurslarining tarmoqlararo himoyasini taminlashda
UTM (Unifield Threat Management) qurilma tushunchasini va keyingi avlod
tarmoqlararo ekranlarini (Next Generation, NG firewall) uchratish mumkin.
UTM
– qurilma perimetrli himoyalash masalasining kompleks yechimi
hisoblanadi. Uning tarkibida tarmoqlararo ekranlash modullaridan tashqari, suqilib

kirishlarni aniqlash tizimlari, oqimli antivirus, spamga qarshi yechim, kriptoshlyuz
va h. mavjud bo‘lishi mumkin.
NG firewall UTMga o‘xshash va portlar bo‘yicha filtrlash texnikasini,
suqilib kirishlardan ogohlantirish tizimlarini va ilovalar sathida trafikni filtrlashni
birlashtirish maqsadida yaratilgan.
Virtual xususiy tarmoqlar
. Virtual xususiy tarmoq (Virtual Private Network,
VPN)
deganda
ma’lumotlarni
inkapsulyatsiyalash
mexanizmlari,
hamda
qo‘shimcha autentifikatsiya, shifrlash, yaxlitlikni nazoratlash bazasida vaqtinchalik
himoyalangan aloqa kanalini yaratish yo‘li bilan uzatiluvchi ma’lumotlarni
himoyalash vositasi tushuniladi. Nomidan ko‘rinib turibdiki, VPNning asosiy
g‘oyasi
vaqtinchalik
(seans
davrida)
ma’lumotlarni
uzatish
uchun
inkapsulyatsiyalash, ya’ni bir sathning tarmoq paketini yuqori sathning yagona
paketiga birlashtirish yo‘li bilan himoyalangan tunnelni yaratishdan iborat. Aynan,
doimiy himoyalangan kanalni yoki ajratilgan liniyani ijaraga olishni tashkil etish
oldida, vaqtinchalik tunnelni tashkil etish imkoniyatining afzalligi namoyon.
Ma’lumotlar paketining yuqori sath paketiga inkapsulyatsiyasi esa
ma’lumotlarni shifrlash va ularning yaxlitligini nazoratlash talablarini osongina
qondirishga imkon beradi.
Virtual xususiy tarmoqlarni, asosan OSI-modeli sathlari va ulanish usullari
bo‘yicha tasniflash qabul qilingan. Ulanish bo‘yicha “nuqtanuqta” (“uzel-uzel”),
“nuqta-tarmoq” va “tarmoq-nuqta” usullari farqlanadi.
5.2-jadvalda virtual xususiy
tarmoqning eng ommaviy protokollari keltirilgan.

Download 7,29 Mb.