• Tarmoqlararo
  • OSI modeli sathlari Filtratsiya texnologiyalari Tarmoqlararo ekran turlari
  • Tarmoq xavfsizligini ta’minlovchi vositalar




    Download 2,03 Mb.
    bet68/111
    Sana20.05.2024
    Hajmi2,03 Mb.
    #246571
    1   ...   64   65   66   67   68   69   70   71   ...   111

    Tarmoq xavfsizligini ta’minlovchi vositalar


    Hozirda tarmoq xavfsizligini ta’minlovchi vositalarga tarmoqdan foydalanishni cheklashning bazaviy vositalari (tarmoqlararo ekran) va ma’lumotlarni himoyalangan holda uzatish vositalari (kriptoshlyuzlar va VPN yechimlar), hamda himoyalanganlikni ta’minlovchi qo‘shimcha tarmoq vositalari, trafikni monitoringlash vositalari, yolg‘on tarmoq nishonlari va h. taalluqli.
    Tarmoqlararo ekranlash. Tarmoqlararo ekran (firewall, brandmaver) – trafikni filtrlash mexanizmiga asoslangan tarmoqdan foydalanishni cheklashning bazaviy vositasi. Filtratsiya mexanizmi o‘tuvchi trafikni ma’lum qoidalar (filtrlar) bilan taqqoslashni va tarmoq paketlarini o‘tkazish yoki o‘tkazmaslik xususida qaror qabul qilishni ko‘zda tutadi.
    Tarmoqlararo ekranlarni, odatda, ishlatiladigan filtrlash texnologiyasiga va OSI modelining bazaviy sathiga nisbatan tasniflashadi (5.1-jadval).


    5.1-jadval
    Tarmoqlararo ekran turlari

    OSI modeli sathlari

    Filtratsiya texnologiyalari

    Tarmoqlararo ekran turlari

    Tatbiqiy sath

    Proksi

    Tatbiqiy vositachi

    Seans sathi



    Proksi

    Seans vositachisi

    Paketlar inspektori

    Holat inspektori

    Paketlar filtrasiyasi

    Dinamik filtr

    Tarmoq sathi



    Paketlar filtrasiyasi



    Ekranlovchi
    marshrutizator, paket filtri

    Kanal sathi



    Trafikni segmentlash



    Boshqariluvchi (ekranlovchi)
    kommutator

    Kanal sathida ishlatiluvchi boshqariluvchi kommutatorlar, masalan, MAC-adreslar, portlar va kadrlar sarlavhalaridan olingan boshqa parametrlar asosida, trafikni filtrlash vazifasining bajarilishiga imkon beradi. Boshqariluvchi kommutatorlarning afzalligi sifatida tarmoq qurilmalari guruhini ma’murlashning qulayligini, lokal tarmoq unumdorligining oshishini ko‘rsatish mumkin. Funksionallikning cheklanganligi, fizik rekonfiguratsiyalashning noqulayligi va MAC- adresni almashtirish hujumiga zaifligi boshqariluvchi kommutatorlarning kamchiligi hisoblanadi.


    Tarmoq sathining paket filtrlari va marshrutizatorlar IP-adres, portlar, protokol turi va h. bo‘yicha filtrlash vazifasining bajarilishiga imkon beradi. Tarmoq va transport sathlari funksionalliklarining cheklanganligi va IP-adresni almashtirish hujumiga zaifligi paket filtrlarining kamchiligi hisoblanadi.
    Seans sathining paket filtrlari, seansga mos filtrlash parametrlarining katta sonini hisobga olgan holda, filtrlashni bajarishga imkon beradi.
    Vositachilar - oraliq tarmoq vositalari o‘ziga tegishli ulanishni amalga oshirib, trafikni qo‘shimcha qurilmada ishlaydi. Bu o‘z navbatida quyidagi vazifalarni bajarishga imkon beradi:

    • autentifikatsiyani;

    • mijozlar va serverlarning asinxron muloqotini;

    • adreslarning translyatsiyasini va yashirishni;

    • tarmoq yukini qayta taqsimlash maqsadida adresni o‘zgartirishni;

    • almashish unumdorligini oshirish maqsadida xeshlashni;

    • trafikni qaydlashni.

    Ayni paytda, vositachilardan foydalanilganda, trafik qo‘shimcha qurilmada takroriy ishlangani sababli, tarmoq perimetri bo‘yicha istalgan unumdorlikni ta’minlash masalasini yechish talab etiladi.
    Vositachi tomonidan amalga oshiriluvchi marshrutlash texnologiyasiga alohida e’tibor berish lozim. Unga binoan tarmoq adreslarining translyatsiyasi (Network Address Translation, NAT) amalga oshiriladi, ya’ni hostning ichki adresi vositachining shaxsiy
    adresiga almashtiriladi. Boshqacha aytganda, NAT ichki tarmoq adreslarini tashqi tomondan yashirish siyosatini amalga oshiradi va ichki tarmoq uchun vositachiga bitta IP-adresni belgilash imkoniyatini yaratadi. Adreslarni translyatsiyalash statik va dinamik tarzda belgilanishi mumkin.
    Seans sathidagi vositachilarga, yuqori unumdorlikka, adreslarni yashiruvchi samaradorli apparatga va TCP/UDP – trafikni ajratish imkoniyatiga ega SOCKet Secure (SOCKS5) vositachisi taalluqli. Tatbiqiy vositachi sifatida HTTP/HTTPS vositachilari va FTP vositachi keng tarqalgan. Ushbu vositachilar tatbiqiy protokol kontenti bo‘yicha filtrlashga imkon tug‘diradi.
    Holat inspektorlari (seans sathining imkoniyati kengaytirilgan filtrlari), seans sathidagi protokollar sarlavhalaridan olinuvchi ma’lumotlar asosida, intelektual filtrlashni bajaradi. Bu yuqori sathlarda filtrlash effektini olishga imkon beradi. Bunday tarmoqlararo ekranlar vositachini o‘rnatishni talab qilmaydi. Shu sababli, tarmoq unumdorligi pasaymaydi, ammo xavfsizlikning kerakli darajasi ta’minlanadi. Holat inspektorining afzalligiga masshtablashning qulayligini ham qo‘shish mumkin.
    Amaliyotda axborot resurslarining tarmoqlararo himoyasini ta’minlashda UTM (Unifield Threat Management) qurilma tushunchasini va keyingi avlod tarmoqlararo ekranlarini (Next Generation, NG firewall) uchratish mumkin.
    UTM – qurilma perimetrli himoyalash masalasining kompleks yechimi hisoblanadi. Uning tarkibida tarmoqlararo ekranlash modullaridan tashqari, suqilib kirishlarni aniqlash tizimlari, oqimli antivirus, spamga qarshi yechim, kriptoshlyuz va h. mavjud bo‘lishi mumkin.
    NG firewall UTMga o‘xshash va portlar bo‘yicha filtrlash texnikasini, suqilib kirishlardan ogohlantirish tizimlarini va ilovalar sathida trafikni filtrlashni birlashtirish maqsadida yaratilgan.

    Download 2,03 Mb.
    1   ...   64   65   66   67   68   69   70   71   ...   111




    Download 2,03 Mb.

    Bosh sahifa
    Aloqalar

        Bosh sahifa



    Tarmoq xavfsizligini ta’minlovchi vositalar

    Download 2,03 Mb.