Tarmoqlararo ekranlar asosidagi tarmoq himoyasining sxemalari
Tarmoqlararo ekranlaming ishlash xususiyatlari Tarmoqlararo ekran (TE) - Brandmauer yoki firewall sistemasi deb ham ataluvchi tarmoqlararo himoyaning ixtisoslashtirilgankompleksi. Tarmoqlararo ekran umumiy tarmoqni ikki yoki undanko‘p qismlarga ajratish va ma’lum paketlarini chegara orqaliumumiy tarmoqning bir qismidan ikkinchisiga o'tish shartlarinibelgilovchi qoidalar to‘plamini amalga oshirish imkonini beradi.
Odatda, bu chegara korxonaning korporativ (lokal) tarmog'i va Internet global tarmoq orasida o‘tkaziladi. Tarmoqlararo ekranlar garchi korxona lokal tarmog'i ulangan korporativ intratarmog‘idan qilinuvchi hujumlardan himoyalashda ishlatilishi mumkin bo‘lsa-da, odatda ular korxona ichki tarmog‘ini Internet global tarmoqdan suqilib kirishdan himoyalaydi. Aksariyat tijorat tashkilotlari uchun
tarmoqlararo ekranlarning o ‘rnatilishi, ichki tarmoq xavfsizligini ta’minlashning zaruriy sharti hisoblanadi. Ruxsat etilmagan tarmoqlararo foydalanishga qarshi ta’sir ko‘rsatish uchun tarmoqlararo ekran ichki tarmoq hisoblanuvchi tashkilotning himoyalanuvchi tarmog'i va tashqi g ‘anim tarmoq orasida joylanishi lozim . Bunda bu tarmoqlar orasidagi barcha aloqa faqat tarmoqlararo ekran orqali amalga oshirilishi lozim. Tashkiliy nuqtayi nazaridan tarmoqlararo ekran himoyalanuvchi
tarmoq tarkibiga kiradi. Ichki tarmoqning ko‘pgina uzellarini birdaniga himoyalovchi tarmoqlararo ekran quyidagi ikkita vazifani bajarishi kerak: - tashqi (himoyalanuvchi tarmoqqa nisbatan) foydalanuvchilarning korporativ tarmoqning ichki resurslaridan foydalanishini chegaralash.
Bunday foydalanuvchilar qatoriga tarmoqlararo ekran himoyalovchi ma’lumotlar bazasining serveridan foydalanishga urinuvchi sheriklar, masofadagi foydalanuvchilar, xakerlar, hatto kompaniyaning xodimlari kiritilishi mumkin; - himoyalanuvchi tarmoqdan foydalanuvchilarning tashqi resurslardan foydalanishlarini chegaralash. Bu masalaning yechilishi, masalan, serverdan xizmat vazifalari talab etmaydigan foydalanishni tartibga solishga imkon beradi.
Hozirda ishlab chiqarilayotgan tarmoqlararo ekranlarning tavsiflariga asoslangan holda, ulami quyidagi asosiy alomatlari bo‘yicha turkumlash mumkin:
- tarmoqning berk va ochiq segmentlarini alohida himoyalovchi
sxema.
Trafiklartti filtrlash Axborot oqimlarini filtrlash, ularni ekran orqali, ba’zida qandaydir o‘zgartirishlar bilan o ‘tkazishdan iborat.
Filtrlash, qabul qilingan xavfsizlik siyosatiga mos keluvchi, ekranga oldindan yuklangan qoidalar asosida amalga oshiriladi. Shu sababli, tarmoqlararo ekranni axborot oqimlarini ishlovchi filtrlar ketmaketligi sifatida tasawur etish qulay
Filtrlarning har biri quyidagi harakatlami bajarish orqali filtrlashning alohida qoidalarini izohlashga atalgan:
1. Axborotni izohlanuvchi qoidalardagi berilgan mezonlar bo’yicha tahlillash, masalan, qabul qiluvchi va jo ‘natuvchi adreslari yoki ushbu axborot atalgan ilova xili bo'yicha.
2 . Izohlanuvchi qoidalar asosida quyidagi yechimlardan birini qabul qilish:
- ma’lumotlarni o ‘tkaztnaslik;
- ma’lumotlarni qabul qiluvchi nomidan ishlash va natijani jo’natuvchiga qaytarish;
- keyingi filtrlarga e ’tibor qilmay ma'lumotlami uzatish.
Filtrlash qoidalari vositachilik funksiyalariga oid qo‘shimcha, masalan, ma’lumotlami o'zgartirish, hodisalami qaydlash va h. kabi harakatlarni ham berishi mumkin. Mos holda, filtrlash qoidalari quyidagilarning amalga oshirilishini ta’minlovchi shartlar ro'yxatini aniqlaydi:
- ma’lumotlami keyingi uzatishga ruxsat berish yoki ruxsat bermaslik;
Axborot oqimini tahlillash mezoni sifatida quyidagi parametrlardan foydalanish mumkin:
- tarkibida tarmoq adreslari, identifikatorlar, interfeyslar adresi, portlar nomeri va boshqa mu’nim ma’lumotlar boMgan xabar paketlarining xizmatchi hoshiyalari;
- masalan, kompyuter viruslari borligiga tekshiriluvchi xabar paketlarining bevosita tarkibi;
- axborot oqimining tashqi xarakteristikalari, masalan, vaqt va chastota xarakteristikalari ma’lumotlar hajmi va h.
Ishlatiluvchi tahlillash mezonlari filtrlashni amalga oshiruvchi OSI modelining sathlariga bog'liq. Umumiy holda, paketni filtrlashni amalga oshiruvchi OSI modelining sathi qanchalik yuqori bo‘lsa, ta’minlanuvchi himoyalash darajasi ham shunchalik yuqori boiadi.
Vositachilik funksiyalarining bajarilishi Tarmoqlararo ekran vositachilik funksiyalarini ekranlovchi agentlar yoki vositachi dasturlar deb ataluvchi maxsus dasturlar vordamida bajaradi. Bu dasturlar rezident dasturlar hisoblanadi hamda tashqi va ichki tarmoq orasida xabarlar paketini bevosita uzatishni taqiqlaydi.
Tashqi tarmoqdan ichki tarmoaning va aksincha foydalanish zaruriyati tug’ilganda. avval tarmoqlararo ekran kompyuterida ishlovchi vositachi-dastur bilan mantiqiy ulanish o ‘matilishi lozim. Vositachi-dastur so‘ralgan tarmoqlararo aloqaning joizligini tekshiradi va ijobiy natijada o ‘zi sozalgan kompyuter bilan alohida
ulanish o‘rnatadi. So'ngra tashqi va ichki tarmoq kompyuterlari orasida axborot almashish, xabarlar oqimini filtrlashni hamda boshqa himoyalash funksiyalarini bajaruvchi dasturiy vositachi orqali amalga oshiriladi.
Ta’kidlash lozimki, tarmoqlararo ekran filtrlash funksiyasini vositachi-dastur ishtirokisiz amalga oshirib, tashqi va ichki tarmoq orasida o ‘zaro aloqaning shaffofligini ta’minlashi mumkin. Shu bilan birga vositachi dasturlar xabarlar oqimini filtrlashni amalga oshirmasligi ham mumkin.
Umuman, vositachi-dasturlar, xabarlar oqimini shaffof uzatilishini blokirovka qilgan holda, quyidagi funksiyalarni bajarishi mumkin: - uzatiluvchi va qabul qilinuvchi ma’lumotlarning haqiqiyligini