S. K. Ganiyev, M. M. Karimov, K. A. Tashev
Ekranlovchi marshrutizator
Yüklə 7,8 Mb. Pdf görüntüsü
|
|
Ekranlovchi marshrutizator
(screeningrouter) (paketli filtr (packetfilter) deb ham ataladi) xabarlar paketini filtrlashga atalgan, ichki va tashqi tarmoqlar orasida shaffof aloqani ta’minlaydi. U OSI modelining tarmoq sathida ishlaydi, ammo o‘zining ayrim funksiya larini bajarishida etalon modelining transport sathini ham qamrab olishi mumkin. Ma’lumotlami o‘tkazish yoki brakka chiqarish xususidagi qa- ror filtrlashning berilgan qoidalariga binoan har bir paket uchun 203 mustaqil qabul qilinadi. Qaror qabul qilishda tarmoq va transport sathlari paketlarining sarlavhalari tahlil etiladi (8.6-rasm). 8.6-rasm. Paketli filtming ishlash sxemasi. Har bir paketning IP- va TCP/UDP - sarlavhalarining tahlil- lanuvchi hoshiyalari sifatida quyidagilar ishlatilishi mumkin: - jo ‘natuvchi adresi; - qabul qiluvchi adresi; - paket xili; - paketni fragmentlash bayrog‘i; - manba porti nomeri; - qabul qiluvchi port nomeri. Birinchi to‘rtta parametr paketning IP-sarlavhasiga, keyingilari esa TCP-yoki UDP sarlavhasiga taalluqli. Jo‘natuvchi va qabul qiluvchi adreslari IP-adreslar hisoblanadi. Bu adreslar paketlami shakllantirishda to‘ldiriladi va uni tarmoq bo‘yicha uzatganda o‘zgarmaydi. Paket xili hoshiyasida tarmoq sathiga mos keluvchi ICMP protokol kodi yoki tahlillanuvchi IP-paket taalluqli bo‘lgan transport sathi protokolining (TCP yoki UDP) kodi bo‘ladi. Paketni fragmentlash bayrog‘i IP-paketlar fragmentlashining borligi yoki yo‘qligini aniqlaydi. Agar tahlillanuvchi paket uchun fragmentlash bayrog‘i o‘matilgan bo‘lsa, mazkur paket fragment- langan IP-paketning qismpaketi hisoblanadi. Manba va qabul qiluvchi portlari nomerlari TCP yoki UDP drayver tomonidan har bir jo'natiluvchi xabar paketlariga qo‘shiladi va jo ‘natuvchi ilovasini hamda ushbu paket atalgan ilovani bir' ma’noda identifikatsiyalaydi. Portlar nomerlari bo‘yicha filtrlash 204 imkoniyati uchun yuqori sath protokollariga port nomerlarini ajra- tish bo‘yicha tarmoqda qabul qilingan kelishuvni bilish lozim. Har bir paket ishlanishida ekranlovchi marshrutizator berilgan qoidalar jadvalini, paketning to‘liq assotsiatsiyasiga mos keluvchi qoidani topgunicha, ketma-ket ko‘rib chiqadi. Bu yerda assotsiatsiya deganda, berilgan paket sarlavhalarida ko‘rsatilgan parametrlar maj- mui tushuniladi. Agar ekranlovchi marshrutizator jadvaldagi qoida- laming birortasiga ham mos kelmaydigan paketni olsa, u, xavfsizlik nuqtayi nazaridan, uni yaroqsiz holga chiqaradi. Paketli filtrlar apparat va dasturiy amalga oshirilishi mumkin. Paketli filtr sifatida oddiy marshrutizator hamda kiruvchi va chiquv chi paketlami filtrlashga moslashtirilgan, serverda ishlovchi dastur- dan foydalanish mumkin. Zamonaviy marshmtizatorlar har bir port bilan bir necha o‘nlab qoidalami bog‘lashi va kirishda hamda chiqishda paketlami filtrlashi mumkin. Paketli filtrlaming kamchiligi sifatida quyidagilami ko‘rsatish mumkin. Ular xavfsizlikning yuqori darajasini ta’minlamaydi, chun ki faqat paket sarlavhalarini tekshiradi va ko‘pgina kerakli funksiya- lami madadlamaydi. Bu funksiyalarga, masalan, oxirgi uzellami autentifikatsiyalash, xabarlar paketlarini kriptografik bekitish hamda ulaming yaxlitligini va haqiqiyligini tekshirish kiradi. Paketli filtrlar dastlabki adreslami almashtirib qo‘yish va xabarlar paketi tarkibini mxsatsiz o‘zgartirish kabi keng tarqalgan tarmoq hujumlariga zaif hisoblanadilar. Bu xil brandmauerlami "aldash" qiyin emas - filtr lashga mxsat bemvchi qoidalami qondimvchi paket sarlavhalarini shakllantirish kifoya. Ammo, paketli filtrlaming amalga oshirilishining soddaligi, yuqori unumdorligi, dasturiy ilovalar uchun shaffofligi va narxining pastligi, ulaming hamma yerda tarqalishiga va tarmoq xavfsizligi tizimining majburiy elementi kabi ishlatilishiga imkon yaratdi. Yüklə 7,8 Mb. Dostları ilə paylaş:
|