Tarmoqlararo ekranlarni ulashning asosiy sxemalari. Korpo
rativ tarmoqni global tarmoqlarga ulaganda himoyalanuvchi tarmoq
ning global tarmoqdan va global tarmoqning himoyalanuvchi tar
moqdan foydalanishini cheklash, shuningdek, ulanuvchi tarmoqdan
global tarmoqning masofadan ruxsatsiz foydalanishidan himoya-
lashni ta’minlash lozim. Bunda tashkilot o‘zining tarmog‘i va uning
komponentlari xususidagi axborotni global tarmoq foydalanuvchila-
ridan bekitishga manfaatdor. Masofadagi foydalanuvchilar bilan ish
lash himoyalanuvchi tarmoq resurslaridan foydalanishning qat’iy
cheklanishini talab etadi.
Tashkilotdagi korporativ tarmoq tarkibida ko‘pincha himoyala-
nishning turli sathli bir necha segmentlarga ega bo‘lishi ehtiyoji
tug‘iladi:
- bemalol foydalaniluvchi segmentlar (masalan; reklama
WWW-serverlari);
- foydalanish chegaralangan segmentlar (masalan, tashkilot-
ning masofadagi uzellari xodimlarining foydalanishi uchun);
- yopiq segmentlar (masalan, tashkilotning moliya lokal qism
tarmog‘i).
Tarmoqlararo ekranlarni ulashda turli sxemalardan foydalanish
mumkin. Bu sxemalar himoyalanuvchi tarmoq ishlashi sharoitiga
hamda ishlatiladigan brandmauerlaming tarmoq interfeyslari soniga
va boshqa xarakteristikalariga bog‘liq. Tarmoqlararo ekranni ulash-
ning quyidagi sxemalari keng tarqalgan:
- ekranlovchi marshrutizatordan foydalanilgan himoya sxema
lari;
- lokal tarmoqni umumiy himoyalash sxemalari;
215
- himoyalanuvchi yopiq va himoyalanmaydigan ochiq qismtar-
moqli sxemalar;
- yopiq va ochiq qism tarmoqlami alohida himoyalovchi sxe
malar.
Ekranlovchi marshrutizatordan foydalanilgan himoya sxemasi. Paketlami filtrlashga asoslangan tarmoqlararo ekran keng tar-
qalgan va amalga oshirilishi oson. U himoyalanuvchi tarmoq va bo‘-
lishi mumkin bo‘lgan g‘anim ochiq tarmoq orasida joylashgan ek
ranlovchi marshrutizatordan iborat (8.10-rasm).
Ekranlovchi marshrutizator (paketli filtr) kiruvchi va chiquvchi
paketlami ulaming adreslari va portlari asosida blokirovka qilish va
filtrlash uchun konfiguratsiyalangan.
8.10-rasm. Tarmoqlararo ekran - ekranlovchi
marshrutizator.
Himoyalanuvchi tarmoqdagi kompyuterlar Intemetdan to‘g‘ri-
dan-to‘g‘ri foydalana oladi, Intemetning ulardan foydalanishining
ko‘p qismi esa blokirovka qilinadi. Umuman, ekranlovchi marshru-
tizator yuqorida tavsiflangan himoyalash siyosatidan istalganini
amalga oshirishi mumkin. Ammo, agar marshmtizator paketlami
manba porti, kirish va chiqish yo‘li portlari nomeri bo‘yicha filtrla-
masa, "oshkora mxsat etilmagani man qilingan" siyosatini amalga
oshirish qiyinlashadi.
Paketlami filtrlashga asoslangan tarmoqlararo ekranning kam-
chiliklari quyidagilar:
- filtrlash qoidalarining murakkabligi; ba’zi hollarda bu qoida-
lar majmui bajarilmasligi mumkin;
- filtrlash qoidalarini to‘liq testlash mumkin emasligi; bu tar
moqni testlanmagan hujumlardan himoyalanmasligiga olib keladi;
216
-
hodisalami ro‘yxatga olish imkoniyatining yo‘qligi; natijada
ma’murga mashrutizatoming hujumga duch kelganligini va obro‘-
sizlantirilganligini aniqlash qiyinlashadi.